Автор Тема: И снова про доменную авторизацию [решено] (Прочитано 2559 раз)

shandl · « : 19.08.2010 10:54:39 »

Есть Школьный Сервер. Добавлены пользователи. Аутентификация доменная. Службы DNS, DHCP, FTP работают
Установлены в сети несколько станций Школьный Мастер 5.0.1 Установка прризводилась по сети, с сервера установки, при установке станций была выбрана аутентификация в домене.
После установки станций появились проблемы... Не проходила аутентификация доменных пользователей, окно ввода логина и пароля жутко тормозило. Вход под локальным пользователем проходил без проблем. В окне слева, где список пользователей, отображались только локальные пользователи.
В логах выводилось следующее:
"Aug 19 13:58:23 comp-25-2 dbus-daemon: nss_ldap: failed to bind to LDAP server ldap://ldap.lschool-1.local: Can't contact LDAP server
Aug 19 13:58:23 comp-25-2 dbus-daemon: nss_ldap: could not search LDAP server - Server is unavailable "

пинг ldap проходил без проблем, а вот пинг на ldap.lschool-1.local не шел. После ввода в hosts строки "192.168.0.200 ldap.lschool-1.local ldap" пинг заработал и после перезагрузки в окне пользователей появились доменные пользователи. Однако при выборе любого пользователя окно ввода так же страшно тормозило и зайти в систему так же не удавалось.
Теперь в логах отсутствовали строчки про ошибку подключения к ldap.
Немного порывшись, обнаружил в var/log/syslog/alert :
Aug 19 13:59:26 comp-25-2 kdm: :0[16627]: pam_tcb(kde4:auth): Credentials for user prb unknown
Aug 19 14:02:26 comp-25-2 kdm: :0[16644]: pam_tcb(kde4:auth): Credentials for user fedulkina unknown

Comp-25-2 -имя рабочей станции, prb и fedulkina - доменные пользователи

Куда копать?

mad_max · « **Ответ #1 :** 19.08.2010 11:37:15 »

Возможно большая разница во времени между клиентом и сервером. Синхронизируйте время.

shandl · « **Ответ #2 :** 19.08.2010 11:47:53 »

Цитата: mad_max от 19.08.2010 11:37:15

Возможно большая разница во времени между клиентом и сервером. Синхронизируйте время.

Прошу прощения за некомпетентность... Недавно на Linux стал переходить. Как синхронизировать время с сервером?

И еще вдогонку:

Доменного пользователя видно:
[root@comp-25-2 ~]# id prb
uid=5003(prb) gid=5003(prb) groups=5003(prb),81(audio),22(cdrom),80(cdwriter),71(floppy),19(proc),83(radio),111(_gnupg),14(uucp),112(crontab)

Но например пароль у него поменять - никак...
[root@comp-25-2 ~]# passwd prb
passwd: updating all authentication tokens for user prb.
passwd: Authentication information cannot be recovered.

mad_max · « **Ответ #3 :** 19.08.2010 12:33:29 »

Посмтрите эту тему:
http://forum.altlinux.org/index.php/topic,8076.0.html

Ключевая фраза: Теперь настроим синхронизацию времени с нашим контроллером домена.

shandl · « **Ответ #4 :** 19.08.2010 13:53:42 »

Спасибо, попробую. Хотя время на сервере и на станции отличается всего в несколько секунд.
Но ведь указанная статья - это по вводу линуксовской машины в win-домен. Так у меня получалось раньше, когда к win-2008 server подключал, однако сейчас в качестве сервера - Alt-Linux Школьный Сервер 5.0, в качестве станций Alt-Linux Школьный Мастер 5.0.1, все устанавливалось точно по инструкциям, причем там же, в документации сказано, что все сразу заработает, то есть правильно настроить сервер через Веб-интерфейс, а при установке станций указать аутентификацию в созданном домене... про синхронизацию ничего не написано, например, и про то, что вручную конфигурационные файлы править - тоже ничего. Однако - не работает. Что не и где не так? Ведь пользователи на этом форуме ужеделали, но все, что я нашел, так это проблемы с ldap, которые и уменя вначале были... То есть когда клинет до сервера ldap достучаться не смог. Но сейчас пользователей видно, а авторизация не проходит. Где-то что-то еще подправить надо. вот что и где? вот вопрос...

mad_max · « **Ответ #5 :** 19.08.2010 14:24:51 »

Извините, но я вашу связку не использовал, поэтому более сказать не могу.

shandl · « **Ответ #6 :** 20.08.2010 09:10:43 »

Попытался сегодня, не меняя ничего на сервере, снова переустановить на клиенте Школьного Мастера. Аутентификация - доменная, домен виден на этом этапе. После установки снова те же грабли - видны только локальные пользователи. Сменил в nsswitch.conf строку "hosts: files nisplus nis mdns4_minimal [NOTFOUND=return] dns mdns4 fallback" на "hosts: files nisplus nis dns mdns4 fallback" и после перезагрузки доменные пользователи появились в окне авторизации. И вход в систему стал возможен. Но появились жуткие тормоза как в этом окне (когда доменного пользователя выбираешь, когда пароль вводишь и когда ВВОД нажимаешь), так и при дальнейшей загрузки системы. Примерно 10 минут стало уходить на полный вход в систему. В логах клиента ошибок на это раз нет. На Сервере из подозрительных только строчка ругани кербероса, что он домен lschool-1.local не нашел в базе данных.
Скорее всего, проблема в настройках ldap клиента. вот вопрос - где? куда копать далее?

shandl · « **Ответ #7 :** 27.08.2010 15:57:23 »

Проблема решена. См. ветку http://forum.altlinux.org/index.php/topic,8093.0.html.

Форум сообщества
Альт Линукс