У нас небольшая сеть в нашем отделе
Мой предшественник попытался добавить веб-сервер в наш домен, чтобы войти в него с учетными записями пользователей из нашего домена (в основном для передачи файлов на веб-сервер). Некоторое время работал, но с неустановленного момента больше не работает.
Итак, я прочитал несколько руководств по самбе и просмотрел файлы конфигурации, но не смог найти проблему. Теперь я ищу твоей помощи.
auth.log после попытки войти в систему с «пользователем домена»:
Mar 13 17:04:33 linuxwebserver login[22754]: pam_winbind(login:auth): getting password (0x00000000)
Mar 13 17:04:35 linuxwebserver login[22754]: pam_winbind(login:auth): user '<domain-username>' granted access
Mar 13 17:04:35 linuxwebserver login[22754]: pam_unix(login:account): could not identify user (from getpwnam(<domain-username>))
Mar 13 17:04:35 linuxwebserver login[22754]: User not known to the underlying authentication module
auth.log после попытки входа с "доменом" \ "пользователем домена":
Mar 13 17:06:29 linuxwebserver login[22762]: pam_winbind(login:auth): getting password (0x00000000)
Mar 13 17:06:32 linuxwebserver login[22762]: pam_winbind(login:auth): request failed: No such user, PAM error was Benutzer bei zu Grunde liegendem Authentifizierungsmodul nicht bekannt (10), NT error was NT_STATUS_NO_SUCH_USER
Mar 13 17:06:32 linuxwebserver login[22762]: pam_unix(login:auth): check pass; user unknown
Mar 13 17:06:32 linuxwebserver login[22762]: pam_unix(login:auth): authentication failure; logname=root uid=0 euid=0 tty=pts/3 ruser= rhost=
Mar 13 17:06:34 linuxwebserver login[22762]: FAILED LOGIN (1) on 'pts/3' FOR `UNKNOWN', User not known to the underlying authentication module
Мне кажется, что веб-сервер правильно находится в домене, но есть некоторые проблемы с тем, как linux проверяет действительность учетных записей.
smb.conf : http://pastebin.com/nXdZUEbn
nsswitch.conf :
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.
passwd: compat winbind
group: compat winbind
shadow: compat winbind
hosts: files dns wins
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
wbinfo -u дает мне правильный список всех учетных записей в нашем домене (без "DOMAIN \" перед именами)
wbinfo -g дает мне правильный список групп в нашем домене (без "DOMAIN \" перед именами)
getent passwd дает мне список локальных (unix-) учетных записей на нашем веб-сервере (нет пользователей домена)
getent group дает мне список локальных (unix-) групп на нашем веб-сервере (нет пользователей домена)
# wbinfo -p
Ping to winbindd succeeded
Моя идея: Linux использует информацию из passwd, чтобы проверить, действительна ли учетная запись, но не проверяет информацию из wbinfo в нее. Я думал, что решил эту проблему, добавив winbind в nsswitch.conf но проблема осталась.
РЕДАКТИРОВАТЬ:
/etc/pam.d/common-auth
auth sufficient pam_winbind.so
auth required pam_unix.so nullok_secure use_first_pass
/etc/pam.d/common-account
account sufficient pam_winbind.so
account required pam_unix.so
/etc/pam.d/common-password
password required pam_unix.so nullok obscure md5
РЕДАКТИРОВАТЬ2: /etc/krb5.conf
[libdefaults]
default_realm = <DOMAIN>.LOCAL
# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
# The following encryption type specification will be used by MIT Kerberos
# if uncommented. In general, the defaults in the MIT Kerberos code are
# correct and overriding these specifications only serves to disable new
# encryption types as they are added, creating interoperability problems.
#
# Thie only time when you might need to uncomment these lines and change
# the enctypes is if you have local software that will break on ticket
# caches containing ticket encryption types it doesn't know about (such as
# old versions of Sun Java).
# default_tgs_enctypes = des3-hmac-sha1
# default_tkt_enctypes = des3-hmac-sha1
# permitted_enctypes = des3-hmac-sha1
# The following libdefaults parameters are only for Heimdal Kerberos.
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true
[realms]
<DOMAIN>.LOCAL = {
kdc = <WIN DOMAIN CONTROLLER>.<DOMAIN>.local
admin_server = <WIN DOMAIN CONTROLLER>.<DOMAIN>.local
}
[domain_realm]
.<DOMAIN>.local = <DOMAIN>.LOCAL
[login]
krb4_convert = true
krb4_get_tickets = false
Попробуйте изменить свой smb.conf:
idmap backend = ad
для:
idmap backend = rid
И перезапустите свои службы samba (в основном winbind). Если по-прежнему не работает, попробуйте следующее:
Какую версию самбы вы используете?
У меня недостаточно рейтинга для публикации комментария, но я, кажется, припоминаю, что мне нужно было использовать две косые черты во время входа в домен Windows. Я считаю, что это было с BeyondTrust, я знаю, что в Quest мне не нужно было использовать две косые черты ...
DOMAIN\\user