Re: [Comm] ALTLinux и Microsoft Active Directory

From: Дмитрий <ddv@nevod.ru>
To: ALT Linux Community general discussions <community@lists.altlinux.org>
Subject: Re: [Comm] ALTLinux и Microsoft Active Directory
Date: Thu, 24 Jan 2008 16:51:14 +0500
Message-ID: <47987BB2.7050106@nevod.ru> (raw)
In-Reply-To: <2e65828b0801240223h2edc62f7jd0012c89fa4b66f@mail.gmail.com>

Astakhov Andrey пишет:
>
>
> 24.01.08, *Дмитрий* <ddv@nevod.ru <mailto:ddv@nevod.ru>> написал(а):
>
>
>     чесно говоря, так не пробовал, но по логике тут у Вас получится
>     следуюющее.
>     если настроен pam например через winbind, то getent passwd поидее
>     должен
>     возвратить 2х пользователей с одинаковыми именами, но с разными
>     идентификаторами. В линуксе под какими идентификаторами вы работает
>     зависить будет от того в каком порядке выполняется
>     аутентификация/авторизация в pam. Если работаете под uid/gid линукс
>     системы, то права не сможете получить к файлам зайдя по самбе.
>     Если вас
>     авторизует сначала winbind, то значет Вы не в группе wheel. Можете
>     написать враппер для winbind'а. Т.е. подменять uid и gid
>     системными, но
>     я думаю это не лучшее решение.
>
>
> Т.е. мне надо удалить пользователя в linux имя которого совпадает с
> именем пользователя в AD, после чего включить компьютер в домен, после
> чего я уже буду авторизоваться на Linux машине через учетные записи AD?
да именно так. если хотите чтобы пользователи могли входить в группу
wheel, нужно пропатчить WS2k3 на предмет появления в его LDAP Posix
аттрибутов о которых я писал ранее. Ссылку незнаю, гуглите.
>
> По поводу включения компьютера в домен. Делал все по это статье:
> http://volgograd.lug.ru/wiki/GrableVodstvo/articles/SquidNtlm.
>
> После команды net ads join -S ip_адрес_PDC -U
> имя_пользотеля_входящего_в_группу_администраторы_домена_PDC
> получил такое сообщение:
>
> Administrator's password:
> Using short domain name -- ROKU-TULA
> Failed to set servicePrincipalNames. Please ensure that
> the DNS domain of this server matches the AD domain,
> Or rejoin with using Domain Admin credentials.
> Deleted account for 'ALT' in realm 'ROKU-TULA.LOCAL'
> Failed to join domain: Type or value exists
>
> Что-то я не понял. Особенно последнюю строку. Компьютера такого нет в
> AD. На что же он ругается?
>   
ну во первых должен быть DNS обязательно. И я так понял DNS вам вернул
по обратной зоне имя машинки, о существовании которой Вы не знаете.
Разбирайтесь с DNS. Все имена должны резолвиться корректно.
Собственно по поводу ошибки. если даже сервер резолвится с помощью DNS,
нужно чтобы Линукс знал короткое имя машины, т.е. без домена.
Нужно в /etc/hosts прописать следующим образом:
127.0.0.1   localhost.localdomain   localhost
192.168.0.X samba   samba.example.com

> ------------------------------------------------------------------------
>
> _______________________________________________
> community mailing list
> community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community