Re: [Sysadmins] ALD 4.0 как Active Directory member win2003

ALT Linux sysadmins discussion
 help / color / mirror / Atom feed

From: "Alexey Shabalin" <a.shabalin@gmail.com>
To: "ALT Linux sysadmin discuss" <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins] ALD 4.0 как Active Directory member win2003
Date: Wed, 24 Oct 2007 15:21:23 +0400
Message-ID: <b966c1e40710240421w7880197ara4f1f61ca7571fb0@mail.gmail.com> (raw)
In-Reply-To: <471DCD52.2020704@mail.ru>

> Граждане админы, прошу вашей помощи и совета в настройке ALD 4.0 Desktop
> как члена актив директори win 2003. Многое сделано мной в этом
> направлении и застрял я на настройке nsswitch.conf и файлов в /etc/pam.d
>
> Конечная задача - залогиниться на машине с линукс пользователем Active
> Directory
>
> конфиги:
>
> /etc/samba/smb.conf
>
> [global]
>     workgroup = KPK
>     netbios name = IT04
>     server string =  Samba server on %h (v. %v)
>     security = ads
>     password server = 192.168.0.206
при нармально настроеном krb5 можно сделать password server = * (лучше
после введения машины в домен)

>     realm = KPK.LOCAL
>     encrypt passwords = yes
>     winbind uid = 10000-20000
>     winbind gid = 10000-20000
>     winbind enum users = yes
>     winbind enum groups = yes
>     winbind use default domain = yes
>     winbind separator = @
Зачем все меняют сепаратор. чем вас \ не устраивает? потом сами будете
мучатся почему DOMAIN\user не проходит

>     allow trusted domains = no
>     template homedir = /home/%D/%U
Не забудьте для пользователя домена создать эту директорию (либо
исподбзовать для pam - mk_home - как-то так, не помню точно)

>     template shell = /bin/bash
>
>     dos charset = CP866
>     unix charset = CP1251
>     display charset = CP1251
используйте utf-8 - посмотрите в дефолтной настройке
>
>     printcap name = cups
>     load printers = yes
>     printing = cups
>
>     log level = 1
>     syslog = 0
>     log file = /var/log/samba/log.%m
>     max log size = 500
>
>     socket options = TCP_NODELAY
> ------------------------------------------------
> /etc/krb5.conf
>
> [logging]
>   default = FILE:/var/log/krb5libs.log
>   kdc = FILE:/var/log/krb5kdc.log
>   admin_server = FILE:/var/log/kadmind.log
>
> [libdefaults]
>   ticket_lifetime = 24000
>   default_realm = KPK.LOCAL
>   dns_lookup_realm = false
>   dns_lookup_kdc = no

Я использую dns для поиска kdc, и думаю это нормально :) можете
поменять на true.
Естественно dns должны быть настроены :)

> [realms]
>   KPK.LOCAL = {
>    kdc = xserver.kpk.local

добавьте ещё
admin_server = xserver.kpk.local
default_domain = kpk.local

>   }
>
> [domain_realm]
>   .kpk.local = KPK.LOCAL
>   kpk.local = KPK.LOCAL
>
> [kdc]
>   profile = /var/lib/kerberos/krb5kdc/kdc.conf
>
> [pam]
>   debug = false
>   ticket_lifetime = 36000
>   renew_lifetime = 36000
>   forwardable = true
>   krb4_convert = false
>
> Тикеты выдаются:
> # klist
> Ticket cache: FILE:/tmp/krb5cc_0
> Default principal: kudashev@KPK.LOCAL
>
> Valid starting     Expires            Service principal
> 10/23/07 12:35:58  10/23/07 19:15:58  krbtgt/KPK.LOCAL@KPK.LOCAL
>
> ------------------------------------------------
> winbind настроен и, вроде, работает:
>
> [root@IT04 etc]# wbinfo -p
> Ping to winbindd succeeded on fd 6
> [root@IT04 etc]# wbinfo -t
> checking the trust secret via RPC calls succeeded
> [root@IT04 etc]# wbinfo -u
> administrator
> guest
> support_388945a0
> krbtgt
> kudashev
> iserver
> [root@IT04 etc]# wbinfo -g
> BUILTIN@administrators
> BUILTIN@users
> helpservicesgroup
> telnetclients
> ?????????? ??????
> ??????????? ??????
> ?????????????? ?????
> ?????????????? ???????????
> ???????? ????????????
> ?????????????? ??????
> ???????????? ??????
> ????? ??????
> ?????????-????????? ????????? ????????
> ??????? ras ? ias
> dnsadmins
> dnsupdateproxy
> Тут тоже беда, не знаю, как прочитать русские символы (может есть у кого
> решение?).

а вы смотрите от пользователя. у root локаль POSIX.
(делаю вывод что машину в домен вы уже ввели)

> Далее по мануалам надо править nswitch.conf
>
> passwd: files winbind
> #shadow: files winbind tcb nis nisplus
> group: files winbind
> hosts: files dns winbind

А куда tcb выкинул? поосторожней с этим.

у меня так
passwd:     files winbind
shadow:     tcb files
group:      files winbind

> с nsswitch вопросов два:
> 1. надо ли править строчку shadow и hosts или достаточно passwd и group?
> 2. после исправления shadow на указанное выше пропадает возможность
> логиниться под локальными пользователями+root (может, это от
> ненастроенного PAM?).
> -------------
> PAM.
> По данному поводу я вообще в ступоре. В некоторых статьях и how-to
> говориться надо править только kde в /etc/pam.d, в некоторых только
> login, в некоторых несколько файлов. Мне надо логиниться в графическом
> режиме, посему нужен совет, какие файлы править (может, примерчик есть)?
>
> Очень надеюсь на вашу помощь, в samba@ отвечают редко.

у меня так:

в system-auth-winbind - им можно заменить system-auth (можно
симлинками разрулить)

#%PAM-1.0
auth     required	pam_securetty.so
auth     required	pam_nologin.so
auth     sufficient	pam_winbind.so debug
#auth     include	system-auth-use_first_pass
account  sufficient	pam_winbind.so debug
#account  include	system-auth
password sufficient	pam_winbind.so debug
#password include	system-auth-use_first_pass
# We use pam_mkhomedir to create home dirs for incoming domain users
# Note used umask, it will result in rwxr-x--x access rights
session  required       pam_mkhomedir.so skel=/etc/skel/ umask=0026
#session  include	system-auth

вот например для логина /etc/pam.d/login выглядит так

auth     required       pam_securetty.so debug
auth     required       pam_nologin.so
auth     sufficient     pam_winbind.so debug
auth     required       pam_tcb.so debug shadow fork prefix=$2a$
count=8 nullok use_first_pass
account  sufficient     pam_winbind.so debug
account  required       pam_tcb.so debug shadow fork
password sufficient     pam_winbind.so debug
password required       pam_tcb.so debug use_authtok shadow fork
prefix=$2a$ count=8 nullok write_to=tcb

# We use pam_mkhomedir to create home dirs for incoming domain users
# Note used umask, it will result in rwxr-x--x access rights
session  required       pam_mkhomedir.so skel=/etc/skel/ umask=0026
#session  required       pam_tcb.so debug
#session  required       pam_mktemp.so debug
session  required       pam_limits.so debug

A gdm так

auth     required       pam_securetty.so debug
auth     required       pam_nologin.so
auth     sufficient     pam_winbind.so debug
auth     required       pam_tcb.so debug shadow fork prefix=$2a$
count=8 nullok use_first_pass
account  sufficient     pam_winbind.so debug
account  required       pam_tcb.so debug shadow fork
password sufficient     pam_winbind.so debug
password required       pam_tcb.so debug use_authtok shadow fork
prefix=$2a$ count=8 nullok write_to=tcb

# We use pam_mkhomedir to create home dirs for incoming domain users
# Note used umask, it will result in rwxr-x--x access rights
session  required       pam_mkhomedir.so skel=/etc/skel/ umask=0026
#session  required       pam_tcb.so debug
#session  required       pam_mktemp.so debug
session  required       pam_limits.so debug

-- 
Alexey Shabalin

next prev parent reply	other threads:[~2007-10-24 11:21 UTC|newest]

Thread overview: 19+ messages / expand[flat|nested]  mbox.gz  Atom feed  top
2007-10-22 12:13 [Sysadmins] web-alterator access Andrii Dobrovol`s`kii
2007-10-22 14:02 ` Michael Shigorin
2007-10-22 14:56   ` Andrii Dobrovol`s`kii
2007-10-22 15:02     ` Michael Shigorin
2007-10-22 15:17       ` Andrii Dobrovol`s`kii
2007-10-22 15:36         ` Gennady Kovalev
2007-10-23 12:16           ` Andrii Dobrovol`s`kii
2007-10-22 17:20 ` Konstantin A. Lepikhov
2007-10-22 21:08   ` Хихин Руслан
2007-10-22 21:33     ` Konstantin A. Lepikhov
2007-10-23 12:18     ` Andrii Dobrovol`s`kii
2007-10-23  4:53   ` Yakov Reztsov
2007-10-23 10:30     ` [Sysadmins] ALD 4.0 как Active Directory member win2003 Kudashev Mike
2007-10-23 10:39       ` Motsyo Gennadi aka Drool
2007-10-24 11:21       ` Alexey Shabalin [this message]
2007-10-23 12:19     ` [Sysadmins] web-alterator access Andrii Dobrovol`s`kii
2007-10-23 13:22       ` Motsyo Gennadi aka Drool
2007-10-23 14:12         ` Andrii Dobrovol`s`kii
2007-10-23 12:17   ` Andrii Dobrovol`s`kii

Reply instructions:

You may reply publicly to this message via plain-text email
using any one of the following methods:

* Save the following mbox file, import it into your mail client,
  and reply-to-all from there: mbox

  Avoid top-posting and favor interleaved quoting:
  https://en.wikipedia.org/wiki/Posting_style#Interleaved_style

* Reply using the --to, --cc, and --in-reply-to
  switches of git-send-email(1):

  git send-email \
    --in-reply-to=b966c1e40710240421w7880197ara4f1f61ca7571fb0@mail.gmail.com \
    --to=a.shabalin@gmail.com \
    --cc=shaba@altlinux.ru \
    --cc=sysadmins@lists.altlinux.org \
    /path/to/YOUR_REPLY

  https://kernel.org/pub/software/scm/git/docs/git-send-email.html

* If your mail client supports setting the In-Reply-To header
  via mailto: links, try the mailto: link

ALT Linux sysadmins discussion

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
		sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
	public-inbox-index sysadmins

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.sysadmins


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git