From: Kolya Grechukh <ngrechukh@ua.fm>
To: community@altlinux.ru
Subject: Re: [Comm] winbind (maybe again)
Date: Tue, 16 Dec 2003 19:10:46 +0200
Message-ID: <200312161910.46799.ngrechukh@ua.fm> (raw)
In-Reply-To: <200312161833.03178.ngrechukh@ua.fm>
at Вторник 16 Декабрь 2003 18:33 Kolya Grechukh wrote:
> пытаюсь настроить вход под учетной записью nt домена.
> дано:
> win2000server (админских прав нет, и не понадобились)
> master2.2
> pam-config-1.1.3-alt1
> samba3-3.0-alt46.1m (shrek'овской сборки)
> pam-0.75-alt18
>
> самба как таковая уже настроена. в /etc/nsswitch.conf дописываю слово
> winbind. passwd: files winbind nisplus nis
> shadow: winbind tcb files nisplus nis
> group: files winbind nisplus nis
>
> раскоментировал template shell.
>
> включаю в домен путем
> [kolya@gns kolya]$ sudo net join -U GNS.
> [kolya@gns kolya]$ sudo service winbind start
> [kolya@gns kolya]$ sudo wbinfo -p
> ...есть.
> [kolya@gns kolya]$ sudo wbinfo -t
> ...есть.
> [kolya@gns kolya]$ sudo wbinfo --set-auth-user
> [kolya@gns kolya]$ sudo wbinfo -u
> все работает.
>
> запара вышла с настройкой pam_winbind. /me так и не понял как кошерно в
> понятиях альта включить pam_winbind.
> так и не удалось вызвать winbind напрямую из system-auth (так чтобы он
> проверялся для всех сервисов). соответственно, вызов winbind придется
> задавать для каждого сервиса отдельно.
>
> в общем, путем длительных экспериментов, получил следующее:
> в pam.d/login
> auth required /lib/security/pam_stack.so
> service=system-auth-winbind account required
> /lib/security/pam_stack.so service=system-auth-winbind password required
> /lib/security/pam_stack.so service=system-auth-winbind session required
> /lib/security/pam_stack.so service=system-auth-winbind (вместо
> system-auth).
>
> но после этого следующий баг:
>
> логинюсь под именем TDO\GNS с паролем домена.
> Dec 16 18:06:44 gns login: PAM pam_parse: expecting return value;
> [...include] Dec 16 18:06:44 gns login: PAM unable to
> dlopen(/lib/security/system-auth-use_first_pass)
> Dec 16 18:06:44 gns login: PAM [dlerror:
> /lib/security/system-auth-use_first_pass: cannot open shared object file:
> No such file or directory]
> Dec 16 18:06:44 gns login: PAM adding faulty module:
> /lib/security/system-auth-use_first_pass
> Dec 16 18:06:44 gns login: PAM pam_parse: expecting return value;
> [...include] Dec 16 18:06:44 gns login: PAM unable to
> dlopen(/lib/security/system-auth) Dec 16 18:06:44 gns login: PAM [dlerror:
> /lib/security/system-auth: cannot open shared object file: No such file or
> directory]
> Dec 16 18:06:44 gns login: PAM adding faulty module:
> /lib/security/system-auth Dec 16 18:06:44 gns login: PAM pam_parse:
> expecting return value; [...include] Dec 16 18:06:44 gns login: PAM
> pam_parse: expecting return value; [...include] Dec 16 18:06:46 gns
> pam_winbind[21263]: user 'TDO\GNS' granted acces Dec 16 18:06:46 gns
> pam_winbind[21263]: user 'TDO\GNS' granted acces Dec 16 18:06:46 gns
> login[21263]: unable to open session: Module is unknown Dec 16 18:06:46 gns
> login[21263]: pam_open_session: unable to open session
>
> визуально это выглядит как логин прошел, что-то быстро мелькнуло и опять
> приглашению к вводу логина. в систему не заходит. не буду описывать долгий
> поиск решения, скажу результат. чтобы все работало, нужно еще
> закомментировать следующие строчки в system-auth-winbind:
>
> auth include system-auth-use_first_pass
> account include system-auth
> password include system-auth-use_first_pass
> session include system-auth
>
> этого достаточно (проверено на тестовой машине с чистым мастером + та же
> самба.) логин в консоли работает, и домашняя папка создана.
> работает-то все работает, но правильный ли это путь? и почему
> system-auth-winbind глючный, это баг или фича? корректны ли мои
> исправления,не сломал ли я чего. м.б следует в system-auth-winbind написать
> ссылку на system-auth вместо include в виде sufficient pam_stack
> service=system-auth?
>
> btw: для применения аутентификации winbind к другим сервисам, в их pam тоже
> придется прописывать system-auth-winbind??
вписав winbind в /etc/pam.d/kde получил возможность входить через графический
логин. но такие пользователи не могут, к примеру, разблокировать экран, если
заблокируют случайно.
> в аттаче конфиги ДО изменений. и вывод diff.
>
> --------
> Nick S. Grechukh
> kolyag@mail.ru
> Refractory Trading House, network administrator.
--
--------
Nick S. Grechukh
kolyag@mail.ru
Refractory Trading House, network administrator.
prev parent reply other threads:[~2003-12-16 17:10 UTC|newest]
Thread overview: 2+ messages / expand[flat|nested] mbox.gz Atom feed top
2003-12-16 16:33 Kolya Grechukh
2003-12-16 17:10 ` Kolya Grechukh [this message]
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=200312161910.46799.ngrechukh@ua.fm \
--to=ngrechukh@ua.fm \
--cc=community@altlinux.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git