Configurado Samba para se juntar ao nosso domínio, mas o logon falha da máquina Windows

1

Configurei uma instalação do Fedora 11 para ingressar em nosso domínio. Parece ingressar com sucesso (embora relate uma falha na atualização do DNS), mas quando tento acessar o \\ fedoraserver.test.mycompany.com, solicito uma senha. Então eu entro adminuser e a senha e isso falha, então eu tento test.mycompany.com\adminuser e isso também falha. O que estou perdendo?

EDIT (Atualização 01/09/09) : Agora posso conectar-me à máquina e ver os compartilhamentos nela (veja minha resposta à resposta do djhowell), mas quando tento me conectar, recebo um erro dizendo The network path was not found . Eu verifiquei a entrada de log no computador do Fedora para o computador do qual estou me conectando ( /var/log/samba/log.ComputerX ) e ele lê:

[2009/09/01 12:02:46,  1] libads/cldap.c:recv_cldap_netlogon(157)
    no reply received to cldap netlogon
[2009/09/01 12:02:46,  1] libads/ldap.c:ads_find_dc(417)
    ads_find_dc: failed to find a valid DC on our site (Default-First-Site-Name), trying to find another DC

Arquivos de configuração em 9/1/09:

smb.conf:

[global]
Workgroup = TEST
realm = TEST.MYCOMPANY.COM
password server = DC.TEST.MYCOMPANY.COM
security = DOMAIN
server string = Test Samba Server
log file = /var/log/samba/log.%m
max log size = 50
idmap uid = 15000-20000
idmap gid = 15000-20000
windbind use default domain = yes
cups options = raw
client use spnego = no
server signing = auto
client signing = auto

[share]
comment = Test Share
path = /mnt/storage1
valid users = adminuser
admin users = adminuser
read list = adminuser
write list = adminuser
read only = No

Eu também configurei o arquivo krb5.conf para ficar assim:

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = test.mycompany.com
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes

[realms]
TEST.MYCOMPANY.COM = {
 kdc = dc.test.mycompany.com
 admin_server = dc.test.mycompany.com
 default_domain = test.mycompany.com
}

[domain_realm]
dc.test.mycompany.com = test.mycompany.com
.dc.test.mycompany.com = test.mycompany.com

[appdefaults]
pam = {
 debug = false
 ticket_lifetime = 36000
 renew_lifetime = 36000
 forwardable = true
 krb4_convert = false
}

Eu percebo que pode haver um problema com EXAMPLE.COM , mas se eu alterá-lo para TEST.MYCOMPANY.COM , ele não poderá ingressar no domínio com uma falha de pré-autenticação. A partir de 01/09/09, este não é mais o caso.

    
por jasonh 26.08.2009 / 22:08

3 respostas

1

Na caixa do linux, tente:

$ kinit your_username

Digite sua senha. Em seguida, digite:

$ klist

E veja se você tem um ticket kerberos válido.

No meu arquivo krb5.conf eu não tenho nenhum número de porta na minha seção de realms. Além disso, na seção domain_realm, tenho algo parecido com isto:

MY-DC1.COMPANY.COM = COMPANY.COM
.MY-DC1.COMPANY.COM = COMPANY.COM

Tente alterar o lado esquerdo dessas linhas para apontar diretamente para o controlador de domínio para o qual você será autenticado.

    
por 26.08.2009 / 22:43
1

Desculpe pela resposta tardia, mas talvez eu possa ajudar alguém com o problema do DNS assim que ele / ela o tiver. Resolvi o problema de DNS adicionando um mapeamento ao DomainName totalmente qualificado ao endereço do controlador de domínio, como:

Domínio: herazio.com DC: HER-PDC

Arquivo

/ etc / hosts: HER-PDC.herazio.com 192.50.2.2

Isso resolveu o problema do DNS para mim, felizmente.

Atenciosamente, espero que tenha sido útil.

    
por 01.01.2011 / 14:05
0

Eu esperaria que a falha na atualização do DNS fosse sua dica aqui - a interoperabilidade do Windows / Linux (ou Unix) não é tão perfeita quanto às vezes é anunciada como sendo. Certifique-se de que suas outras máquinas possam resolver o nome para IP e o IP para o nome da nova caixa e, se não, adicione os registros DNS apropriados. Então tente e veja o que acontece.

Também vale a pena conferir a configuração IP da nova caixa para garantir que ela tenha as configurações corretas.

    
por 26.08.2009 / 22:22