From: Kolya Grechukh <ngrechukh@ua.fm> To: community@altlinux.ru Subject: Re: [Comm] winbind (maybe again) Date: Tue, 16 Dec 2003 19:10:46 +0200 Message-ID: <200312161910.46799.ngrechukh@ua.fm> (raw) In-Reply-To: <200312161833.03178.ngrechukh@ua.fm> at Вторник 16 Декабрь 2003 18:33 Kolya Grechukh wrote: > пытаюсь настроить вход под учетной записью nt домена. > дано: > win2000server (админских прав нет, и не понадобились) > master2.2 > pam-config-1.1.3-alt1 > samba3-3.0-alt46.1m (shrek'овской сборки) > pam-0.75-alt18 > > самба как таковая уже настроена. в /etc/nsswitch.conf дописываю слово > winbind. passwd: files winbind nisplus nis > shadow: winbind tcb files nisplus nis > group: files winbind nisplus nis > > раскоментировал template shell. > > включаю в домен путем > [kolya@gns kolya]$ sudo net join -U GNS. > [kolya@gns kolya]$ sudo service winbind start > [kolya@gns kolya]$ sudo wbinfo -p > ...есть. > [kolya@gns kolya]$ sudo wbinfo -t > ...есть. > [kolya@gns kolya]$ sudo wbinfo --set-auth-user > [kolya@gns kolya]$ sudo wbinfo -u > все работает. > > запара вышла с настройкой pam_winbind. /me так и не понял как кошерно в > понятиях альта включить pam_winbind. > так и не удалось вызвать winbind напрямую из system-auth (так чтобы он > проверялся для всех сервисов). соответственно, вызов winbind придется > задавать для каждого сервиса отдельно. > > в общем, путем длительных экспериментов, получил следующее: > в pam.d/login > auth required /lib/security/pam_stack.so > service=system-auth-winbind account required > /lib/security/pam_stack.so service=system-auth-winbind password required > /lib/security/pam_stack.so service=system-auth-winbind session required > /lib/security/pam_stack.so service=system-auth-winbind (вместо > system-auth). > > но после этого следующий баг: > > логинюсь под именем TDO\GNS с паролем домена. > Dec 16 18:06:44 gns login: PAM pam_parse: expecting return value; > [...include] Dec 16 18:06:44 gns login: PAM unable to > dlopen(/lib/security/system-auth-use_first_pass) > Dec 16 18:06:44 gns login: PAM [dlerror: > /lib/security/system-auth-use_first_pass: cannot open shared object file: > No such file or directory] > Dec 16 18:06:44 gns login: PAM adding faulty module: > /lib/security/system-auth-use_first_pass > Dec 16 18:06:44 gns login: PAM pam_parse: expecting return value; > [...include] Dec 16 18:06:44 gns login: PAM unable to > dlopen(/lib/security/system-auth) Dec 16 18:06:44 gns login: PAM [dlerror: > /lib/security/system-auth: cannot open shared object file: No such file or > directory] > Dec 16 18:06:44 gns login: PAM adding faulty module: > /lib/security/system-auth Dec 16 18:06:44 gns login: PAM pam_parse: > expecting return value; [...include] Dec 16 18:06:44 gns login: PAM > pam_parse: expecting return value; [...include] Dec 16 18:06:46 gns > pam_winbind[21263]: user 'TDO\GNS' granted acces Dec 16 18:06:46 gns > pam_winbind[21263]: user 'TDO\GNS' granted acces Dec 16 18:06:46 gns > login[21263]: unable to open session: Module is unknown Dec 16 18:06:46 gns > login[21263]: pam_open_session: unable to open session > > визуально это выглядит как логин прошел, что-то быстро мелькнуло и опять > приглашению к вводу логина. в систему не заходит. не буду описывать долгий > поиск решения, скажу результат. чтобы все работало, нужно еще > закомментировать следующие строчки в system-auth-winbind: > > auth include system-auth-use_first_pass > account include system-auth > password include system-auth-use_first_pass > session include system-auth > > этого достаточно (проверено на тестовой машине с чистым мастером + та же > самба.) логин в консоли работает, и домашняя папка создана. > работает-то все работает, но правильный ли это путь? и почему > system-auth-winbind глючный, это баг или фича? корректны ли мои > исправления,не сломал ли я чего. м.б следует в system-auth-winbind написать > ссылку на system-auth вместо include в виде sufficient pam_stack > service=system-auth? > > btw: для применения аутентификации winbind к другим сервисам, в их pam тоже > придется прописывать system-auth-winbind?? вписав winbind в /etc/pam.d/kde получил возможность входить через графический логин. но такие пользователи не могут, к примеру, разблокировать экран, если заблокируют случайно. > в аттаче конфиги ДО изменений. и вывод diff. > > -------- > Nick S. Grechukh > kolyag@mail.ru > Refractory Trading House, network administrator. -- -------- Nick S. Grechukh kolyag@mail.ru Refractory Trading House, network administrator.
prev parent reply other threads:[~2003-12-16 17:10 UTC|newest] Thread overview: 2+ messages / expand[flat|nested] mbox.gz Atom feed top 2003-12-16 16:33 Kolya Grechukh 2003-12-16 17:10 ` Kolya Grechukh [this message]
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=200312161910.46799.ngrechukh@ua.fm \ --to=ngrechukh@ua.fm \ --cc=community@altlinux.ru \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git