Здравствуйте,<br><br><div><span class="gmail_quote">On 3/29/07, <b class="gmail_sendername">Яков Попов</b> <<a href="mailto:j.a.popov@mail.ru">j.a.popov@mail.ru</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
| > пальцем в небо:<br>| > 1) попробуйте<br>| > net ads join member -U <a href="mailto:Administrator@CHAOS.RU">Administrator@CHAOS.RU</a><br>| > или вариации из man net<br>| > 2) удивительно просто, но и на старуху бывает проруха:
<br>| > Вы передаёте пароль шифрованным или нет? а виндовоз знает об этом?<br>| ><br>| > кстати. что за система?<br>| ><br>| > | Приветствую братьев по разуму!<br>| > |<br>| > | Сижу вот и мучаюсь с подключением Samb'ы к AD.
<br>| > | возникает следующая ошибка при выполнении команды:<br>| > | net ads join -U <a href="mailto:Administrator@CHAOS.RU">Administrator@CHAOS.RU</a><br>| > | а вот и ошибка:<br>| > | ads_connect: Invalid credentials
<br>| > | ПАМАГИТЕ!<br>|<br>| Система Mandriva 2007 LC Edition<br>| Вот насчет 2 варианта я низнаю... Как ето проверить?<br>|</blockquote><div><br>Я не думаю, что Mandriva существенно сильно отличается по базовому набору пакетов от Fedora или ALT Linux, относительно которых свой опыт подключения к домену я записал вот здесь:
<br><a href="http://prcnit.sgu.ru/aps/dokumenty/podklyuchenie-linux-desktopov-k-domenu">http://prcnit.sgu.ru/aps/dokumenty/podklyuchenie-linux-desktopov-k-domenu</a><br><br>Попробуй, скажи на каком из этапов у тебя возникает проблема.
<br> </div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Ну, это просто:<br>1) Чтобы настроить выни на плэйн-текстовые пароли, в реестре
<br>HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters<br>создать/изменить параметр (типа DWORD) EnablePlainTextPassword=1</blockquote><div><br>Я вот не уверен, что это хорошая идея, особенно если права на контроллер домена ограничены это не сработает.
<br><br></div><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">Потом настраиваете Samba на простые текстовые пароли, и она<br>использует /etc/passwd и /etc/shadow.
</blockquote><div><br>Насколько я поннимаю пароли в AD работают через kerberos. Причём тут локальные пароли? Вся фишка как раз в том, чтобы не хранить пользователей (кроме списков доступа к локальным ресурсам) на хосте, а выбирать его из централизованно администрируемого сервера.
<br> </div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">2) Если пароли шифруем, тогда поднастроить samba:<br>smb passwd file = /etc/samba/smbpasswd (кстати, проверьте и файл, на который
<br>указывает этот параметр)<br>encrypt passwords = yes<br>ssl CA certFile = файл (файл сертификата для работы с SSL. Вот это проверьте<br>потщательней. Обычно ошибки credentials растут оттуда)<br>unix password sync = yes
<br>passwd program = /usr/bin/passwd %u<br>passwd chat = *New*password* %n\n *Retype* %n\n *Updated*passwords*</blockquote><div><br>Набор действий с /etc/passwd-файлами я бы назвал грязными хаками :)<br></div><br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
Проверьте также:<br>username map = файл (сопоставление имен пользователей. Обязательно сопоставьте<br>Administrator и Администратор юзеру root или ещё кому-нибудь)</blockquote><div><br></div></div>А вот это действительно интересный момент, единственное, что при таком подходе не удастся отличить локального рута от глобального. Вообще необходимость мапить пользователей и групп на кого-то локального не есть гуд, ибо не удобно. К тому же, тиражирование такого решения тоже становится не удобным.
<br clear="all"><br>-- <br>Sin (Sinelnikov Evgeny)