ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] LDAP Samba PAM
@ 2003-07-21 14:01 Dmitriy Gnidchenko
  2003-07-21 14:17 ` Maxim Tyurin
  2003-07-22  3:06 ` BSW
  0 siblings, 2 replies; 23+ messages in thread
From: Dmitriy Gnidchenko @ 2003-07-21 14:01 UTC (permalink / raw)
  To: community


Все привет!!!
помогите кто настраивал Samba LDAP

Так как сабма из Master2.2 без подержки LDAP
Пришлось использовать PAM и модуль PAM_LDAP

для управление Swat получилось авторизоваться руту.
а вот с остальными что-то ни как.


Узера должны быть в файле /etc/samba/smbpasswd ?
или они теперь держатся в базе LDAP сервера

Авторизуется только один узер, тот который имеет запись в файле
/etc/passwd



Regards, Dmitriy
	savithur@avatar.spb.ru


^ permalink raw reply	[flat|nested] 23+ messages in thread

* Re: [Comm] LDAP Samba PAM
  2003-07-21 14:01 [Comm] LDAP Samba PAM Dmitriy Gnidchenko
@ 2003-07-21 14:17 ` Maxim Tyurin
  2003-07-21 18:00   ` Dmitriy Gnidchenko
  2003-07-22  3:06 ` BSW
  1 sibling, 1 reply; 23+ messages in thread
From: Maxim Tyurin @ 2003-07-21 14:17 UTC (permalink / raw)
  To: community

On Mon, Jul 21, 2003 at 06:01:30PM +0400, Dmitriy Gnidchenko wrote:
> 
> Все привет!!!
> помогите кто настраивал Samba LDAP
> 
> Так как сабма из Master2.2 без подержки LDAP
> Пришлось использовать PAM и модуль PAM_LDAP
> 
> для управление Swat получилось авторизоваться руту.
> а вот с остальными что-то ни как.
> 
> 
> Узера должны быть в файле /etc/samba/smbpasswd ?
> или они теперь держатся в базе LDAP сервера
> 
> Авторизуется только один узер, тот который имеет запись в файле
> /etc/passwd

Огласи /etc/pam.d/samba
-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			


^ permalink raw reply	[flat|nested] 23+ messages in thread

* Re: [Comm] LDAP Samba PAM
  2003-07-21 14:17 ` Maxim Tyurin
@ 2003-07-21 18:00   ` Dmitriy Gnidchenko
  0 siblings, 0 replies; 23+ messages in thread
From: Dmitriy Gnidchenko @ 2003-07-21 18:00 UTC (permalink / raw)
  To: community

On Mon, 21 Jul 2003, Maxim Tyurin wrote:

> On Mon, Jul 21, 2003 at 06:01:30PM +0400, Dmitriy Gnidchenko
> wrote:
> >
> > Все привет!!!
> > помогите кто настраивал Samba LDAP
> >
> > Так как сабма из Master2.2 без подержки LDAP
> > Пришлось использовать PAM и модуль PAM_LDAP
> >
> > для управление Swat получилось авторизоваться руту.
> > а вот с остальными что-то ни как.
> >
> >
> > Узера должны быть в файле /etc/samba/smbpasswd ?
> > или они теперь держатся в базе LDAP сервера
> >
> > Авторизуется только один узер, тот который имеет запись в
> файле
> > /etc/passwd
>
> Огласи /etc/pam.d/samba

#%PAM-1.0
auth       sufficient   /lib/security/pam_ldap.so
auth       required     /lib/security/pam_unix_auth.so try_first_pass debug
account    sufficient   /lib/security/pam_ldap.so
account    required     /lib/security/pam_unix_acct.s

Это я взял (точно не помню, помойму с сайта samba по настройки
pam_ldap)



^ permalink raw reply	[flat|nested] 23+ messages in thread

* Re: [Comm] LDAP Samba PAM
  2003-07-21 14:01 [Comm] LDAP Samba PAM Dmitriy Gnidchenko
  2003-07-21 14:17 ` Maxim Tyurin
@ 2003-07-22  3:06 ` BSW
  2003-07-22  6:50   ` Dmitriy Gnidchenko
  1 sibling, 1 reply; 23+ messages in thread
From: BSW @ 2003-07-22  3:06 UTC (permalink / raw)
  To: community

Dmitriy Gnidchenko пишет:
> Так как сабма из Master2.2 без подержки LDAP
> Пришлось использовать PAM и модуль PAM_LDAP
Через PAM можно только проверять пароли, брать оттуда список юзеров нельзя.

> для управление Swat получилось авторизоваться руту.
> а вот с остальными что-то ни как.
Совсем никак, или где? Рут может все, юзера - только менять свои пароли, 
если не ошибаюсь. Разумется, юзера должны быть известны самбе.

> 
> 
> Узера должны быть в файле /etc/samba/smbpasswd ?
> или они теперь держатся в базе LDAP сервера
Сам же написал: "сабма из Master2.2 без подержки LDAP". Значит юзера 
(самбовые) - в smbpasswd.

> 
> Авторизуется только один узер, тот который имеет запись в файле
> /etc/passwd
Видимо так и должно быть. Самба умеет видеть только тех юзеров, которые 
известны системе. Можно посмотреть в сторону /etc/nsswitch.conf, там 
тоже есть слово ldap.



^ permalink raw reply	[flat|nested] 23+ messages in thread

* Re: [Comm] LDAP Samba PAM
  2003-07-22  3:06 ` BSW
@ 2003-07-22  6:50   ` Dmitriy Gnidchenko
  2003-07-22  8:01     ` BSW
  0 siblings, 1 reply; 23+ messages in thread
From: Dmitriy Gnidchenko @ 2003-07-22  6:50 UTC (permalink / raw)
  To: community

On Tue, 22 Jul 2003, BSW wrote:

> Dmitriy Gnidchenko пишет:
> > Так как сабма из Master2.2 без подержки LDAP
> > Пришлось использовать PAM и модуль PAM_LDAP
> Через PAM можно только проверять пароли, брать оттуда список
> юзеров нельзя.


> > для управление Swat получилось авторизоваться руту.
> > а вот с остальными что-то ни как.
> Совсем никак, или где? Рут может все, юзера - только менять
> свои пароли,
> если не ошибаюсь. Разумется, юзера должны быть известны самбе.
В данном случае к SWAT речь щла о возможности управлять сервером
Самбы.
С этим я разобрался как сделать.
Теперь когда в Браузере захожу на управление самбой используя
логин ROOT, та в свою очередь для проверки логина и пароля лезет
в базу LDAЗ, так что тут все хорошо с ней.
соответсвенно модули PAM_LDAP подключены нормально и работаю


> > Узера должны быть в файле /etc/samba/smbpasswd ?
> > или они теперь держатся в базе LDAP сервера
> Сам же написал: "сабма из Master2.2 без подержки LDAP". Значит
> юзера
> (самбовые) - в smbpasswd.
Это я к тому, что Самба собрана без LDAP, поэтому и использовал
PAM_LDAP

Но как она тогда завязана на /etc/passwd
Разве она не проверяет наличие узера в базе LDAP ?


> > Авторизуется только один узер, тот который имеет запись в
> файле
> > /etc/passwd
> Видимо так и должно быть. Самба умеет видеть только тех
> юзеров, которые
> известны системе. Можно посмотреть в сторону
> /etc/nsswitch.conf, там тоже есть слово ldap.
Посмотрю что там можно сделать.


^ permalink raw reply	[flat|nested] 23+ messages in thread

* Re: [Comm] LDAP Samba PAM
  2003-07-22  6:50   ` Dmitriy Gnidchenko
@ 2003-07-22  8:01     ` BSW
  2003-07-22  8:35       ` Dmitriy Gnidchenko
  0 siblings, 1 reply; 23+ messages in thread
From: BSW @ 2003-07-22  8:01 UTC (permalink / raw)
  To: community

Dmitriy Gnidchenko пишет:

> Это я к тому, что Самба собрана без LDAP, поэтому и использовал
> PAM_LDAP
Одно другому монопенисуально.

> 
> Но как она тогда завязана на /etc/passwd
> Разве она не проверяет наличие узера в базе LDAP ?
Никак не завязана. Самба использует собственную базу юзеров - smbpasswd, 
или LDAP, или еще что-то, в зависимости от сборки. Но, поскольку самба 
работает от имени и с правами юзера, то и система должна знать этого 
юзера. Для работы с системной базой юзеров есть целый набор функций (man 
getpwent), которые самба и использует. Где и как хранится эта информация 
- дело десятое, но она обязана быть. По умолчанию - /etc/passwd, но 
посредством nsswitch.conf это легко исправить.



^ permalink raw reply	[flat|nested] 23+ messages in thread

* Re: [Comm] LDAP Samba PAM
  2003-07-22  8:01     ` BSW
@ 2003-07-22  8:35       ` Dmitriy Gnidchenko
  2003-07-22 10:49         ` BSW
  0 siblings, 1 reply; 23+ messages in thread
From: Dmitriy Gnidchenko @ 2003-07-22  8:35 UTC (permalink / raw)
  To: community

On Tue, 22 Jul 2003, BSW wrote:

> Dmitriy Gnidchenko пишет:
>
> > Это я к тому, что Самба собрана без LDAP, поэтому и
> использовал
> > PAM_LDAP
> Одно другому монопенисуально.
>
> >
> > Но как она тогда завязана на /etc/passwd
> > Разве она не проверяет наличие узера в базе LDAP ?
> Никак не завязана. Самба использует собственную базу юзеров -
> smbpasswd,
> или LDAP, или еще что-то, в зависимости от сборки. Но,
> поскольку самба

Так тогда какую функцию несет pam_pdap ?

> работает от имени и с правами юзера, то и система должна знать
> этого
> юзера. Для работы с системной базой юзеров есть целый набор
> функций (man
> getpwent), которые самба и использует. Где и как хранится эта
> информация
> - дело десятое, но она обязана быть. По умолчанию -
> /etc/passwd, но
> посредством nsswitch.conf это легко исправить.

я предпологал ранее, что nsswitch.conf ипсользуется уже самой
системой для поиска способа аутентификации пользователя.

то есть сервис (Samba, POP3 и тд) использует для этих целей
библиотеки PAM, а PAM в зависимости от выбранного модуля ищет
авторизация в системной базе (passwd tcb shadow) или прямо
минуя эту цепочку (pam_radius, pam_ldap) может обратися к Radius
или к тойже LDAP

в то же время при стандарном использовании PAM как это идет в
дистрибутиве я могу исправить nsswitch.conf так чтобы все запросы
для авторизации будут уже не локальными, а на некий сервер как
это делает NIS.



Или я в корне ошибаюсь.


Regards,  Dmitriy
	savithur@avatar.spb.ru


^ permalink raw reply	[flat|nested] 23+ messages in thread

* Re: [Comm] LDAP Samba PAM
  2003-07-22  8:35       ` Dmitriy Gnidchenko
@ 2003-07-22 10:49         ` BSW
  2003-07-22 11:39           ` Dmitriy Gnidchenko
  0 siblings, 1 reply; 23+ messages in thread
From: BSW @ 2003-07-22 10:49 UTC (permalink / raw)
  To: community

Dmitriy Gnidchenko пишет:
> Так тогда какую функцию несет pam_pdap ?
Давай отделять мух от котлет:
PAM (Pluggable Authentication Modules) - проверка полномочий 
пользователя (man pam за подробностями), но не факта его существования.

> я предпологал ранее, что nsswitch.conf ипсользуется уже самой
> системой для поиска способа аутентификации пользователя.
NSS (Name Service Switch; man nsswitch.conf) позволяет выбрать базу, в 
которой хранится информация о юзерах. К PAM не имеет никакого отношения, 
это два совершенно разных и независимых механизма, что, тем не менее, не 
запрещает одному пользоваться другим. Например, Линуховый pam_tcb знает 
(пусть и косвенно) о nsswitch.conf, а вот во FreeBSD 4.x понятие об 
nsswitch.conf отсутствует, что не мешает использовать PAM.
У меня в /etc/pam.d/* ldap не упомянут ни разу, но я его успешно 
использую. Ни что и ни кто не запрещает мне хранить юзеров в LDAP, а их 
пароли - в NT-домене, или даже на пластике...

> 
> то есть сервис (Samba, POP3 и тд) использует для этих целей
> библиотеки PAM, а PAM в зависимости от выбранного модуля ищет
> авторизация в системной базе (passwd tcb shadow) или прямо
> минуя эту цепочку (pam_radius, pam_ldap) может обратися к Radius
> или к тойже LDAP
> 
> в то же время при стандарном использовании PAM как это идет в
> дистрибутиве я могу исправить nsswitch.conf так чтобы все запросы
> для авторизации будут уже не локальными, а на некий сервер как
> это делает NIS.
Примерно так...

Приложение запрашивает у системы данные о юзере, система смотрит в 
nsswitch, и лезет в ... (куда написано). Затем приложение отдает системе 
пароль для проверки, система смотрит в PAM, и отдает пароль на 
растерзание указанному модулю. Модуль может (но не обязан) посмотреть в 
nsswitch, и взять пароль из ..., но может и не смотреть, а сразу пойти в 
ему одному известное место.

Надеюсь, я достаточно непонятно излагаю? :-)



^ permalink raw reply	[flat|nested] 23+ messages in thread

* Re: [Comm] LDAP Samba PAM
  2003-07-22 10:49         ` BSW
@ 2003-07-22 11:39           ` Dmitriy Gnidchenko
  2003-07-22 12:38             ` BSW
  0 siblings, 1 reply; 23+ messages in thread
From: Dmitriy Gnidchenko @ 2003-07-22 11:39 UTC (permalink / raw)
  To: community

On Tue, 22 Jul 2003, BSW wrote:

> Dmitriy Gnidchenko пишет:
> > Так тогда какую функцию несет pam_pdap ?

> Давай отделять мух от котлет:
> PAM (Pluggable Authentication Modules) - проверка полномочий
> пользователя (man pam за подробностями), но не факта его
> существования.

Тут непонятно, если нет факта его существования, то о каких
полномочиях идет речь ?


> запрещает одному пользоваться другим. Например, Линуховый
> pam_tcb знает
> (пусть и косвенно) о nsswitch.conf, а вот во FreeBSD 4.x
> понятие об
> nsswitch.conf отсутствует, что не мешает использовать PAM.

> У меня в /etc/pam.d/* ldap не упомянут ни разу, но я его
> успешно
> использую. Ни что и ни кто не запрещает мне хранить юзеров в
> LDAP, а их
> пароли - в NT-домене, или даже на пластике...

Я тогда вообще зачем нужен PAM_LDAP

(насколько я уверен он и должен был задействован в
/etc/pam.d/*)

если можно использовать nsswitch

> > то есть сервис (Samba, POP3 и тд) использует для этих целей
> > библиотеки PAM, а PAM в зависимости от выбранного модуля
> ищет
> > авторизация в системной базе (passwd tcb shadow) или прямо
> > минуя эту цепочку (pam_radius, pam_ldap) может обратися к
> Radius
> > или к тойже LDAP
> >
> > в то же время при стандарном использовании PAM как это идет
> в
> > дистрибутиве я могу исправить nsswitch.conf так чтобы все
> запросы
> > для авторизации будут уже не локальными, а на некий сервер
> как
> > это делает NIS.
> Примерно так...
>
> Приложение запрашивает у системы данные о юзере, система
> смотрит в
> nsswitch, и лезет в ... (куда написано).
> Затем приложение отдает системе
> пароль для проверки, система смотрит в PAM, и отдает пароль на
> растерзание указанному модулю.

то есть данные о пользователе ни как не преплетаются при
использовании PAM они как были отдельно так и остались.


> Модуль может (но не обязан)
> посмотреть в
> nsswitch, и взять пароль из ..., но может и не смотреть, а
> сразу пойти в
> ему одному известное место.

то есть в любом случае надо еще задействовать и nsswitch

> Надеюсь, я достаточно непонятно излагаю? :-)

Да уже теперь понятней немного.




^ permalink raw reply	[flat|nested] 23+ messages in thread

* Re: [Comm] LDAP Samba PAM
  2003-07-22 11:39           ` Dmitriy Gnidchenko
@ 2003-07-22 12:38             ` BSW
  2003-07-22 13:31               ` Dmitriy Gnidchenko
  0 siblings, 1 reply; 23+ messages in thread
From: BSW @ 2003-07-22 12:38 UTC (permalink / raw)
  To: community

Dmitriy Gnidchenko пишет:
> Тут непонятно, если нет факта его существования, то о каких
> полномочиях идет речь ?
Нет юзера - нет проблемы :-)
Вот потому-то юзер и должен быть прописан в системе. PAM - только пароли.

> Я тогда вообще зачем нужен PAM_LDAP
> 
> (насколько я уверен он и должен был задействован в
> /etc/pam.d/*)
> 
> если можно использовать nsswitch
Опять мухи и котлеты:
Начнет с начала: все по дефолту. Юзера в /etc/passwd, группы - 
/etc/group, пароли - /etc/shadow.

Теперь прикрутим pam_ldap: юзера и группы остались на месте, но пароли 
проверяются в ldap-е (модулем pam_ldap).

Вернем назад настройки PAM, и напишем в nsswitch.conf:
passwd: ldap
shadow: ldap
group:  ldap
Теперь система ничего не знает о /etc/passwd, shadow, group. Все лежит в 
LDAP (см. libnss_ldap.so). Однако pam_ldap не нужен, его работу делает 
связка pam_tcb (или pam_unix, или кто там по дефолту) и libnss_ldap.

Оставим nsswitch.conf как есть (с ldap-ом), и прикрутим, например, 
pam_nologin. Юзера сотрут себе пальцы вбивая пароли, но... NO PASSARAN! 
Хотя все пароли правильные :-)
(во время опытов не забывай держать активной хотя бы одну рутовую 
сессию, иначе и сам не пройдешь...)

> то есть данные о пользователе ни как не преплетаются при
> использовании PAM они как были отдельно так и остались.
Именно так. В свое время я чуть не повесился пытаясь заставить Самбу на 
FreeBSD брать юзеров из PAM. :-)

> то есть в любом случае надо еще задействовать и nsswitch
Ммм... Он задействован в любом случае. Важно чтобы его содержимое 
соответствовало реальному размещению базы юзеров, а будет это 
/etc/passwd или ldap - не так уж и важно.

Надеюсь, я достаточно непонятно излагаю? :-)



^ permalink raw reply	[flat|nested] 23+ messages in thread

* Re: [Comm] LDAP Samba PAM
  2003-07-22 12:38             ` BSW
@ 2003-07-22 13:31               ` Dmitriy Gnidchenko
  2003-07-23  5:51                 ` BSW
  0 siblings, 1 reply; 23+ messages in thread
From: Dmitriy Gnidchenko @ 2003-07-22 13:31 UTC (permalink / raw)
  To: community

On Tue, 22 Jul 2003, BSW wrote:

> Dmitriy Gnidchenko пишет:
> > Тут непонятно, если нет факта его существования, то о каких
> > полномочиях идет речь ?
> Нет юзера - нет проблемы :-)

:)))

> Вот потому-то юзер и должен быть прописан в системе. PAM -
> только пароли.


> > если можно использовать nsswitch
> Опять мухи и котлеты:
:)))

> Начнет с начала: все по дефолту. Юзера в /etc/passwd, группы -
> /etc/group, пароли - /etc/shadow.
>
> Теперь прикрутим pam_ldap: юзера и группы остались на месте,
> но пароли
> проверяются в ldap-е (модулем pam_ldap).


> Вернем назад настройки PAM, и напишем в nsswitch.conf:
> passwd: ldap
> shadow: ldap
> group:  ldap


> Теперь система ничего не знает о /etc/passwd, shadow, group.
> Все лежит в
> LDAP (см. libnss_ldap.so). Однако pam_ldap не нужен, его
> работу делает
> связка pam_tcb (или pam_unix, или кто там по дефолту) и
> libnss_ldap.
А...
у меня небыло установлено модуля libnss_ldap,
из-за этого тоже ступор был.

Сейчас поставил и прикрутил в nsswitch

passwd:     files ldap nisplus nis

Не знаю группы задействовать или нет, но пока изменил только эту
запись.

Теперь уже ругани по поводу  smbpasswd -a user нет.
так как узер имеется в ldap базе.
и соответственно добавляет узера к себе в базу.
10х с этим разобрались.

Теперь по поводу /etc/samba/smbpasswd

Самба при любом раскладе проверяет пароль пользователя в smbpasswd

Теперь исходя из PAM она должна его запрашивать из LDAP ?
так как модуль уже там прописан.



> Оставим nsswitch.conf как есть (с ldap-ом), и прикрутим,
> например,
> pam_nologin. Юзера сотрут себе пальцы вбивая пароли, но... NO
> PASSARAN!
> Хотя все пароли правильные :-)

:о)

> (во время опытов не забывай держать активной хотя бы одну
> рутовую
> сессию, иначе и сам не пройдешь...)

Так и делаю.
Одну консоль подальше засунул.

> > то есть данные о пользователе ни как не преплетаются при
> > использовании PAM они как были отдельно так и остались.
> Именно так. В свое время я чуть не повесился пытаясь заставить
> Самбу на
> FreeBSD брать юзеров из PAM. :-)

Приблизительно у меня получаеся сейчас также :))

> > то есть в любом случае надо еще задействовать и nsswitch

> Ммм... Он задействован в любом случае. Важно чтобы его
> содержимое
> соответствовало реальному размещению базы юзеров, а будет это
> /etc/passwd или ldap - не так уж и важно.




> Надеюсь, я достаточно непонятно излагаю? :-)


Котлеты и мухи в разных кастрюлях :)


^ permalink raw reply	[flat|nested] 23+ messages in thread

* Re: [Comm] LDAP Samba PAM
  2003-07-22 13:31               ` Dmitriy Gnidchenko
@ 2003-07-23  5:51                 ` BSW
  2003-07-23  6:32                   ` Dmitriy Gnidchenko
  0 siblings, 1 reply; 23+ messages in thread
From: BSW @ 2003-07-23  5:51 UTC (permalink / raw)
  To: community

Dmitriy Gnidchenko пишет:
> Не знаю группы задействовать или нет, но пока изменил только эту
> запись.
Самба с группами работать не умеет :-( Но зато умеет система, так что 
пропиши, пригодится.

> Теперь по поводу /etc/samba/smbpasswd
> 
> Самба при любом раскладе проверяет пароль пользователя в smbpasswd
> 
> Теперь исходя из PAM она должна его запрашивать из LDAP ?
> так как модуль уже там прописан.
Если PAM-модуль прописан именно для самбы, то да. Но от smbpasswd она не 
откажется.



^ permalink raw reply	[flat|nested] 23+ messages in thread

* Re: [Comm] LDAP Samba PAM
  2003-07-23  5:51                 ` BSW
@ 2003-07-23  6:32                   ` Dmitriy Gnidchenko
  2003-07-23  7:35                     ` BSW
  0 siblings, 1 reply; 23+ messages in thread
From: Dmitriy Gnidchenko @ 2003-07-23  6:32 UTC (permalink / raw)
  To: community

On Wed, 23 Jul 2003, BSW wrote:

> Dmitriy Gnidchenko пишет:
> > Не знаю группы задействовать или нет, но пока изменил только
> эту
> > запись.
> Самба с группами работать не умеет :-( Но зато умеет система,
> так что
> пропиши, пригодится.
Оки сделаю.

> > Теперь по поводу /etc/samba/smbpasswd
> >
> > Самба при любом раскладе проверяет пароль пользователя в
> smbpasswd
> >
> > Теперь исходя из PAM она должна его запрашивать из LDAP ?
> > так как модуль уже там прописан.
> Если PAM-модуль прописан именно для самбы, то да. Но от
> smbpasswd она не откажется.

То есть, узер должен быть и в smbpasswd ?

К стати, вчера, когда тут все
это дело воротил используя соседний комп с XP и когда пытался
добавить машинерию в домен, машина похоже тоже требует
дополнительного логина, во всяком случае это выглядело как
SCS$ (scs это имя машины было по ДНС, в сетевом окружении она
видится по другому), после того как я прописал в LDAP узера scs$ она
позволила админу домена (то есть root) включить машину в домен.
после уже при правке реестра XP (а без этого ни как нельзя ?),
узер уже смог логинится в домен, но при условии что у меня этот
узер находится в smbpasswd и LDAP одновременно.
Можно ли не использовать smbpasswd совсем ?



^ permalink raw reply	[flat|nested] 23+ messages in thread

* Re: [Comm] LDAP Samba PAM
  2003-07-23  6:32                   ` Dmitriy Gnidchenko
@ 2003-07-23  7:35                     ` BSW
  2003-07-23  7:59                       ` Dmitriy Gnidchenko
  0 siblings, 1 reply; 23+ messages in thread
From: BSW @ 2003-07-23  7:35 UTC (permalink / raw)
  To: community

Dmitriy Gnidchenko пишет:
> То есть, узер должен быть и в smbpasswd ?
Да, но 'smbpasswd -a username' все сделает сам.

> 
> К стати, вчера, когда тут все
> это дело воротил используя соседний комп с XP и когда пытался
> добавить машинерию в домен, машина похоже тоже требует
> дополнительного логина, во всяком случае это выглядело как
> SCS$ (scs это имя машины было по ДНС, в сетевом окружении она
> видится по другому), после того как я прописал в LDAP узера scs$ она
> позволила админу домена (то есть root) включить машину в домен.
> после уже при правке реестра XP (а без этого ни как нельзя ?),
> узер уже смог логинится в домен, но при условии что у меня этот
> узер находится в smbpasswd и LDAP одновременно.
Именно так. Машинный аккаунт должен быть с "$" на конце. Почитай "man 
smbpasswd" на тему ключей -m -j -r -U. В Самбовой доке все подробно 
описано, кстати, она (дока) доступна через swat.
Насчет правки реестра - ХЗ, я XP в глаза не видел, в NT кажется что-то 
правил на тему шифрования паролей.

> Можно ли не использовать smbpasswd совсем ?
Легко! Нужно только собрать Самбу с поддержкой LDAP. :-)



^ permalink raw reply	[flat|nested] 23+ messages in thread

* Re: [Comm] LDAP Samba PAM
  2003-07-23  7:35                     ` BSW
@ 2003-07-23  7:59                       ` Dmitriy Gnidchenko
  2003-07-23  8:36                         ` BSW
  0 siblings, 1 reply; 23+ messages in thread
From: Dmitriy Gnidchenko @ 2003-07-23  7:59 UTC (permalink / raw)
  To: community

On Wed, 23 Jul 2003, BSW wrote:

> Dmitriy Gnidchenko пишет:
> > То есть, узер должен быть и в smbpasswd ?
> Да, но 'smbpasswd -a username' все сделает сам.
Это я как раз и делал.

> > К стати, вчера, когда тут все
> > это дело воротил используя соседний комп с XP и когда
> пытался
> > добавить машинерию в домен, машина похоже тоже требует
> > дополнительного логина, во всяком случае это выглядело как
> > SCS$ (scs это имя машины было по ДНС, в сетевом окружении
> она
> > видится по другому), после того как я прописал в LDAP узера
> scs$ она
> > позволила админу домена (то есть root) включить машину в
> домен.
> > после уже при правке реестра XP (а без этого ни как нельзя
> ?),
> > узер уже смог логинится в домен, но при условии что у меня
> этот
> > узер находится в smbpasswd и LDAP одновременно.

> Именно так. Машинный аккаунт должен быть с "$" на конце.
> Почитай "man
> smbpasswd" на тему ключей -m -j -r -U. В Самбовой доке все
> подробно
> описано, кстати, она (дока) доступна через swat.

Почитаю.

> Насчет правки реестра - ХЗ, я XP в глаза не видел, в NT
> кажется что-то
> правил на тему шифрования паролей.

Это и 3 самбе тоже такое телодвижение надо делать для доступа NT
и XP в домен самбы ?
То есть сразу с пылу с жару при установке NT подобных машин в
домен не попасть (не удобно однако :( )

> > Можно ли не использовать smbpasswd совсем ?
> Легко! Нужно только собрать Самбу с поддержкой LDAP. :-)
Ты имемешь в виду надо копмилироовать самбу --withldap?
или можно обойтись библиотекой PAM_LDAP ?



^ permalink raw reply	[flat|nested] 23+ messages in thread

* Re: [Comm] LDAP Samba PAM
  2003-07-23  7:59                       ` Dmitriy Gnidchenko
@ 2003-07-23  8:36                         ` BSW
  2003-07-23  8:54                           ` Dmitriy Gnidchenko
  0 siblings, 1 reply; 23+ messages in thread
From: BSW @ 2003-07-23  8:36 UTC (permalink / raw)
  To: community

Dmitriy Gnidchenko пишет:
> Это и 3 самбе тоже такое телодвижение надо делать для доступа NT
> и XP в домен самбы ?
> То есть сразу с пылу с жару при установке NT подобных машин в
> домен не попасть (не удобно однако :( )
В смысле заводить аккаунты? Да, надо. Если лень ручками, то почитай на 
тему useradd-скриптов (кажется так оно звалось...).

> Ты имемешь в виду надо копмилироовать самбу --withldap?
> или можно обойтись библиотекой PAM_LDAP ?
Я имею в виду --withldap, тогда Самба забудет о файле smbpasswd, и 
полезет в LDAP. Но smbpasswd -a username все равно делать надо. Можно 
вручную, а можно и скриптами...



^ permalink raw reply	[flat|nested] 23+ messages in thread

* Re: [Comm] LDAP Samba PAM
  2003-07-23  8:36                         ` BSW
@ 2003-07-23  8:54                           ` Dmitriy Gnidchenko
  2003-07-24  3:20                             ` BSW
  0 siblings, 1 reply; 23+ messages in thread
From: Dmitriy Gnidchenko @ 2003-07-23  8:54 UTC (permalink / raw)
  To: community

On Wed, 23 Jul 2003, BSW wrote:

> Dmitriy Gnidchenko пишет:
> > Это и 3 самбе тоже такое телодвижение надо делать для
> доступа NT
> > и XP в домен самбы ?
> > То есть сразу с пылу с жару при установке NT подобных машин
> в
> > домен не попасть (не удобно однако :( )
> В смысле заводить аккаунты? Да, надо. Если лень ручками, то
> почитай на
> тему useradd-скриптов (кажется так оно звалось...).

Нет я не про это, а про тему правки реестра на XP NT W2K.
Узера должен добавлять Админ домена, а не уборщица (это
правильная политика) :), так что относительно добавление
аккаунтов у меня воспросов нет.

> > Ты имемешь в виду надо копмилироовать самбу --withldap?
> > или можно обойтись библиотекой PAM_LDAP ?

> Я имею в виду --withldap, тогда Самба забудет о файле
> smbpasswd, и полезет в LDAP.
> Но smbpasswd -a username все равно делать
> надо. Можно вручную, а можно и скриптами...

Тогда я что то не сооброжу Если Самба забудет о файле smbpasswd,
то кому он будет нужен?


^ permalink raw reply	[flat|nested] 23+ messages in thread

* Re: [Comm] LDAP Samba PAM
  2003-07-23  8:54                           ` Dmitriy Gnidchenko
@ 2003-07-24  3:20                             ` BSW
  2003-07-24  6:35                               ` Dmitriy Gnidchenko
  0 siblings, 1 reply; 23+ messages in thread
From: BSW @ 2003-07-24  3:20 UTC (permalink / raw)
  To: community

Dmitriy Gnidchenko пишет:
> Нет я не про это, а про тему правки реестра на XP NT W2K.
Я мог что-то забыть, но в w2k я реестр не трогал, да и в NT не всегда... 
Попробуй, может и так заведется...

> Тогда я что то не сооброжу Если Самба забудет о файле smbpasswd,
> то кому он будет нужен?
_Файл_ smbpasswd (man 5 smbpasswd) действительно будет не нужен, вся 
информация о юзерах будет лежать в LDAP-е. Но _команда_ smbpasswd (man 8 
smbpasswd) лишней не станет, именно она и будет рулить Самбовыми юзерами 
в LDAP-е.



^ permalink raw reply	[flat|nested] 23+ messages in thread

* Re: [Comm] LDAP Samba PAM
  2003-07-24  3:20                             ` BSW
@ 2003-07-24  6:35                               ` Dmitriy Gnidchenko
  2003-07-25  3:23                                 ` BSW
  0 siblings, 1 reply; 23+ messages in thread
From: Dmitriy Gnidchenko @ 2003-07-24  6:35 UTC (permalink / raw)
  To: community

On Thu, 24 Jul 2003, BSW wrote:

> Dmitriy Gnidchenko пишет:
> > Нет я не про это, а про тему правки реестра на XP NT W2K.
> Я мог что-то забыть, но в w2k я реестр не трогал, да и в NT не
> всегда...
> Попробуй, может и так заведется...
Это я попрообую, пока что мамшины другой нет под рукой.

> > Тогда я что то не сооброжу Если Самба забудет о файле
> smbpasswd,
> > то кому он будет нужен?
> _Файл_ smbpasswd (man 5 smbpasswd) действительно будет не
> нужен, вся
> информация о юзерах будет лежать в LDAP-е. Но _команда_
> smbpasswd (man 8
> smbpasswd) лишней не станет, именно она и будет рулить
> Самбовыми юзерами в LDAP-е.

А...
то есть при использовании команды smbpasswd, она (команда)
будет работать уже с базой LDAP ?

Тогда вроде вссе становится на свои места.



^ permalink raw reply	[flat|nested] 23+ messages in thread

* Re: [Comm] LDAP Samba PAM
  2003-07-24  6:35                               ` Dmitriy Gnidchenko
@ 2003-07-25  3:23                                 ` BSW
  2003-07-25  7:10                                   ` Dmitriy Gnidchenko
  0 siblings, 1 reply; 23+ messages in thread
From: BSW @ 2003-07-25  3:23 UTC (permalink / raw)
  To: community

Dmitriy Gnidchenko пишет:
> А...
> то есть при использовании команды smbpasswd, она (команда)
> будет работать уже с базой LDAP ?
Конечно. А иначе зачем все это?



^ permalink raw reply	[flat|nested] 23+ messages in thread

* Re: [Comm] LDAP Samba PAM
  2003-07-25  3:23                                 ` BSW
@ 2003-07-25  7:10                                   ` Dmitriy Gnidchenko
  2003-07-25 11:18                                     ` BSW
  0 siblings, 1 reply; 23+ messages in thread
From: Dmitriy Gnidchenko @ 2003-07-25  7:10 UTC (permalink / raw)
  To: community

On Fri, 25 Jul 2003, BSW wrote:

> Dmitriy Gnidchenko пишет:
> > А...
> > то есть при использовании команды smbpasswd, она (команда)
> > будет работать уже с базой LDAP ?
> Конечно. А иначе зачем все это?
:)

Да к стати всех с Праздником Системного Администратора!!!

На данный момент если не пересобирать Samba с поддержкой LDAP
то pam_ldap совершенно не уперся для самбы
он ни как не завязан на PAM для паролей, а работает только с
smbpaswd.

В какой-то степени это уже не играет большой роли, так как все
узера за счет nsswitch лежат в LDAP и самба берет их от туда и
заносит к себе в файл (немного разбросано получается но жить
можно)

Если говорть о SWAT, то он может нормально использовать pam_ldap

В общем ждем когда будет Самба с поддержкой LDAP.
Тогда можно и говорить о одном месте хранения данных
(узера и пароли)

Огромно спасибо за разъяснение и помощь!!!

Regards, Dmitriy
	savithur@avatar.spb.ru


^ permalink raw reply	[flat|nested] 23+ messages in thread

* Re: [Comm] LDAP Samba PAM
  2003-07-25  7:10                                   ` Dmitriy Gnidchenko
@ 2003-07-25 11:18                                     ` BSW
  2003-07-25 11:37                                       ` Dmitriy Gnidchenko
  0 siblings, 1 reply; 23+ messages in thread
From: BSW @ 2003-07-25 11:18 UTC (permalink / raw)
  To: community

Dmitriy Gnidchenko пишет:
> Да к стати всех с Праздником Системного Администратора!!!
[skiped]
> Огромно спасибо за разъяснение и помощь!!!

На радостях не упейся вусмерть! Кто в понедельник будет поднимать 
разгромленную систему? :-)))



^ permalink raw reply	[flat|nested] 23+ messages in thread

* Re: [Comm] LDAP Samba PAM
  2003-07-25 11:18                                     ` BSW
@ 2003-07-25 11:37                                       ` Dmitriy Gnidchenko
  0 siblings, 0 replies; 23+ messages in thread
From: Dmitriy Gnidchenko @ 2003-07-25 11:37 UTC (permalink / raw)
  To: community

On Fri, 25 Jul 2003, BSW wrote:

> Dmitriy Gnidchenko пишет:
> > Да к стати всех с Праздником Системного Администратора!!!
> [skiped]
> > Огромно спасибо за разъяснение и помощь!!!
>
> На радостях не упейся вусмерть! Кто в понедельник будет
> поднимать
> разгромленную систему? :-)))
тьфу-тьфу-тьфу

От греха подальше пойду пьянствовать в другое место.
Там другой админ и железа поменьше :о))
Так что сведем потери к минимуму :))))


Regards, Dmitriy
	savithur@avatar.spb.ru


^ permalink raw reply	[flat|nested] 23+ messages in thread

end of thread, other threads:[~2003-07-25 11:37 UTC | newest]

Thread overview: 23+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2003-07-21 14:01 [Comm] LDAP Samba PAM Dmitriy Gnidchenko
2003-07-21 14:17 ` Maxim Tyurin
2003-07-21 18:00   ` Dmitriy Gnidchenko
2003-07-22  3:06 ` BSW
2003-07-22  6:50   ` Dmitriy Gnidchenko
2003-07-22  8:01     ` BSW
2003-07-22  8:35       ` Dmitriy Gnidchenko
2003-07-22 10:49         ` BSW
2003-07-22 11:39           ` Dmitriy Gnidchenko
2003-07-22 12:38             ` BSW
2003-07-22 13:31               ` Dmitriy Gnidchenko
2003-07-23  5:51                 ` BSW
2003-07-23  6:32                   ` Dmitriy Gnidchenko
2003-07-23  7:35                     ` BSW
2003-07-23  7:59                       ` Dmitriy Gnidchenko
2003-07-23  8:36                         ` BSW
2003-07-23  8:54                           ` Dmitriy Gnidchenko
2003-07-24  3:20                             ` BSW
2003-07-24  6:35                               ` Dmitriy Gnidchenko
2003-07-25  3:23                                 ` BSW
2003-07-25  7:10                                   ` Dmitriy Gnidchenko
2003-07-25 11:18                                     ` BSW
2003-07-25 11:37                                       ` Dmitriy Gnidchenko

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git