* [Comm] LDAP Samba PAM
@ 2003-07-21 14:01 Dmitriy Gnidchenko
2003-07-21 14:17 ` Maxim Tyurin
2003-07-22 3:06 ` BSW
0 siblings, 2 replies; 23+ messages in thread
From: Dmitriy Gnidchenko @ 2003-07-21 14:01 UTC (permalink / raw)
To: community
Все привет!!!
помогите кто настраивал Samba LDAP
Так как сабма из Master2.2 без подержки LDAP
Пришлось использовать PAM и модуль PAM_LDAP
для управление Swat получилось авторизоваться руту.
а вот с остальными что-то ни как.
Узера должны быть в файле /etc/samba/smbpasswd ?
или они теперь держатся в базе LDAP сервера
Авторизуется только один узер, тот который имеет запись в файле
/etc/passwd
Regards, Dmitriy
savithur@avatar.spb.ru
^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM
2003-07-21 14:01 [Comm] LDAP Samba PAM Dmitriy Gnidchenko
@ 2003-07-21 14:17 ` Maxim Tyurin
2003-07-21 18:00 ` Dmitriy Gnidchenko
2003-07-22 3:06 ` BSW
1 sibling, 1 reply; 23+ messages in thread
From: Maxim Tyurin @ 2003-07-21 14:17 UTC (permalink / raw)
To: community
On Mon, Jul 21, 2003 at 06:01:30PM +0400, Dmitriy Gnidchenko wrote:
>
> Все привет!!!
> помогите кто настраивал Samba LDAP
>
> Так как сабма из Master2.2 без подержки LDAP
> Пришлось использовать PAM и модуль PAM_LDAP
>
> для управление Swat получилось авторизоваться руту.
> а вот с остальными что-то ни как.
>
>
> Узера должны быть в файле /etc/samba/smbpasswd ?
> или они теперь держатся в базе LDAP сервера
>
> Авторизуется только один узер, тот который имеет запись в файле
> /etc/passwd
Огласи /etc/pam.d/samba
--
With Best Regards, Maxim Tyurin
JID: MrKooll@jabber.pibhe.com
^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM
2003-07-21 14:17 ` Maxim Tyurin
@ 2003-07-21 18:00 ` Dmitriy Gnidchenko
0 siblings, 0 replies; 23+ messages in thread
From: Dmitriy Gnidchenko @ 2003-07-21 18:00 UTC (permalink / raw)
To: community
On Mon, 21 Jul 2003, Maxim Tyurin wrote:
> On Mon, Jul 21, 2003 at 06:01:30PM +0400, Dmitriy Gnidchenko
> wrote:
> >
> > Все привет!!!
> > помогите кто настраивал Samba LDAP
> >
> > Так как сабма из Master2.2 без подержки LDAP
> > Пришлось использовать PAM и модуль PAM_LDAP
> >
> > для управление Swat получилось авторизоваться руту.
> > а вот с остальными что-то ни как.
> >
> >
> > Узера должны быть в файле /etc/samba/smbpasswd ?
> > или они теперь держатся в базе LDAP сервера
> >
> > Авторизуется только один узер, тот который имеет запись в
> файле
> > /etc/passwd
>
> Огласи /etc/pam.d/samba
#%PAM-1.0
auth sufficient /lib/security/pam_ldap.so
auth required /lib/security/pam_unix_auth.so try_first_pass debug
account sufficient /lib/security/pam_ldap.so
account required /lib/security/pam_unix_acct.s
Это я взял (точно не помню, помойму с сайта samba по настройки
pam_ldap)
^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM
2003-07-21 14:01 [Comm] LDAP Samba PAM Dmitriy Gnidchenko
2003-07-21 14:17 ` Maxim Tyurin
@ 2003-07-22 3:06 ` BSW
2003-07-22 6:50 ` Dmitriy Gnidchenko
1 sibling, 1 reply; 23+ messages in thread
From: BSW @ 2003-07-22 3:06 UTC (permalink / raw)
To: community
Dmitriy Gnidchenko пишет:
> Так как сабма из Master2.2 без подержки LDAP
> Пришлось использовать PAM и модуль PAM_LDAP
Через PAM можно только проверять пароли, брать оттуда список юзеров нельзя.
> для управление Swat получилось авторизоваться руту.
> а вот с остальными что-то ни как.
Совсем никак, или где? Рут может все, юзера - только менять свои пароли,
если не ошибаюсь. Разумется, юзера должны быть известны самбе.
>
>
> Узера должны быть в файле /etc/samba/smbpasswd ?
> или они теперь держатся в базе LDAP сервера
Сам же написал: "сабма из Master2.2 без подержки LDAP". Значит юзера
(самбовые) - в smbpasswd.
>
> Авторизуется только один узер, тот который имеет запись в файле
> /etc/passwd
Видимо так и должно быть. Самба умеет видеть только тех юзеров, которые
известны системе. Можно посмотреть в сторону /etc/nsswitch.conf, там
тоже есть слово ldap.
^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM
2003-07-22 3:06 ` BSW
@ 2003-07-22 6:50 ` Dmitriy Gnidchenko
2003-07-22 8:01 ` BSW
0 siblings, 1 reply; 23+ messages in thread
From: Dmitriy Gnidchenko @ 2003-07-22 6:50 UTC (permalink / raw)
To: community
On Tue, 22 Jul 2003, BSW wrote:
> Dmitriy Gnidchenko пишет:
> > Так как сабма из Master2.2 без подержки LDAP
> > Пришлось использовать PAM и модуль PAM_LDAP
> Через PAM можно только проверять пароли, брать оттуда список
> юзеров нельзя.
> > для управление Swat получилось авторизоваться руту.
> > а вот с остальными что-то ни как.
> Совсем никак, или где? Рут может все, юзера - только менять
> свои пароли,
> если не ошибаюсь. Разумется, юзера должны быть известны самбе.
В данном случае к SWAT речь щла о возможности управлять сервером
Самбы.
С этим я разобрался как сделать.
Теперь когда в Браузере захожу на управление самбой используя
логин ROOT, та в свою очередь для проверки логина и пароля лезет
в базу LDAЗ, так что тут все хорошо с ней.
соответсвенно модули PAM_LDAP подключены нормально и работаю
> > Узера должны быть в файле /etc/samba/smbpasswd ?
> > или они теперь держатся в базе LDAP сервера
> Сам же написал: "сабма из Master2.2 без подержки LDAP". Значит
> юзера
> (самбовые) - в smbpasswd.
Это я к тому, что Самба собрана без LDAP, поэтому и использовал
PAM_LDAP
Но как она тогда завязана на /etc/passwd
Разве она не проверяет наличие узера в базе LDAP ?
> > Авторизуется только один узер, тот который имеет запись в
> файле
> > /etc/passwd
> Видимо так и должно быть. Самба умеет видеть только тех
> юзеров, которые
> известны системе. Можно посмотреть в сторону
> /etc/nsswitch.conf, там тоже есть слово ldap.
Посмотрю что там можно сделать.
^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM
2003-07-22 6:50 ` Dmitriy Gnidchenko
@ 2003-07-22 8:01 ` BSW
2003-07-22 8:35 ` Dmitriy Gnidchenko
0 siblings, 1 reply; 23+ messages in thread
From: BSW @ 2003-07-22 8:01 UTC (permalink / raw)
To: community
Dmitriy Gnidchenko пишет:
> Это я к тому, что Самба собрана без LDAP, поэтому и использовал
> PAM_LDAP
Одно другому монопенисуально.
>
> Но как она тогда завязана на /etc/passwd
> Разве она не проверяет наличие узера в базе LDAP ?
Никак не завязана. Самба использует собственную базу юзеров - smbpasswd,
или LDAP, или еще что-то, в зависимости от сборки. Но, поскольку самба
работает от имени и с правами юзера, то и система должна знать этого
юзера. Для работы с системной базой юзеров есть целый набор функций (man
getpwent), которые самба и использует. Где и как хранится эта информация
- дело десятое, но она обязана быть. По умолчанию - /etc/passwd, но
посредством nsswitch.conf это легко исправить.
^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM
2003-07-22 8:01 ` BSW
@ 2003-07-22 8:35 ` Dmitriy Gnidchenko
2003-07-22 10:49 ` BSW
0 siblings, 1 reply; 23+ messages in thread
From: Dmitriy Gnidchenko @ 2003-07-22 8:35 UTC (permalink / raw)
To: community
On Tue, 22 Jul 2003, BSW wrote:
> Dmitriy Gnidchenko пишет:
>
> > Это я к тому, что Самба собрана без LDAP, поэтому и
> использовал
> > PAM_LDAP
> Одно другому монопенисуально.
>
> >
> > Но как она тогда завязана на /etc/passwd
> > Разве она не проверяет наличие узера в базе LDAP ?
> Никак не завязана. Самба использует собственную базу юзеров -
> smbpasswd,
> или LDAP, или еще что-то, в зависимости от сборки. Но,
> поскольку самба
Так тогда какую функцию несет pam_pdap ?
> работает от имени и с правами юзера, то и система должна знать
> этого
> юзера. Для работы с системной базой юзеров есть целый набор
> функций (man
> getpwent), которые самба и использует. Где и как хранится эта
> информация
> - дело десятое, но она обязана быть. По умолчанию -
> /etc/passwd, но
> посредством nsswitch.conf это легко исправить.
я предпологал ранее, что nsswitch.conf ипсользуется уже самой
системой для поиска способа аутентификации пользователя.
то есть сервис (Samba, POP3 и тд) использует для этих целей
библиотеки PAM, а PAM в зависимости от выбранного модуля ищет
авторизация в системной базе (passwd tcb shadow) или прямо
минуя эту цепочку (pam_radius, pam_ldap) может обратися к Radius
или к тойже LDAP
в то же время при стандарном использовании PAM как это идет в
дистрибутиве я могу исправить nsswitch.conf так чтобы все запросы
для авторизации будут уже не локальными, а на некий сервер как
это делает NIS.
Или я в корне ошибаюсь.
Regards, Dmitriy
savithur@avatar.spb.ru
^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM
2003-07-22 8:35 ` Dmitriy Gnidchenko
@ 2003-07-22 10:49 ` BSW
2003-07-22 11:39 ` Dmitriy Gnidchenko
0 siblings, 1 reply; 23+ messages in thread
From: BSW @ 2003-07-22 10:49 UTC (permalink / raw)
To: community
Dmitriy Gnidchenko пишет:
> Так тогда какую функцию несет pam_pdap ?
Давай отделять мух от котлет:
PAM (Pluggable Authentication Modules) - проверка полномочий
пользователя (man pam за подробностями), но не факта его существования.
> я предпологал ранее, что nsswitch.conf ипсользуется уже самой
> системой для поиска способа аутентификации пользователя.
NSS (Name Service Switch; man nsswitch.conf) позволяет выбрать базу, в
которой хранится информация о юзерах. К PAM не имеет никакого отношения,
это два совершенно разных и независимых механизма, что, тем не менее, не
запрещает одному пользоваться другим. Например, Линуховый pam_tcb знает
(пусть и косвенно) о nsswitch.conf, а вот во FreeBSD 4.x понятие об
nsswitch.conf отсутствует, что не мешает использовать PAM.
У меня в /etc/pam.d/* ldap не упомянут ни разу, но я его успешно
использую. Ни что и ни кто не запрещает мне хранить юзеров в LDAP, а их
пароли - в NT-домене, или даже на пластике...
>
> то есть сервис (Samba, POP3 и тд) использует для этих целей
> библиотеки PAM, а PAM в зависимости от выбранного модуля ищет
> авторизация в системной базе (passwd tcb shadow) или прямо
> минуя эту цепочку (pam_radius, pam_ldap) может обратися к Radius
> или к тойже LDAP
>
> в то же время при стандарном использовании PAM как это идет в
> дистрибутиве я могу исправить nsswitch.conf так чтобы все запросы
> для авторизации будут уже не локальными, а на некий сервер как
> это делает NIS.
Примерно так...
Приложение запрашивает у системы данные о юзере, система смотрит в
nsswitch, и лезет в ... (куда написано). Затем приложение отдает системе
пароль для проверки, система смотрит в PAM, и отдает пароль на
растерзание указанному модулю. Модуль может (но не обязан) посмотреть в
nsswitch, и взять пароль из ..., но может и не смотреть, а сразу пойти в
ему одному известное место.
Надеюсь, я достаточно непонятно излагаю? :-)
^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM
2003-07-22 10:49 ` BSW
@ 2003-07-22 11:39 ` Dmitriy Gnidchenko
2003-07-22 12:38 ` BSW
0 siblings, 1 reply; 23+ messages in thread
From: Dmitriy Gnidchenko @ 2003-07-22 11:39 UTC (permalink / raw)
To: community
On Tue, 22 Jul 2003, BSW wrote:
> Dmitriy Gnidchenko пишет:
> > Так тогда какую функцию несет pam_pdap ?
> Давай отделять мух от котлет:
> PAM (Pluggable Authentication Modules) - проверка полномочий
> пользователя (man pam за подробностями), но не факта его
> существования.
Тут непонятно, если нет факта его существования, то о каких
полномочиях идет речь ?
> запрещает одному пользоваться другим. Например, Линуховый
> pam_tcb знает
> (пусть и косвенно) о nsswitch.conf, а вот во FreeBSD 4.x
> понятие об
> nsswitch.conf отсутствует, что не мешает использовать PAM.
> У меня в /etc/pam.d/* ldap не упомянут ни разу, но я его
> успешно
> использую. Ни что и ни кто не запрещает мне хранить юзеров в
> LDAP, а их
> пароли - в NT-домене, или даже на пластике...
Я тогда вообще зачем нужен PAM_LDAP
(насколько я уверен он и должен был задействован в
/etc/pam.d/*)
если можно использовать nsswitch
> > то есть сервис (Samba, POP3 и тд) использует для этих целей
> > библиотеки PAM, а PAM в зависимости от выбранного модуля
> ищет
> > авторизация в системной базе (passwd tcb shadow) или прямо
> > минуя эту цепочку (pam_radius, pam_ldap) может обратися к
> Radius
> > или к тойже LDAP
> >
> > в то же время при стандарном использовании PAM как это идет
> в
> > дистрибутиве я могу исправить nsswitch.conf так чтобы все
> запросы
> > для авторизации будут уже не локальными, а на некий сервер
> как
> > это делает NIS.
> Примерно так...
>
> Приложение запрашивает у системы данные о юзере, система
> смотрит в
> nsswitch, и лезет в ... (куда написано).
> Затем приложение отдает системе
> пароль для проверки, система смотрит в PAM, и отдает пароль на
> растерзание указанному модулю.
то есть данные о пользователе ни как не преплетаются при
использовании PAM они как были отдельно так и остались.
> Модуль может (но не обязан)
> посмотреть в
> nsswitch, и взять пароль из ..., но может и не смотреть, а
> сразу пойти в
> ему одному известное место.
то есть в любом случае надо еще задействовать и nsswitch
> Надеюсь, я достаточно непонятно излагаю? :-)
Да уже теперь понятней немного.
^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM
2003-07-22 11:39 ` Dmitriy Gnidchenko
@ 2003-07-22 12:38 ` BSW
2003-07-22 13:31 ` Dmitriy Gnidchenko
0 siblings, 1 reply; 23+ messages in thread
From: BSW @ 2003-07-22 12:38 UTC (permalink / raw)
To: community
Dmitriy Gnidchenko пишет:
> Тут непонятно, если нет факта его существования, то о каких
> полномочиях идет речь ?
Нет юзера - нет проблемы :-)
Вот потому-то юзер и должен быть прописан в системе. PAM - только пароли.
> Я тогда вообще зачем нужен PAM_LDAP
>
> (насколько я уверен он и должен был задействован в
> /etc/pam.d/*)
>
> если можно использовать nsswitch
Опять мухи и котлеты:
Начнет с начала: все по дефолту. Юзера в /etc/passwd, группы -
/etc/group, пароли - /etc/shadow.
Теперь прикрутим pam_ldap: юзера и группы остались на месте, но пароли
проверяются в ldap-е (модулем pam_ldap).
Вернем назад настройки PAM, и напишем в nsswitch.conf:
passwd: ldap
shadow: ldap
group: ldap
Теперь система ничего не знает о /etc/passwd, shadow, group. Все лежит в
LDAP (см. libnss_ldap.so). Однако pam_ldap не нужен, его работу делает
связка pam_tcb (или pam_unix, или кто там по дефолту) и libnss_ldap.
Оставим nsswitch.conf как есть (с ldap-ом), и прикрутим, например,
pam_nologin. Юзера сотрут себе пальцы вбивая пароли, но... NO PASSARAN!
Хотя все пароли правильные :-)
(во время опытов не забывай держать активной хотя бы одну рутовую
сессию, иначе и сам не пройдешь...)
> то есть данные о пользователе ни как не преплетаются при
> использовании PAM они как были отдельно так и остались.
Именно так. В свое время я чуть не повесился пытаясь заставить Самбу на
FreeBSD брать юзеров из PAM. :-)
> то есть в любом случае надо еще задействовать и nsswitch
Ммм... Он задействован в любом случае. Важно чтобы его содержимое
соответствовало реальному размещению базы юзеров, а будет это
/etc/passwd или ldap - не так уж и важно.
Надеюсь, я достаточно непонятно излагаю? :-)
^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM
2003-07-22 12:38 ` BSW
@ 2003-07-22 13:31 ` Dmitriy Gnidchenko
2003-07-23 5:51 ` BSW
0 siblings, 1 reply; 23+ messages in thread
From: Dmitriy Gnidchenko @ 2003-07-22 13:31 UTC (permalink / raw)
To: community
On Tue, 22 Jul 2003, BSW wrote:
> Dmitriy Gnidchenko пишет:
> > Тут непонятно, если нет факта его существования, то о каких
> > полномочиях идет речь ?
> Нет юзера - нет проблемы :-)
:)))
> Вот потому-то юзер и должен быть прописан в системе. PAM -
> только пароли.
> > если можно использовать nsswitch
> Опять мухи и котлеты:
:)))
> Начнет с начала: все по дефолту. Юзера в /etc/passwd, группы -
> /etc/group, пароли - /etc/shadow.
>
> Теперь прикрутим pam_ldap: юзера и группы остались на месте,
> но пароли
> проверяются в ldap-е (модулем pam_ldap).
> Вернем назад настройки PAM, и напишем в nsswitch.conf:
> passwd: ldap
> shadow: ldap
> group: ldap
> Теперь система ничего не знает о /etc/passwd, shadow, group.
> Все лежит в
> LDAP (см. libnss_ldap.so). Однако pam_ldap не нужен, его
> работу делает
> связка pam_tcb (или pam_unix, или кто там по дефолту) и
> libnss_ldap.
А...
у меня небыло установлено модуля libnss_ldap,
из-за этого тоже ступор был.
Сейчас поставил и прикрутил в nsswitch
passwd: files ldap nisplus nis
Не знаю группы задействовать или нет, но пока изменил только эту
запись.
Теперь уже ругани по поводу smbpasswd -a user нет.
так как узер имеется в ldap базе.
и соответственно добавляет узера к себе в базу.
10х с этим разобрались.
Теперь по поводу /etc/samba/smbpasswd
Самба при любом раскладе проверяет пароль пользователя в smbpasswd
Теперь исходя из PAM она должна его запрашивать из LDAP ?
так как модуль уже там прописан.
> Оставим nsswitch.conf как есть (с ldap-ом), и прикрутим,
> например,
> pam_nologin. Юзера сотрут себе пальцы вбивая пароли, но... NO
> PASSARAN!
> Хотя все пароли правильные :-)
:о)
> (во время опытов не забывай держать активной хотя бы одну
> рутовую
> сессию, иначе и сам не пройдешь...)
Так и делаю.
Одну консоль подальше засунул.
> > то есть данные о пользователе ни как не преплетаются при
> > использовании PAM они как были отдельно так и остались.
> Именно так. В свое время я чуть не повесился пытаясь заставить
> Самбу на
> FreeBSD брать юзеров из PAM. :-)
Приблизительно у меня получаеся сейчас также :))
> > то есть в любом случае надо еще задействовать и nsswitch
> Ммм... Он задействован в любом случае. Важно чтобы его
> содержимое
> соответствовало реальному размещению базы юзеров, а будет это
> /etc/passwd или ldap - не так уж и важно.
> Надеюсь, я достаточно непонятно излагаю? :-)
Котлеты и мухи в разных кастрюлях :)
^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM
2003-07-22 13:31 ` Dmitriy Gnidchenko
@ 2003-07-23 5:51 ` BSW
2003-07-23 6:32 ` Dmitriy Gnidchenko
0 siblings, 1 reply; 23+ messages in thread
From: BSW @ 2003-07-23 5:51 UTC (permalink / raw)
To: community
Dmitriy Gnidchenko пишет:
> Не знаю группы задействовать или нет, но пока изменил только эту
> запись.
Самба с группами работать не умеет :-( Но зато умеет система, так что
пропиши, пригодится.
> Теперь по поводу /etc/samba/smbpasswd
>
> Самба при любом раскладе проверяет пароль пользователя в smbpasswd
>
> Теперь исходя из PAM она должна его запрашивать из LDAP ?
> так как модуль уже там прописан.
Если PAM-модуль прописан именно для самбы, то да. Но от smbpasswd она не
откажется.
^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM
2003-07-23 5:51 ` BSW
@ 2003-07-23 6:32 ` Dmitriy Gnidchenko
2003-07-23 7:35 ` BSW
0 siblings, 1 reply; 23+ messages in thread
From: Dmitriy Gnidchenko @ 2003-07-23 6:32 UTC (permalink / raw)
To: community
On Wed, 23 Jul 2003, BSW wrote:
> Dmitriy Gnidchenko пишет:
> > Не знаю группы задействовать или нет, но пока изменил только
> эту
> > запись.
> Самба с группами работать не умеет :-( Но зато умеет система,
> так что
> пропиши, пригодится.
Оки сделаю.
> > Теперь по поводу /etc/samba/smbpasswd
> >
> > Самба при любом раскладе проверяет пароль пользователя в
> smbpasswd
> >
> > Теперь исходя из PAM она должна его запрашивать из LDAP ?
> > так как модуль уже там прописан.
> Если PAM-модуль прописан именно для самбы, то да. Но от
> smbpasswd она не откажется.
То есть, узер должен быть и в smbpasswd ?
К стати, вчера, когда тут все
это дело воротил используя соседний комп с XP и когда пытался
добавить машинерию в домен, машина похоже тоже требует
дополнительного логина, во всяком случае это выглядело как
SCS$ (scs это имя машины было по ДНС, в сетевом окружении она
видится по другому), после того как я прописал в LDAP узера scs$ она
позволила админу домена (то есть root) включить машину в домен.
после уже при правке реестра XP (а без этого ни как нельзя ?),
узер уже смог логинится в домен, но при условии что у меня этот
узер находится в smbpasswd и LDAP одновременно.
Можно ли не использовать smbpasswd совсем ?
^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM
2003-07-23 6:32 ` Dmitriy Gnidchenko
@ 2003-07-23 7:35 ` BSW
2003-07-23 7:59 ` Dmitriy Gnidchenko
0 siblings, 1 reply; 23+ messages in thread
From: BSW @ 2003-07-23 7:35 UTC (permalink / raw)
To: community
Dmitriy Gnidchenko пишет:
> То есть, узер должен быть и в smbpasswd ?
Да, но 'smbpasswd -a username' все сделает сам.
>
> К стати, вчера, когда тут все
> это дело воротил используя соседний комп с XP и когда пытался
> добавить машинерию в домен, машина похоже тоже требует
> дополнительного логина, во всяком случае это выглядело как
> SCS$ (scs это имя машины было по ДНС, в сетевом окружении она
> видится по другому), после того как я прописал в LDAP узера scs$ она
> позволила админу домена (то есть root) включить машину в домен.
> после уже при правке реестра XP (а без этого ни как нельзя ?),
> узер уже смог логинится в домен, но при условии что у меня этот
> узер находится в smbpasswd и LDAP одновременно.
Именно так. Машинный аккаунт должен быть с "$" на конце. Почитай "man
smbpasswd" на тему ключей -m -j -r -U. В Самбовой доке все подробно
описано, кстати, она (дока) доступна через swat.
Насчет правки реестра - ХЗ, я XP в глаза не видел, в NT кажется что-то
правил на тему шифрования паролей.
> Можно ли не использовать smbpasswd совсем ?
Легко! Нужно только собрать Самбу с поддержкой LDAP. :-)
^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM
2003-07-23 7:35 ` BSW
@ 2003-07-23 7:59 ` Dmitriy Gnidchenko
2003-07-23 8:36 ` BSW
0 siblings, 1 reply; 23+ messages in thread
From: Dmitriy Gnidchenko @ 2003-07-23 7:59 UTC (permalink / raw)
To: community
On Wed, 23 Jul 2003, BSW wrote:
> Dmitriy Gnidchenko пишет:
> > То есть, узер должен быть и в smbpasswd ?
> Да, но 'smbpasswd -a username' все сделает сам.
Это я как раз и делал.
> > К стати, вчера, когда тут все
> > это дело воротил используя соседний комп с XP и когда
> пытался
> > добавить машинерию в домен, машина похоже тоже требует
> > дополнительного логина, во всяком случае это выглядело как
> > SCS$ (scs это имя машины было по ДНС, в сетевом окружении
> она
> > видится по другому), после того как я прописал в LDAP узера
> scs$ она
> > позволила админу домена (то есть root) включить машину в
> домен.
> > после уже при правке реестра XP (а без этого ни как нельзя
> ?),
> > узер уже смог логинится в домен, но при условии что у меня
> этот
> > узер находится в smbpasswd и LDAP одновременно.
> Именно так. Машинный аккаунт должен быть с "$" на конце.
> Почитай "man
> smbpasswd" на тему ключей -m -j -r -U. В Самбовой доке все
> подробно
> описано, кстати, она (дока) доступна через swat.
Почитаю.
> Насчет правки реестра - ХЗ, я XP в глаза не видел, в NT
> кажется что-то
> правил на тему шифрования паролей.
Это и 3 самбе тоже такое телодвижение надо делать для доступа NT
и XP в домен самбы ?
То есть сразу с пылу с жару при установке NT подобных машин в
домен не попасть (не удобно однако :( )
> > Можно ли не использовать smbpasswd совсем ?
> Легко! Нужно только собрать Самбу с поддержкой LDAP. :-)
Ты имемешь в виду надо копмилироовать самбу --withldap?
или можно обойтись библиотекой PAM_LDAP ?
^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM
2003-07-23 7:59 ` Dmitriy Gnidchenko
@ 2003-07-23 8:36 ` BSW
2003-07-23 8:54 ` Dmitriy Gnidchenko
0 siblings, 1 reply; 23+ messages in thread
From: BSW @ 2003-07-23 8:36 UTC (permalink / raw)
To: community
Dmitriy Gnidchenko пишет:
> Это и 3 самбе тоже такое телодвижение надо делать для доступа NT
> и XP в домен самбы ?
> То есть сразу с пылу с жару при установке NT подобных машин в
> домен не попасть (не удобно однако :( )
В смысле заводить аккаунты? Да, надо. Если лень ручками, то почитай на
тему useradd-скриптов (кажется так оно звалось...).
> Ты имемешь в виду надо копмилироовать самбу --withldap?
> или можно обойтись библиотекой PAM_LDAP ?
Я имею в виду --withldap, тогда Самба забудет о файле smbpasswd, и
полезет в LDAP. Но smbpasswd -a username все равно делать надо. Можно
вручную, а можно и скриптами...
^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM
2003-07-23 8:36 ` BSW
@ 2003-07-23 8:54 ` Dmitriy Gnidchenko
2003-07-24 3:20 ` BSW
0 siblings, 1 reply; 23+ messages in thread
From: Dmitriy Gnidchenko @ 2003-07-23 8:54 UTC (permalink / raw)
To: community
On Wed, 23 Jul 2003, BSW wrote:
> Dmitriy Gnidchenko пишет:
> > Это и 3 самбе тоже такое телодвижение надо делать для
> доступа NT
> > и XP в домен самбы ?
> > То есть сразу с пылу с жару при установке NT подобных машин
> в
> > домен не попасть (не удобно однако :( )
> В смысле заводить аккаунты? Да, надо. Если лень ручками, то
> почитай на
> тему useradd-скриптов (кажется так оно звалось...).
Нет я не про это, а про тему правки реестра на XP NT W2K.
Узера должен добавлять Админ домена, а не уборщица (это
правильная политика) :), так что относительно добавление
аккаунтов у меня воспросов нет.
> > Ты имемешь в виду надо копмилироовать самбу --withldap?
> > или можно обойтись библиотекой PAM_LDAP ?
> Я имею в виду --withldap, тогда Самба забудет о файле
> smbpasswd, и полезет в LDAP.
> Но smbpasswd -a username все равно делать
> надо. Можно вручную, а можно и скриптами...
Тогда я что то не сооброжу Если Самба забудет о файле smbpasswd,
то кому он будет нужен?
^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM
2003-07-23 8:54 ` Dmitriy Gnidchenko
@ 2003-07-24 3:20 ` BSW
2003-07-24 6:35 ` Dmitriy Gnidchenko
0 siblings, 1 reply; 23+ messages in thread
From: BSW @ 2003-07-24 3:20 UTC (permalink / raw)
To: community
Dmitriy Gnidchenko пишет:
> Нет я не про это, а про тему правки реестра на XP NT W2K.
Я мог что-то забыть, но в w2k я реестр не трогал, да и в NT не всегда...
Попробуй, может и так заведется...
> Тогда я что то не сооброжу Если Самба забудет о файле smbpasswd,
> то кому он будет нужен?
_Файл_ smbpasswd (man 5 smbpasswd) действительно будет не нужен, вся
информация о юзерах будет лежать в LDAP-е. Но _команда_ smbpasswd (man 8
smbpasswd) лишней не станет, именно она и будет рулить Самбовыми юзерами
в LDAP-е.
^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM
2003-07-24 3:20 ` BSW
@ 2003-07-24 6:35 ` Dmitriy Gnidchenko
2003-07-25 3:23 ` BSW
0 siblings, 1 reply; 23+ messages in thread
From: Dmitriy Gnidchenko @ 2003-07-24 6:35 UTC (permalink / raw)
To: community
On Thu, 24 Jul 2003, BSW wrote:
> Dmitriy Gnidchenko пишет:
> > Нет я не про это, а про тему правки реестра на XP NT W2K.
> Я мог что-то забыть, но в w2k я реестр не трогал, да и в NT не
> всегда...
> Попробуй, может и так заведется...
Это я попрообую, пока что мамшины другой нет под рукой.
> > Тогда я что то не сооброжу Если Самба забудет о файле
> smbpasswd,
> > то кому он будет нужен?
> _Файл_ smbpasswd (man 5 smbpasswd) действительно будет не
> нужен, вся
> информация о юзерах будет лежать в LDAP-е. Но _команда_
> smbpasswd (man 8
> smbpasswd) лишней не станет, именно она и будет рулить
> Самбовыми юзерами в LDAP-е.
А...
то есть при использовании команды smbpasswd, она (команда)
будет работать уже с базой LDAP ?
Тогда вроде вссе становится на свои места.
^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM
2003-07-24 6:35 ` Dmitriy Gnidchenko
@ 2003-07-25 3:23 ` BSW
2003-07-25 7:10 ` Dmitriy Gnidchenko
0 siblings, 1 reply; 23+ messages in thread
From: BSW @ 2003-07-25 3:23 UTC (permalink / raw)
To: community
Dmitriy Gnidchenko пишет:
> А...
> то есть при использовании команды smbpasswd, она (команда)
> будет работать уже с базой LDAP ?
Конечно. А иначе зачем все это?
^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM
2003-07-25 3:23 ` BSW
@ 2003-07-25 7:10 ` Dmitriy Gnidchenko
2003-07-25 11:18 ` BSW
0 siblings, 1 reply; 23+ messages in thread
From: Dmitriy Gnidchenko @ 2003-07-25 7:10 UTC (permalink / raw)
To: community
On Fri, 25 Jul 2003, BSW wrote:
> Dmitriy Gnidchenko пишет:
> > А...
> > то есть при использовании команды smbpasswd, она (команда)
> > будет работать уже с базой LDAP ?
> Конечно. А иначе зачем все это?
:)
Да к стати всех с Праздником Системного Администратора!!!
На данный момент если не пересобирать Samba с поддержкой LDAP
то pam_ldap совершенно не уперся для самбы
он ни как не завязан на PAM для паролей, а работает только с
smbpaswd.
В какой-то степени это уже не играет большой роли, так как все
узера за счет nsswitch лежат в LDAP и самба берет их от туда и
заносит к себе в файл (немного разбросано получается но жить
можно)
Если говорть о SWAT, то он может нормально использовать pam_ldap
В общем ждем когда будет Самба с поддержкой LDAP.
Тогда можно и говорить о одном месте хранения данных
(узера и пароли)
Огромно спасибо за разъяснение и помощь!!!
Regards, Dmitriy
savithur@avatar.spb.ru
^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM
2003-07-25 7:10 ` Dmitriy Gnidchenko
@ 2003-07-25 11:18 ` BSW
2003-07-25 11:37 ` Dmitriy Gnidchenko
0 siblings, 1 reply; 23+ messages in thread
From: BSW @ 2003-07-25 11:18 UTC (permalink / raw)
To: community
Dmitriy Gnidchenko пишет:
> Да к стати всех с Праздником Системного Администратора!!!
[skiped]
> Огромно спасибо за разъяснение и помощь!!!
На радостях не упейся вусмерть! Кто в понедельник будет поднимать
разгромленную систему? :-)))
^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM
2003-07-25 11:18 ` BSW
@ 2003-07-25 11:37 ` Dmitriy Gnidchenko
0 siblings, 0 replies; 23+ messages in thread
From: Dmitriy Gnidchenko @ 2003-07-25 11:37 UTC (permalink / raw)
To: community
On Fri, 25 Jul 2003, BSW wrote:
> Dmitriy Gnidchenko пишет:
> > Да к стати всех с Праздником Системного Администратора!!!
> [skiped]
> > Огромно спасибо за разъяснение и помощь!!!
>
> На радостях не упейся вусмерть! Кто в понедельник будет
> поднимать
> разгромленную систему? :-)))
тьфу-тьфу-тьфу
От греха подальше пойду пьянствовать в другое место.
Там другой админ и железа поменьше :о))
Так что сведем потери к минимуму :))))
Regards, Dmitriy
savithur@avatar.spb.ru
^ permalink raw reply [flat|nested] 23+ messages in thread
end of thread, other threads:[~2003-07-25 11:37 UTC | newest]
Thread overview: 23+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-07-21 14:01 [Comm] LDAP Samba PAM Dmitriy Gnidchenko
2003-07-21 14:17 ` Maxim Tyurin
2003-07-21 18:00 ` Dmitriy Gnidchenko
2003-07-22 3:06 ` BSW
2003-07-22 6:50 ` Dmitriy Gnidchenko
2003-07-22 8:01 ` BSW
2003-07-22 8:35 ` Dmitriy Gnidchenko
2003-07-22 10:49 ` BSW
2003-07-22 11:39 ` Dmitriy Gnidchenko
2003-07-22 12:38 ` BSW
2003-07-22 13:31 ` Dmitriy Gnidchenko
2003-07-23 5:51 ` BSW
2003-07-23 6:32 ` Dmitriy Gnidchenko
2003-07-23 7:35 ` BSW
2003-07-23 7:59 ` Dmitriy Gnidchenko
2003-07-23 8:36 ` BSW
2003-07-23 8:54 ` Dmitriy Gnidchenko
2003-07-24 3:20 ` BSW
2003-07-24 6:35 ` Dmitriy Gnidchenko
2003-07-25 3:23 ` BSW
2003-07-25 7:10 ` Dmitriy Gnidchenko
2003-07-25 11:18 ` BSW
2003-07-25 11:37 ` Dmitriy Gnidchenko
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git