* Re: [Comm] ALTLinux и Microsoft Active Directory
@ 2008-01-23 19:25 Stavr
2008-01-23 20:11 ` andy_t
0 siblings, 1 reply; 9+ messages in thread
From: Stavr @ 2008-01-23 19:25 UTC (permalink / raw)
To: community
23.01.08, 22:06, "andy_t@cstula.ru" <andy_t@cstula.ru>:
> Здравствуйте! Буду премного благодарен, если кто объяснит следующее:
> зачем нужна аутентификация компьютера с установленным ALTLinux в домене
> Windows2003 с Active Directory, при условии что пользователь ALTLinux
> является
> администратором домена Windows2003 ( rdesktop работает отлично, но
> хотелось бы на
> ALT делать - печать на принтеры, подключенные на Win-машины; использование
> виндовых шар с правами админа домена, ну и чтоб выполнялись команды
> типа: cd //comp1/d$
Некорректно поставлен вопрос.
Непонятно как пользователь Linux является администратором домена если компьютер с Linux/samba не введен в домен?
Даже в Windows, локальный администратор не является администратором домена, тем более, если компьютер не введен в домен.
Rdesktop - это лишь терминальный клиент. Локальные пользователи Linux при этом никоим образом не имеют отношения к домену. Аналогично с Windows. Если с машины с установленной на ней Windows, но не введенной в домен, будет создано терминальное подключение к контроллеру домена, то вы используете для подключения именно логин домена, а не локальный аккаунт.
Для доступа из под linux к ресурсам Windows вам нужно установить службу samba и настроить ее нужным Вам способом. Подпишитесь на samba@ и внимательно просмотрите архив.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] ALTLinux и Microsoft Active Directory
2008-01-23 19:25 [Comm] ALTLinux и Microsoft Active Directory Stavr
@ 2008-01-23 20:11 ` andy_t
2008-01-24 4:44 ` Дмитрий
0 siblings, 1 reply; 9+ messages in thread
From: andy_t @ 2008-01-23 20:11 UTC (permalink / raw)
To: ALT Linux Community general discussions
Stavr пишет:
> 23.01.08, 22:06, "andy_t@cstula.ru" <andy_t@cstula.ru>:
>
>
>> Здравствуйте! Буду премного благодарен, если кто объяснит следующее:
>> зачем нужна аутентификация компьютера с установленным ALTLinux в домене
>> Windows2003 с Active Directory, при условии что пользователь ALTLinux
>> является
>> администратором домена Windows2003 ( rdesktop работает отлично, но
>> хотелось бы на
>> ALT делать - печать на принтеры, подключенные на Win-машины; использование
>> виндовых шар с правами админа домена, ну и чтоб выполнялись команды
>> типа: cd //comp1/d$
>>
>
> Некорректно поставлен вопрос.
> Непонятно как пользователь Linux является администратором домена если компьютер с Linux/samba не введен в домен?
>
Вопрос корректно поставлен. Пользователь Bill является админом домена
Win2003 with ActiveDirectory. Просто он поставил себе Linux вместо XP.
> Даже в Windows, локальный администратор не является администратором домена, тем более, если компьютер не введен в домен.
>
Администратор домена является локальным админом и компьютер введен в
домен (в случае если используем WinXP)
> Rdesktop - это лишь терминальный клиент. Локальные пользователи Linux при этом никоим образом не имеют отношения к домену. Аналогично с Windows. Если с машины с установленной на ней Windows, но не введенной в домен, будет создано терминальное подключение к контроллеру домена, то вы используете для подключения именно логин домена, а не локальный аккаунт.
>
Ага.
> Для доступа из под linux к ресурсам Windows вам нужно установить службу samba и настроить ее нужным Вам способом. Подпишитесь на samba@ и внимательно просмотрите архив.
>
архив конечно посмотрю
Спасибо
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] ALTLinux и Microsoft Active Directory
2008-01-23 20:11 ` andy_t
@ 2008-01-24 4:44 ` Дмитрий
0 siblings, 1 reply; 9+ messages in thread
From: Дмитрий @ 2008-01-24 4:44 UTC (permalink / raw)
To: ALT Linux Community general discussions
andy_t@cstula.ru пишет:
> Stavr пишет:
>
>> 23.01.08, 22:06, "andy_t@cstula.ru" <andy_t@cstula.ru>:
>>
>>
>>
>>> Здравствуйте! Буду премного благодарен, если кто объяснит следующее:
>>> зачем нужна аутентификация компьютера с установленным ALTLinux в домене
>>> Windows2003 с Active Directory, при условии что пользователь ALTLinux
>>> является
>>> администратором домена Windows2003 ( rdesktop работает отлично, но
>>> хотелось бы на
>>> ALT делать - печать на принтеры, подключенные на Win-машины; использование
>>> виндовых шар с правами админа домена, ну и чтоб выполнялись команды
>>> типа: cd //comp1/d$
>>>
>>>
>> Некорректно поставлен вопрос.
>> Непонятно как пользователь Linux является администратором домена если компьютер с Linux/samba не введен в домен?
>>
>>
> Вопрос корректно поставлен. Пользователь Bill является админом домена
> Win2003 with ActiveDirectory. Просто он поставил себе Linux вместо XP.
>
>
>> Даже в Windows, локальный администратор не является администратором домена, тем более, если компьютер не введен в домен.
>>
>>
> Администратор домена является локальным админом и компьютер введен в
> домен (в случае если используем WinXP)
>
>> Rdesktop - это лишь терминальный клиент. Локальные пользователи Linux при этом никоим образом не имеют отношения к домену. Аналогично с Windows. Если с машины с установленной на ней Windows, но не введенной в домен, будет создано терминальное подключение к контроллеру домена, то вы используете для подключения именно логин домена, а не локальный аккаунт.
>>
>>
> Ага.
>
>> Для доступа из под linux к ресурсам Windows вам нужно установить службу samba и настроить ее нужным Вам способом. Подпишитесь на samba@ и внимательно просмотрите архив.
>>
>>
> архив конечно посмотрю
>
>
>
>
>
>
> Спасибо
> _______________________________________________
> community mailing list
> community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community
Так или иначе пользователь должен храниться в LDAP'е AD и иметь
SID/GID(без последних 4х символов) домена. Те пользователи которые
являются админами домена должны иметь GID соответствующий группе "Domain
Admins". В Linux если настроить аутентификацию/авторизацию PAM через
kerberos или winbind, то этотго пользователя можно использовать в
Linux-системе. Чтобы этого пользователя включить в группу wheel, нужно
чтобы в LDAP'е AD были атрибуты Posix(uidNumber,gidNumber, ...), которые
там отсутствуют. Существует патч для AD, который добавляет эти атрибуты.
Если есть какие-то другие способы сделать пользователя одновременно
админом Linux-системы и AD-домена, пишите.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] ALTLinux и Microsoft Active Directory
@ 2008-01-24 9:20 ` Дмитрий
0 siblings, 1 reply; 9+ messages in thread
From: Дмитрий @ 2008-01-24 9:20 UTC (permalink / raw)
To: ALT Linux Community general discussions
Astakhov Andrey пишет:
>
>
> 24.01.08, *Дмитрий* <ddv@nevod.ru <mailto:ddv@nevod.ru>> написал(а):
>
>
> Так или иначе пользователь должен храниться в LDAP'е AD и иметь
> SID/GID(без последних 4х символов) домена. Те пользователи которые
> являются админами домена должны иметь GID соответствующий группе
> "Domain
> Admins". В Linux если настроить аутентификацию/авторизацию PAM через
> kerberos или winbind, то этотго пользователя можно использовать в
> Linux-системе. Чтобы этого пользователя включить в группу wheel, нужно
> чтобы в LDAP'е AD были атрибуты Posix(uidNumber,gidNumber, ...),
> которые
> там отсутствуют. Существует патч для AD, который добавляет эти
> атрибуты.
>
>
> Я уже создал пользователя с таким же логином, как и в AD, при
> установке ALT и он
> включен в группу wheel. А потом я уже пытаюсь ввести компьютер в домен.
> Или это не правильный путь?
>
чесно говоря, так не пробовал, но по логике тут у Вас получится следуюющее.
если настроен pam например через winbind, то getent passwd поидее должен
возвратить 2х пользователей с одинаковыми именами, но с разными
идентификаторами. В линуксе под какими идентификаторами вы работает
зависить будет от того в каком порядке выполняется
аутентификация/авторизация в pam. Если работаете под uid/gid линукс
системы, то права не сможете получить к файлам зайдя по самбе. Если вас
авторизует сначала winbind, то значет Вы не в группе wheel. Можете
написать враппер для winbind'а. Т.е. подменять uid и gid системными, но
я думаю это не лучшее решение.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] ALTLinux и Microsoft Active Directory
@ 2008-01-24 11:51 ` Дмитрий
2008-01-24 11:57 ` Дмитрий
2008-01-24 12:25 ` Vasily Tereshko
1 sibling, 1 reply; 9+ messages in thread
From: Дмитрий @ 2008-01-24 11:51 UTC (permalink / raw)
To: ALT Linux Community general discussions
Astakhov Andrey пишет:
>
>
> 24.01.08, *Дмитрий* <ddv@nevod.ru <mailto:ddv@nevod.ru>> написал(а):
>
>
> чесно говоря, так не пробовал, но по логике тут у Вас получится
> следуюющее.
> если настроен pam например через winbind, то getent passwd поидее
> должен
> возвратить 2х пользователей с одинаковыми именами, но с разными
> идентификаторами. В линуксе под какими идентификаторами вы работает
> зависить будет от того в каком порядке выполняется
> аутентификация/авторизация в pam. Если работаете под uid/gid линукс
> системы, то права не сможете получить к файлам зайдя по самбе.
> Если вас
> авторизует сначала winbind, то значет Вы не в группе wheel. Можете
> написать враппер для winbind'а. Т.е. подменять uid и gid
> системными, но
> я думаю это не лучшее решение.
>
>
> Т.е. мне надо удалить пользователя в linux имя которого совпадает с
> именем пользователя в AD, после чего включить компьютер в домен, после
> чего я уже буду авторизоваться на Linux машине через учетные записи AD?
да именно так. если хотите чтобы пользователи могли входить в группу
wheel, нужно пропатчить WS2k3 на предмет появления в его LDAP Posix
аттрибутов о которых я писал ранее. Ссылку незнаю, гуглите.
>
> По поводу включения компьютера в домен. Делал все по это статье:
> http://volgograd.lug.ru/wiki/GrableVodstvo/articles/SquidNtlm.
>
> После команды net ads join -S ip_адрес_PDC -U
> имя_пользотеля_входящего_в_группу_администраторы_домена_PDC
> получил такое сообщение:
>
> Administrator's password:
> Using short domain name -- ROKU-TULA
> Failed to set servicePrincipalNames. Please ensure that
> the DNS domain of this server matches the AD domain,
> Or rejoin with using Domain Admin credentials.
> Deleted account for 'ALT' in realm 'ROKU-TULA.LOCAL'
> Failed to join domain: Type or value exists
>
> Что-то я не понял. Особенно последнюю строку. Компьютера такого нет в
> AD. На что же он ругается?
>
ну во первых должен быть DNS обязательно. И я так понял DNS вам вернул
по обратной зоне имя машинки, о существовании которой Вы не знаете.
Разбирайтесь с DNS. Все имена должны резолвиться корректно.
Собственно по поводу ошибки. если даже сервер резолвится с помощью DNS,
нужно чтобы Линукс знал короткое имя машины, т.е. без домена.
Нужно в /etc/hosts прописать следующим образом:
127.0.0.1 localhost.localdomain localhost
192.168.0.X samba samba.example.com
> ------------------------------------------------------------------------
>
> _______________________________________________
> community mailing list
> community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] ALTLinux и Microsoft Active Directory
2008-01-24 11:51 ` Дмитрий
@ 2008-01-24 11:57 ` Дмитрий
0 siblings, 0 replies; 9+ messages in thread
From: Дмитрий @ 2008-01-24 11:57 UTC (permalink / raw)
To: ALT Linux Community general discussions
Дмитрий пишет:
> Astakhov Andrey пишет:
>
>> 24.01.08, *Дмитрий* <ddv@nevod.ru <mailto:ddv@nevod.ru>> написал(а):
>>
>>
>> чесно говоря, так не пробовал, но по логике тут у Вас получится
>> следуюющее.
>> если настроен pam например через winbind, то getent passwd поидее
>> должен
>> возвратить 2х пользователей с одинаковыми именами, но с разными
>> идентификаторами. В линуксе под какими идентификаторами вы работает
>> зависить будет от того в каком порядке выполняется
>> аутентификация/авторизация в pam. Если работаете под uid/gid линукс
>> системы, то права не сможете получить к файлам зайдя по самбе.
>> Если вас
>> авторизует сначала winbind, то значет Вы не в группе wheel. Можете
>> написать враппер для winbind'а. Т.е. подменять uid и gid
>> системными, но
>> я думаю это не лучшее решение.
>>
>>
>> Т.е. мне надо удалить пользователя в linux имя которого совпадает с
>> именем пользователя в AD, после чего включить компьютер в домен, после
>> чего я уже буду авторизоваться на Linux машине через учетные записи AD?
>>
> да именно так. если хотите чтобы пользователи могли входить в группу
> wheel, нужно пропатчить WS2k3 на предмет появления в его LDAP Posix
> аттрибутов о которых я писал ранее. Ссылку незнаю, гуглите.
>
И ещё забыл сказать. Авторизацию в таком решении нужно делать через ldap.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] ALTLinux и Microsoft Active Directory
2008-01-24 11:51 ` Дмитрий
@ 2008-01-24 12:25 ` Vasily Tereshko
2008-01-24 13:50 ` Дмитрий
1 sibling, 1 reply; 9+ messages in thread
From: Vasily Tereshko @ 2008-01-24 12:25 UTC (permalink / raw)
To: ALT Linux Community general discussions
Astakhov Andrey пишет:
>
>
> 24.01.08, *Дмитрий* <ddv@nevod.ru <mailto:ddv@nevod.ru>> написал(а):
>
>
>
> аутентификация/авторизация в pam. Если работаете под uid/gid линукс
> системы, то права не сможете получить к файлам зайдя по самбе.
> Если вас
> авторизует сначала winbind, то значет Вы не в группе wheel. Можете
> написать враппер для winbind'а. Т.е. подменять uid и gid
> системными, но
> я думаю это не лучшее решение.
>
Зачем такие сложности? winbind вполне достаточно. Другое дело, что там
маппинг по любому чиху слетает, и, если делать под пользователей, потом
регулярно возникают проблемы. Если делать только "для себя, любимого",
то это обычно не доставляет особых проблем.
>
> Т.е. мне надо удалить пользователя в linux имя которого совпадает с
> именем пользователя в AD, после чего включить компьютер в домен, после
> чего я уже буду авторизоваться на Linux машине через учетные записи AD?
Не нужно ничего удалять.
man smb.conf
просветляться на предмет username map
там можно поставить в соответствие доменного пользователя и локального
пользователя линуксовой машины. Перед этим необходимо настроить
winbindd, чтобы getent passwd корректно показывал пользователей ADS, и
тогда всё будет делаться прозрачно и без всяких патчей.
>
> По поводу включения компьютера в домен. Делал все по это статье:
> http://volgograd.lug.ru/wiki/GrableVodstvo/articles/SquidNtlm.
>
> После команды net ads join -S ip_адрес_PDC -U
> имя_пользотеля_входящего_в_группу_администраторы_домена_PDC
> получил такое сообщение:
>
> Administrator's password:
> Using short domain name -- ROKU-TULA
> Failed to set servicePrincipalNames. Please ensure that
> the DNS domain of this server matches the AD domain,
> Or rejoin with using Domain Admin credentials.
> Deleted account for 'ALT' in realm 'ROKU-TULA.LOCAL'
> Failed to join domain: Type or value exists
>
> Что-то я не понял. Особенно последнюю строку. Компьютера такого нет в
> AD. На что же он ругается?
kinit нормально отработал? Похоже что-то неправильно в /etc/krb5.conf
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] ALTLinux и Microsoft Active Directory
2008-01-24 12:25 ` Vasily Tereshko
@ 2008-01-24 13:50 ` Дмитрий
2008-01-24 17:15 ` andy_t
0 siblings, 1 reply; 9+ messages in thread
From: Дмитрий @ 2008-01-24 13:50 UTC (permalink / raw)
To: ALT Linux Community general discussions
>
> Не нужно ничего удалять.
> man smb.conf
> просветляться на предмет username map
> там можно поставить в соответствие доменного пользователя и локального
> пользователя линуксовой машины. Перед этим необходимо настроить
> winbindd, чтобы getent passwd корректно показывал пользователей ADS, и
> тогда всё будет делаться прозрачно и без всяких патчей.
>
кстати да, про это я совсем забыл. Но такое делать я вообще никогда не
пробовал, не было такой потребности. Но видел целую статью про патч,
который это делает.
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] ALTLinux и Microsoft Active Directory
2008-01-24 13:50 ` Дмитрий
@ 2008-01-24 17:15 ` andy_t
0 siblings, 0 replies; 9+ messages in thread
From: andy_t @ 2008-01-24 17:15 UTC (permalink / raw)
To: ALT Linux Community general discussions
Дмитрий пишет:
>> Не нужно ничего удалять.
>> man smb.conf
>> просветляться на предмет username map
>> там можно поставить в соответствие доменного пользователя и локального
>> пользователя линуксовой машины. Перед этим необходимо настроить
>> winbindd, чтобы getent passwd корректно показывал пользователей ADS, и
>> тогда всё будет делаться прозрачно и без всяких патчей.
>>
>>
> кстати да, про это я совсем забыл. Но такое делать я вообще никогда не
> пробовал, не было такой потребности. Но видел целую статью про патч,
> который это делает.
Еще раз повторюсь (посты astakhov дт andrey ат gmail дт com - мои).
Использовал эту статью:
http://volgograd.lug.ru/wiki/GrableVodstvo/articles/SquidNtlm.
Единственное, что пришлось дополнительно сделать - прописать в hosts:
192.168.6.7 alt alt.domain.local
Но с пользователем я ничего не делал. То как создал пользователя в Линукс
с таким же именем и паролем что и в AD, потом сделал то, что описано чуть
выше в данном письме. IP у меня статический. Но часть вещей еще буду
проверять.
^ permalink raw reply [flat|nested] 9+ messages in thread
end of thread, other threads:[~2008-01-24 17:15 UTC | newest]
Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-01-23 19:25 [Comm] ALTLinux и Microsoft Active Directory Stavr
2008-01-23 20:11 ` andy_t
2008-01-24 4:44 ` Дмитрий
2008-01-24 9:20 ` Дмитрий
2008-01-24 11:51 ` Дмитрий
2008-01-24 11:57 ` Дмитрий
2008-01-24 12:25 ` Vasily Tereshko
2008-01-24 13:50 ` Дмитрий
2008-01-24 17:15 ` andy_t
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git