Bug 36749 - Присоединение samba клиента к Windows AD
Summary: Присоединение samba клиента к Windows AD
Status: NEW
Alias: None
Product: Branch p8
Classification: Distributions
Component: samba-client (show other bugs)
Version: не указана
Hardware: all Linux
: P3 normal
Assignee: Andrey Cherepanov
QA Contact: qa-p8@altlinux.org
URL:
Keywords:
Depends on:
Blocks:
 
Reported: 2019-05-15 15:40 MSK by Dmitry
Modified: 2019-11-07 05:50 MSK (History)
2 users (show)

See Also:


Attachments
system-auth -d write ad DOMAIN.LOС hostname DOMAIN Administrator password &>log (949.85 KB, application/octet-stream)
2019-05-16 10:34 MSK, Dmitry
no flags Details
Исправляет ошибки подключения к AD (654 bytes, patch)
2019-05-23 21:31 MSK, Dmitry
no flags Details | Diff

Note You need to log in before you can comment on or make changes to this bug.
Description Dmitry 2019-05-15 15:40:34 MSK
чистая OS p8 WorkSlation 

#  rpm -qa samba-client samba sssd
sssd-1.15.3-alt5.M80P.1.1
samba-4.6.12-alt1.M80P.1
samba-client-4.6.12-alt1.M80P.1

при работе руководствовался https://www.altlinux.org/SSSD/AD + личный опыт и навыки =) 

введение в домен через ЦУС (acc) выдает ошибку: 
Failed to join domain: failed to find DC for domain

IP адрес, DNS севера, маршруты, имя домена и стори поиска в доменах раздаются в сети через DHCP.

грабли которые заметил это в /etc/resolv.conf попадает не вся информация из DHCP строки search и nameserver попадают, а вот строка domain нет

для присоединения WS к AD были предприняты следующие меры:
*) /etc/sysconfig/network в разделе HOSTNAME указал полное имя раб.станции hostname.domain.loc
*) /etc/krb5.conf 
[libdefaults]
        default_realm = DOMAIN.LOC
        dns_lookup_realm = false
        dns_lookup_kdc = true

[realms]
        FSS.LOCAL = {
                kdc = S00dc01
                kdc = S00dc02
                kdc = S00dc03
                kdc = S00dc04
                kdc = S00dc05
                kdc = S00dc06
                kdc = S64dc01
                admin_server = S64DC01
        }

*) /etc/samba/smb.conf
[global]
	realm = DOMAIN.LOC
	workgroup = DOMAIN
	unix extensions = No
	kerberos method = system keytab
	security = ADS
	template shell = /bin/bash
	idmap config * : range = 3000-7999
	idmap config * : backend = tdb

*) в /etc/hosts указал соответствие имени и ip одного из DC

после этого net ads join прошло успешно.

sssd тоже запустился не сразу необходимо сделать chmod 600 /etc/sssd/sssd.conf после того как поправил конфиг в соответствии с https://www.altlinux.org/SSSD/AD

после проделанных операций все вроде заработало


еще некоторые замеченные непонятности: после обновления samba-client до версии 4.7.12-alt2 перестаёт работать ping по полному имени только по короткому при чем host и nslookup работают корректно как по полному так и по сокращенному имени
Comment 1 Andrey Cherepanov 2019-05-15 18:10:55 MSK
Лучше не делать подпорки вручную, а проверить 
227361 EPERM #6 p8 alterator-auth.git=0.40-alt0.M80P.1:

apt-repo test 227361 alterator-auth

Затем ввести в домен с помощью alterator-auth -d write ad.... &>log

Можно почистить log от пароля администратора и прикрепить его к баге.
Comment 2 Dmitry 2019-05-16 08:33:53 MSK
# apt-repo test 227361 alterator-auth
Получено: 1 http://git.altlinux.org repo/227361/x86_64 release [532B]
Получено: 2 http://ftp.altlinux.org p8/branch/x86_64 release [880B]
Получено: 3 http://ftp.altlinux.org p8/branch/x86_64-i586 release [537B]
Получено: 4 http://ftp.altlinux.org p8/branch/noarch release [673B]
Получено 2622B за 0s (23,2kB/s).                 
Найдено http://ftp.altlinux.org p8/branch/x86_64/classic pkglist
Найдено http://git.altlinux.org repo/227361/x86_64/task pkglist
Найдено http://ftp.altlinux.org p8/branch/x86_64/classic release
Найдено http://ftp.altlinux.org p8/branch/x86_64-i586/classic pkglist
Найдено http://ftp.altlinux.org p8/branch/x86_64-i586/classic release
Найдено http://ftp.altlinux.org p8/branch/noarch/classic pkglist
Найдено http://ftp.altlinux.org p8/branch/noarch/classic release
Найдено http://git.altlinux.org repo/227361/x86_64/task release
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено
Последняя версия alterator-auth уже установлена.
0 будет обновлено, 0 новых установлено, 0 пакетов будет удалено и 392 не будет обновлено.

# alterator-auth
bash: alterator-auth: команда не найдена

# find / |grep alterator-auth
/usr/share/locale/ru/LC_MESSAGES/alterator-auth.mo
/usr/share/locale/kk/LC_MESSAGES/alterator-auth.mo
/usr/share/locale/tt_RU/LC_MESSAGES/alterator-auth.mo
/usr/share/locale/uk/LC_MESSAGES/alterator-auth.mo
/usr/share/locale/pt_BR/LC_MESSAGES/alterator-auth.mo
/usr/share/locale/de/LC_MESSAGES/alterator-auth.mo
/usr/share/locale/es/LC_MESSAGES/alterator-auth.mo
/var/cache/apt/archives/alterator-auth_0.40-alt0.M80P.1_noarch_1556678996.rpm

насколько я понял alterator-auth это модуль не способный запускаться из shell
Comment 3 Dmitry 2019-05-16 10:34:16 MSK
Created attachment 8132 [details]
system-auth -d write ad DOMAIN.LOС hostname DOMAIN Administrator password &>log

не знаю поможет-ли но вот файл после команды 
# system-auth -d write ad DOMAIN.LOС hostname DOMAIN Administrator password &>log
Comment 4 Dmitry 2019-05-23 21:31:30 MSK
Created attachment 8135 [details]
Исправляет ошибки подключения к AD