From: "Alexey Shabalin" <a.shabalin@gmail.com> To: "ALT Linux sysadmin discuss" <sysadmins@lists.altlinux.org> Subject: Re: [Sysadmins] ALD 4.0 как Active Directory member win2003 Date: Wed, 24 Oct 2007 15:21:23 +0400 Message-ID: <b966c1e40710240421w7880197ara4f1f61ca7571fb0@mail.gmail.com> (raw) In-Reply-To: <471DCD52.2020704@mail.ru> > Граждане админы, прошу вашей помощи и совета в настройке ALD 4.0 Desktop > как члена актив директори win 2003. Многое сделано мной в этом > направлении и застрял я на настройке nsswitch.conf и файлов в /etc/pam.d > > Конечная задача - залогиниться на машине с линукс пользователем Active > Directory > > конфиги: > > /etc/samba/smb.conf > > [global] > workgroup = KPK > netbios name = IT04 > server string = Samba server on %h (v. %v) > security = ads > password server = 192.168.0.206 при нармально настроеном krb5 можно сделать password server = * (лучше после введения машины в домен) > realm = KPK.LOCAL > encrypt passwords = yes > winbind uid = 10000-20000 > winbind gid = 10000-20000 > winbind enum users = yes > winbind enum groups = yes > winbind use default domain = yes > winbind separator = @ Зачем все меняют сепаратор. чем вас \ не устраивает? потом сами будете мучатся почему DOMAIN\user не проходит > allow trusted domains = no > template homedir = /home/%D/%U Не забудьте для пользователя домена создать эту директорию (либо исподбзовать для pam - mk_home - как-то так, не помню точно) > template shell = /bin/bash > > dos charset = CP866 > unix charset = CP1251 > display charset = CP1251 используйте utf-8 - посмотрите в дефолтной настройке > > printcap name = cups > load printers = yes > printing = cups > > log level = 1 > syslog = 0 > log file = /var/log/samba/log.%m > max log size = 500 > > socket options = TCP_NODELAY > ------------------------------------------------ > /etc/krb5.conf > > [logging] > default = FILE:/var/log/krb5libs.log > kdc = FILE:/var/log/krb5kdc.log > admin_server = FILE:/var/log/kadmind.log > > [libdefaults] > ticket_lifetime = 24000 > default_realm = KPK.LOCAL > dns_lookup_realm = false > dns_lookup_kdc = no Я использую dns для поиска kdc, и думаю это нормально :) можете поменять на true. Естественно dns должны быть настроены :) > [realms] > KPK.LOCAL = { > kdc = xserver.kpk.local добавьте ещё admin_server = xserver.kpk.local default_domain = kpk.local > } > > [domain_realm] > .kpk.local = KPK.LOCAL > kpk.local = KPK.LOCAL > > [kdc] > profile = /var/lib/kerberos/krb5kdc/kdc.conf > > [pam] > debug = false > ticket_lifetime = 36000 > renew_lifetime = 36000 > forwardable = true > krb4_convert = false > > Тикеты выдаются: > # klist > Ticket cache: FILE:/tmp/krb5cc_0 > Default principal: kudashev@KPK.LOCAL > > Valid starting Expires Service principal > 10/23/07 12:35:58 10/23/07 19:15:58 krbtgt/KPK.LOCAL@KPK.LOCAL > > ------------------------------------------------ > winbind настроен и, вроде, работает: > > [root@IT04 etc]# wbinfo -p > Ping to winbindd succeeded on fd 6 > [root@IT04 etc]# wbinfo -t > checking the trust secret via RPC calls succeeded > [root@IT04 etc]# wbinfo -u > administrator > guest > support_388945a0 > krbtgt > kudashev > iserver > [root@IT04 etc]# wbinfo -g > BUILTIN@administrators > BUILTIN@users > helpservicesgroup > telnetclients > ?????????? ?????? > ??????????? ?????? > ?????????????? ????? > ?????????????? ??????????? > ???????? ???????????? > ?????????????? ?????? > ???????????? ?????? > ????? ?????? > ?????????-????????? ????????? ???????? > ??????? ras ? ias > dnsadmins > dnsupdateproxy > Тут тоже беда, не знаю, как прочитать русские символы (может есть у кого > решение?). а вы смотрите от пользователя. у root локаль POSIX. (делаю вывод что машину в домен вы уже ввели) > Далее по мануалам надо править nswitch.conf > > passwd: files winbind > #shadow: files winbind tcb nis nisplus > group: files winbind > hosts: files dns winbind А куда tcb выкинул? поосторожней с этим. у меня так passwd: files winbind shadow: tcb files group: files winbind > с nsswitch вопросов два: > 1. надо ли править строчку shadow и hosts или достаточно passwd и group? > 2. после исправления shadow на указанное выше пропадает возможность > логиниться под локальными пользователями+root (может, это от > ненастроенного PAM?). > ------------- > PAM. > По данному поводу я вообще в ступоре. В некоторых статьях и how-to > говориться надо править только kde в /etc/pam.d, в некоторых только > login, в некоторых несколько файлов. Мне надо логиниться в графическом > режиме, посему нужен совет, какие файлы править (может, примерчик есть)? > > Очень надеюсь на вашу помощь, в samba@ отвечают редко. у меня так: в system-auth-winbind - им можно заменить system-auth (можно симлинками разрулить) #%PAM-1.0 auth required pam_securetty.so auth required pam_nologin.so auth sufficient pam_winbind.so debug #auth include system-auth-use_first_pass account sufficient pam_winbind.so debug #account include system-auth password sufficient pam_winbind.so debug #password include system-auth-use_first_pass # We use pam_mkhomedir to create home dirs for incoming domain users # Note used umask, it will result in rwxr-x--x access rights session required pam_mkhomedir.so skel=/etc/skel/ umask=0026 #session include system-auth вот например для логина /etc/pam.d/login выглядит так auth required pam_securetty.so debug auth required pam_nologin.so auth sufficient pam_winbind.so debug auth required pam_tcb.so debug shadow fork prefix=$2a$ count=8 nullok use_first_pass account sufficient pam_winbind.so debug account required pam_tcb.so debug shadow fork password sufficient pam_winbind.so debug password required pam_tcb.so debug use_authtok shadow fork prefix=$2a$ count=8 nullok write_to=tcb # We use pam_mkhomedir to create home dirs for incoming domain users # Note used umask, it will result in rwxr-x--x access rights session required pam_mkhomedir.so skel=/etc/skel/ umask=0026 #session required pam_tcb.so debug #session required pam_mktemp.so debug session required pam_limits.so debug A gdm так auth required pam_securetty.so debug auth required pam_nologin.so auth sufficient pam_winbind.so debug auth required pam_tcb.so debug shadow fork prefix=$2a$ count=8 nullok use_first_pass account sufficient pam_winbind.so debug account required pam_tcb.so debug shadow fork password sufficient pam_winbind.so debug password required pam_tcb.so debug use_authtok shadow fork prefix=$2a$ count=8 nullok write_to=tcb # We use pam_mkhomedir to create home dirs for incoming domain users # Note used umask, it will result in rwxr-x--x access rights session required pam_mkhomedir.so skel=/etc/skel/ umask=0026 #session required pam_tcb.so debug #session required pam_mktemp.so debug session required pam_limits.so debug -- Alexey Shabalin
next prev parent reply other threads:[~2007-10-24 11:21 UTC|newest] Thread overview: 19+ messages / expand[flat|nested] mbox.gz Atom feed top 2007-10-22 12:13 [Sysadmins] web-alterator access Andrii Dobrovol`s`kii 2007-10-22 14:02 ` Michael Shigorin 2007-10-22 14:56 ` Andrii Dobrovol`s`kii 2007-10-22 15:02 ` Michael Shigorin 2007-10-22 15:17 ` Andrii Dobrovol`s`kii 2007-10-22 15:36 ` Gennady Kovalev 2007-10-23 12:16 ` Andrii Dobrovol`s`kii 2007-10-22 17:20 ` Konstantin A. Lepikhov 2007-10-22 21:08 ` Хихин Руслан 2007-10-22 21:33 ` Konstantin A. Lepikhov 2007-10-23 12:18 ` Andrii Dobrovol`s`kii 2007-10-23 4:53 ` Yakov Reztsov 2007-10-23 10:30 ` [Sysadmins] ALD 4.0 как Active Directory member win2003 Kudashev Mike 2007-10-23 10:39 ` Motsyo Gennadi aka Drool 2007-10-24 11:21 ` Alexey Shabalin [this message] 2007-10-23 12:19 ` [Sysadmins] web-alterator access Andrii Dobrovol`s`kii 2007-10-23 13:22 ` Motsyo Gennadi aka Drool 2007-10-23 14:12 ` Andrii Dobrovol`s`kii 2007-10-23 12:17 ` Andrii Dobrovol`s`kii
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=b966c1e40710240421w7880197ara4f1f61ca7571fb0@mail.gmail.com \ --to=a.shabalin@gmail.com \ --cc=shaba@altlinux.ru \ --cc=sysadmins@lists.altlinux.org \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux sysadmins discussion This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \ sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com public-inbox-index sysadmins Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sysadmins AGPL code for this site: git clone https://public-inbox.org/public-inbox.git