Bug 5856 - Аутентификация в Windows-домене не работает
: Аутентификация в Windows-домене не работает
Status: CONFIRMED
Product: Desktop Bugs
Classification: ROSA Desktop
Component: -Enter Bugs Here-
: Fresh
: i586 Linux
: Normal normal
: ---
Assigned To: Desktop Triage Team
: Desktop Triage Team
:
Depends on:
Blocks:
  Show dependency treegraph
 
Reported: 2015-06-30 15:00 MSD by ans
Modified: 2015-07-20 13:31 MSD (History)
7 users (show)

See Also:
RPM Package:
ISO-related:
Bad POT generating:
Upstream:


Attachments
kdm ошибка (2.34 MB, image/png)
2015-07-01 10:18 MSD, ans
Details
install drakx (14.56 KB, application/octet-stream)
2015-07-01 13:27 MSD, ans
Details
samba (15.98 KB, application/octet-stream)
2015-07-01 13:28 MSD, ans
Details
kde (455 bytes, application/octet-stream)
2015-07-01 15:56 MSD, ans
Details
kscreen (86 bytes, application/octet-stream)
2015-07-01 15:57 MSD, ans
Details
swinbind (641 bytes, text/plain)
2015-07-01 15:58 MSD, ans
Details
winbind (1.11 KB, text/plain)
2015-07-01 15:59 MSD, ans
Details
Установка drakx (26.30 KB, application/octet-stream)
2015-07-02 08:19 MSD, ans
Details
Установка Samba (12.32 KB, application/octet-stream)
2015-07-02 08:20 MSD, ans
Details

Note You need to log in before you can comment on or make changes to this bug.
Description ans 2015-06-30 15:00:17 MSD
Продолжение бага http://bugs.rosalinux.ru/show_bug.cgi?id=5835
Не удаётся провести Аутентификацию в win-домене.
После перезагрузки, после ввода пароля(KDM)выдаёт ошибку:
"Произошла критическая ошибка. Посмотреть журналы работы KDM или обратитесь к сис.администратору."
Дальше система не реагирует на ввод пароля.
Comment 1 Vladimir Potapov 2015-06-30 15:08:31 MSD
А можно получить hw-probe после этого момента? Например, через виртуальную консоль ctrl+alt+f2?
Comment 2 ans 2015-06-30 15:17:46 MSD
(In reply to comment #1)
> А можно получить hw-probe после этого момента? Например, через виртуальную
> консоль ctrl+alt+f2?

hw-rosalinux.ru/index.php?probe=abdca7e12f
Comment 4 Vladimir Potapov 2015-06-30 15:26:10 MSD
а если сменить тему KDM с темы Росы на что-то другое?
Comment 5 FirstLevel 2015-06-30 15:27:12 MSD
(In reply to comment #4)
> а если сменить тему KDM с темы Росы на что-то другое?
У меня была такая проблема с KDM, когда я установил только обновления для drakx утилит. Но когда поставил и самбу и драки новые - проблемы не стало
Comment 6 Denis Silakov 2015-06-30 15:28:02 MSD
Не думаю, что тема при делах.

Вот такая интересная строчка есть в логах:

kdm[3843]: :0[3843]: PAM _pam_load_conf_file: unable to open /etc/pam.d/system-auth-winbind-winbind-winbind

возможно, что-то действительно недообновилось?
Comment 7 Vladimir Potapov 2015-06-30 15:37:18 MSD
http://bugs.rosalinux.ru/show_bug.cgi?id=5836 был обновлен? (см версию)
Comment 8 ans 2015-06-30 16:01:31 MSD
(In reply to comment #7)
> http://bugs.rosalinux.ru/show_bug.cgi?id=5836 был обновлен? (см версию)

Частично, при установке пишет:
Хотя часть пакетов могла быть установлена, но....

чего-то не хватает

Сегодня рабочий день в Екатеринбурге закончился, продолжу завтра
Comment 9 ans 2015-07-01 07:32:48 MSD
Домен на базе Windows 2003, если это важно
Comment 10 ans 2015-07-01 10:14:36 MSD
Сегодня попробовал установить заново с образа 11918 для i586
Результат такой:
Аутентификация в домене отвечает: "Не удаётся подключиться к домену..."
Перезагружается нормально, KDM работает.

При установке этих пакетов https://abf.rosalinux.ru/build_lists/2513964
результат такой:
Аутентификация в домене отвечает: "Не удаётся подключиться к домену..."
но при перезагрузке KDM уже выдаёт ошибку: "Произошла критическая ошибка. Посмотреть журналы работы KDM или обратитесь к сис.администратору."
Дальше система на ввод пароля не реагирует, можно войти в консоль, перезагрузится и выключить.
Comment 11 ans 2015-07-01 10:18:42 MSD
Created attachment 4157 [details]
kdm ошибка
Comment 12 Vladimir Potapov 2015-07-01 12:02:34 MSD
(In reply to comment #11)
> Created attachment 4157 [details]
> kdm ошибка

http://bugs.rosalinux.ru/show_bug.cgi?id=5836 обновляли?
Comment 13 ans 2015-07-01 13:27:01 MSD
Created attachment 4158 [details]
install drakx

Процесс установки drakx
Comment 14 ans 2015-07-01 13:28:15 MSD
Created attachment 4159 [details]
samba

Процесс установки samba
Comment 15 ans 2015-07-01 13:35:42 MSD
Ещё раз установил на свежеустановленную Росу:
drakx
samba

(логи установки в прикреплённых файлах)
После установки перезагрузки нормальнq вход через KDM,
только после попытки подключения к домену перестаёт работать вход KDM
Comment 16 Vladimir Potapov 2015-07-01 15:02:57 MSD
(In reply to comment #15)
> Ещё раз установил на свежеустановленную Росу:
> drakx
> samba
> 
> (логи установки в прикреплённых файлах)
> После установки перезагрузки нормальнq вход через KDM,
> только после попытки подключения к домену перестаёт работать вход KDM

Можно еще раз hw-probe, в чистом варианте?
Comment 17 ans 2015-07-01 15:06:58 MSD
> Можно еще раз hw-probe, в чистом варианте?
т.е. на новой установке Росы?
Comment 18 Vladimir Potapov 2015-07-01 15:09:50 MSD
Ну, у вас же только что ошибка была. Вот после нее.
Ну и, что у вас говорит
rpm -qa|grep drakxtools
Comment 19 ans 2015-07-01 15:23:14 MSD
(In reply to comment #17)
> > Можно еще раз hw-probe, в чистом варианте?
> т.е. на новой установке Росы?
http://hw.rosalinux.ru/index.php?probe=091eef655c
Comment 20 ans 2015-07-01 15:23:46 MSD
(In reply to comment #18)
> Ну, у вас же только что ошибка была. Вот после нее.
> Ну и, что у вас говорит
> rpm -qa|grep drakxtools

drakxtools-curses-14.63-1-rosa2014.1.i586
drakxtools-backend-14.63-1-rosa2014.1.i586
drakxtools-14.63-1-rosa2014.1.i586
drakxtools-http-14.63-1-rosa2014.1.i586
drakxtools-debuginfo-14.63-1-rosa2014.1.i586
Comment 21 Andrey Bondrov 2015-07-01 15:35:06 MSD
А можно приложить вот эти файлы с той системы, где KDM не работает? 

/etc/pam.d/kde
/etc/pam.d/kscreensaver

И вывод grep:

grep system-auth-winbind /etc/pam.d/*
grep winbind /etc/pam.d/*
Comment 22 ans 2015-07-01 15:56:29 MSD
Created attachment 4161 [details]
kde

kde
Comment 23 ans 2015-07-01 15:57:42 MSD
Created attachment 4162 [details]
kscreen

kscreen
Comment 24 ans 2015-07-01 15:58:43 MSD
Created attachment 4163 [details]
swinbind

swinbind
Comment 25 ans 2015-07-01 15:59:19 MSD
Created attachment 4164 [details]
winbind

winbind
Comment 26 ans 2015-07-01 16:02:10 MSD
Сегодня рабочий день в Екатеринбурге закончился, до завтра
Comment 27 Konstantin Vlasov 2015-07-01 16:59:33 MSD
Кажется, источник проблемы определился: в драках неправильно вносятся правки в pam-файлы. Буду исправлять, спасибо за репорт.
Comment 28 Konstantin Vlasov 2015-07-01 17:43:10 MSD
Исправленные пакеты:
https://abf.rosalinux.ru/build_lists/2515757
https://abf.rosalinux.ru/build_lists/2515758

К сожалению, конфигурационные файлы PAM уже испорчены, их придётся отредактировать вручную, удалив лишние суффиксы "-winbind" (должно остаться только "system-auth-winbind"). Затронуты два файла:
/etc/pam.d/kde
/etc/pam.d/kscreensaver
Comment 29 ans 2015-07-02 08:17:58 MSD
(In reply to comment #28)
> Исправленные пакеты:
> https://abf.rosalinux.ru/build_lists/2515757
> https://abf.rosalinux.ru/build_lists/2515758
> 
> К сожалению, конфигурационные файлы PAM уже испорчены, их придётся
> отредактировать вручную, удалив лишние суффиксы "-winbind" (должно остаться
> только "system-auth-winbind"). Затронуты два файла:
> /etc/pam.d/kde
> /etc/pam.d/kscreensaver

Установил drakx из https://abf.rosalinux.ru/build_lists/2515757
При установке получил это сообщение:
"Некоторые запрошенные пакеты не могут быть установлены:
drakx-finish-install-14.64-1-rosa2014.1.i586 (из-за неудовлетворённости drakxtools[== 14.64-1:2014.1])
harddrake-ui-14.64-1-rosa2014.1.i586 (из-за неудовлетворённости drakxtools[== 14.64-1:2014.1])"
Пытался победить, но не смог. Оставил как есть.
Поправил /etc/pam.d/kde и /etc/pam.d/kscreensaver
Перезагрузился.
Вход через KDM заработал, но перестала запускаться Аутентификация.

Сделал чистую установку росы с образа 11930 для i586.
Установил drakx из https://abf.rosalinux.ru/build_lists/2515757
И тоже получил:
"Некоторые запрошенные пакеты не могут быть установлены:
drakx-finish-install-14.64-1-rosa2014.1.i586 (из-за неудовлетворённости drakxtools[== 14.64-1:2014.1])
harddrake-ui-14.64-1-rosa2014.1.i586 (из-за неудовлетворённости drakxtools[== 14.64-1:2014.1])"
Установил Samba из https://abf.rosalinux.ru/build_lists/2513964
Перезагрузился.
Не запускается Аутентификация.
И как оказалоссь все сторонние программы в "Параметрах системы":
Менеджер источников, Установка обновлений и т.д.
Логи установки прилагаю.
Comment 30 ans 2015-07-02 08:19:37 MSD
Created attachment 4166 [details]
Установка drakx
Comment 31 ans 2015-07-02 08:20:44 MSD
Created attachment 4167 [details]
Установка Samba
Comment 32 Vladimir Potapov 2015-07-02 10:57:58 MSD
> Сделал чистую установку росы с образа 11930 для i586.
Лучше б, конечно, 11918, он прошел автотесты.
http://mirror.rosalab.ru/rosa/rosa2014.1/iso/autotested/ROSA.FRESH.KDE/i586/build11918_2015-06-30_21-12-08/ROSA.FRESH.KDE.R5.11918.b.i586.iso

> Установил drakx из https://abf.rosalinux.ru/build_lists/2515757
> И тоже получил:
> "Некоторые запрошенные пакеты не могут быть установлены:
> drakx-finish-install-14.64-1-rosa2014.1.i586 (из-за неудовлетворённости
> drakxtools[== 14.64-1:2014.1])
> harddrake-ui-14.64-1-rosa2014.1.i586 (из-за неудовлетворённости
> drakxtools[== 14.64-1:2014.1])"
Ох. А как вы устанавливаете? Правильно подключить контейнер как источник с обновлениями и обновиться, там ведь не один пакет в контейнере, все связано.
Comment 33 Vladimir Potapov 2015-07-02 11:03:43 MSD
# urpmi.addmedia drakxtool http://abf-downloads.rosalinux.ru/rosa2014.1/container/2515757/i586/main/release/ --update
# urpmi auto-update
Comment 34 ans 2015-07-02 12:41:24 MSD
(In reply to comment #33)
> # urpmi.addmedia drakxtool
> http://abf-downloads.rosalinux.ru/rosa2014.1/container/2515757/i586/main/
> release/ --update
> # urpmi auto-update

Я в прошлые разы так и пытался подключить источники.
Система ответила:
"Не удаётся добавить источник. Ошибки:

...извлечение не удалось: сбой wget: завершён с 8
для источника «s» не найдены метаданные"

Пришлось скачать и запускать через urpmi *rpm
Samba и drakx в прошлый раз так и запустились без проблем, у Вас логи есть.
Хоть бы предупреждали когда как.

Сейчас Аутентификация открылась, но так и не может подключить к домену.
Comment 35 Vladimir Potapov 2015-07-02 13:02:14 MSD
Мы проверяем контейнеры только подключением как источник с обновлением и никогда не было иначе. Если не находит метаданные, значит была указана не та ссылка.
urpmi --auto-update прошло? Потому что новая самба-то нужна тоже (в прошлый раз вы ее из контейнеров ставили, но теперь она уже в репозиториях и должна была придти с обновлениями)
Comment 36 ans 2015-07-02 13:15:13 MSD
(In reply to comment #35)
> Мы проверяем контейнеры только подключением как источник с обновлением и
> никогда не было иначе. Если не находит метаданные, значит была указана не та
> ссылка.
> urpmi --auto-update прошло? Потому что новая самба-то нужна тоже (в прошлый
> раз вы ее из контейнеров ставили, но теперь она уже в репозиториях и должна
> была придти с обновлениями)

Вот эта ссылка https://abf.rosalinux.ru/build_lists/2513964
при подключении выдаёт
"Не удаётся добавить источник. Ошибки:

...извлечение не удалось: сбой wget: завершён с 8
для источника «s» не найдены метаданные"
Comment 37 ans 2015-07-02 13:21:46 MSD
Ну, т.е. самбу обновлять сейчас не надо.

А как быть с подключением к домену?
Comment 38 Vladimir Potapov 2015-07-02 13:35:47 MSD
(In reply to comment #37)
> Ну, т.е. самбу обновлять сейчас не надо.
> 
> А как быть с подключением к домену?

(In reply to comment #36)
> (In reply to comment #35)
> > Мы проверяем контейнеры только подключением как источник с обновлением и
> > никогда не было иначе. Если не находит метаданные, значит была указана не та
> > ссылка.
> > urpmi --auto-update прошло? Потому что новая самба-то нужна тоже (в прошлый
> > раз вы ее из контейнеров ставили, но теперь она уже в репозиториях и должна
> > была придти с обновлениями)
> 
> Вот эта ссылка https://abf.rosalinux.ru/build_lists/2513964
> при подключении выдаёт
> "Не удаётся добавить источник. Ошибки:
> 
> ...извлечение не удалось: сбой wget: завершён с 8
> для источника «s» не найдены метаданные"

А вы щелкните по той ссылке, что сработала, потом по той, что не сработала. Оцените разницу (та, что не работает - указывает на "обвязку" контейнера, само хранилище файлов  - внутри)
Насчет самбы - отдельно, из контейнера ее обновлять не нужно - но в образе ее еще нету, потому обновиться из репозиториев необходимо.
просто #urpmi --auto-update
потом дайте сюда версию самбы для надежности
rpm -qa |grep samba
Comment 39 ans 2015-07-02 13:55:14 MSD
(In reply to comment #38)
> А вы щелкните по той ссылке, что сработала, потом по той, что не сработала.
> Оцените разницу (та, что не работает - указывает на "обвязку" контейнера,
> само хранилище файлов  - внутри)
Ага, сейчас дошло. Семён Семёныч!!!...
> Насчет самбы - отдельно, из контейнера ее обновлять не нужно - но в образе
> ее еще нету, потому обновиться из репозиториев необходимо.
> просто #urpmi --auto-update
> потом дайте сюда версию самбы для надежности
> rpm -qa |grep samba

libsamba-server0-4.1.17-11-rosa2014.1.i586
libsamba-util0-4.1.17-11-rosa2014.1.i586
libsamba-credentials0-4.1.17-11-rosa2014.1.i586
libsamba-hostconfig0-4.1.17-11-rosa2014.1.i586
libsamba-policy0-4.1.17-11-rosa2014.1.i586
samba-python-4.1.17-11-rosa2014.1.i586
samba-common-4.1.17-11-rosa2014.1.i586
samba-winbind-4.1.17-11-rosa2014.1.i586
samba-client-4.1.17-11-rosa2014.1.i586
samba-server-4.1.17-11-rosa2014.1.i586
Comment 40 Andrey Bondrov 2015-07-02 14:20:57 MSD
(In reply to comment #36)
> Вот эта ссылка https://abf.rosalinux.ru/build_lists/2513964
> при подключении выдаёт
> "Не удаётся добавить источник. Ошибки:
> ...извлечение не удалось: сбой wget: завершён с 8
> для источника «s» не найдены метаданные"

Надо не билд-лист добавлять, а контейнер из него:

http://abf-downloads.rosalinux.ru/rosa2014.1/container/2513964/i586/main/release/
Comment 41 ans 2015-07-02 14:24:09 MSD
(In reply to comment #40)
> (In reply to comment #36)
> > Вот эта ссылка https://abf.rosalinux.ru/build_lists/2513964
> > при подключении выдаёт
> > "Не удаётся добавить источник. Ошибки:
> > ...извлечение не удалось: сбой wget: завершён с 8
> > для источника «s» не найдены метаданные"
> 
> Надо не билд-лист добавлять, а контейнер из него:
> 
> http://abf-downloads.rosalinux.ru/rosa2014.1/container/2513964/i586/main/
> release/

Да, понял я уже. Дошло в comment #38
Comment 42 Vladimir Potapov 2015-07-02 14:41:51 MSD
А теперь, после всех обновлений перегрузиться и еще раз попробовать в домен зайти.
Comment 43 ans 2015-07-02 14:55:34 MSD
(In reply to comment #42)
> А теперь, после всех обновлений перегрузиться и еще раз попробовать в домен
> зайти.

Я это уже пробовал несколько раз после Comment 37 ans 2015-07-02 13:21:46 MSD
Comment 44 ans 2015-07-02 14:58:17 MSD
Результат один: "Не удаётся подключиться к домену..."
Comment 45 Vladimir Potapov 2015-07-02 15:50:06 MSD
(In reply to comment #44)
> Результат один: "Не удаётся подключиться к домену..."
hw-probe после этого?
Comment 46 ans 2015-07-02 16:00:20 MSD
(In reply to comment #45)
> (In reply to comment #44)
> > Результат один: "Не удаётся подключиться к домену..."
> hw-probe после этого?

http://hw.rosalinux.ru/index.php?probe=513719d7f2
Comment 47 ans 2015-07-02 16:00:58 MSD
Конец рабочего дня, до завтра
Comment 48 ans 2015-07-03 12:38:07 MSD
Сегодня новостей нет?
Comment 49 Konstantin Vlasov 2015-07-03 15:11:04 MSD
Судя по логу, KDM ругается на то, что в домене такого пользователя просто нет:
NTSTATUS: NT_STATUS_NO_SUCH_USER
Вы уверены, что вводите правильные данные для логина?
Comment 50 ans 2015-07-03 16:07:12 MSD
(In reply to comment #49)
> Судя по логу, KDM ругается на то, что в домене такого пользователя просто
> нет:
> NTSTATUS: NT_STATUS_NO_SUCH_USER
> Вы уверены, что вводите правильные данные для логина?

Уверен на 200%. Windows подключается без проблем.
Comment 51 ans 2015-07-03 16:14:05 MSD
Даже Марафон подключался. А когда пошёл фреш всё поломалось.
Comment 52 Alexey Ivanov 2015-07-06 18:08:51 MSD
(In reply to comment #50)
> (In reply to comment #49)
> > Судя по логу, KDM ругается на то, что в домене такого пользователя просто
> > нет:
> > NTSTATUS: NT_STATUS_NO_SUCH_USER
> > Вы уверены, что вводите правильные данные для логина?
> 
> Уверен на 200%. Windows подключается без проблем.

В логах есть одна тонкость, которая может сбить с толку.

Если хост успешно подключен к домену, а пользователь ошибается при вводе логина и пытается войти в несуществующий аккаунт, то pam_winbind (без явно включенной отладки) не оставляет в журнале сообщений об ошибке.
Нет, так нет: может так задумано, может пользователь хочет войти в учётку другого модуля в цепочке pam (в локального например, через pam_unix):

июл 06 18:02:25 fresh01 login[6754]: pam_winbind(login:auth): getting password (0x00000388)
июл 06 18:02:25 fresh01 login[6754]: pam_winbind(login:auth): pam_get_item returned a password
июл 06 18:02:27 fresh01 login[6754]: FAILED LOGIN 1 FROM tty3 FOR (unknown), Пользователь не известен базовому модулю проверки подлинности

Если добавить debug в настройки модуля pam_winbind, то тогда добавится, помимо прочего, вот такая резолюция:
июл 06 18:41:38 fresh01 login[10959]: pam_winbind(login:auth): [pamh: 0x73c440] LEAVE: pam_sm_authenticate returning 10 (PAM_USER_UNKNOWN)


Другой вариант. Если машина в домене, а пользователь ввёл неправильный пароль, тогда логируются строки такого вида (отладка выключена, обратите внимание на явное "Logon failure"):

июл 06 18:02:31 fresh01 login[6754]: pam_winbind(login:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_AUTH_ERR (7), NTSTATUS: NT_STATUS_LOGON_FAILURE, Error message was: Logon failure
июл 06 18:02:31 fresh01 login[6754]: pam_winbind(login:auth): user 'user' denied access (incorrect password or invalid membership)


В данном же случае в логе две строки:

июл 02 15:50:52 NODE kdm[4197]: :0[4197]: pam_winbind(kde:auth): request wbcLogonUser failed: WBC_ERR_AUTH_ERROR, PAM error: PAM_USER_UNKNOWN (10), NTSTATUS: NT_STATUS_NO_SUCH_USER, Error message was: No such user
июл 02 15:50:52 NODE kdm[4197]: :0[4197]: pam_winbind(kde:account): valid_user: wbcGetpwnam gave WBC_ERR_DOMAIN_NOT_FOUND

Объяснение происходящего скорее во второй строке: WBC_ERR_DOMAIN_NOT_FOUND.
Видимо, winbind не может получить данные из домена, и именно поэтому PAM_USER_UNKNOWN - источник сведений недоступен.

ans, попробуйте, пожалуйста, проверить отобразят ли пользователей домена вот эти команды:

wbinfo -u
getent passwd

Если нет, то нужно проверить конфиги /etc/krb5 и /etc/samba/smb.conf.

Для чистого эксперимента ввёл в домен Windows Server 2003 R2 свежий экземпляр Rosa Fresh R5 без дополнительных контейнеров, просто обновлённый непосредственно перед вводом в домен.
На моей тестовой площадке фреш в домен вошёл и работает как ожидается.
Работающие конфиги с него привожу ниже, чтобы было с чем сравнить.


krb5.conf

[libdefaults]
 dns_lookup_realm = false
 dns_lookup_kdc = false
 default_realm = W2K3.FQDN.CO

[realms]
 W2K3.FQDN.CO = {
  kdc = w2k3.fqdn.local:88
  admin_server = w2k3.fqdn.local:749
  default_domain = w2k3.fqdn.local
 }

[domain_realm]
 .w2k3.fqdn.local = W2K3.FQDN.CO
 w2k3.fqdn.local = W2K3.FQDN.CO

[kdc]
 profile = /etc/kerberos/krb5kdc/kdc.conf

[pam]
 debug = false
 ticket_lifetime = 36000
 renew_lifetime = 36000
 forwardable = true
 krb4_convert = false

[login]
 krb4_convert = false
 krb4_get_tickets = false


smb.conf

[global]
        passdb backend = tdbsam
        winbind nss info = rfc2307
        kerberos method = secrets only
        workgroup = W2K3R2
        realm  = w2k3.fqdn.local
        netbios name = fresh01
        security = ads
        encrypt passwords = Yes
        password server = *
        log file = /var/log/samba/log.%m
        max log size = 50
        socket options = TCP_NODELAY
        os level = 0
        local master = No
        dns proxy = No
        winbind uid = 10000-20000
        winbind gid = 10000-20000
        winbind separator = +
        template homedir = /home/%D/%U
        template shell = /bin/bash
        winbind enum groups = Yes
        winbind enum users = Yes
        winbind refresh tickets = true
        winbind offline logon = true
        winbind cache time = 1440
        winbind use default domain = Yes

Особенный интерес представляет секция [domain_realm] в krb5.conf
Пару раз раз видел как оттуда "теряется" часть содержимого, но не смог воспроизвести и понять из-за чего.
Comment 53 ans 2015-07-07 06:24:57 MSD
r5-desktop ~ # wbinfo -u
Error looking up domain users
r5-desktop ~ # getent passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/bin/sh
daemon:x:2:2:daemon:/sbin:/bin/sh
adm:x:3:4:adm:/var/adm:/bin/sh
lp:x:4:7:lp:/var/spool/lpd:/bin/sh
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/bin/sh
news:x:9:13:news:/var/spool/news:/bin/sh
uucp:x:10:14:uucp:/var/spool/uucp:/bin/sh
operator:x:11:0:operator:/var:/bin/sh
games:x:12:100:games:/usr/games:/bin/sh
messagebus:x:28:28:nscd:/:/sbin/nologin
nobody:x:65534:65534:Nobody:/:/bin/sh
vcsa:x:69:499:virtual console memory owner:/dev:/sbin/nologin
polkitd:x:499:497:system user for polkit:/usr/lib/polkit-1:/sbin/nologin
pulse:x:498:496:PulseAudio System Daemon:/var/run/pulse:/sbin/nologin
rtkit:x:497:494:system user for rtkit:/proc:/sbin/nologin
abrt:x:496:493:system user for abrt:/etc/abrt:/bin/nologin
mysql:x:495:491:system user for mariadb:/srv/mysql:/sbin/nologin
ntp:x:494:490:system user for ntp:/etc/ntp:/bin/false
openvpn:x:493:489:system user for openvpn:/var/lib/openvpn:/bin/true
nscd:x:492:488:system user for glibc:/:/sbin/nologin
saned:x:491:487:system user for saned:/home/saned:/bin/false
rpc:x:490:486:system user for rpcbind:/var/lib/rpcbind:/sbin/nologin
rpcuser:x:489:485:system user for nfs-utils:/var/lib/nfs:/bin/false
davfs2:x:488:483:system user for davfs2:/run/mount.davfs2:/bin/false
avahi:x:487:420:system user for avahi:/var/avahi:/bin/false
avahi-autoipd:x:486:419:system user for avahi:/var/avahi:/bin/false
postfix:x:485:418:system user for postfix:/var/spool/postfix:/bin/false
usbmux:x:484:416:system user for usbmuxd:/proc:/sbin/nologin
ups:x:483:415:system user for nut:/var/state/ups:/bin/false
sshd:x:482:482:system user for openssh:/var/empty:/bin/true
sa0701:x:500:500:sa:/home/sa0701:/bin/bash
Comment 54 ans 2015-07-07 07:33:50 MSD
krb5 вообще не установлен в системе.
Установил. Но проблемы не решило.

Я ещё в начале спрашивал инструкцию по подключению к домену - сказали только запуск Аутентификации.
Так дайте понятную инструкцию, как делать, что должно быть установлено, порядок действий, настройки и т.д.

smb.conf

[global]
map to guest=bad user
guest account=nobody
usershare owner only=false
usershare allow guests=yes
usershare max shares=100
usershare path=/var/lib/samba/usershare
# Syslog facility is disabled by default as samba throws too many debugging
# messages. See /var/log/samba for samba messages or remove this line if you
# so desire.
syslog=0

# workgroup = NT-Domain-Name or Workgroup-Name
workgroup=RUS-EKB-SUL

krb5.conf

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 dns_lookup_realm = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true
# default_realm = EXAMPLE.COM

[realms]
# EXAMPLE.COM = {
#  kdc = kerberos.example.com
#  admin_server = kerberos.example.com
# }

[domain_realm]
# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM
Comment 55 Alexey Ivanov 2015-07-07 12:15:07 MSD
По поводу инструкции вполне резонное замечание, займусь этим вопросом.
А пока давайте попробуем собрать мини-howto здесь.

Вот процедура, которой придерживался я:

1. Взял установочный образ Rosa Fresh R5, в моём случае это сборка 
ROSA.FRESH.KDE.R5.11802.b.x86_64.iso, то., что было в наличии из прошедшего автотесты.
2. Установил. Когда инсталятор предложил установить Samba, согласился.
3. Убедился, что система получила ip адрес и прочие параметры от контроллера домена через DHCP.
4. Убедился, что доступ в интернет есть, записи DNS резолвятся (в том числе и относящиеся к домену, к которому мы хотим присоединиться).
5. Обновил все пакеты в системе при помощи urpmi --auto-update (можно обновить при помощи графического инструмента, результат будет идентичный).

Вот тут интересный момент. Я не понял почему у вас не оказалось пакетов kerberos в системе: они входят в установочный образ и являются неотемлемой частью дистрибутива. Т.е. всё необходимое в системе на этом этапе должно быть, доустанавливать ничего не нужно. А свежие фиксы уже опубликованы и должны были только что прилететь с обновлениями:

$ rpm -qa | grep krb5
pam_krb5-2.3.12-6-rosa2014.1.x86_64
lib64krb5support0-1.12.3-1-rosa2014.1.x86_64
lib64krb5_3-1.12.3-1-rosa2014.1.x86_64
lib64gssapi_krb5_2-1.12.3-1-rosa2014.1.x86_64
krb5-1.12.3-1-rosa2014.1.x86_64
krb5-workstation-1.12.3-1-rosa2014.1.x86_64

$ rpm -qa | grep samba
lib64samba-server0-4.1.17-11-rosa2014.1.x86_64
lib64samba-util0-4.1.17-11-rosa2014.1.x86_64
lib64samba-policy0-4.1.17-11-rosa2014.1.x86_64
lib64samba-credentials0-4.1.17-11-rosa2014.1.x86_64
lib64samba-hostconfig0-4.1.17-11-rosa2014.1.x86_64
samba-python-4.1.17-11-rosa2014.1.x86_64
samba-common-4.1.17-11-rosa2014.1.x86_64
samba-server-4.1.17-11-rosa2014.1.x86_64
samba-winbind-4.1.17-11-rosa2014.1.x86_64
samba-client-4.1.17-11-rosa2014.1.x86_64

Идём дальше.

6. "Параметры системы" -> "Аутентификация" -> ввод пароля пользователя root.
7. Тип аутентификации -> "Домен Windows".
8. Тип домена -> "Windows Active Directory Domain".
9. Нужно заполнить поля "Область Active Directory", "Домен DNS" и "Сервер DC" в соответствии с настройками вашего домена.
10. Задать имя компьютера.
11. Ввести учётные данные пользователя, обладающего правом ввода компьютеров в домен.

Если всё прошло успешно, то спустя несколько секунд, мастер должен отрапортовать о том, что "Подключение установлено".
Можно пробовать перелогиниться.
Comment 56 ans 2015-07-07 13:05:51 MSD
# cat /proc/version 
Linux version 4.1.1-nrj-desktop-pae-1rosa-i586 (mockbuild@rosa2012.1-base) (gcc version 4.9.2 20140811 (ROSA) (Linaro GCC 4.9-2014.08) ) #1 SMP PREEMPT Wed Jul 1 16:07:54 UTC 2015

# rpm -qa | grep krb5
libkrb5support0-1.12.3-1-rosa2014.1.i586
libkrb5_3-1.12.3-1-rosa2014.1.i586
libgssapi_krb5_2-1.12.3-1-rosa2014.1.i586
krb5-1.12.3-1-rosa2014.1.i586
krb5-workstation-1.12.3-1-rosa2014.1.i586
pam_krb5-2.3.12-6-rosa2014.1.i586
krb5-appl-clients-1.0.3-7-rosa2014.1.i586
krb5-appl-servers-1.0.3-7-rosa2014.1.i586
openldap-schemas-krb5-1.12.3-1-rosa2014.1.noarch
krb5-server-1.12.3-1-rosa2014.1.i586
krb5-pkinit-openssl-1.12.3-1-rosa2014.1.i586
krb5-server-ldap-1.12.3-1-rosa2014.1.i586
freeradius-krb5-2.2.6-3-rosa2014.1.i586
libkrb5-devel-1.12.3-1-rosa2014.1.i586
krb5-auth-dialog-3.2.1-2-rosa2014.1.i586

# rpm -qa | grep samba
libsamba-server0-4.1.17-11-rosa2014.1.i586
libsamba-hostconfig0-4.1.17-11-rosa2014.1.i586
libsamba-util0-4.1.17-11-rosa2014.1.i586
libsamba-policy0-4.1.17-11-rosa2014.1.i586
libsamba-credentials0-4.1.17-11-rosa2014.1.i586
samba-python-4.1.17-11-rosa2014.1.i586
samba-common-4.1.17-11-rosa2014.1.i586
samba-winbind-4.1.17-11-rosa2014.1.i586
samba-client-4.1.17-11-rosa2014.1.i586
samba-server-4.1.17-11-rosa2014.1.i586

Всё уже проделал несколько раз

9. 192.168.10.101
# nbtscan 192.168.10.101
Doing NBT name scan for addresses from 192.168.10.101

IP address       NetBIOS Name     Server    User             MAC address      
------------------------------------------------------------------------------
192.168.10.101   SUL-OFFICE       <server>  SA2              00-04-23-88-d2-62

10. R5-DESKTOP
# nbtscan 192.168.10.41
Doing NBT name scan for addresses from 192.168.10.41

IP address       NetBIOS Name     Server    User             MAC address      
------------------------------------------------------------------------------
192.168.10.41    R5-DESKTOP       <server>  R5-DESKTOP       00-00-00-00-00-00

Аутентификация в домене отвечает: "Не удаётся подключиться к домену..."
Comment 57 ans 2015-07-07 14:56:42 MSD
resolv.conf
nameserver 192.168.10.101
search 192.168.10.101
Comment 58 Alexey Ivanov 2015-07-07 17:44:17 MSD
> 9. 192.168.10.101
> # nbtscan 192.168.10.101
> Doing NBT name scan for addresses from 192.168.10.101
> 
> IP address       NetBIOS Name     Server    User             MAC address    
> 
> -----------------------------------------------------------------------------
> -
> 192.168.10.101   SUL-OFFICE       <server>  SA2             
> 00-04-23-88-d2-62

К сожалению, сведения NetBIOS нам тут не помогут, в аот эта строка из resolv.conf вызывает интерес:

> search 192.168.10.101

Файл resolv.conf правился вручную, или это DHCP так файл настроил?
В параметр search обычно автоматически подстанавливается суффикс локального домена. Либо, если параметр настраивается человеком, он содержит список суффиксов доменов, с которыми пользователь намерен работать. В любом случае это символьная запись: "smallbusiness.local", "example.com" и т.п..
Тут не должно быть ip адреса.
Если эта строка получена от DHCP, то DHCP Options (Параметры области) настроены на контроллере странно. Если вписана вручную, то в таком виде она бесполезна.

Подозреваю, что сбой у вас происходит где-то на этом этапе:

> 9. Нужно заполнить поля "Область Active Directory", "Домен DNS" и "Сервер DC" в соответствии с настройками вашего домена.

Конфигуратор получает сведения, с которыми не может ввести машину в домен, поэтому и сообщает "Не удаётся подключиться к домену..."

Если конфигурация вашего домена не сложна - службы контроллера домена не разнесены на несколько физических машин, и параметры по умолчанию по-максимуму сохранены - то, скорее всего, "Область Active Directory" и "Домен DNS" совпадают. Это "Домен" из "Свойств системы" контроллера домена (вкладка "Имя компьютера"). 

А "Сервер DC" проще всего посмотреть такой командой (подставьте свой домен в конце):

dig _ldap._tcp.pdc._msdcs."Домен"

Если этот запрос вернет адрес контроллера домена, значит и "Домен DNS" определён правильно. Под возможным вопросом тогда останется "Область Active Directory", она же "Kerberos Realm". Быть может, она у вас всё-таки не совпадает с суффиксом DNS. Но это вы можете определить только сами.

Если эти три поля заполнить без ошибок, хост должен корректно войти в домен.
Comment 59 ans 2015-07-08 08:40:10 MSD
> вот эта строка из
> resolv.conf вызывает интерес:
> 
> > search 192.168.10.101
> 
> Файл resolv.conf правился вручную, или это DHCP так файл настроил?
>
Я записывал этот адрес при настройке сетевого соединения в "домен поиска"
(там не указано как именно должно, IP или само название)
> 
> Подозреваю, что сбой у вас происходит где-то на этом этапе:
> 
> > 9. Нужно заполнить поля "Область Active Directory", "Домен DNS" и "Сервер DC" >в соответствии с настройками вашего домена.
> А "Сервер DC" проще всего посмотреть такой командой (подставьте свой домен в
> конце):
> 
> dig _ldap._tcp.pdc._msdcs."Домен"
> 
r5-desktop ~ # dig _ldap._tcp.pdc._msdcs.sul-office

; <<>> DiG 9.10.2 <<>> _ldap._tcp.pdc._msdcs.sul-office
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 34443
;; flags: qr aa; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; QUESTION SECTION:
;_ldap._tcp.pdc._msdcs.sul-office. IN   A

;; AUTHORITY SECTION:
.                       86400   IN      SOA     a.root-servers.net. nstld.verisign-grs.com. 2015070701 1800 900 604800 86400

;; Query time: 78 msec
;; SERVER: 192.168.10.101#53(192.168.10.101)
;; WHEN: Wed Jul 08 08:32:46 YEKT 2015
;; MSG SIZE  rcvd: 136

> 
> Если эти три поля заполнить без ошибок, хост должен корректно войти в домен.

Забивал именно этот адрес, т.е. записывал всегда правильно.

Сейчас у меня обнаружилась ещё проблема - в редакторе соединений изчезла запись
текущего соединеня ech0, при этом сеть работает. Хотел там исправить домен поиска.
Если  исправлять в resolv.conf, то после перезагрузки опять: 
search 192.168.10.101 
Поправил в /etc/sysconfig/network-scripts/ifcfg-...
в resolv.conf стало search sul-office (пробовал и полное название тоже)

В итоге всё-равно к домену нет подключения.

И как восстановить отображение подключений в редакторе соединений?
(Виджет тоже не отображает)
Comment 60 Alexey Ivanov 2015-07-08 09:51:45 MSD
(In reply to comment #59)

> > dig _ldap._tcp.pdc._msdcs."Домен"
> > 
> r5-desktop ~ # dig _ldap._tcp.pdc._msdcs.sul-office

Прошу меня извинить, неточно указал команду. По умолчанию dig делает запрос IN A, а в данном случае нужен запрос IN ANY:

dig any _ldap._tcp.pdc._msdcs.sul-office

Адреса контроллеров домена должны быть в секции ADDITIONAL.
Comment 61 ans 2015-07-08 10:19:53 MSD
(In reply to comment #60)
> (In reply to comment #59)
> 
> > > dig _ldap._tcp.pdc._msdcs."Домен"
> > > 
> > r5-desktop ~ # dig _ldap._tcp.pdc._msdcs.sul-office
> 
> Прошу меня извинить, неточно указал команду. По умолчанию dig делает запрос
> IN A, а в данном случае нужен запрос IN ANY:
> 
> dig any _ldap._tcp.pdc._msdcs.sul-office
> 
> Адреса контроллеров домена должны быть в секции ADDITIONAL.

# dig any _ldap._tcp.pdc._msdcs.sul-office

; <<>> DiG 9.10.2 <<>> any _ldap._tcp.pdc._msdcs.sul-office
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 55955
;; flags: qr aa; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; QUESTION SECTION:
;_ldap._tcp.pdc._msdcs.sul-office. IN   ANY

;; AUTHORITY SECTION:
.                       86400   IN      SOA     a.root-servers.net. nstld.verisign-grs.com. 2015070800 1800 900 604800 86400

;; Query time: 82 msec
;; SERVER: 192.168.10.101#53(192.168.10.101)
;; WHEN: Wed Jul 08 11:18:49 YEKT 2015
;; MSG SIZE  rcvd: 136
Comment 62 Alexey Ivanov 2015-07-08 10:25:09 MSD
(In reply to comment #59)
> И как восстановить отображение подключений в редакторе соединений?
> (Виджет тоже не отображает)

Могу предложить только вариант пересоздать соединение.

Для этого нужно удалить файл(ы) /etc/sysconfig/network-scripts/ifcfg-... (только не ifcfg-lo - это loopback интерфейс, его лучше не трогать).

Затем открыть "Редактор соединений";
* "Соединение" -> "Добавить" -> "Проводное";
* вкладка "Проводное", из выпадающего списка "Только для устройства" выбрать eth0;
* настроить остальное по вкусу.

Если планируете использовать DHCP контроллера домена, то можно добавить в настройках DHCP в соответствующую область параметр "015 DNS-имя домена". Тогда network manager будет подстанавливать в search то, что вы пропишете в этой опции.
Comment 63 Alexey Ivanov 2015-07-08 10:35:26 MSD
(In reply to comment #61)
> # dig any _ldap._tcp.pdc._msdcs.sul-office
> 
> ; <<>> DiG 9.10.2 <<>> any _ldap._tcp.pdc._msdcs.sul-office
> ;; global options: +cmd
> ;; Got answer:
> ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 55955
> ;; flags: qr aa; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
> 
> ;; OPT PSEUDOSECTION:
> ; EDNS: version: 0, flags:; udp: 1280
> ;; QUESTION SECTION:
> ;_ldap._tcp.pdc._msdcs.sul-office. IN   ANY
> 
> ;; AUTHORITY SECTION:
> .                       86400   IN      SOA     a.root-servers.net.
> nstld.verisign-grs.com. 2015070800 1800 900 604800 86400
> 
> ;; Query time: 82 msec
> ;; SERVER: 192.168.10.101#53(192.168.10.101)
> ;; WHEN: Wed Jul 08 11:18:49 YEKT 2015
> ;; MSG SIZE  rcvd: 136

Отсутствуют секции ANSWER и ADDITIONAL. Нет такой записи, что-то не так.

> в resolv.conf стало search sul-office (пробовал и полное название тоже)

Можно уточнить о каком полном названии речь?
Если у домен sul-office есть продолжение справа, стоит попробовать повторить запрос с ним.


Вот так ответ на запрос выглядит у меня на тестовой площадке:

user@fresh01 ~ $ dig any _ldap._tcp.pdc._msdcs.w2k3.fqdn.local

; <<>> DiG 9.10.2 <<>> any _ldap._tcp.pdc._msdcs.w2k3.fqdn.local
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 46821
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 3

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; QUESTION SECTION:
;_ldap._tcp.pdc._msdcs.w2k3.fqdn.local. IN ANY

;; ANSWER SECTION:
_ldap._tcp.pdc._msdcs.w2k3.fqdn.local. 600 IN SRV  0 100 389 w2k3.w2k3.fqdn.local.

;; ADDITIONAL SECTION:
w2k3.w2k3.fqdn.local.      3600    IN      A       192.168.0.1

;; Query time: 0 msec
;; SERVER: 192.168.0.1#53(192.168.0.1)
;; WHEN: Wed Jul 08 11:22:06 YEKT 2015
;; MSG SIZE  rcvd: 132

В моём случае "Домен DNS" - это w2k3.fqdn.local, его и подстанавлива.
Comment 64 ans 2015-07-08 10:38:41 MSD
(In reply to comment #62)
> (In reply to comment #59)
> > И как восстановить отображение подключений в редакторе соединений?
> > (Виджет тоже не отображает)
> 
> Могу предложить только вариант пересоздать соединение.
> 
> Для этого нужно удалить файл(ы) /etc/sysconfig/network-scripts/ifcfg-...
> (только не ifcfg-lo - это loopback интерфейс, его лучше не трогать).
> 
> Затем открыть "Редактор соединений";
> * "Соединение" -> "Добавить" -> "Проводное";
> * вкладка "Проводное", из выпадающего списка "Только для устройства" выбрать
> eth0;
> * настроить остальное по вкусу.
> 
> Если планируете использовать DHCP контроллера домена, то можно добавить в
> настройках DHCP в соответствующую область параметр "015 DNS-имя домена".
> Тогда network manager будет подстанавливать в search то, что вы пропишете в
> этой опции.

Уже пробовал, соединение создаёт, но его не видно в списке редактора и виджета
Comment 65 ans 2015-07-08 10:41:53 MSD
(In reply to comment #63)
> (In reply to comment #61)
> > # dig any _ldap._tcp.pdc._msdcs.sul-office
> > 
> > ; <<>> DiG 9.10.2 <<>> any _ldap._tcp.pdc._msdcs.sul-office
> > ;; global options: +cmd
> > ;; Got answer:
> > ;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 55955
> > ;; flags: qr aa; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1
> > 
> > ;; OPT PSEUDOSECTION:
> > ; EDNS: version: 0, flags:; udp: 1280
> > ;; QUESTION SECTION:
> > ;_ldap._tcp.pdc._msdcs.sul-office. IN   ANY
> > 
> > ;; AUTHORITY SECTION:
> > .                       86400   IN      SOA     a.root-servers.net.
> > nstld.verisign-grs.com. 2015070800 1800 900 604800 86400
> > 
> > ;; Query time: 82 msec
> > ;; SERVER: 192.168.10.101#53(192.168.10.101)
> > ;; WHEN: Wed Jul 08 11:18:49 YEKT 2015
> > ;; MSG SIZE  rcvd: 136
> 
> Отсутствуют секции ANSWER и ADDITIONAL. Нет такой записи, что-то не так.
> 
> > в resolv.conf стало search sul-office (пробовал и полное название тоже)
> 
> Можно уточнить о каком полном названии речь?
> Если у домен sul-office есть продолжение справа, стоит попробовать повторить
> запрос с ним.
> 
> 
Пробовал и сним:

# dig any _ldap._tcp.pdc._sul-office.rus-ekb-sul.local

; <<>> DiG 9.10.2 <<>> any _ldap._tcp.pdc._sul-office.rus-ekb-sul.local
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 56202
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; QUESTION SECTION:
;_ldap._tcp.pdc._sul-office.rus-ekb-sul.local. IN ANY

;; AUTHORITY SECTION:
rus-ekb-sul.local.      3600    IN      SOA     sul-office.rus-ekb-sul.local. hostmaster.rus-ekb-sul.local. 13382 900 600 86400 3600

;; Query time: 3 msec
;; SERVER: 192.168.10.101#53(192.168.10.101)
;; WHEN: Wed Jul 08 11:40:12 YEKT 2015
;; MSG SIZE  rcvd: 148
Comment 66 Alexey Ivanov 2015-07-08 10:55:26 MSD
(In reply to comment #65)
> (In reply to comment #63)
> > (In reply to comment #61)
> > > # dig any _ldap._tcp.pdc._msdcs.sul-office
> > > 
> > > ; <<>> DiG 9.10.2 <<>> any _ldap._tcp.pdc._msdcs.sul-office
...
> Пробовал и сним:
> 
> # dig any _ldap._tcp.pdc._sul-office.rus-ekb-sul.local
> 
> ; <<>> DiG 9.10.2 <<>> any _ldap._tcp.pdc._sul-office.rus-ekb-sul.local

Потеряли "_msdcs". Попробуйте так:

dig any _ldap._tcp.pdc._msdcs.sul-office.rus-ekb-sul.local
Comment 67 ans 2015-07-08 11:58:21 MSD
# dig any _ldap._tcp.pdc._msdcs.sul-office.rus-ekb-sul.local

; <<>> DiG 9.10.2 <<>> any _ldap._tcp.pdc._msdcs.sul-office.rus-ekb-sul.local
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 40449
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; QUESTION SECTION:
;_ldap._tcp.pdc._msdcs.sul-office.rus-ekb-sul.local. IN ANY

;; AUTHORITY SECTION:
rus-ekb-sul.local.      3600    IN      SOA     sul-office.rus-ekb-sul.local. hostmaster.rus-ekb-sul.local. 13382 900 600 86400 3600

;; Query time: 0 msec
;; SERVER: 192.168.10.101#53(192.168.10.101)
;; WHEN: Wed Jul 08 12:57:42 YEKT 2015
;; MSG SIZE  rcvd: 154
Comment 68 Alexey Ivanov 2015-07-09 16:19:22 MSD
Баг с исчезновением интерфейса из NetworkManager'a мне удалось воспроизвести, осталось разобраться в механизме возникновения.

Что касается параметров домена, смотрю как должны работать методы автоматического обнаружения контроллера. "В лоб" не вышло, придётся вникнуть глубже.
Comment 69 ans 2015-07-09 17:30:47 MSD
(In reply to comment #68)
> Баг с исчезновением интерфейса из NetworkManager'a мне удалось
> воспроизвести, осталось разобраться в механизме возникновения.
> 
У меня уже на двух ПК. Происходит после попыток пройти Аутентификацию.
Comment 70 Alexey Ivanov 2015-07-10 14:55:21 MSD
Можно ещё посмотреть что возвратят три приведённые ниже команды?

dig +multiline +noquestion +nostats srv _kerberos._udp.rus-ekb-sul.local.
dig +multiline +noquestion +nostats srv _ldap._tcp.rus-ekb-sul.local.
dig +multiline +noquestion +nostats a dc.rus-ekb-sul.local.
Comment 71 Alexey Ivanov 2015-07-10 15:11:17 MSD
И

dig +multiline +noquestion +nostats a sul-office.rus-ekb-sul.local.
Comment 72 ans 2015-07-13 06:28:58 MSD
(In reply to comment #70)
> Можно ещё посмотреть что возвратят три приведённые ниже команды?
> 
> dig +multiline +noquestion +nostats srv _kerberos._udp.rus-ekb-sul.local.

; <<>> DiG 9.10.2 <<>> +multiline +noquestion +nostats srv _kerberos._udp.rus-ekb-sul.local
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 57609
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; ANSWER SECTION:
_kerberos._udp.rus-ekb-sul.local. 600 IN SRV 0 100 88 sul-office.rus-ekb-sul.local.

;; ADDITIONAL SECTION:
sul-office.rus-ekb-sul.local. 3600 IN A 192.168.10.101

> dig +multiline +noquestion +nostats srv _ldap._tcp.rus-ekb-sul.local.

; <<>> DiG 9.10.2 <<>> +multiline +noquestion +nostats srv _ldap._tcp.rus-ekb-sul.local
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 44405
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 2

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; ANSWER SECTION:
_ldap._tcp.rus-ekb-sul.local. 600 IN SRV 0 100 389 sul-office.rus-ekb-sul.local.

;; ADDITIONAL SECTION:
sul-office.rus-ekb-sul.local. 3600 IN A 192.168.10.101

> dig +multiline +noquestion +nostats a dc.rus-ekb-sul.local.

; <<>> DiG 9.10.2 <<>> +multiline +noquestion +nostats a dc.rus-ekb-sul.local
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 15530
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; AUTHORITY SECTION:
rus-ekb-sul.local.      3600 IN SOA sul-office.rus-ekb-sul.local. hostmaster.rus-ekb-sul.local. (
                                13394      ; serial
                                900        ; refresh (15 minutes)
                                600        ; retry (10 minutes)
                                86400      ; expire (1 day)
                                3600       ; minimum (1 hour)
                                )

>dig +multiline +noquestion +nostats a sul-office.rus-ekb-sul.local

; <<>> DiG 9.10.2 <<>> +multiline +noquestion +nostats a sul-office.rus-ekb-sul.local
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 3053
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 1280
;; ANSWER SECTION:
sul-office.rus-ekb-sul.local. 3600 IN A 192.168.10.101
Comment 73 Alexey Ivanov 2015-07-13 08:00:03 MSD
Откройте, пожалуйста, эмулятор терминала (напр. konsole) и запустите мастер командой "drakauth".

Когда мастер запросит данные домена, заполните поля так:

Область Active Directory - rus-ekb-sul.local
Домен DNS - rus-ekb-sul.local
Сервер DC - sul-office.rus-ekb-sul.local

Интересует то, что мастер напишет в консоль.
Comment 74 ans 2015-07-13 10:12:48 MSD
(In reply to comment #73)
> Откройте, пожалуйста, эмулятор терминала (напр. konsole) и запустите мастер
> командой "drakauth".
> 
> Когда мастер запросит данные домена, заполните поля так:
> 
> Область Active Directory - rus-ekb-sul.local
> Домен DNS - rus-ekb-sul.local
> Сервер DC - sul-office.rus-ekb-sul.local
> 
> Интересует то, что мастер напишет в консоль.

Выскочило окно -Подлючение установлено!

r5-desktop ~ # drakauth
Redirecting to /bin/systemctl restart  avahi-daemon.service
Запрос будет перенаправлен «systemctl enable winbind.service».
Redirecting to /bin/systemctl restart  smb.service
Redirecting to /bin/systemctl restart  winbind.service
Job for winbind.service failed. See 'systemctl status winbind.service' and 'journalctl -xn' for details.
Using short domain name -- RUS-EKB-SUL
Joined 'R5-DESKTOP' to dns domain 'RUS-EKB-SUL.local'
No DNS domain configured for r5-desktop. Unable to perform DNS Update.

DNS update failed: NT_STATUS_INVALID_PARAMETER

Redirecting to /bin/systemctl restart  smb.service
Redirecting to /bin/systemctl restart  winbind.service
админиÑÑÑаÑоÑ
гоÑÑÑ
krbtgt
sa2
mai
las
pfo2
buhzak
kassa
buhmat
buhlud
pfon
gb
pto2
pto1
buh2
cad
ok
pto3
sekretar
proda
urist
pto
omts
direktor
zam
mont
buh8
gb8
buhlud8
kassa8
buhzak8
buhmat8
raf
u-1
u-2
sklad
zgb
petr
mai8
g1
tb

Note: This output shows SysV services only and does not include native
      systemd services. SysV configuration data might be overridden by native
      systemd configuration.

      If you want to list systemd services use 'systemctl list-unit-files'.
      To see services enabled on particular target use
      'systemctl list-dependencies [target]'.

Failed to issue method call: No such file or directory
Comment 75 ans 2015-07-13 10:25:39 MSD
Перезагрузился. 
Вышел список всех пользователей домена.
Вошёл в нужный, система сказала, что создаст новый каталог, согласился.
Вход выполнен с дефолтными настройками Росы.
Comment 76 Alexey Ivanov 2015-07-13 10:28:43 MSD
Хорошо. Пробуйте пользоваться.
У вас домен второго уровня: "rus-ekb-sul.local", область kerberos совпадает с префиксом домена - "rus-ekb-sul.local", а "sul-office.rus-ekb-sul.local" - это адрес контроллера домена.

По исчезающему интерфейсу NetworkManager разбираюсь.
Comment 77 ans 2015-07-13 10:38:44 MSD
(In reply to comment #76)
> Хорошо. Пробуйте пользоваться.
> У вас домен второго уровня: "rus-ekb-sul.local", область kerberos совпадает
> с префиксом домена - "rus-ekb-sul.local", а "sul-office.rus-ekb-sul.local" -
> это адрес контроллера домена.
> 
Ок! Спасибо огромное!

Как сделать чтобы только нужные пользователи были, а не список?
Comment 78 ans 2015-07-13 10:44:57 MSD
(In reply to comment #77)
> 
> Как сделать чтобы только нужные пользователи были, а не список?

Пытался поменять вид через параметры входа KDM,
Ошибка: Не удалось авторизоваться и выполнить действие (код ошибки 4)
Comment 79 Ural Mullabaev 2015-07-13 15:40:40 MSD
К сожалению, в данный момент нет возможности ограничить список пользователей. В сертифицированых версиях для отображения большого количества пользователей мы сделали отображение списка пользователей не каруселькой, а в виде грида. Есть задумки задавать режим отображения в зависимости от количества пользователей, например, меньше 10 - куруселькой, больше - гридом.
Comment 80 ans 2015-07-13 19:11:28 MSD
Я помню, раньше в Марафоне можно было поменять вид входа в KDM и входить одним пользователем. Сейчас нет?
И ещё:
2. Очень медленный выход в сеть
3. Из сети компьютер вообще не видно, из windows и из Росы.

У меня 10 компьютеров в сети (R3 и R5), все настроены путём указания в samba
workgroup=rus-ekb-sul.
Расшарены общие папки, подключены сетевые принтеры.
Подключаются к сети чуть медленнее, чем windows, но приемлимо.
Думал уже подключить в домен.
Comment 81 Ural Mullabaev 2015-07-13 23:45:05 MSD
> Я помню, раньше в Марафоне можно было поменять вид входа в KDM и входить одним > пользователем. Сейчас нет?
С тех времен не многое изменилось, в этой части должно быть все по-прежнему.
Но, насколько я помню, настройки отображения одного пользователя не было. Есть настройка пользователя предварительно выбранного (по умолчанию).
Еще оказывется можно убрать пользователей из списка с помощью команды:
# kcmshell4 kdm
Вкладка Users -> Excluded Users
Теоретически, можно всех исключить кроме необходимого.
Comment 82 ans 2015-07-14 07:13:43 MSD
(In reply to comment #81)
> > Я помню, раньше в Марафоне можно было поменять вид входа в KDM и входить одним > пользователем. Сейчас нет?
> С тех времен не многое изменилось, в этой части должно быть все по-прежнему.
> Но, насколько я помню, настройки отображения одного пользователя не было.
>Еще оказывется можно убрать пользователей из списка с помощью команды:
># kcmshell4 kdm
>Вкладка Users -> Excluded Users
>Теоретически, можно всех исключить кроме необходимого.
# kcmshell4 kdm
-bash: kcmshell4: команда не найдена

Если через "Параметры системы" войти в пункт "Вход в систему(KDM)", то там в заголовке написано: "У вас нет прав на изменение этих настроек"
И если, что-то делать, то при выходе ошибка: "Не удалось авторизоваться и выполнить действие (код ошибки 4)"
Comment 83 Ural Mullabaev 2015-07-14 10:19:16 MSD
kcmshell4 идет с пакетом kdebase4-runtime, а он должен стоять по умолчанию.
Запускать нужно из рутового сеанса, в который лучше переходить по 'su -'.
Comment 84 ans 2015-07-14 12:20:54 MSD
(In reply to comment #83)
> kcmshell4 идет с пакетом kdebase4-runtime, а он должен стоять по умолчанию.
> Запускать нужно из рутового сеанса, в который лучше переходить по 'su -'.

Да, сейчас получилось. Выбрал двоих.
А говорили нельзя.

А почему сеть с этого ПК плохо работает?
Comment 85 Alexey Ivanov 2015-07-14 12:22:49 MSD
(In reply to comment #84)
> А почему сеть с этого ПК плохо работает?

Разверните формулировку пожалуйста.
Comment 86 ans 2015-07-14 12:51:46 MSD
> И ещё:
> 2. Очень медленный выход в сеть
> 3. Из сети компьютер вообще не видно, из windows и из Росы.
> 
> У меня 10 компьютеров в сети (R3 и R5), все настроены путём указания в samba
> workgroup=rus-ekb-sul.
> Расшарены общие папки, подключены сетевые принтеры.
> Подключаются к сети чуть медленнее, чем windows, но приемлимо.
> Думал уже подключить в домен.
Comment 87 ans 2015-07-20 13:31:28 MSD
Проблема нерешаема?