Дополнительный Samba сервер в ALT-домене

[Pauli]

Прошу поделиться опытом, как создать в домене Centaurus дополнительный файловый сервер. Из предположения, что имеется работающий контроллер домена Centaurus и подключенные к нему клиенты Centaurus (никаких Windows!). На самом контроллере домена Samba работает нормально, пользователей авторизует по Kerberos. По умолчанию дополнительный сервер ставится с public доступом к ресурсам,  а требуется нормальная авторизация.
Авторизация локальных пользователей включилась легко, через альтератор (#getent passwd выдаёт список доменных пользователей из LDAP), так что с сетью,  разрешением имён и прочим полный порядок.
Скопировал заведомо работающий smb.conf с DC и поправил адрес  ldapsam, чтобы смотрел на DC.

Код: [Выделить]

[global]
realm = CREDO
server string = Samba server on %h (v. %v)
security = user
dedicated keytab file = /etc/krb5.keytab
kerberos method = dedicated keytab
log file = /var/log/samba/log.%m
max log size = 50
printcap name = cups
dns proxy = No
use sendfile = Yes
passdb backend = ldapsam:ldap://dcserver.credo/
ldap admin dn = cn=ldaproot,dc=credo
ldap suffix = dc=credo
ldap group suffix = ou=Group
ldap user suffix = ou=People

[share]
comment = Archive
path = /srv/share
read only = No
Принципала безопасности под новый сервер в Kerberos завёл и ключи на новый сервер экспортировал:

Код: [Выделить]

# ktutil
ktutil:  read_kt /etc/krb5.keytab
ktutil:  list
slot KVNO Principal
---- ---- ---------------------------------------------------------------------
   1    3               cifs/arcserver.credo@CREDO
   2    3               cifs/arcserver.credo@CREDO
   3    3               cifs/arcserver.credo@CREDOНа сейчас проблема такая (из log.smbd):

Код: [Выделить]

[] passdb/secrets.c:806(fetch_ldap_pw)  fetch_ldap_pw: neither ldap secret retrieved!
[] lib/smbldap.c:1107(smbldap_connect_system) ldap_connect_system: Failed to retrieve password from secrets.tdbИ так по кругу. Собственно вариантов два: или где-то существует внятная инструкция которой можно воспользоваться, или её надо писать и помещать на wiki.altlinux.org, тогда прошу помощи ибо закопался.

[Skull]

И так по кругу. Собственно вариантов два: или где-то существует внятная инструкция которой можно воспользоваться, или её надо писать и помещать на wiki.altlinux.org, тогда прошу помощи ибо закопался.

Надо писать. В районе http://altlinux.org/Домен

[Pauli]

От ошибки Failed to retrieve password from secrets.tdb спасает, как выяснилось из http://www.samba.org/samba/docs/man/Samba-Guide/happy.html#sbehap-bldg1

Код: [Выделить]

# smbpasswd -w ldaproot_password
Setting stored password for "cn=ldaproot,dc=credo" in secrets.tdbДалее:

Код: [Выделить]

$ smbclient -k -L //arcserver/
WARNING: no network interfaces found
ads_krb5_mk_req: smb_krb5_get_credentials failed for cifs/arcserver@CREDO (Server not found in Kerberos database)
cli_session_setup_kerberos: spnego_gen_negTokenTarg failed: Server not found in Kerberos database
session setup failed: SUCCESS - 0Неверно задан принципал? На одном из форумов Убунты обнаружился совет: Make sure to include the encryption type. The default encryption type is not compatible with the Samba client utilities.

Код: [Выделить]

kadmin: ktadd -k arcserver.keytab -e rc4-hmac:normal cifs/arcserver.credoИ, конечно, переписать этим файлом /etc/krb5.keytab на сервере arcserver.credo
Теперь:

Код: [Выделить]

$ smbclient -k -L //arcserver.credo/
WARNING: no network interfaces found
Domain=[WORKGROUP] OS=[Unix] Server=[Samba 3.5.10-alt2]

Sharename       Type      Comment
---------       ----      -------
share           Disk      Archive
IPC$            IPC       IPC Service (Samba server on arcserver (v. 3.5.10-alt2))
Domain=[WORKGROUP] OS=[Unix] Server=[Samba 3.5.10-alt2]

Server               Comment
---------            -------

Workgroup            Master
---------            -------