Ввод в домен
- Автор темы SpiderEvgen
- Дата начала
to SpiderEvgen
Поглядел стандарт, криминального в "начальной цифре", imho, не заметил. Да, есть общая рекомендация <let+dig>, а не наоборот, но это только рекомендация...
А на Win2k8R2 или выше пробовали? Модуль экстрасенсорики подсказывает, что проблема может крыться не в интерпретации DNS-имени, а в подсистеме реализации kerberos-взаимодействия, которая в Astra Linux (да и в Debian 9+) уже не имеет обратной совместимости с Win2k3 по умолчанию?
Поглядел стандарт, криминального в "начальной цифре", imho, не заметил. Да, есть общая рекомендация <let+dig>, а не наоборот, но это только рекомендация...
А на Win2k8R2 или выше пробовали? Модуль экстрасенсорики подсказывает, что проблема может крыться не в интерпретации DNS-имени, а в подсистеме реализации kerberos-взаимодействия, которая в Astra Linux (да и в Debian 9+) уже не имеет обратной совместимости с Win2k3 по умолчанию?
- Сообщения
- 2
С win2008 не пробовали.
Ошибка связана с тем , что в обязательный параметр workgroup (samba.conf) прописывается автоматом первая часть домена (например, если домен 0000.astra.ru , то выставляется workgroup=0000) . Но естественно такой группы нет.
Возможно что-то с кеберос (но тикет подхватывается) , куда копать ?
to SpiderEvgen
Группа 0000 у вас должна быть - это сокращенное название вашего домена в AD Windows (последний поддомен, если точнее). По-идее при авторизации пользователя под Win вы должны вводить нечто вроде "0000\Администратор", например. Samba его только дублирует в своем конфиге "workgroup = 0000" и дополнительно прописывает полное имя "realm = 0000.astra.ru"...
Ради интереса проверил, поддерживает ли Samba "цифровое" наименование workgroup в принципе (вдруг это недокументированная бага?). Результат - поддерживает...
Кстати, да, проверка тикета kerberos происходит независимо от настроек Samba (Linux с Kerberos можно в домен Windows вводить вообще без Samba). Но доступ к Samba-ресурсам, если соответствующим образом настроить krb5.conf и smb.conf, будет идти уже через Kerberos, а не через NTLM. Первично предполагал, что у вас в этом проблема...
Конфиги resolv.conf, krb5.conf и smb.conf покажите - так нагляднее будет...
Группа 0000 у вас должна быть - это сокращенное название вашего домена в AD Windows (последний поддомен, если точнее). По-идее при авторизации пользователя под Win вы должны вводить нечто вроде "0000\Администратор", например. Samba его только дублирует в своем конфиге "workgroup = 0000" и дополнительно прописывает полное имя "realm = 0000.astra.ru"...
Ради интереса проверил, поддерживает ли Samba "цифровое" наименование workgroup в принципе (вдруг это недокументированная бага?). Результат - поддерживает...
Кстати, да, проверка тикета kerberos происходит независимо от настроек Samba (Linux с Kerberos можно в домен Windows вводить вообще без Samba). Но доступ к Samba-ресурсам, если соответствующим образом настроить krb5.conf и smb.conf, будет идти уже через Kerberos, а не через NTLM. Первично предполагал, что у вас в этом проблема...
Конфиги resolv.conf, krb5.conf и smb.conf покажите - так нагляднее будет...