* Re: [mdk-re] NT domain
@ 2002-03-28 11:33 Denis Kulgeyko
2002-03-28 13:34 ` [mdk-re] " Michael Shigorin
0 siblings, 1 reply; 2+ messages in thread
From: Denis Kulgeyko @ 2002-03-28 11:33 UTC (permalink / raw)
To: mandrake-russian
Доброго времени суток !
> Всем здравствуйте!
> Не подскажители - каким самым безболезненным образом можно перевести
> домен WinNT на линух, сохраняя привычную для юзеров авторизацияю и т.д. ?
Было такое. Junuior-1.1 + кой чего из "Сизифа", samba-2.2.2-alt9, переcобраная из
SRPM самостоятельно. Я делал так:
0. Поставить samba с качестве PDC. см. Samba-PDC-HOWTO (на www.samba.org или
документации к samba)
1. Говорят, что она уже может работать как BDC, но я точно не в курсе. если так - то
может получится синхронизировать пароли (т.е. минус одна лишняя головная боль)
2. иначе каждому юзеру надо сделать пароль в smbpasswd (вот тут им прийдется
несколько понапрягаться)
3. меняем PDC (пожалуй лучше в нерабочее время, причину см. ниже)
4. если в домене только win9x то на этом все и закончится
5. если есть win2k/NT - то: нужен юзер с правами "администратора" (локального, не
из домена. см. ниже почему)
- если известен SID-ключ старого PDC - заменить его в реестре каждой (!) рабочей
станции на ключ нового PDC (/etc/samba/MACHINE.SID) и перезагрузиться. выяснить
старый ключ я не смог, поэтому дальше. иначе рабочие станции и новый PDC
попросту не подружатся.
- зайти на рабочую станцию под этим юзером, убрать "домен", перевести машину в
рабочую группу с именем домена, перезагрузка
- опять зайти под этим юзером (к домену уже не достучаться, поэтому нужен
локальный юзер. иначе вообще никак не пустит), поставить домен вместо рабочей
группы, перезагрузиться. все (после этого должно работать)
Пара тонких моментов:
- win2k/NT нужно прописывать в "домен": добавить юзера с именем
"<имя_машины>$" (имя машины со знаком доллара в конце) в /etc/passwd (напр.
через useradd. если сразу не даст добавить с долларом - добавить без него а потом
переименовать юзера - напр. vipw и исправить), потом smbpasswd -a -m <имя
машины>. shell'ы и системные пароли таким юзерам не нужны. про это см. в HOWTO
- в smbpasswd должен быть юзер у которого в /etc/passwd UID == 0. этому юзеру
можно (и нужно) вообще прикрыть все (системный пароль, shell ...), главное, чтобы
был smb-пароль и системный UID == 0. и не пускать этого юзера вообще никуда (и по
samba тоже) - как никак UID == 0 - абсолютные права на все (!). зачем: при проверке
на существование машины в домене: samba делает setuid на этого юзера и из-под
него читает smbpasswd (зачем - так и не понял, но именно так оно происходит), а
перед этим делает chown root.root smbpasswd, chmod 0600 smbpasswd. думаю,
дальше причины понятны
Успехов !
--
With Best Regards,
Denis A. Kulgeyko
DK666-UANIC
e-mail: burzumie@ukr.net
ICQ: 81607525
-================================-
UNIXes ... they are VERY friendly.
But .. they chooses their friends VERY carefully ... :)
^]:wq!
^ permalink raw reply [flat|nested] 2+ messages in thread
end of thread, other threads:[~2002-03-28 13:34 UTC | newest]
Thread overview: 2+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2002-03-28 11:33 [mdk-re] NT domain Denis Kulgeyko
2002-03-28 13:34 ` [mdk-re] " Michael Shigorin
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git