在寻找login到Active Directory的samba机器的原因很慢的原因时,我有一个很强烈的印象,即我的日志文件中的以下错误可能是一个提示。 Apr 3 14:44:14 eu2 winbindd[19632]: [2014/04/03 14:44:14.166820, 0] ../source3/libads/sasl.c:994(ads_sasl_spnego_bind) Apr 3 14:44:14 eu2 winbindd[19632]: kinit succeeded but ads_sasl_spnego_krb5_bind failed: Cannot contact any KDC for requested realm 每个连接有大约5到20个条目,我想了解问题的出处。 经过几天寻找最接近我可以来是另一个SF问题 ,这表明可能的DNS问题。 事实: 1 / kinit工作,我得到一张票 root@eu2:~# klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: [email protected] Valid starting Expires Service principal 04/03/2014 13:55:24 04/03/2014 23:55:24 krbtgt/[email protected] renew until […]
我试图通过Active Directory集中用户login信息。 目前我有AD运行在Server 2008 R2上。 我的UNIX上安装了Identity Management。 我也有一些主要使用CentOS 5.X和Fedora 14的Linux客户端。我已经在CentOs机器上设置了Samba,并将这些机器join了AD域。 AD中的用户可以使用AD凭证login到Linux客户端。 我的问题是Linux用户可能loginWindows机器。 我也是新来设置集成以及桑巴。 Samba中有没有设置允许Linux机器上的用户login到Windows? 我会很感激任何帮助/提示/build议。 非常感谢你。
我build立了一个ubuntu服务器,它正在对我们的W2k8域的活动目录进行validation。 一切顺利,我看到所有的用户在getent passwd和wbinfo。 我希望能够在机器上使用Kerberos和winbindauthentication,所以一切正常。 但是,当我用AD用户login服务器时,我只是看到motd,而不是得到一个promt,我再次登出。 auth.log Feb 28 15:34:48 server sshd[12635]: Postponed keyboard-interactive for micha from 10.10.10.121 port 36519 ssh2 [preauth] Feb 28 15:34:50 server sshd[12637]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=ub64-it.city.domain.org user=micha Feb 28 15:34:50 server sshd[12637]: pam_krb5(sshd:auth): pam_sm_authenticate: entry (nonull) Feb 28 15:34:50 server sshd[12637]: pam_krb5(sshd:auth): (user micha) attempting authentication […]
我有一台运行FreeRADIUS 3的FreeBSD 10.0服务器,事情没有任何明显的原因。 我使用Samba4的Winbind来validationntlm_auth 。 我已经做了一些debugging来解决问题,但是我无法find问题所在。 ntlm_auth正在工作: ntlm_auth –username=ferrao –request-nt-key Password: NT_STATUS_OK: Success (0x0) 但是,在进行EAP-PEAPauthentication时,RADIUS失败,并且在debugging模式下运行FreeRADIUS,这是错误消息: (9) mschap : Executing: /usr/local/bin/ntlm_auth –request-nt-key –username=%{%{Stripped-User-Name}:-%{%{User-Name}:-None}} –challenge=%{%{mschap:Challenge}:-00} –nt-response=%{%{mschap:NT-Response}:-00} (9) mschap : EXPAND –username=%{%{Stripped-User-Name}:-%{%{User-Name}:-None}} (9) mschap : –> –username=ferrao (9) mschap : Creating challenge hash with username: ferrao (9) mschap : EXPAND –challenge=%{%{mschap:Challenge}:-00} (9) mschap : –> –challenge=082e8ba7b848aaae (9) mschap […]
我试图join到Active Directory的Ubuntu 12.04服务器。 我安装了samba ,并且kb5-user在AD中创build了一个机器帐户,并且做了: > net ads testjoin Join is OK 到现在为止还挺好。 然后我遇到一个问题: > sudo net join -U myuser Failed to join domain: failed to set machine spn: Constraint violation 我无权修改Active Directory服务器上的任何内容,因为我不是pipe理员。 有没有办法解决这个错误?
我有一个通过Winbind成功join域的Redhat ES 6服务器(即,我可以使用域凭据login到Redhat服务器,没有问题)。 我现在想要做的是configurationWinbind自动添加用户到本地组,基于他们的域组。 因此,例如,说我在域名上的用户名是“DOMAIN \ coledot”,我是域名组“Arbitrary Group”的成员。 在Redhat机器上的/ etc / group文件中,我定义了本地组“testgrp”: testgrp:x:10506: 如果我对Samba / Winbind组映射文档的理解是正确的,我应该能够使用net groupmap命令将本地组“testgrp”映射到域组“Arbitrary Group”: net groupmap add ntgroup="Arbitrary Group" unixgroup=testgrp type=d 运行net groupmap list确认映射创build: root@host # net groupmap list […] Arbitrary Group (Sxx-xx-xxxxxxxxxx-xxxxxxxxx-xxxxxxxxx-xxxx) -> testgrp 但是,当我运行groups命令时,即使我的用户显示为“任意组”组的一部分,“testgrp”也无处可寻。 我的问题是双重的: 1)我对net groupmap理解是否正确? 2)我怎样才能完成我的原始任务(通过域组映射域用户到本地组)?
我有6个Ubuntu 14.04服务器join到活动目录(2003域function级2008r2架构)当networking接口configuration为使用DHCP时,所有的服务器工作正常。 但是这些服务器在上线时所在的networking没有任何DHCP服务器,所以他们必须使用静态IPconfiguration。 我正在使用以下PAMconfiguration进行身份validation: auth sufficient pam_winbind.so auth sufficient pam_unix.so nullok_secure use_first_pass auth required pam_deny.so 的/etc/krb5.conf [realms] MYDOMAIN.COM = { } [domain_realm] .mydomain.com = MYDOMAIN.COM mydomain.com = MYDOMAIN.COM 和我的/etc/samba/smb.conf [global] security = ads realm = MYDOMAIN.COM workgroup = MYDOMAIN winbind separator = + idmap uid = 10000-20000 idmap gid = 10000-20000 winbind enum users = […]
试图让我的Fedora Linux机器允许Active Directorylogin,但我不能让这个过去。 我试图调和一些教程,似乎给一些东西,如设置+或/为winbind分隔符相互矛盾的build议。 http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/winbind.html http://blog.scottlowe.org/2007/01/15/linux-ad-integration-version-4/ 我完成了一半的工作,我从来没有得到我的活动目录(win2k3)用户在getent passwd后出现。
将Linux主机连接到Windows AD已有大量的文档logging。但是,我很难find有关如何join已经成为域成员的Linux克隆的指南或最佳实践。 自然,由于相同的SID,事情开始中断。我不能使用'net ads unjoin',因为这会从域中删除原始SID …
我有一个非常奇怪的问题,其中wbinfo -g命令正确地指出了我所感兴趣的AD域组,并显示了该组中的特定用户 – 这总是如此,所以在Linux方面似乎具有适当的信息。 然而,“groups”命令最初将显示用户是所讨论群组的一部分,但在login该用户之后的一段时间 – 群组的成员身份在“groups”命令中消失(但保留在wbinfo中 – G)。 我说不稳定,因为我没有信心,但它是某种程度上超时与某些事情的结果。 到目前为止,我已经追到了三件事情,我想也许已经造成了这个问题,但是当我试图重复时,我看不到这个问题 – 所以我留下了一些超时理论。 但这是一个不合逻辑的怪圈:wbinfo –gid-info vs wbinfo -r奇怪的是,前者会在列表中显示用户,但后者不会显示组ID。 它像wbinfo有分裂的个性。 我这次复制了这个场景,同时将所有的samba日志和syslog(ubuntu)redirect到一个文件中。 真的没有看到任何错误,除了下面的时间,我似乎失去了组:“Printcapcaching时间到期”,“重新加载printcapcaching”,“重新加载状态:错误”全部相继。 如果printcap没有正确的configuration,有可能它可能与我混淆? validation组成员身份之后的步骤是可以的,但不是以下情况: 1)退出服务器上的一堆terminal窗口,2)从服务器GUI注销用户3)在服务器上login“user5”。 以前的尝试有这个序列工作正常,后来随着时间的推移只是“失去”小组。 不要以为这是用户的login。 要么日志没有帮助,或者不知何故printcap指出错误。 Samba日志没有任何错误条件可以解释这种情况。 任何人有任何经验看到这样的事情? 是否有不同的组types/范围(域本地,全球,通用)的规则? nsswitch.conf文件是否以某种方式在caching的AD信息和文件系统实际使用的信息之间进行翻译? 任何帮助,将不胜感激。