[Fannynub]

OS ALT linux master 2.4
Samba version 3.05

log.winbindd

читать дальше »

[2007/09/24 13:49:39, 1] nsswitch/winbindd.c:main(843)
winbindd version 3.0.5 started.
Copyright The Samba Team 2000-2004
[2007/09/24 13:49:39, 1] nsswitch/winbindd_util.c:add_trusted_domain(180)
Added domain MYDOMEN MYDOMEN.LOCAL S-0-0
[2007/09/24 13:49:39, 1] libsmb/clikrb5.c:ads_krb5_mk_req(306)
krb5_cc_get_principal failed (No credentials cache found)
[2007/09/24 13:49:40, 1] nsswitch/winbindd_util.c:add_trusted_domain(180)
Added domain BUILTIN S-1-5-32
[2007/09/24 13:49:40, 1] nsswitch/winbindd_util.c:add_trusted_domain(180)
Added domain POST S-1-5-21-2598127683-2868193808-2578808510
[2007/09/24 13:49:46, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(159)
user 'adminAD' does not exist
[2007/09/24 13:49:53, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(159)
user 'adminAD' does not exist
[2007/09/24 13:53:13, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(159)
user 'adminAD' does not exist
[2007/09/24 13:53:13, 1] nsswitch/winbindd_util.c:add_trusted_domain(180)
Added domain MYDOMEN MYDOMEN.LOCAL S-0-0
[2007/09/24 13:53:13, 1] libsmb/clikrb5.c:ads_krb5_mk_req(306)
krb5_cc_get_principal failed (No credentials cache found)
[2007/09/24 13:53:13, 1] nsswitch/winbindd_util.c:add_trusted_domain(180)
Added domain BUILTIN S-1-5-32
[2007/09/24 13:53:13, 1] nsswitch/winbindd_util.c:add_trusted_domain(180)
Added domain POST S-1-5-21-2598127683-2868193808-2578808510
[2007/09/24 13:53:13, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(159)
user 'adminAD' does not exist
[2007/09/24 13:53:18, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(159)
user 'adminAD' does not exist
[2007/09/24 13:53:27, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(159)
user 'adminAD@MYDOMEN.LOCAL' does not exist
[2007/09/24 13:53:41, 1] nsswitch/winbindd_user.c:winbindd_getpwnam(159)
user 'adminAD' does not exist
[2007/09/24 14:01:01, 1] nsswitch/winbindd_group.c:winbindd_getgroups(1032)
user 'root' does not exist
[2007/09/24 14:02:56, 1] nsswitch/winbindd_group.c:winbindd_getgroups(1032)
user 'postfix' does not exist

[Dm1try]

1. Обновиться - хотя бы до samba-3.20b
2. Вывести машину их домена, сначала взять билет kinit-ом, потом ввести в домен: net ads join -U adminAD.

ИМХО - обновление решит Вашу проблему.

[Fannynub]

Dm1try,

Вывел LinuxHost из AD путём блокировки и последующим удаления учёной записи.
time out 45 минут.
1. Синхронизация времени с контроллером домена (net time SET -S base)
2. Получен ключ командой kinit -p adminAD@MYDOMEN.LOCAL
3. Выполнено присоединение к домену: net ads join -U adminAD.
4. Попытка:

id adminAD
ответ: No such user

5. Команда getent passwd

Список пользователей без указания домена через разделитель!

6. id adminAD

!!!!!!!!!!OK!!!!!!!
Другие доменные пользователи OK

7. id groupeAD

No such user

8. Команда getent group

Список групп без указания домена через разделитель!

9. id groupeAD

No such user

10. services smb restart OK
services winbind restart OK
11. id adminAD
ответ: !!!No such user!!!

[Dm1try]

Синхронизируйте время на FreeBSD и на контроллере домена (ntpdate). Проверьте часовой пояс на FreeBSD в частности.

[[mzd]]

Как это сделать, расписано тут

[Fannynub]

Время нормально синхронизируется
Её богу сейчас не до NTP...
В предыдущем посте имею ввиду, что после перезагузки самбы и винбинд id опять неработает, хотя после свежего вхождения в домен заработала.

PS
В целом требуется настроить SQUID пользователей на авторизацию в AD.
Без авторизации все работают, но это не есть гуд .

[[mzd]]

а по какому ману настраивали? не с опеннет?

[Fannynub]

Сложно ответить, учусь на своих жучках
Рою гугл, читаю форумы, очень помог www.unixdoc.ru, вот и до Вас добрался...

[[mzd]]

Я так настраивал, правда, в Linux.

[Dm1try]

Цитата Fannynub:

Время нормально синхронизируется Её богу сейчас не до NTP... В предыдущем посте имею ввиду, что после перезагузки самбы и винбинд id опять неработает, хотя после свежего вхождения в домен заработала. »

Билет Kerboros, выданный контроллером домена действителен в течении определенного промежутка времени, потом необходимо получить новый билет.
Если время на КД и на клиенте рассинхронизированно (возможно на клиенте другой часовой пояс), то при проверке подлинности билета - сервер, естественным образом, ответит клиенту, что билет просрочен и соответсвенно - не авторизует клиента и клиент не сможет получить информацию о "ресурсах домена."

ИМХО:
Исходя из этой ошибки и описанной Вами ситуации - можно предположить: синхронизировав время и получив билет - все работает.

Код:

[2007/09/24 13:49:39, 1] libsmb/clikrb5.c:ads_krb5_mk_req(306)
krb5_cc_get_principal failed (No credentials cache found)

По прошествии некоторого времени FreeBSD замечает/исправляет разницу в системном времени (опять таки из-за временного пояса) - билет становится просроченым и все не работает. Синхронизация времени с КД позволит исправить данную ситуацию.



P.S> Ну обновите же samba - возьмите src.rpm из backports или сизифа, соберите и поставьте пакет - поверьте проблем поубавится.
Есть список рассылки - samba@lists.altlinux.org .