Автор Тема: Centaurus домен и Linux станция  (Прочитано 9515 раз)

Оффлайн maxiva

  • Участник
  • *
  • Сообщений: 174
Centaurus домен и Linux станция
« : 25.11.2013 12:53:52 »
Добрый день, есть проблема.
Искал по форуму и документации, найти не получилось.

Установлен домен на Centaurus 7.0.1. Виндовые машины подключаются влет, все нормально. Теперь нужно все тоже самое для Centaurus 6.0 Kdesktop. Установка по сети согласно Документации. После установки Centaurus 6.0 Kdesktop через Альтератор указал домен. Перезагрузка. Вижу всех пользователей с сервера, могу войти любым доменным пользователем.

Проблема вот в чем. Домашний каталог с сервера не монтируется. Шара (общая папка) на сервере спрашивает пароль. В LDAP'е сервера принципиала с именем хоста не появилось.
Эту документацию читал внимательно, там все хорошо, тикеты получаются, список виден.

Вопрос: очень хочется найти инструкцию вида "Ввод машины с Linux в домен AltLinux". Цель: для конечного пользователя не должно быть разницы, на какой машине он вошел в домен, с виндов или Linux. Шара и его родная домашняя папка с Centaurus сервера должны подключаться автоматом. Пользователей может быть много.
« Последнее редактирование: 25.11.2013 14:08:05 от maxiva »

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 20 164
    • Домашняя страница
Re: Centaurus домен и Linux стенция
« Ответ #1 : 25.11.2013 13:11:20 »
Проблема вот в чем. Домашний каталог с сервера не монтируется. Шара (общая папка) на сервере спрашивает пароль. В LDAP'е сервера принципиала с именем хоста не появилось.
Эту документацию читал внимательно, там все хорошо, тикеты получаются, список виден.
См. п. 5.2 в http://www.altlinux.org/Domain/Kerberos
Цитировать
Использование старых версий Kerberos с новыми
В новых версиях Kerberos слабые алгоритмы (например, des-cbc-crc:afs3) по умолчанию запрещены к использованию. А на старых системах (клиентах или серверах на Пятой или Шестой платформе) они используются. Чтобы включить их поддержку, на новой системе пропишите в раздел [ libdefaults ] файла /etc/krb5.conf строку
allow_weak_crypto = trueБез этого с тикетами Kerberos будут проблемы.

Цитировать
Вопрос: очень хочется найти инструкцию вида "Ввод машины с Linux в домен AltLinux". Цель: для конечного пользователя не должно быть разницы, на какой машине он вошел в домен, с виндов или Linux. Шара и его родная домашняя папка с Centaurus сервера должны подключаться автоматом. Пользователей может быть много.
Инструкция для Windows есть: http://www.altlinux.org/Domain/Windows
Вот для Linux ещё не написали, но там достаточно выбрать домен. Хотя надо будет озаботиться...
Андрей Черепанов (cas@)

Оффлайн maxiva

  • Участник
  • *
  • Сообщений: 174
Re: Centaurus домен и Linux стенция
« Ответ #2 : 25.11.2013 13:28:33 »
Нет, не помогло.
После ввода пароля на шару появляется и домашний каталог. Вроде бы все ничего, но пароль спрашивает аккуратно.
При этом в логах сервера:
Nov 25 13:18:46 server-cr krb5kdc[6298]: AS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.1.102: NEEDED_PREAUTH: maxim@MONT-SPB.RU for krbtgt/MONT-SPB.RU@MONT-SPB.RU, Additional pre-authentication required
Nov 25 13:18:46 server-cr krb5kdc[6298]: AS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.1.102: ISSUE: authtime 1385371126, etypes {rep=18 tkt=18 ses=18}, maxim@MONT-SPB.RU for krbtgt/MONT-SPB.RU@MONT-SPB.RU
Nov 25 13:18:46 server-cr krb5kdc[6298]: TGS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.1.102: ISSUE: authtime 1385371126, etypes {rep=18 tkt=18 ses=18}, maxim@MONT-SPB.RU for cifs/server-cr.mont-spb.ru@MONT-SPB.RU
Nov 25 13:18:46 server-cr krb5kdc[6298]: TGS_REQ (3 etypes {23 3 1}) 192.168.1.102: BAD_ENCRYPTION_TYPE: authtime 0,  maxim@MONT-SPB.RU for cifs/server-cr.mont-spb.ru@MONT-SPB.RU, KDC has no support for encryption type
Nov 25 13:18:46 server-cr krb5kdc[6298]: TGS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.1.102: ISSUE: authtime 1385371126, etypes {rep=18 tkt=18 ses=18}, maxim@MONT-SPB.RU for host/server-cr.mont-spb.ru@MONT-SPB.RU
Nov 25 13:18:46 server-cr krb5kdc[6298]: TGS_REQ (3 etypes {23 3 1}) 192.168.1.102: BAD_ENCRYPTION_TYPE: authtime 0,  maxim@MONT-SPB.RU for host/server-cr.mont-spb.ru@MONT-SPB.RU, KDC has no support for encryption type
Nov 25 13:19:33 server-cr krb5kdc[6298]: TGS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.1.102: LOOKING_UP_SERVER: authtime 0,  maxim@MONT-SPB.RU for <unknown server>, Server not found in Kerberos database
Nov 25 13:19:33 server-cr krb5kdc[6298]: TGS_REQ (3 etypes {23 3 1}) 192.168.1.102: LOOKING_UP_SERVER: authtime 0,  maxim@MONT-SPB.RU for <unknown server>, Server not found in Kerberos database
Nov 25 13:19:35 server-cr krb5kdc[6298]: TGS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.1.102: LOOKING_UP_SERVER: authtime 0,  maxim@MONT-SPB.RU for <unknown server>, Server not found in Kerberos database
Nov 25 13:19:35 server-cr krb5kdc[6298]: TGS_REQ (3 etypes {23 3 1}) 192.168.1.102: LOOKING_UP_SERVER: authtime 0,  maxim@MONT-SPB.RU for <unknown server>, Server not found in Kerberos database
Nov 25 13:19:36 server-cr krb5kdc[6298]: TGS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.1.102: LOOKING_UP_SERVER: authtime 0,  maxim@MONT-SPB.RU for <unknown server>, Server not found in Kerberos database
Nov 25 13:19:36 server-cr krb5kdc[6298]: TGS_REQ (3 etypes {23 3 1}) 192.168.1.102: LOOKING_UP_SERVER: authtime 0,  maxim@MONT-SPB.RU for <unknown server>, Server not found in Kerberos database
Nov 25 13:20:01 server-cr crond[14625]: (root) CMD (/usr/lib/sa/sa1 -S DISK 1 1)
Nov 25 13:22:26 server-cr krb5kdc[6298]: AS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.1.102: NEEDED_PREAUTH: maxim@MONT-SPB.RU for krbtgt/MONT-SPB.RU@MONT-SPB.RU, Additional pre-authentication required
Nov 25 13:22:26 server-cr krb5kdc[6298]: AS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.1.102: ISSUE: authtime 1385371346, etypes {rep=18 tkt=18 ses=18}, maxim@MONT-SPB.RU for krbtgt/MONT-SPB.RU@MONT-SPB.RU
Nov 25 13:22:26 server-cr krb5kdc[6298]: TGS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.1.102: LOOKING_UP_SERVER: authtime 0,  maxim@MONT-SPB.RU for <unknown server>, Server not found in Kerberos database
Nov 25 13:22:26 server-cr krb5kdc[6298]: TGS_REQ (3 etypes {23 3 1}) 192.168.1.102: LOOKING_UP_SERVER: authtime 0,  maxim@MONT-SPB.RU for <unknown server>, Server not found in Kerberos database
Nov 25 13:22:32 server-cr krb5kdc[6298]: AS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.1.102: NEEDED_PREAUTH: maxim@MONT-SPB.RU for krbtgt/MONT-SPB.RU@MONT-SPB.RU, Additional pre-authentication required
Nov 25 13:22:32 server-cr krb5kdc[6298]: AS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.1.102: ISSUE: authtime 1385371352, etypes {rep=18 tkt=18 ses=18}, maxim@MONT-SPB.RU for krbtgt/MONT-SPB.RU@MONT-SPB.RU
Nov 25 13:22:32 server-cr krb5kdc[6298]: TGS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.1.102: LOOKING_UP_SERVER: authtime 0,  maxim@MONT-SPB.RU for <unknown server>, Server not found in Kerberos database
Nov 25 13:22:32 server-cr krb5kdc[6298]: TGS_REQ (3 etypes {23 3 1}) 192.168.1.102: LOOKING_UP_SERVER: authtime 0,  maxim@MONT-SPB.RU for <unknown server>, Server not found in Kerberos database
Nov 25 13:22:34 server-cr krb5kdc[6298]: AS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.1.102: NEEDED_PREAUTH: maxim@MONT-SPB.RU for krbtgt/MONT-SPB.RU@MONT-SPB.RU, Additional pre-authentication required
Nov 25 13:22:34 server-cr krb5kdc[6298]: AS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.1.102: ISSUE: authtime 1385371354, etypes {rep=18 tkt=18 ses=18}, maxim@MONT-SPB.RU for krbtgt/MONT-SPB.RU@MONT-SPB.RU
Nov 25 13:22:34 server-cr krb5kdc[6298]: TGS_REQ (7 etypes {18 17 16 23 1 3 2}) 192.168.1.102: LOOKING_UP_SERVER: authtime 0,  maxim@MONT-SPB.RU for <unknown server>, Server not found in Kerberos database
Nov 25 13:22:34 server-cr krb5kdc[6298]: TGS_REQ (3 etypes {23 3 1}) 192.168.1.102: LOOKING_UP_SERVER: authtime 0,  maxim@MONT-SPB.RU for <unknown server>, Server not found in Kerberos database


Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 20 164
    • Домашняя страница
Re: Centaurus домен и Linux стенция
« Ответ #3 : 25.11.2013 13:36:59 »
Какой домен используется и какие тикеты получены?
Покажите на клиентской станции вывод:
/usr/sbin/system-auth status
klist
Андрей Черепанов (cas@)

Оффлайн maxiva

  • Участник
  • *
  • Сообщений: 174
Re: Centaurus домен и Linux стенция
« Ответ #4 : 25.11.2013 13:43:14 »
# /usr/sbin/system-auth status
krb5 dc=mont-spb,dc=ru ldaps://ldap.mont-spb.ru

# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: maxim@MONT-SPB.RU

Valid starting     Expires            Service principal
11/25/13 12:10:48  11/26/13 12:10:41  krbtgt/MONT-SPB.RU@MONT-SPB.RU

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 20 164
    • Домашняя страница
Re: Centaurus домен и Linux стенция
« Ответ #5 : 25.11.2013 18:30:52 »
Теперь на сервере:
kadmin.local -q listprincs | egrep 'cifs|maxim'
Андрей Черепанов (cas@)

Оффлайн maxiva

  • Участник
  • *
  • Сообщений: 174
Re: Centaurus домен и Linux станция
« Ответ #6 : 26.11.2013 10:21:41 »
# kadmin.local -q listprincs | egrep 'cifs|maxim'
cifs/server-cr.mont-spb.ru@MONT-SPB.RU
maxim@MONT-SPB.RU

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 20 164
    • Домашняя страница
Re: Centaurus домен и Linux станция
« Ответ #7 : 26.11.2013 11:55:30 »
В модуле Система → Сетевые каталоги выставлены галочки?
journalctl | grep cifs | head -n20
Андрей Черепанов (cas@)

Оффлайн maxiva

  • Участник
  • *
  • Сообщений: 174
Re: Centaurus домен и Linux станция
« Ответ #8 : 26.11.2013 12:13:16 »
В модуле Система → Сетевые каталоги выставлены галочки?
Если идет речь про Альтератор, то у меня нет такой строчки про "Сетевые каталоги"

journalctl | grep cifs | head -n20

Что такое "cifs"? В модулях ядра нашел упоминание про это, но не знаю, что это такое.
Да, и systemd у меня нет тоже. Стоит нормальный sysvinit.

Если про LDAP, то вот:
« Последнее редактирование: 26.11.2013 12:35:56 от maxiva »

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 361
  • Учиться .... Телепатами не рождаются, ими ....
Re: Centaurus домен и Linux станция
« Ответ #9 : 26.11.2013 13:20:02 »
Что такое "cifs"?

Файловая система, пришедшая на смену smbbfs

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 361
  • Учиться .... Телепатами не рождаются, ими ....
Re: Centaurus домен и Linux станция
« Ответ #10 : 26.11.2013 13:22:05 »
Если идет речь про Альтератор, то у меня нет такой строчки про "Сетевые каталоги"
На сервере нет?

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 361
  • Учиться .... Телепатами не рождаются, ими ....
Re: Centaurus домен и Linux станция
« Ответ #11 : 26.11.2013 13:22:59 »
Да, и systemd у меня нет тоже
Тогда смотрите /var/log/messages

Оффлайн maxiva

  • Участник
  • *
  • Сообщений: 174
Re: Centaurus домен и Linux станция
« Ответ #12 : 26.11.2013 13:23:45 »
Если идет речь про Альтератор, то у меня нет такой строчки про "Сетевые каталоги"
На сервере нет?
Так я же картинку привел. На ней видно. мне кажется...

Оффлайн maxiva

  • Участник
  • *
  • Сообщений: 174
Re: Centaurus домен и Linux станция
« Ответ #13 : 26.11.2013 13:25:25 »
Да, и systemd у меня нет тоже
Тогда смотрите /var/log/messages

Про что смотреть? Выше я привел те строчки из /var/log/messages, которые появляются при попытке обращения к шаре и домашнему каталогу.

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 361
  • Учиться .... Телепатами не рождаются, ими ....
Re: Centaurus домен и Linux станция
« Ответ #14 : 26.11.2013 13:29:05 »
Про что смотреть?
cat /var/log/messages  |    grep cifs | head -n20