abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 12:44 | IT novinky

Apple představil nové MacBooky Pro s novými vlastními čipy M1 Pro a M1 Max. Nejvýkonnější M1 Max má na sobě 10 CPU jader a 32 GPU jader. Vývojáři Asahi Linuxu si díky podpoře na Patreonu nové MacBooky Pro již objednali.

Ladislav Hagara | Komentářů: 2
dnes 11:44 | IT novinky

Rodina produktů Raspberry Pi se rozrostla o rozšiřující desku Raspberry Pi Build HAT umožňující propojit Raspberry Pi s motory a senzory LEGO Technic z portfolia LEGO Education SPIKE. Současně byl představen 48W napájecí zdroj pro Raspberry Pi Build HAT a knihovna pro Python Build HAT.

Ladislav Hagara | Komentářů: 0
včera 18:33 | Nová verze

VKD3D-Proton byl vydán ve verzi 2.5. Jedná se fork knihovny vkd3d z projektu Wine pro Proton. Knihovna slouží pro překlad volání Direct3D 12 na Vulkan.

Ladislav Hagara | Komentářů: 1
včera 17:11 | Nová verze

Rozšíření GNOME Shellu Dash to Dock bylo po roce vydáno v nové verzi 70. Přidána byla podpora GNOME Shellu 40.

Ladislav Hagara | Komentářů: 0
včera 07:00 | Zajímavý software

L0phtCrack (Wikipedie), nástroj pro auditování a obnovu hesel v Microsoft Windows, je nově open source. Zdrojové kódy nejnovější verze 7.2.0 byly zveřejněny na GitLabu.

Ladislav Hagara | Komentářů: 4
15.10. 21:44 | IT novinky

V dubnu letošního roku byla hodnota Bitcoinu, decentralizované kryptoměny téměř 65 000 dolarů. V červnu hodnota klesla pod 30 000 dolarů. Aktuálně opět překonala 60 000 dolarů.

Ladislav Hagara | Komentářů: 43
15.10. 16:00 | Nová verze

Společnost PINE64 stojící za telefonem PinePhone, notebooky Pinebook a Pinebook Pro, IP kamerou PineCube, hodinkami PineTime, páječkou (pájecím perem) Pinecil, zdroji PinePower nebo RISC-V vývojovou deskou PineCone publikovala na svém blogu říjnový souhrn novinek (YouTube) a představila nový vylepšený PinePhone Pro.

Ladislav Hagara | Komentářů: 26
15.10. 15:44 | Komunita

Ubuntu 22.04 bude Jammy Jellyfish.

Ladislav Hagara | Komentářů: 4
15.10. 14:55 | Zajímavý software

Projekt Sysinternals, tj. technické informace, nástroje pro diagnostiku, monitorování a hledání chyb v Microsoft Windows, včera slavil 25 let. Při této příležitosti byl představen Sysinternals Sysmon pro Linux. Zdrojové kódy jsou k dispozici na GitHubu. Další informace v příspěvku na blogu Microsoft Tech Community.

Ladislav Hagara | Komentářů: 0
15.10. 08:00 | Nová verze

Správce sbírky a přehrávač hudby Strawberry, fork Clementine, duchovního nástupce původního Amaroku z KDE 3.x, dospěl k vydání 1.0.0. Používá Qt 6, doplňuje několik funkcí včetně podpory ALSA PCM zařízení a unikátní identifikace souborů ve sbírce.

Fluttershy, yay! | Komentářů: 0
Kolik monitorů (obrazovek) používáte současně?
 (49%)
 (36%)
 (14%)
 (1%)
Celkem 372 hlasů
 Komentářů: 29, poslední dnes 07:04
Rozcestník



Dotaz: Nastavení Samba AD DC

1.12.2020 17:12 Pepa006
Nastavení Samba AD DC
Přečteno: 400×
Sestavil jsem si Proxmox server. Na jednom VM mám Pfsense, na druhém Debian se sambou jako klientem a file serverem, dále VM s WIN10 a poslední VM obsahuje Debian se ADDC sambou, která je nastavena SAMBA_INTERNAL back end, kde DNS resolver je na VM s PFsense. Všchny VM mají pevou IP. Dále je tam rozhraní LAN pro fyzické PC, které řídí DHCP server z PFsense.

Teď jsem ve stavu, kdy se všechny počítače pingují přes IPv4 adresu. Většina počítačů se zvládne napingovat i pod hostname. U některých to ale vypisuje, že adresa ke jménu nebyla přiřazena. No a do domény se připojí jenom PC s adresou od DHCP serveru. Pokud má pc pevnou adresu, tak to vyhodí chybu o nedostatku oprávnění k přístupu, i když to s DHCP jede hnedka.

Když nejsou schopny komunikovat VM s pevnými IP adresami, nemůžu ani spojit ty dva samba servery, což je problém. Určitě jsem tam něco přehlédl, ale už moc nevím, co bych ta přenastavil dalšího.

No a kdyby měl někdo stručný návod jak nastavit sambu jako DC, prosím o odkaz.

Odpovědi

Max avatar 1.12.2020 18:24 Max | skóre: 69 | blog: Max_Devaine
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC
Aby ti fungovalo resolvování jen pomocí hostname, tak:
1) musíš mít automatickou registraci počítačů v dns
2) ve Win i v Linuxu musíš mít správně vyplněný dns suffix. Ve Windows se dns suffix vyplňuje automaticky v případě joinu do AD, v opačném případě lze nastavit ručně v nastavení síťovky. V linuxu se nastavuje v resolv.conf jako záznam, příklad: "search corp.devaine.cz"

Pokud distribuuješ nastavení sítě přes dhcp, lze přes dhcp posílat i jméno domény (option domain-name "corp.metrans.cz";) a není tím pádem nutné jej ručně vepisovat do resolv.conf apod.

Návodů, jak rozjet AD v rámci samba4 je celkem hodně, spíše napiš, podle kterého to děláš a v čem konkrétně máš problém.
Zdar Max
Měl jsem sen ... :(
3.12.2020 10:37 Pepa006
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC
Díky za tvoji reakci. Pokusím se to trochu shrnout. Za poslední dva jsem se dostal do bodu, kdy se mi do domény hned přihlásí všechny stanice win10. Hlásil sem mi tam i ten druhý linuxový VM se sambou v client modu. Dokonce se mi podařilo připojit se na doménu, ale když jsem zadal příkaz getent passwd, tak to vypsalo uživatele pouze toho VM clienta samby a nikoliv uživatele z DC serveru. Pokud byl vznesen dotaz na konkrétního uživatele, tak to nic ani nic nevypsalo.

Včera se mi navíc to rozpadlo i to propojení obou samba serverů s tím, že se při startu nepodařilo najít Kerberos databází a taky s nějakou cache. Předtím jsem tam podle návodu z wikisamba doinstaloval doporučené balíčky a soft webmin pro dálkovou správu, a to na oba servery. Je tam i nějaký rozhraní pro samba server, tak jsem to asi něčím zpra......

Nějakým zázrakem se mi povedlo nějak to rozchodit zpátky a ten client samba server se už aspoň znovu připojí na DC, ale vypíše to toto: Unknown parameter encountered: "winbind trusted domains only"Ignoring unknown parameter "winbind trusted domains only"Unknown parameter encountered: "winbind trusted domains only"Ignoring unknown parameter "winbind trusted domains only"Enter administrator's password:Using short domain name -- MOJEDOMENAJoined 'DEBIAN' to dns domain 'mojedomena.lan' V níže uvedeném návodu jsem ale četl, že je to normálně, ale stále nemůžu příkazem getent passwd dostat výpis uživatelů na DC.

Co se týče těch návodu, tak jsem hlavně vycházel z tohoto: https://wiki.samba.org/index.php/Setting_up_Samba_as_a_Domain_Member Defacto jsem dodržel předepsaný postup, akorát se mi nepodařilo vytvořit tu reverzní DNS zónu. A pak teda ten výpis klientů z DC, což je zásadní problém. Jako beckend jsem zvolil "RID", ale přemýšlím, jestli tam radší nedat "AD". Ten samba klient bude datový server.

Dnes to ještě zkusím projet podle tohoto návodu: https://wiki.spoje.net/doku.php/howto/samba/samba-memberdc myslím, že je tam někoil odlišností. Hlavně v tom Kerberovi.

Jinak mě napadlo, jestli to nemůže být nějaký DNS problém. Ten resolver v PFSENSE vypisuje nějakou chybu: Dec 3 08:29:39 named 59583 not listening on any interfaces Dec 3 08:29:39 named 59583 unable to listen on any configured interfaces Dec 3 08:29:39 named 59583 additionally listening on IPv4 interface vtnet0, 192.168.100.1#53 Dec 3 08:29:39 named 59583 could not listen on UDP socket: address in use Dec 3 08:29:39 named 59583 creating IPv4 interface vtnet0 failed; interface ignored Dec 3 08:29:39 named 59640 using default UDP/IPv4 port range: [49152, 65535] Dec 3 08:29:39 named 59640 using default UDP/IPv6 port range: [49152, 65535] Dec 3 08:29:39 named 59583 loading configuration: failure Dec 3 08:29:39 named 59583 exiting (due to fatal error)     

Ale jinak to všechno v zásadě jede. Toto je log samba clienta
[2020/12/03 09:53:59.441851,  1] ../source3/winbindd/winbindd_cm.c:1164(cm_prepare_connection)  authenticated session setup to dc10.mojedomena.lan using MOJEDOMENA\DEBIAN$ failed with NT_STATUS_LOGON_FAILURE[2020/12/03 09:53:59.441933,  1] ../source3/winbindd/winbindd_cm.c:1304(cm_prepare_connection)  Failed to prepare SMB connection to dc10.mojedomena.lan: NT_STATUS_LOGON_FAILURE
Takže nevěděl by někdo, jak to dotáhnout do konce?
3.12.2020 12:22 bigBRAMBOR | skóre: 36
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC
cetl jsem puvodni pozadavek, ctu reakci a musim rict ze mas talent napsat mnoho ale nerict nic :-D

jenom bych se ohradil ke dvema tvym prohlasenim

Ignoring unknown parameter - V níže uvedeném návodu jsem ale četl, že je to normálně - ne neni, proste mas tam paramter ktery dana verze nezna, nebo vubec neexistuje, nebo je nejaka chyba v zapisu, napsat k tomu ze je to normalni je blbost, ono to nemusi mit vliv, protoze se parametr nepouzije.

Jinak mě napadlo, jestli to nemůže být nějaký DNS problém. Ten resolver v PFSENSE vypisuje nějakou chybu - named 59583 not listening on any interfaces - tak jestli posloucha dns lze snad zjistit jednoduse a ne se ptat jestli tam neni nejaky dns problem, posloucha tam neco? Vrati to odpoved?

3.12.2020 13:30 Pepa006
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC
Díky za reakci. Jak říkáš, ty problémy popisu jak umím. Nejsu totiž ajťák a naivně jsem si myslel, že to nějak spíchnu sám podle těch návodů. No ta chyba se v tom PFsense od rána neobjevila, ale přiznám se, že nevím jak zjistit, jestli tam něco poslouchá. Koukal jsem to statusu toho resolveru a je tam uvedená pouze spousta IP adres do netu. Jinak ty testy DNS z návodu na wikisamba to zvládlo v pohodě.
3.12.2020 13:48 bigBRAMBOR | skóre: 36
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC
tak dns by mela poslouchat vzdy na portu 53, takze muzes zkusit nejaky port nastroj na zjisteni otevrenych portu, nebo zkus, pises ze tam mas linux nastroj dig, ten se pokusi prelozit ziskat dns zaznamy a kdyz mu das parametr @ip.ad.re.sa tak se je pokusi ziskat prave z dns serveru ten konkretni zadane IP.
3.12.2020 13:50 bigBRAMBOR | skóre: 36
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC
ale taky pises ze mas DNS na sambe, to je pro AD potreba, ale jestli pro klienty pouzivas jako DNS PFsence, musis mu nastavit ze tu to tvoji lokalni domenu ma prekladat pres tu sambu, nebo nastav jako DNS klientum sambu, a pak bude mit ta samba jako resolver ten PFsence - ktery bude mit jako DNS nejake verejne DNS servery (ale to muze mit primo i ta samba)
3.12.2020 15:58 Pepa006
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC
Takže jsem si v tom PFsense našel složku sockets, což by asi mělo být ono. Vidím tam, že port 53 využívá localhost (127.0.0.1) pfsense a samotné IP PFsense. A pak ten port používá i localhost v IPv6 ::1, ale to nevím proč. Celá LAN část sítě by měla jet podle nastavení na IPv4.
3.12.2020 16:52 Pepa006
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC
A abych nezapomněl, tak ta síť je udělaná tak, že samba DC má backend SAMBA_INTERNAL a míří na rosolver na PFsense. V resolveru je pak nastavený domain overdrive s lookup serverem, kde je samba DC. Resolver má nastavený jako interface a outgoing interface localhost a LAN, bez WAN. Dále je v něm zapnutá DHCP registrace pro statický i lease klienty.

V DHCP serveru v PFsense je pak nastavený jako primární DNS server a domain search list DC samba.
3.12.2020 17:14 bigBRAMBOR | skóre: 36
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC
tak ti nic nebrani ty dns jeden i druhej vyzkouset, a dns pripadne vyloucit. Pro beh domeny neni ptoreba aby stanice mely dns zaznamy, stejne to chodi veseljak divne, ale musi byt schopny prelozit DC a mojedomena.lan
3.12.2020 17:38 Pepa006
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC
Já si teda pří své minimální znalosti čehokoliv tady myslím, že v tom DNS chyba nebude, protože ty win10 klienti se normálně do domény připojí a žádný problém s nimi není. Teda je pravda, ze jsem u nic ještě nic nenastavoval...

Teď mám největší problém v tom jako propojit sambaDC a samba klienta. Jak jsem psal, už se mi podařilo se tou samba klient připojit do domény, ale nevidělo to žádný uživatele z DC.

Teď jsem navíc testnul tento návod: https://wiki.spoje.net/doku.php/howto/samba/samba-memberdc a zas se to ani nepřipojí na DC, a to ani vrácení původních konfiguráků. Hlasí to toto:

Unknown parameter encountered: "winbind trusted domains only"Ignoring unknown parameter "winbind trusted domains only"Unknown parameter encountered: "winbind trusted domains only"Ignoring unknown parameter "winbind trusted domains only"kinit succeeded but ads_sasl_spnego_gensec_bind(KRB5) failed for ldap/dc10.mojedomena.lan with user[Administrator] realm[MOJEDOMENA.LAN]: Invalid credentialsADS join did not work, falling back to RPC...kinit succeeded but ads_sasl_spnego_gensec_bind(KRB5) failed for ldap/dc10.mojedomena.lan with user[Administrator] realm[MOJEDOMENA.LAN]: Invalid credentialsFailed to join domain: failed to connect to AD: Invalid credentialsFailed to join domain: failed to connect to AD: Invalid credentials

Na toho Kerbera jsem zkoušel projíždět návody z několika diskusí, ale nikdy jsem se nedostal do fáze, kdy by mi to po připojení k doméně načetlo její uživatele. Jaká ten backend je lepší pro samba klienta využít "ad" nebo "rid" když se budou hlavně sdílet data? Podle toho bych pak zkusil přenastavit ten nsswitch.

Monentálně ho mám nastavená takto:

passwd: files winbind group: files winbind #passwd: files systemd #group: files systemd shadow: files gshadow: files

hosts: files dns networks: files

protocols: db files services: db files ethers: db files rpc: db files

netgroup: nis
3.12.2020 17:59 j
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC
Z toho co neumis naformatovat:

Dec 3 08:29:39 named 59583 not listening on any interfaces 
Dec 3 08:29:39 named 59583 unable to listen on any configured interfaces 
Dec 3 08:29:39 named 59583 additionally listening on IPv4 interface vtnet0, 192.168.100.1#53 
Dec 3 08:29:39 named 59583 could not listen on UDP socket: address in use 
Dec 3 08:29:39 named 59583 creating IPv4 interface vtnet0 failed; interface ignored 
Dec 3 08:29:39 named 59640 using default UDP/IPv4 port range: [49152, 65535] 
Dec 3 08:29:39 named 59640 using default UDP/IPv6 port range: [49152, 65535] 
Dec 3 08:29:39 named 59583 loading configuration: failure 
Dec 3 08:29:39 named 59583 exiting (due to fatal error) 
Je zjevny, ze ti ten bind vubec nenastartuje. A je tam i jasne napsany, ze na tom portu uz neco je.

A to co tam je zjistis pomoci nestat nebo ss, ne cumenim do nejaky slozky.

ss -tunlp |grep ":53"

---

Dete s tim guuglem dopice!
3.12.2020 18:26 Pepa006
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC
Podle mě ten Bind ani nemá jet, když je spuštění resolver, aspoň takto hlasí ten PFsense. V jeho službách je named vidět jako vypnutý a jede jenom ten rosolver. Ten příkaz jsem zkoušel a ten PFsense to nezná. Jak se to dá naistalovat?
3.12.2020 21:04 bigBRAMBOR | skóre: 36
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC
Neznam pfsence, ale rozdil v tom jestli jenom resolvuje predpokladam ze akorat ma bind nastavenou jinak zonu.

Muzes na vypis otevrenych portu pouzit nestat, yen by tam asi mel byt.

Ale je fakt ze to dns vubec byt nemusi.
3.12.2020 21:41 Pepa006
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC
Běží tam Unbound jako resolver. Bind9 jsem tam musel z balíčku doinstalovat. Navíc ten Pfsense si hlídá to, aby v případě, že jede Ubound byl Bind vypnutej. Ale jak říkám, ta doména nějak jede a win klienti se tam hlasí.
4.12.2020 14:55 Pepa006
Rozbalit Rozbalit vše Re: Nastavení Samba AD DC
Příloha:
V tom PFsesnse evidentně nejsou nainstalované ty diagnostické aplikace. Aspoň přidám výpis portu z toho webovýho rozhraní PFsense.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.