[sisyphus] Samba 2.2.1a-alt8

[sisyphus] Samba 2.2.1a-alt8

[Alexander Bokovoy]

Доброго времени суток!

alt8 заливается в altair:/user/INCOMING/ab/ в виде src.rpm
В этой версии Winbind наконец _работает_. 

-- 
/ Alexander Bokovoy
$ cat /proc/identity >~/.signature
  `Senior software developer and analyst for SaM-Solutions Ltd.`
---
I've read SEVEN MILLION books!!

Re: [sisyphus] Samba 2.2.1a-alt8

[cornet]

Alexander Bokovoy wrote:
> 
> Доброго времени суток!
> 
> alt8 заливается в altair:/user/INCOMING/ab/ в виде src.rpm
> В этой версии Winbind наконец _работает_.

Ну только я собрался писать отчет о том как классно работает
winbind в alt5 как вдруг выяснилось что он оказывается вовсе и не
работал :-(_)) то есть я жутко лоханулся... :-))

Значит это были еще цветочки, а ягодки завтра скачаем!?
Ну ну... потестируем, по крайней мере сегодня от alt5 впечатление
было очень приятное :-))

-- 
******** FIRE & STEEL ********

Re: [sisyphus] Samba 2.2.1a-alt8

[Alexander Bokovoy]

On Mon, Aug 13, 2001 at 10:18:03PM +0400, cornet wrote:
> Alexander Bokovoy wrote:
> > 
> > Доброго времени суток!
> > 
> > alt8 заливается в altair:/user/INCOMING/ab/ в виде src.rpm
> > В этой версии Winbind наконец _работает_.
> 
> Ну только я собрался писать отчет о том как классно работает
> winbind в alt5 как вдруг выяснилось что он оказывается вовсе и не
> работал :-(_)) то есть я жутко лоханулся... :-))
> 
> Значит это были еще цветочки, а ягодки завтра скачаем!?
> Ну ну... потестируем, по крайней мере сегодня от alt5 впечатление
> было очень приятное :-))
Ягодки будут обязательно. Сегодня мне удалось-таки запустить login с
авторизацией от PDC и отсутствием необходимости обязательно указывать
домен в имени. Уф. :-)

-- 
/ Alexander Bokovoy
$ cat /proc/identity >~/.signature
  `Senior software developer and analyst for SaM-Solutions Ltd.`
---
Tact, n.:
	The unsaid part of what you're thinking.

Re: [sisyphus] Samba 2.2.1a-alt8

[Alexander Bokovoy]

On Tue, Aug 14, 2001 at 11:53:38AM +0400, cornet wrote:
> Alexander Bokovoy wrote:
> > 
> > On Mon, Aug 13, 2001 at 10:18:03PM +0400, cornet wrote:
> > > Alexander Bokovoy wrote:
> > > >
> > > > Доброго времени суток!
> > > >
> > > > alt8 заливается в altair:/user/INCOMING/ab/ в виде src.rpm
> > > > В этой версии Winbind наконец _работает_.
> > >
> > > Ну только я собрался писать отчет о том как классно работает
> > > winbind в alt5 как вдруг выяснилось что он оказывается вовсе и не
> > > работал :-(_)) то есть я жутко лоханулся... :-))
> > >
> > > Значит это были еще цветочки, а ягодки завтра скачаем!?
> > > Ну ну... потестируем, по крайней мере сегодня от alt5 впечатление
> > > было очень приятное :-))
> > Ягодки будут обязательно. Сегодня мне удалось-таки запустить login с
> > авторизацией от PDC и отсутствием необходимости обязательно указывать
> > домен в имени. Уф. :-)
> 
> Гм.. а я и сейчас его не указываю, только имя юзера и все, и
> отлично монтируется :-)
Потому что этот патч я прикладывал изначально. :-) Но дело не только в
нем. Вы пробовали войти в систему с консоли, используя имя пользователя и
пароль из домена? Естественно, настроив /etc/pam.d/login для работы через
winbindd? Вот в этом и крылась вся тайна. Аналогично и с другими
сервисами. Монтирование -- это мелочь, это и без Winbindd работает :-)

> К сожалению я до сих пор не наблюдаю alt8 на ftp://altlinux.ru ни
> бинарниками ни сырцами.
> Слил alt6 пока что, и поставил.
> 
> Накопились некоторые соображения на тему winbind, хотелось бы
> поделиться...
> 
> 1. Все же я ожидал бОльшего :-/ но это лирика. По факту - winbind
> это огромный шаг вперед в деле дальнейшей интеграции с маздаями.
Большее Вы увидите в alt8 -- единый источник информации о пользователях в
сети для большинства сервисов, как только Вы настроите PAM. Естественно,
например, делать допуск в систему через ssh с авторизацией в домене Windows NT/2000
достаточно небезопасно, но эффектно. :-)

> 2. Хотелось бы, что бы winbindd был все же оформлен скриптами для
> /etc/rc.d/init.d как всякий уважающий себя сервис. Что бы я мог
> спокойно сказать
> $service winbind start/stop/status
> а не грубо килять его или стартовать из шелла. Причем легко можно
> нечаянно запустить вторую третью... энную копию winbindd в
> памяти, что не есть хорошо.
> Как альтернативный вариант - вписать запуск и останов winbindd в
> /etc/rc.d/init.d/smb что бы он поднимался/опускался вместе с
> Самбой. Поскольку эта фича нужна далеко не всем, то по дефалту
> эти строки можно заремарить, кому надо - ремарки уберет.
В alt8 есть такой скрипт /etc/init.d/winbind, он смотрит на существование
/etc/samba/smb.conf и наличие в /etc/nsswitch.conf упоминаний о Winbind и
запускается только в случае, если они там наблюдаются.

> 3. К сожалению текущая версия, прекрасно отображающая доменных
> юзеров и группы на локальную fs не замусоривая при этом
> /etc/passwd, не отображает текущий статус наружу :-(( И это очень
> прескорбно...
> Поясню. Вот моя тачка "SMART" к ней залогинился доменный админ с
> другой тачки.
> 
> [root@smart samba]# smbstatus
> INFO: Debug class all level = 3   (pid 1941 from pid 1941)
> Processing section "[homes]"
> Processing section "[printers]"
> Processing section "[print$]"
> Processing section "[public]"
>  
> Samba version 2.2.1
> Service      uid      gid      pid     machine
> ----------------------------------------------
> public       TRADER+Administrator TRADER+Domain Admins  1913  
> back     (192.168.254.7) Tue Aug 14 11:24:24 2001
>  
> No locked files
>  
> [root@smart samba]#
> При этом, если посмотреть на SMART с внешней NT4 машины, запустив
> СерверМенеджер Srvmgr.exe, то в отличие от натуральных NT4 машин,
> Самба не расскажет админу домена о существующих подключениях и
> юзерах висящих на сервисах, что очень обидно.
> Картинка аттачед.
Увы, не знаю, что тут можно сейчас сделать.

> 
> 4. Текущая версия winbind состоит в очень сложных отношениях с
> директивой smb.conf
> [global]
> add user script = 
> пришлось ее отключить и как следствие - накрылось автосоздание
> хоумников доменных юзверей, хотя и не очень то хотелось :-)
> Суть этих сложных отншений мною пока что не выяснена. Если будут
> какие то разьяснения - буду очень признателен.
Должна нормально работать, хотя не тестировал, но в samba-ntdom никто по
этому поводу в прошедшие два месяца не ругался.

-- 
/ Alexander Bokovoy
$ cat /proc/identity >~/.signature
  `Senior software developer and analyst for SaM-Solutions Ltd.`
---
He who lives without folly is less wise than he believes.

Re: [sisyphus] Samba 2.2.1a-alt8

[cornet]

Alexander Bokovoy wrote:
> 
skip.

> > Гм.. а я и сейчас его не указываю, только имя юзера и все, и
> > отлично монтируется :-)
> Потому что этот патч я прикладывал изначально. :-) Но дело не только в
> нем. Вы пробовали войти в систему с консоли, используя имя пользователя и
> пароль из домена? Естественно, настроив /etc/pam.d/login для работы через
> winbindd? Вот в этом и крылась вся тайна. Аналогично и с другими
> сервисами. Монтирование -- это мелочь, это и без Winbindd работает :-)

PAM настроил разумеется, но логиниться да же не пытался. У меня
как то да же такой мысли не возникло :-))
 
skip.
> Большее Вы увидите в alt8 -- единый источник информации о пользователях в
> сети для большинства сервисов, как только Вы настроите PAM. Естественно,
> например, делать допуск в систему через ssh с авторизацией в домене Windows NT/2000
> достаточно небезопасно, но эффектно. :-)

Ну ssh авторизацию через домен мне не нать, но ежели будут какие
то инструкции по настройке PAM в свете использования winbind -
буду весьма признателен. А то в документации как то на эту тему
пустовато.
 
skip.
> В alt8 есть такой скрипт /etc/init.d/winbind, он смотрит на существование
> /etc/samba/smb.conf и наличие в /etc/nsswitch.conf упоминаний о Winbind и
> запускается только в случае, если они там наблюдаются.

О! А вот это грамотно! Отлично, это именно то, что надо :-)
 
> > 3. К сожалению текущая версия, прекрасно отображающая доменных
> > юзеров и группы на локальную fs не замусоривая при этом
> > /etc/passwd, не отображает текущий статус наружу :-(( И это очень
> > прескорбно...
skip.
> > Самба не расскажет админу домена о существующих подключениях и
> > юзерах висящих на сервисах, что очень обидно.
> > Картинка аттачед.
> Увы, не знаю, что тут можно сейчас сделать.

То есть эта функциональность пока что не реализована в принципе.
Я правильно понимаю?
 
> > 4. Текущая версия winbind состоит в очень сложных отношениях с
> > директивой smb.conf
> > [global]
> > add user script =
> > пришлось ее отключить и как следствие - накрылось автосоздание
> > хоумников доменных юзверей, хотя и не очень то хотелось :-)
> > Суть этих сложных отншений мною пока что не выяснена. Если будут
> > какие то разьяснения - буду очень признателен.
> Должна нормально работать, хотя не тестировал, но в samba-ntdom никто по
> этому поводу в прошедшие два месяца не ругался.

Ну значит все дело в локальной криворукости :-) Буду разбираться
дальше.

Жду появления alt8 в Сизифе...

-- 
******** FIRE & STEEL ********

Re: [sisyphus] Samba 2.2.1a-alt8

[Alexander Bokovoy]

On Tue, Aug 14, 2001 at 12:39:17PM +0400, cornet wrote:
> Alexander Bokovoy wrote:
> > 
> skip.
> 
> > > Гм.. а я и сейчас его не указываю, только имя юзера и все, и
> > > отлично монтируется :-)
> > Потому что этот патч я прикладывал изначально. :-) Но дело не только в
> > нем. Вы пробовали войти в систему с консоли, используя имя пользователя и
> > пароль из домена? Естественно, настроив /etc/pam.d/login для работы через
> > winbindd? Вот в этом и крылась вся тайна. Аналогично и с другими
> > сервисами. Монтирование -- это мелочь, это и без Winbindd работает :-)
> 
> PAM настроил разумеется, но логиниться да же не пытался. У меня
> как то да же такой мысли не возникло :-))
Дело в том, что это и есть основная задача, ради которой Winbind был
придуман -- иметь единую базу авторизации для Юникс и Windows, позволяя
пользователям свободно перемещаться между системами и выполнять
необходимые задачи.

> Ну ssh авторизацию через домен мне не нать, но ежели будут какие
> то инструкции по настройке PAM в свете использования winbind -
> буду весьма признателен. А то в документации как то на эту тему
> пустовато.
Возьмите пример из winbindd(8), он точно описывает то, что нужно делать.

> > > юзерах висящих на сервисах, что очень обидно.
> > > Картинка аттачед.
> > Увы, не знаю, что тут можно сейчас сделать.
> 
> То есть эта функциональность пока что не реализована в принципе.
> Я правильно понимаю?
Не совсем. Я не залазил так глубоко еще. Задачи нашего продукта
(www.applianceware.com) этой функциональности не требуют.

-- 
/ Alexander Bokovoy
$ cat /proc/identity >~/.signature
  `Senior software developer and analyst for SaM-Solutions Ltd.`
---
Keep your laws off my body!

Re: [sisyphus] Samba 2.2.1a-alt8

[cornet]

Alexander Bokovoy wrote:
> 
skip.
> Дело в том, что это и есть основная задача, ради которой Winbind был
> придуман -- иметь единую базу авторизации для Юникс и Windows, позволяя
> пользователям свободно перемещаться между системами и выполнять
> необходимые задачи.

Честно говоря, я да же не предполагал что это так глобально
задумано!
 
skip.
> Возьмите пример из winbindd(8), он точно описывает то, что нужно делать.

Именно им и пользовался :-)

В таком случае не могли бы Вы подробнее разъяснить, что означает
следующий фрагмент мана:
EXAMPLE SETUP
.....
..... 
       In /etc/pam.d/* replace the auth lines with something like
this:
 
       auth       required /lib/security/pam_securetty.so
       auth       required /lib/security/pam_nologin.so
       auth       sufficient    /lib/security/pam_winbind.so
       auth       required     /lib/security/pam_pwdb.so
use_first_pass shadow nullok
 
       Note   in   particular   the   use  of  the  sufficient 
keyword  and  the
       use_first_pass keyword. 

вот это In /etc/pam.d/* мне не совсем ясно :-(

skip.
> Не совсем. Я не залазил так глубоко еще. Задачи нашего продукта
> (www.applianceware.com) этой функциональности не требуют.

Ну дизайн наворотили!!! Весьма технологичненько :-)
Прям сразу вспомнился старый добрый сайт IPLabsLinuxTeam :-))
А если серьезно - это надо вдумчиво читать, как будет перерывчик
- обязательно проштудирую...

-- 
******** FIRE & STEEL ********

Re: [sisyphus] Samba 2.2.1a-alt8

[Alexander Bokovoy]

On Tue, Aug 14, 2001 at 01:05:43PM +0400, cornet wrote:
> > Возьмите пример из winbindd(8), он точно описывает то, что нужно делать.
> 
> Именно им и пользовался :-)
> 
> В таком случае не могли бы Вы подробнее разъяснить, что означает
> следующий фрагмент мана:
> EXAMPLE SETUP
> .....
> ..... 
>        In /etc/pam.d/* replace the auth lines with something like
> this:
>  
>        auth       required /lib/security/pam_securetty.so
>        auth       required /lib/security/pam_nologin.so
>        auth       sufficient    /lib/security/pam_winbind.so
>        auth       required     /lib/security/pam_pwdb.so
> use_first_pass shadow nullok
>  
>        Note   in   particular   the   use  of  the  sufficient 
> keyword  and  the
>        use_first_pass keyword. 
> 
> вот это In /etc/pam.d/* мне не совсем ясно :-(
Это означает: "Возьмите любую из нужных вам служб в /etc/pam.d/ и внесите
в нее указанные изменения". Например, у меня login вот такой
#%PAM-1.0
auth    required        /lib/security/pam_securetty.so
auth    required        /lib/security/pam_nologin.so
auth    sufficient      /lib/security/pam_winbind.so 
auth    required        /lib/security/pam_pwdb.so use_first_pass shadow nullok
account required        /lib/security/pam_winbind.so debug
password        sufficient      /lib/security/pam_winbind.so 
password        required        /lib/security/pam_stack.so service=system-auth
session required        /lib/security/pam_stack.so service=system-auth
session optional        /lib/security/pam_console.so

> 
> skip.
> > Не совсем. Я не залазил так глубоко еще. Задачи нашего продукта
> > (www.applianceware.com) этой функциональности не требуют.
> 
> Ну дизайн наворотили!!! Весьма технологичненько :-)
> Прям сразу вспомнился старый добрый сайт IPLabsLinuxTeam :-))
> А если серьезно - это надо вдумчиво читать, как будет перерывчик
> - обязательно проштудирую...
Это никакого отношения к ALT Linux и IPLabs Linux team не имеет. :-)
Однако американцы, действительно, весьма неплохо сайт оформили.
-- 
/ Alexander Bokovoy
$ cat /proc/identity >~/.signature
  `Senior software developer and analyst for SaM-Solutions Ltd.`
---
Man has made his bedlam; let him lie in it.
		-- Fred Allen

Re: [sisyphus] Samba 2.2.1a-alt8

[cornet]

Alexander Bokovoy wrote:
> 
skip.
> Это означает: "Возьмите любую из нужных вам служб в /etc/pam.d/ и внесите
> в нее указанные изменения". Например, у меня login вот такой
> #%PAM-1.0
> auth    required        /lib/security/pam_securetty.so
> auth    required        /lib/security/pam_nologin.so
> auth    sufficient      /lib/security/pam_winbind.so
> auth    required        /lib/security/pam_pwdb.so use_first_pass shadow nullok
> account required        /lib/security/pam_winbind.so debug
> password        sufficient      /lib/security/pam_winbind.so
> password        required        /lib/security/pam_stack.so service=system-auth
> session required        /lib/security/pam_stack.so service=system-auth
> session optional        /lib/security/pam_console.so

Во! Теперь я понял в каком направлении надо копать. Спасибо :-)

> >
> > skip.
> > > Не совсем. Я не залазил так глубоко еще. Задачи нашего продукта
> > > (www.applianceware.com) этой функциональности не требуют.
> >
> > Ну дизайн наворотили!!! Весьма технологичненько :-)
> > Прям сразу вспомнился старый добрый сайт IPLabsLinuxTeam :-))
> > А если серьезно - это надо вдумчиво читать, как будет перерывчик
> > - обязательно проштудирую...
> Это никакого отношения к ALT Linux и IPLabs Linux team не имеет. :-)

Ну эт понятно :-)) , просто стиль оформления вызвал определенные
ассоциации...

> Однако американцы, действительно, весьма неплохо сайт оформили.

Угу, хотя конечно тяжеловато получилось - странички грузятся
долго.

-- 
******** FIRE & STEEL ********

Re: [sisyphus] Samba 2.2.1a-alt8

[Alexander Bokovoy]

On Tue, Aug 14, 2001 at 01:20:20PM +0400, cornet wrote:
> > Это никакого отношения к ALT Linux и IPLabs Linux team не имеет. :-)
> 
> Ну эт понятно :-)) , просто стиль оформления вызвал определенные
> ассоциации...
> 
> > Однако американцы, действительно, весьма неплохо сайт оформили.
> 
> Угу, хотя конечно тяжеловато получилось - странички грузятся
> долго.
Дык, их заказчики чай не на диалапе сидят :-)
-- 
/ Alexander Bokovoy
$ cat /proc/identity >~/.signature
  `Senior software developer and analyst for SaM-Solutions Ltd.`
---
I'd give my right arm to be ambidextrous.

Re: [sisyphus] Samba 2.2.1a-alt8

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 2186 bytes --]

On Tue, Aug 14, 2001 at 12:17:03PM +0300, Alexander Bokovoy wrote:
> > вот это In /etc/pam.d/* мне не совсем ясно :-(
> Это означает: "Возьмите любую из нужных вам служб в /etc/pam.d/ и внесите
> в нее указанные изменения". Например, у меня login вот такой
> #%PAM-1.0
> auth    required        /lib/security/pam_securetty.so
> auth    required        /lib/security/pam_nologin.so
> auth    sufficient      /lib/security/pam_winbind.so 
> auth    required        /lib/security/pam_pwdb.so use_first_pass shadow nullok

И эта строка работает???
Насколько я понимаю, при использовании blowfish рута в систему не пустят
с такой конфигурацией.

> account required        /lib/security/pam_winbind.so debug
> password        sufficient      /lib/security/pam_winbind.so 
> password        required        /lib/security/pam_stack.so service=system-auth
> session required        /lib/security/pam_stack.so service=system-auth
> session optional        /lib/security/pam_console.so

Я ничего не знаю про winbindd, но трогать /etc/pam.d/login, скорее всего,
НЕ НАДО. Вместо этого, исходя из логики pam_stack, следует поправить файл
/etc/pam.d/system-auth:

--- /etc/pam.d/system-auth~
+++ /etc/pam.d/system-auth
@@ -1,9 +1,12 @@
 #%PAM-1.0
 # This file is auto-generated.
+auth	sufficient	/lib/security/pam_winbind.so
 auth	sufficient	/lib/security/pam_unix.so likeauth nullok blowfish shadow
 auth	required	/lib/security/pam_deny.so
+account sufficient	/lib/security/pam_winbind.so debug
 account	sufficient	/lib/security/pam_unix.so
 account	required	/lib/security/pam_deny.so
+password	sufficient	/lib/security/pam_winbind.so
 password	required	/lib/security/pam_cracklib.so retry=3
 password	sufficient	/lib/security/pam_unix.so nullok use_authtok blowfish shadow
 password	required	/lib/security/pam_deny.so


Regards,
	Dmitry

+-------------------------------------------------------------------------+
Dmitry V. Levin     mailto://ldv@alt-linux.org
ALT Linux Team      http://www.altlinux.ru/
Fandra Project      http://www.fandra.org/
+-------------------------------------------------------------------------+
UNIX is user friendly. It's just very selective about who its friends are.

[-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --]

Re: [sisyphus] Samba 2.2.1a-alt8

[Alexander Bokovoy]

On Tue, Aug 14, 2001 at 01:28:08PM +0400, Dmitry V. Levin wrote:
> On Tue, Aug 14, 2001 at 12:17:03PM +0300, Alexander Bokovoy wrote:
> > > вот это In /etc/pam.d/* мне не совсем ясно :-(
> > Это означает: "Возьмите любую из нужных вам служб в /etc/pam.d/ и внесите
> > в нее указанные изменения". Например, у меня login вот такой
> > #%PAM-1.0
> > auth    required        /lib/security/pam_securetty.so
> > auth    required        /lib/security/pam_nologin.so
> > auth    sufficient      /lib/security/pam_winbind.so 
> > auth    required        /lib/security/pam_pwdb.so use_first_pass shadow nullok
> 
> И эта строка работает???
> Насколько я понимаю, при использовании blowfish рута в систему не пустят
> с такой конфигурацией.
Работает. Дима, пойми это же тестирование было, это не production.

 
> > account required        /lib/security/pam_winbind.so debug
> > password        sufficient      /lib/security/pam_winbind.so 
> > password        required        /lib/security/pam_stack.so service=system-auth
> > session required        /lib/security/pam_stack.so service=system-auth
> > session optional        /lib/security/pam_console.so
> 
> Я ничего не знаю про winbindd, но трогать /etc/pam.d/login, скорее всего,
> НЕ НАДО. Вместо этого, исходя из логики pam_stack, следует поправить файл
> /etc/pam.d/system-auth:
Это правильнее, наверное. Учтем.



-- 
/ Alexander Bokovoy
$ cat /proc/identity >~/.signature
  `Senior software developer and analyst for SaM-Solutions Ltd.`
---
If at first you fricasee, fry, fry again.

Re: [sisyphus] Samba 2.2.1a-alt8

[cornet]

Alexander Bokovoy wrote:
> 
> Доброго времени суток!
> 
> alt8 заливается в altair:/user/INCOMING/ab/ в виде src.rpm
> В этой версии Winbind наконец _работает_.
> 

Поставил subj. , внимательно прочел Changelog и многое из него
понял :-)
Разбираюсь помаленьку....

Есть одно пожелание:
Пакет samba-2.2.1a-alt8.i586.rpm несет в себе swat и
устанавливает пускач к нему в /etc/xinetd.d .
Однако, у меня по каким то причинам (видимо криворукость и
раздолбайство) в файле /etc/services потерялось упоминание о
swat, в результате xinetd законно ругается и swat не работает. Я
его ручками в services вписал - разумеется заработало.

Хотелось бы, что бы скрипт POSTIN проверял при установке наличие
упоминания swat в services и правильность номера порта, и если
его там нету - вписывал. ИМХО, так оно будет гораздо портабельнее
и надежнее :-))



-- 
******** FIRE & STEEL ********