[Comm] samba3 as PDC & Win2K

[grimnir]

Hello Алексей,

Thursday, September 19, 2002, 10:20:35 PM, you wrote:

АЛ> On Thu, 19 Sep 2002 16:30:32 +0400
АЛ> Anton <grimnir на park-net.ru> wrote:

>> Подскажите пожалуйста, никак не пойму в чем дело.
>> Win2k не хочет вступать в домен
>> добавил акаунт в систему для компьютера oksana$, добавил в самбу
>> smbpasswd -a -m oksana
>> 
>> в smb.conf указано
>> domain master = yes
>> domain logons = yes
>> local master = yes
>> preffered master = yes
>> 
>> каталог netlogon есть и доступен для чтения всем. себя замапил на рута
>> 
>> Когда пытаюсь присоеденить Win2k к домену то после того как Win2k спрашивает 
>> логин:пароль пользователя который может добавлять к домену выдает сообщение
>> дословно:
>> "Для задданного сеанса входа в систему отсутствует раздел сеанса пользователя"
>> Что бы это могло значить? И как же лечить это? два дня уже бьюсь и все 
>> бестолку.
>> Может кто сталкивался.

АЛ> столкнулся. пока не решил.
АЛ> советую поставить log level = 9 и смотреть логи.
АЛ> я таким образом обнаружил, что в какой то момент win2k лезет под аккаунтом guest за каким то списком и получает отлуп.
АЛ> дальше пока не продвинулся. надеюсь Александр Боковой прояснит ситуацию больше.
АЛ> Кстати, интересно было бы поднять AD.

АЛ> ЗЫ по моему мои письма в рассылку не идут.

Спасибо и за это:)
а письма очень идут даже:)
если Win2k лезет "гостем" подозрение в домен то скорее всего для
получения списка пользователей с уровнем логов-4 я заметил что
вызывается какая то команда получения инфы пользователя, хотя
пользователь еще не авторизован. может как вариант разрешить гостевой
доступ с нулевыми паролями, а потом уже ресурсы резать? Хотя сам еще
не пробовал, но вряд ли.
Как работает как AD на Win2k-сервер понятно и опробовано, очень
здорово:) сила, мощь, власть и удобство. Одно только управление всем
доменом с любого Win2k компа чего стоит.
А в самбе мне не удалось почему то. Может читал плохо. сразу вопрос по
теме в ADS-HowTo напрямую не указано, что самба теперь может выступать
как AD server, но и не сказано, то  что не может. Так только клиент
или  и сервер тоже?
Устанавил керберос внес pricipal керберос через kinit авторизует. В
smb.conf прописывал что есть АД сервер (сам себе сервер) и остальные
параметры как в ADS-HowTo. Пробую smbclient -k -L my_server, а дальше
нечто:  connecting 192.168.0.1:445 (connect refused)
ля-ля-ля не удалось получить доступ с указанным типом шифрования
и отлуп хотя порт есть и соединение к нему есть и керберос
через него выдает талоны. В логах кербероса от этой попытки нуль,
значит это не керберос не пустил, до него даже не дошло.
в керберос по умолчанию, как я понял используется Triple-DES, какое
шифрование используется в SMB не в курсе, хотя может в /etc/krb.conf
надо прописывать и для самбы как для рлогин всяких отдельные секции с
параметрами
[rlogin]
[rsh] и т.д.

Да и багрепорт к kerberos, правда он к месту если AltLinux Team компилят
бинарники сами.
Бага в том, что файл профиля записывается в /etc/krb.conf по дефолту как
profile=/var/lib/kerberos/krb5*/*.conf (где звездочки я прост сейчас
не помню точное написание в этих местах), хм записываться то он
конечно пишется, а вот только реально именование файла конфига профиля
жестко зашито в бинарник  и есть оно /var/kerberos/* в общем то же
самое что и по  дефолту в конфиге но без /lib/.
Очень я долго гадал по чему же все что в профиле я пишу пропадает в
никуда, однако вот оно.
-- 
Best regards,
 grimnir                            mailto:grimnir на park-net.ru