[Samba-it] Suse Member Windows Domain Problem

maurizio pianfetti boymix81 at gmail.com
Tue Jan 10 23:18:01 MST 2006 

Grazie Simone per l'intervento fatto,

in fondo all'email il problema per cui ho scritto.

> > Kerberos 5 -> pacchetti Suse suse:
> > ftp://rpmfind.net/linux/SuSE-Linux/i386/update/9.3/rpm/i586/
> > 1) krb5-libs-1.2.4-1 ( krb5 )
> > 2) krb5-workstation-1.2.4-1 ( krb5-apps-client , krb5-client )
> > 3) libkrbafs0-1.2.2-4 ( afs-krb5 )
> > 4) krbafs-utils-1.2.2
> > 5) pam_krb5
>
> Suse 10 o Suse 9.3 ??
> Se usi MIT kerberos devi usare almeno la version 1.3.5 (vado a memoria
> controlla sulla documentazione potrei sbagliarmi)

Suse 10.0 avevo sbaliato a copiare il Link , effettivamente l'ultima
versione è la 1.3.6 oppure la 1.4.3

>
> [snip]
>
>
> > il sistema si pianta e devo riavviare la macchina.
>
> In che senso si pianta? Si blocca proprio il kernel?
> In questo caso è un baco di Suse, samba non agisce a livello kernel
> per cui non dovrebbe mai essere in grado di bloccare la macchina (a meno
> di uso eccessivo di risorse con cpu che sparar a mille e ram pure, ma in
> questo caso avresti un rallentamento progressivo sempre più evidente non
> un blocco).
>

Sembra che carichi molto l'hd , io do la colpa alla virtualizzazione,
e per quanto riguarda il kernel non saprei come risalire al problema
visto che non ho nessun log a disposizione.

> > Pensando che la configurazione di Kerberos fosse errata ho anche cercato di
> > creare una credenziale valida col nome della macchina usando ktpass sul
> > server windows e importato il file generato sulla macchina Suse, caricato
> > con ktutil , ma il risultato continua ad essere lo stesso.
>
> è inutile samba utilizza un proprio meccanismo per questa operazione.

ok, quindi la strada giusta è usaare il comando net ?

>
> > Come ultima considerazione le macchine SuseVM , Windows 2003 e la Mandrake
> > sono macchine virtuali su una macchina fisica con sistema operativo Suse
> > 10.0 ma non penso sia questo il problema, mentre le versioni di samba
> > utilizzate sono la 3.0.7 sulla Mandrake e 3.0.20-4-SUSE sulla SuseVM , una
> > versione più recente da più problemi di quelle vecchie ?
>
> 3.0.20 ha dei problemi dovresti usare 3.0.20a o meglio 3.0.21a

ok aggiornerò samba

>
> > Condivido con tutti voi questo problema nella speranza di trovare una
> > soluzione e capire cosa ho sbagliato.
>
> Sarebbe bene individuare la causa del blocco della macchina, samba non
> dovrebbe essere in grado di generarlo, se lo fa dubito ci sia un baco
> del kernel o dell'hardware non correttamente funzionante (RAM ?)

La ram è virtualizzata, una parte dell'hd e visto che dopo l'invio del
comando "net" va a pallino suppongo che sia questo il problema, appena
avrò una macchina fisica a disposizione proverò senza emulazione, nel
frattempo farò qualche prova aggiornando il sistema col software
giusto.

>
> Simo.

Grazie mille!
Allego la mail mandata precedentemente.......

Ciao a tutti vorrei toccare un argomento molto poco discusso in rete,
configurare una macchina Linux per far parte di un dominio Windows /
Active Directory ( Win2003 ) già esistente. Lo scopo è autenticarsi
sulla macchina Linux con le credenziali di un utente appartenente al
dominio windows e poter utilizzare le risorse condivise nel dominio.

Farò una breve illustrazione di configurazione avvenuta con successo
su una Linux Mandrake 10.2 , Vorrei capire insieme a tutti voi cosa
bisogna fare su una Linux Suse 10.0 poichè adottando la stessa
metodologia non sono riuscito a configurarla correttamente.

Il corretto flusso di operazioni dovrebbero essere:
Autenticazione Linux PAM --> NSS ( Name Service Switch ) --> Utilizzo
protocollo di rete SMB per comunicazione ( samba - winbind ) -->
Utilizzo Kerberos per controllo credenziali utente Windows

Software/pacchetti da utilizzare:
Verifica software
Kerberos 5 -> pacchetti Mandrake:
http://ftp.nluug.nl/ftp/pub/os/Linux/distr/Mandrakelinux/official/10.2/i586/media/main/
1) libkrb53-1.3.6-6mdk.i586.rpm
2) krb5-workstation-1.3.6-6mdk.i586.rpm
3) libkrbafs0-1.2.2-4mdk.i586.rpm
4) krbafs-utils-1.2.2-4mdk.i586.rpm

Kerberos 5 -> pacchetti Suse suse:
ftp://rpmfind.net/linux/SuSE-Linux/i386/update/9.3/rpm/i586/
1) krb5-libs-1.2.4-1 ( krb5 )
2) krb5-workstation-1.2.4-1 ( krb5-apps-client , krb5-client )
3) libkrbafs0-1.2.2-4 ( afs-krb5 )
4) krbafs-utils-1.2.2
5) pam_krb5

Samba –> winbind:
1) samba-winbind-version

Configurazioni:
Supponendo che il dominio si chiami MYDOMAIN e che il server per le
autenticazioni sia Amilo-Win2003.MYDOMAIN .....

Samba: /etc/samba/smb.conf
[global]
# general options
workgroup = MYDOMAIN
netbios name = Mandrake
dns proxy = no
# winbindd configuration
# default winbind separator is \, which is good if you
# use mod_ntlm since that is the character it uses.
# users only need to know the one syntax
winbind separator = +
# idmap uid and idmap gid are aliases for
# winbind uid and winbid gid, respectively
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U
template shell = /bin/bash
security = ads
# encrypt passwords = yes is now default in Samba3
encrypt passwords = yes
realm = MYDOMAIN
# this handles the "ads server = " directive as well
password server = Amilo-Win2003.MYDOMAIN
-------------------------------------------------------------------------------

NSS ( Name Service Switch ) /etc/nsswitch.conf

passwd: compat winbind
group: compat winbind
-------------------------------------------------------------------------------

Kerberos /etc/krb5.conf

[logging]
default = FILE:/var/log/kerberos/krb5libs.log
kdc = FILE:/var/log/kerberos/krb5kdc.log
admin_server = FILE:/var/log/kerberos/kadmind.log

[libdefaults]
default_realm = MYDOMAIN

[realms]
MYDOMAIN = {
kdc = Amilo-Win2003.MYDOMAIN
admin_server = Amilo-Win2003.MYDOMAIN
default_domain = MYDOMAIN
}

[domain_realm]
.mydomain = MYDOMAIN
mydomain = MYDOMAIN

[kdc]
profile = /etc/kerberos/krb5kdc/kdc.conf

[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false

[login]
krb4_convert = false
krb4_get_tickets = false
-------------------------------------------------------------------------------

PAM - su mandrake
/etc/pam.d/system-auth

#%PAM-1.0

auth required pam_env.so
auth sufficient pam_winbind.so
auth sufficient pam_unix.so likeauth nullok use_first_pass
auth required pam_deny.so

account sufficient pam_winbind.so
account required pam_unix.so

password required pam_cracklib.so retry=3 minlen=2 dcredit=0 ucredit=0
password sufficient pam_unix.so nullok use_authtok md5 shadow
password required pam_deny.so

session sufficient pam_mkhomedir.so skel=/etc/skel/ umask=0077
session required pam_limits.so
session required pam_unix.so
-------------------------------------------------------------------------------

Passi fatti su Mandrake dopo aver riavviato la macchina:

A) Configurata scheda di rete per poter raggiungere il server PDC

/etc/resolve.conf
domain MYDOMAIN

/etc/hosts
10.0.0.10 Amilo-Win2003.MYDOMAIN, Amilo-Win2003

B) Segnalato al dominio che esistiamo registrando la macchina
net ads join -U Administrator%password

C) Restartarti tutti i demoni di samba

D) verificato l'accesso con i comandi
wbinfo -t , wbinfo -g ,wbinfo -u

E) Caricati gli utenti attuali del PDC
[ getent passwd , getent group ]

F) Creati permessi cartelle home directory
[ mkdir /home/MYDOMAIN
chmod 770 /home/MYDOMAIN
chown root:MYDOMAIN+Domain\ Users /home/MYDOMAIN ]

G) Riavviato e loggato con un utente valido nel formato: "DOMINIO+UTENTE"

--------------------------------------------
Sulla macchina Suse i file di configurazione cambiano per PAM infatti
nella cartella /etc/pam.d esistono 4 file di configurazione e ho
apportato le seguenti modifiche:

File: common-auth
[ auth sufficient pam_unix.so likeauth nullok use_first_pass
auth sufficient pam_winbind.so ]

File: common-account
[ account sufficient pam_winbind.so ]

File: common-session
[ session sufficient pam_mkhomedir.so skel=/etc/skel/ umask=0077 ]

Ho verificato l'esistenza delle seguenti librerie:
/lib/security/pam_winbind.so
/lib/libnss_winbind.so
/lib/security/pam_smbpass.so

Ma al momento del riavvio e dell'esecuzione del comando:

net ads join -U Administrator%password

il sistema si pianta e devo riavviare la macchina.
Nei log mi ritrovo:
Su Suse:
--------- niente -------------

Su Windows:
Tipo evento: Errore
Origine evento: NETLOGON
Categoria evento: Nessuno
ID evento: 5805
Utente: N/D
Computer: AMILO-WIN2003
Descrizione:
Autenticazione dell'installazione della sessione dal computer SUSEVM
non riuscita. Si �verificato il seguente errore:
Accesso negato.

Per ulteriori informazioni, consultare la Guida in linea e supporto
tecnico all'indirizzo http://go.microsoft.com/fwlink/events.asp.
Dati:
0000: 22 00 00 c0 "..�

Pensando che la configurazione di Kerberos fosse errata ho anche
cercato di creare una credenziale valida col nome della macchina
usando ktpass sul server windows e importato il file generato sulla
macchina Suse, caricato con ktutil , ma il risultato continua ad
essere lo stesso.

Come ultima considerazione le macchine SuseVM , Windows 2003 e la
Mandrake sono macchine virtuali su una macchina fisica con sistema
operativo Suse 10.0 ma non penso sia questo il problema, mentre le
versioni di samba utilizzate sono la 3.0.7 sulla Mandrake e
3.0.20-4-SUSE sulla SuseVM , una versione più recente da più problemi
di quelle vecchie ?

Condivido con tutti voi questo problema nella speranza di trovare una
soluzione e capire cosa ho sbagliato.

Grazie a tutti :)

More information about the samba-it mailing list