* [Comm] LDAP Samba PAM @ 2003-07-21 14:01 Dmitriy Gnidchenko 2003-07-21 14:17 ` Maxim Tyurin 2003-07-22 3:06 ` BSW 0 siblings, 2 replies; 23+ messages in thread From: Dmitriy Gnidchenko @ 2003-07-21 14:01 UTC (permalink / raw) To: community Все привет!!! помогите кто настраивал Samba LDAP Так как сабма из Master2.2 без подержки LDAP Пришлось использовать PAM и модуль PAM_LDAP для управление Swat получилось авторизоваться руту. а вот с остальными что-то ни как. Узера должны быть в файле /etc/samba/smbpasswd ? или они теперь держатся в базе LDAP сервера Авторизуется только один узер, тот который имеет запись в файле /etc/passwd Regards, Dmitriy savithur@avatar.spb.ru ^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM 2003-07-21 14:01 [Comm] LDAP Samba PAM Dmitriy Gnidchenko @ 2003-07-21 14:17 ` Maxim Tyurin 2003-07-21 18:00 ` Dmitriy Gnidchenko 2003-07-22 3:06 ` BSW 1 sibling, 1 reply; 23+ messages in thread From: Maxim Tyurin @ 2003-07-21 14:17 UTC (permalink / raw) To: community On Mon, Jul 21, 2003 at 06:01:30PM +0400, Dmitriy Gnidchenko wrote: > > Все привет!!! > помогите кто настраивал Samba LDAP > > Так как сабма из Master2.2 без подержки LDAP > Пришлось использовать PAM и модуль PAM_LDAP > > для управление Swat получилось авторизоваться руту. > а вот с остальными что-то ни как. > > > Узера должны быть в файле /etc/samba/smbpasswd ? > или они теперь держатся в базе LDAP сервера > > Авторизуется только один узер, тот который имеет запись в файле > /etc/passwd Огласи /etc/pam.d/samba -- With Best Regards, Maxim Tyurin JID: MrKooll@jabber.pibhe.com ^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM 2003-07-21 14:17 ` Maxim Tyurin @ 2003-07-21 18:00 ` Dmitriy Gnidchenko 0 siblings, 0 replies; 23+ messages in thread From: Dmitriy Gnidchenko @ 2003-07-21 18:00 UTC (permalink / raw) To: community On Mon, 21 Jul 2003, Maxim Tyurin wrote: > On Mon, Jul 21, 2003 at 06:01:30PM +0400, Dmitriy Gnidchenko > wrote: > > > > Все привет!!! > > помогите кто настраивал Samba LDAP > > > > Так как сабма из Master2.2 без подержки LDAP > > Пришлось использовать PAM и модуль PAM_LDAP > > > > для управление Swat получилось авторизоваться руту. > > а вот с остальными что-то ни как. > > > > > > Узера должны быть в файле /etc/samba/smbpasswd ? > > или они теперь держатся в базе LDAP сервера > > > > Авторизуется только один узер, тот который имеет запись в > файле > > /etc/passwd > > Огласи /etc/pam.d/samba #%PAM-1.0 auth sufficient /lib/security/pam_ldap.so auth required /lib/security/pam_unix_auth.so try_first_pass debug account sufficient /lib/security/pam_ldap.so account required /lib/security/pam_unix_acct.s Это я взял (точно не помню, помойму с сайта samba по настройки pam_ldap) ^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM 2003-07-21 14:01 [Comm] LDAP Samba PAM Dmitriy Gnidchenko 2003-07-21 14:17 ` Maxim Tyurin @ 2003-07-22 3:06 ` BSW 2003-07-22 6:50 ` Dmitriy Gnidchenko 1 sibling, 1 reply; 23+ messages in thread From: BSW @ 2003-07-22 3:06 UTC (permalink / raw) To: community Dmitriy Gnidchenko пишет: > Так как сабма из Master2.2 без подержки LDAP > Пришлось использовать PAM и модуль PAM_LDAP Через PAM можно только проверять пароли, брать оттуда список юзеров нельзя. > для управление Swat получилось авторизоваться руту. > а вот с остальными что-то ни как. Совсем никак, или где? Рут может все, юзера - только менять свои пароли, если не ошибаюсь. Разумется, юзера должны быть известны самбе. > > > Узера должны быть в файле /etc/samba/smbpasswd ? > или они теперь держатся в базе LDAP сервера Сам же написал: "сабма из Master2.2 без подержки LDAP". Значит юзера (самбовые) - в smbpasswd. > > Авторизуется только один узер, тот который имеет запись в файле > /etc/passwd Видимо так и должно быть. Самба умеет видеть только тех юзеров, которые известны системе. Можно посмотреть в сторону /etc/nsswitch.conf, там тоже есть слово ldap. ^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM 2003-07-22 3:06 ` BSW @ 2003-07-22 6:50 ` Dmitriy Gnidchenko 2003-07-22 8:01 ` BSW 0 siblings, 1 reply; 23+ messages in thread From: Dmitriy Gnidchenko @ 2003-07-22 6:50 UTC (permalink / raw) To: community On Tue, 22 Jul 2003, BSW wrote: > Dmitriy Gnidchenko пишет: > > Так как сабма из Master2.2 без подержки LDAP > > Пришлось использовать PAM и модуль PAM_LDAP > Через PAM можно только проверять пароли, брать оттуда список > юзеров нельзя. > > для управление Swat получилось авторизоваться руту. > > а вот с остальными что-то ни как. > Совсем никак, или где? Рут может все, юзера - только менять > свои пароли, > если не ошибаюсь. Разумется, юзера должны быть известны самбе. В данном случае к SWAT речь щла о возможности управлять сервером Самбы. С этим я разобрался как сделать. Теперь когда в Браузере захожу на управление самбой используя логин ROOT, та в свою очередь для проверки логина и пароля лезет в базу LDAЗ, так что тут все хорошо с ней. соответсвенно модули PAM_LDAP подключены нормально и работаю > > Узера должны быть в файле /etc/samba/smbpasswd ? > > или они теперь держатся в базе LDAP сервера > Сам же написал: "сабма из Master2.2 без подержки LDAP". Значит > юзера > (самбовые) - в smbpasswd. Это я к тому, что Самба собрана без LDAP, поэтому и использовал PAM_LDAP Но как она тогда завязана на /etc/passwd Разве она не проверяет наличие узера в базе LDAP ? > > Авторизуется только один узер, тот который имеет запись в > файле > > /etc/passwd > Видимо так и должно быть. Самба умеет видеть только тех > юзеров, которые > известны системе. Можно посмотреть в сторону > /etc/nsswitch.conf, там тоже есть слово ldap. Посмотрю что там можно сделать. ^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM 2003-07-22 6:50 ` Dmitriy Gnidchenko @ 2003-07-22 8:01 ` BSW 2003-07-22 8:35 ` Dmitriy Gnidchenko 0 siblings, 1 reply; 23+ messages in thread From: BSW @ 2003-07-22 8:01 UTC (permalink / raw) To: community Dmitriy Gnidchenko пишет: > Это я к тому, что Самба собрана без LDAP, поэтому и использовал > PAM_LDAP Одно другому монопенисуально. > > Но как она тогда завязана на /etc/passwd > Разве она не проверяет наличие узера в базе LDAP ? Никак не завязана. Самба использует собственную базу юзеров - smbpasswd, или LDAP, или еще что-то, в зависимости от сборки. Но, поскольку самба работает от имени и с правами юзера, то и система должна знать этого юзера. Для работы с системной базой юзеров есть целый набор функций (man getpwent), которые самба и использует. Где и как хранится эта информация - дело десятое, но она обязана быть. По умолчанию - /etc/passwd, но посредством nsswitch.conf это легко исправить. ^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM 2003-07-22 8:01 ` BSW @ 2003-07-22 8:35 ` Dmitriy Gnidchenko 2003-07-22 10:49 ` BSW 0 siblings, 1 reply; 23+ messages in thread From: Dmitriy Gnidchenko @ 2003-07-22 8:35 UTC (permalink / raw) To: community On Tue, 22 Jul 2003, BSW wrote: > Dmitriy Gnidchenko пишет: > > > Это я к тому, что Самба собрана без LDAP, поэтому и > использовал > > PAM_LDAP > Одно другому монопенисуально. > > > > > Но как она тогда завязана на /etc/passwd > > Разве она не проверяет наличие узера в базе LDAP ? > Никак не завязана. Самба использует собственную базу юзеров - > smbpasswd, > или LDAP, или еще что-то, в зависимости от сборки. Но, > поскольку самба Так тогда какую функцию несет pam_pdap ? > работает от имени и с правами юзера, то и система должна знать > этого > юзера. Для работы с системной базой юзеров есть целый набор > функций (man > getpwent), которые самба и использует. Где и как хранится эта > информация > - дело десятое, но она обязана быть. По умолчанию - > /etc/passwd, но > посредством nsswitch.conf это легко исправить. я предпологал ранее, что nsswitch.conf ипсользуется уже самой системой для поиска способа аутентификации пользователя. то есть сервис (Samba, POP3 и тд) использует для этих целей библиотеки PAM, а PAM в зависимости от выбранного модуля ищет авторизация в системной базе (passwd tcb shadow) или прямо минуя эту цепочку (pam_radius, pam_ldap) может обратися к Radius или к тойже LDAP в то же время при стандарном использовании PAM как это идет в дистрибутиве я могу исправить nsswitch.conf так чтобы все запросы для авторизации будут уже не локальными, а на некий сервер как это делает NIS. Или я в корне ошибаюсь. Regards, Dmitriy savithur@avatar.spb.ru ^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM 2003-07-22 8:35 ` Dmitriy Gnidchenko @ 2003-07-22 10:49 ` BSW 2003-07-22 11:39 ` Dmitriy Gnidchenko 0 siblings, 1 reply; 23+ messages in thread From: BSW @ 2003-07-22 10:49 UTC (permalink / raw) To: community Dmitriy Gnidchenko пишет: > Так тогда какую функцию несет pam_pdap ? Давай отделять мух от котлет: PAM (Pluggable Authentication Modules) - проверка полномочий пользователя (man pam за подробностями), но не факта его существования. > я предпологал ранее, что nsswitch.conf ипсользуется уже самой > системой для поиска способа аутентификации пользователя. NSS (Name Service Switch; man nsswitch.conf) позволяет выбрать базу, в которой хранится информация о юзерах. К PAM не имеет никакого отношения, это два совершенно разных и независимых механизма, что, тем не менее, не запрещает одному пользоваться другим. Например, Линуховый pam_tcb знает (пусть и косвенно) о nsswitch.conf, а вот во FreeBSD 4.x понятие об nsswitch.conf отсутствует, что не мешает использовать PAM. У меня в /etc/pam.d/* ldap не упомянут ни разу, но я его успешно использую. Ни что и ни кто не запрещает мне хранить юзеров в LDAP, а их пароли - в NT-домене, или даже на пластике... > > то есть сервис (Samba, POP3 и тд) использует для этих целей > библиотеки PAM, а PAM в зависимости от выбранного модуля ищет > авторизация в системной базе (passwd tcb shadow) или прямо > минуя эту цепочку (pam_radius, pam_ldap) может обратися к Radius > или к тойже LDAP > > в то же время при стандарном использовании PAM как это идет в > дистрибутиве я могу исправить nsswitch.conf так чтобы все запросы > для авторизации будут уже не локальными, а на некий сервер как > это делает NIS. Примерно так... Приложение запрашивает у системы данные о юзере, система смотрит в nsswitch, и лезет в ... (куда написано). Затем приложение отдает системе пароль для проверки, система смотрит в PAM, и отдает пароль на растерзание указанному модулю. Модуль может (но не обязан) посмотреть в nsswitch, и взять пароль из ..., но может и не смотреть, а сразу пойти в ему одному известное место. Надеюсь, я достаточно непонятно излагаю? :-) ^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM 2003-07-22 10:49 ` BSW @ 2003-07-22 11:39 ` Dmitriy Gnidchenko 2003-07-22 12:38 ` BSW 0 siblings, 1 reply; 23+ messages in thread From: Dmitriy Gnidchenko @ 2003-07-22 11:39 UTC (permalink / raw) To: community On Tue, 22 Jul 2003, BSW wrote: > Dmitriy Gnidchenko пишет: > > Так тогда какую функцию несет pam_pdap ? > Давай отделять мух от котлет: > PAM (Pluggable Authentication Modules) - проверка полномочий > пользователя (man pam за подробностями), но не факта его > существования. Тут непонятно, если нет факта его существования, то о каких полномочиях идет речь ? > запрещает одному пользоваться другим. Например, Линуховый > pam_tcb знает > (пусть и косвенно) о nsswitch.conf, а вот во FreeBSD 4.x > понятие об > nsswitch.conf отсутствует, что не мешает использовать PAM. > У меня в /etc/pam.d/* ldap не упомянут ни разу, но я его > успешно > использую. Ни что и ни кто не запрещает мне хранить юзеров в > LDAP, а их > пароли - в NT-домене, или даже на пластике... Я тогда вообще зачем нужен PAM_LDAP (насколько я уверен он и должен был задействован в /etc/pam.d/*) если можно использовать nsswitch > > то есть сервис (Samba, POP3 и тд) использует для этих целей > > библиотеки PAM, а PAM в зависимости от выбранного модуля > ищет > > авторизация в системной базе (passwd tcb shadow) или прямо > > минуя эту цепочку (pam_radius, pam_ldap) может обратися к > Radius > > или к тойже LDAP > > > > в то же время при стандарном использовании PAM как это идет > в > > дистрибутиве я могу исправить nsswitch.conf так чтобы все > запросы > > для авторизации будут уже не локальными, а на некий сервер > как > > это делает NIS. > Примерно так... > > Приложение запрашивает у системы данные о юзере, система > смотрит в > nsswitch, и лезет в ... (куда написано). > Затем приложение отдает системе > пароль для проверки, система смотрит в PAM, и отдает пароль на > растерзание указанному модулю. то есть данные о пользователе ни как не преплетаются при использовании PAM они как были отдельно так и остались. > Модуль может (но не обязан) > посмотреть в > nsswitch, и взять пароль из ..., но может и не смотреть, а > сразу пойти в > ему одному известное место. то есть в любом случае надо еще задействовать и nsswitch > Надеюсь, я достаточно непонятно излагаю? :-) Да уже теперь понятней немного. ^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM 2003-07-22 11:39 ` Dmitriy Gnidchenko @ 2003-07-22 12:38 ` BSW 2003-07-22 13:31 ` Dmitriy Gnidchenko 0 siblings, 1 reply; 23+ messages in thread From: BSW @ 2003-07-22 12:38 UTC (permalink / raw) To: community Dmitriy Gnidchenko пишет: > Тут непонятно, если нет факта его существования, то о каких > полномочиях идет речь ? Нет юзера - нет проблемы :-) Вот потому-то юзер и должен быть прописан в системе. PAM - только пароли. > Я тогда вообще зачем нужен PAM_LDAP > > (насколько я уверен он и должен был задействован в > /etc/pam.d/*) > > если можно использовать nsswitch Опять мухи и котлеты: Начнет с начала: все по дефолту. Юзера в /etc/passwd, группы - /etc/group, пароли - /etc/shadow. Теперь прикрутим pam_ldap: юзера и группы остались на месте, но пароли проверяются в ldap-е (модулем pam_ldap). Вернем назад настройки PAM, и напишем в nsswitch.conf: passwd: ldap shadow: ldap group: ldap Теперь система ничего не знает о /etc/passwd, shadow, group. Все лежит в LDAP (см. libnss_ldap.so). Однако pam_ldap не нужен, его работу делает связка pam_tcb (или pam_unix, или кто там по дефолту) и libnss_ldap. Оставим nsswitch.conf как есть (с ldap-ом), и прикрутим, например, pam_nologin. Юзера сотрут себе пальцы вбивая пароли, но... NO PASSARAN! Хотя все пароли правильные :-) (во время опытов не забывай держать активной хотя бы одну рутовую сессию, иначе и сам не пройдешь...) > то есть данные о пользователе ни как не преплетаются при > использовании PAM они как были отдельно так и остались. Именно так. В свое время я чуть не повесился пытаясь заставить Самбу на FreeBSD брать юзеров из PAM. :-) > то есть в любом случае надо еще задействовать и nsswitch Ммм... Он задействован в любом случае. Важно чтобы его содержимое соответствовало реальному размещению базы юзеров, а будет это /etc/passwd или ldap - не так уж и важно. Надеюсь, я достаточно непонятно излагаю? :-) ^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM 2003-07-22 12:38 ` BSW @ 2003-07-22 13:31 ` Dmitriy Gnidchenko 2003-07-23 5:51 ` BSW 0 siblings, 1 reply; 23+ messages in thread From: Dmitriy Gnidchenko @ 2003-07-22 13:31 UTC (permalink / raw) To: community On Tue, 22 Jul 2003, BSW wrote: > Dmitriy Gnidchenko пишет: > > Тут непонятно, если нет факта его существования, то о каких > > полномочиях идет речь ? > Нет юзера - нет проблемы :-) :))) > Вот потому-то юзер и должен быть прописан в системе. PAM - > только пароли. > > если можно использовать nsswitch > Опять мухи и котлеты: :))) > Начнет с начала: все по дефолту. Юзера в /etc/passwd, группы - > /etc/group, пароли - /etc/shadow. > > Теперь прикрутим pam_ldap: юзера и группы остались на месте, > но пароли > проверяются в ldap-е (модулем pam_ldap). > Вернем назад настройки PAM, и напишем в nsswitch.conf: > passwd: ldap > shadow: ldap > group: ldap > Теперь система ничего не знает о /etc/passwd, shadow, group. > Все лежит в > LDAP (см. libnss_ldap.so). Однако pam_ldap не нужен, его > работу делает > связка pam_tcb (или pam_unix, или кто там по дефолту) и > libnss_ldap. А... у меня небыло установлено модуля libnss_ldap, из-за этого тоже ступор был. Сейчас поставил и прикрутил в nsswitch passwd: files ldap nisplus nis Не знаю группы задействовать или нет, но пока изменил только эту запись. Теперь уже ругани по поводу smbpasswd -a user нет. так как узер имеется в ldap базе. и соответственно добавляет узера к себе в базу. 10х с этим разобрались. Теперь по поводу /etc/samba/smbpasswd Самба при любом раскладе проверяет пароль пользователя в smbpasswd Теперь исходя из PAM она должна его запрашивать из LDAP ? так как модуль уже там прописан. > Оставим nsswitch.conf как есть (с ldap-ом), и прикрутим, > например, > pam_nologin. Юзера сотрут себе пальцы вбивая пароли, но... NO > PASSARAN! > Хотя все пароли правильные :-) :о) > (во время опытов не забывай держать активной хотя бы одну > рутовую > сессию, иначе и сам не пройдешь...) Так и делаю. Одну консоль подальше засунул. > > то есть данные о пользователе ни как не преплетаются при > > использовании PAM они как были отдельно так и остались. > Именно так. В свое время я чуть не повесился пытаясь заставить > Самбу на > FreeBSD брать юзеров из PAM. :-) Приблизительно у меня получаеся сейчас также :)) > > то есть в любом случае надо еще задействовать и nsswitch > Ммм... Он задействован в любом случае. Важно чтобы его > содержимое > соответствовало реальному размещению базы юзеров, а будет это > /etc/passwd или ldap - не так уж и важно. > Надеюсь, я достаточно непонятно излагаю? :-) Котлеты и мухи в разных кастрюлях :) ^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM 2003-07-22 13:31 ` Dmitriy Gnidchenko @ 2003-07-23 5:51 ` BSW 2003-07-23 6:32 ` Dmitriy Gnidchenko 0 siblings, 1 reply; 23+ messages in thread From: BSW @ 2003-07-23 5:51 UTC (permalink / raw) To: community Dmitriy Gnidchenko пишет: > Не знаю группы задействовать или нет, но пока изменил только эту > запись. Самба с группами работать не умеет :-( Но зато умеет система, так что пропиши, пригодится. > Теперь по поводу /etc/samba/smbpasswd > > Самба при любом раскладе проверяет пароль пользователя в smbpasswd > > Теперь исходя из PAM она должна его запрашивать из LDAP ? > так как модуль уже там прописан. Если PAM-модуль прописан именно для самбы, то да. Но от smbpasswd она не откажется. ^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM 2003-07-23 5:51 ` BSW @ 2003-07-23 6:32 ` Dmitriy Gnidchenko 2003-07-23 7:35 ` BSW 0 siblings, 1 reply; 23+ messages in thread From: Dmitriy Gnidchenko @ 2003-07-23 6:32 UTC (permalink / raw) To: community On Wed, 23 Jul 2003, BSW wrote: > Dmitriy Gnidchenko пишет: > > Не знаю группы задействовать или нет, но пока изменил только > эту > > запись. > Самба с группами работать не умеет :-( Но зато умеет система, > так что > пропиши, пригодится. Оки сделаю. > > Теперь по поводу /etc/samba/smbpasswd > > > > Самба при любом раскладе проверяет пароль пользователя в > smbpasswd > > > > Теперь исходя из PAM она должна его запрашивать из LDAP ? > > так как модуль уже там прописан. > Если PAM-модуль прописан именно для самбы, то да. Но от > smbpasswd она не откажется. То есть, узер должен быть и в smbpasswd ? К стати, вчера, когда тут все это дело воротил используя соседний комп с XP и когда пытался добавить машинерию в домен, машина похоже тоже требует дополнительного логина, во всяком случае это выглядело как SCS$ (scs это имя машины было по ДНС, в сетевом окружении она видится по другому), после того как я прописал в LDAP узера scs$ она позволила админу домена (то есть root) включить машину в домен. после уже при правке реестра XP (а без этого ни как нельзя ?), узер уже смог логинится в домен, но при условии что у меня этот узер находится в smbpasswd и LDAP одновременно. Можно ли не использовать smbpasswd совсем ? ^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM 2003-07-23 6:32 ` Dmitriy Gnidchenko @ 2003-07-23 7:35 ` BSW 2003-07-23 7:59 ` Dmitriy Gnidchenko 0 siblings, 1 reply; 23+ messages in thread From: BSW @ 2003-07-23 7:35 UTC (permalink / raw) To: community Dmitriy Gnidchenko пишет: > То есть, узер должен быть и в smbpasswd ? Да, но 'smbpasswd -a username' все сделает сам. > > К стати, вчера, когда тут все > это дело воротил используя соседний комп с XP и когда пытался > добавить машинерию в домен, машина похоже тоже требует > дополнительного логина, во всяком случае это выглядело как > SCS$ (scs это имя машины было по ДНС, в сетевом окружении она > видится по другому), после того как я прописал в LDAP узера scs$ она > позволила админу домена (то есть root) включить машину в домен. > после уже при правке реестра XP (а без этого ни как нельзя ?), > узер уже смог логинится в домен, но при условии что у меня этот > узер находится в smbpasswd и LDAP одновременно. Именно так. Машинный аккаунт должен быть с "$" на конце. Почитай "man smbpasswd" на тему ключей -m -j -r -U. В Самбовой доке все подробно описано, кстати, она (дока) доступна через swat. Насчет правки реестра - ХЗ, я XP в глаза не видел, в NT кажется что-то правил на тему шифрования паролей. > Можно ли не использовать smbpasswd совсем ? Легко! Нужно только собрать Самбу с поддержкой LDAP. :-) ^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM 2003-07-23 7:35 ` BSW @ 2003-07-23 7:59 ` Dmitriy Gnidchenko 2003-07-23 8:36 ` BSW 0 siblings, 1 reply; 23+ messages in thread From: Dmitriy Gnidchenko @ 2003-07-23 7:59 UTC (permalink / raw) To: community On Wed, 23 Jul 2003, BSW wrote: > Dmitriy Gnidchenko пишет: > > То есть, узер должен быть и в smbpasswd ? > Да, но 'smbpasswd -a username' все сделает сам. Это я как раз и делал. > > К стати, вчера, когда тут все > > это дело воротил используя соседний комп с XP и когда > пытался > > добавить машинерию в домен, машина похоже тоже требует > > дополнительного логина, во всяком случае это выглядело как > > SCS$ (scs это имя машины было по ДНС, в сетевом окружении > она > > видится по другому), после того как я прописал в LDAP узера > scs$ она > > позволила админу домена (то есть root) включить машину в > домен. > > после уже при правке реестра XP (а без этого ни как нельзя > ?), > > узер уже смог логинится в домен, но при условии что у меня > этот > > узер находится в smbpasswd и LDAP одновременно. > Именно так. Машинный аккаунт должен быть с "$" на конце. > Почитай "man > smbpasswd" на тему ключей -m -j -r -U. В Самбовой доке все > подробно > описано, кстати, она (дока) доступна через swat. Почитаю. > Насчет правки реестра - ХЗ, я XP в глаза не видел, в NT > кажется что-то > правил на тему шифрования паролей. Это и 3 самбе тоже такое телодвижение надо делать для доступа NT и XP в домен самбы ? То есть сразу с пылу с жару при установке NT подобных машин в домен не попасть (не удобно однако :( ) > > Можно ли не использовать smbpasswd совсем ? > Легко! Нужно только собрать Самбу с поддержкой LDAP. :-) Ты имемешь в виду надо копмилироовать самбу --withldap? или можно обойтись библиотекой PAM_LDAP ? ^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM 2003-07-23 7:59 ` Dmitriy Gnidchenko @ 2003-07-23 8:36 ` BSW 2003-07-23 8:54 ` Dmitriy Gnidchenko 0 siblings, 1 reply; 23+ messages in thread From: BSW @ 2003-07-23 8:36 UTC (permalink / raw) To: community Dmitriy Gnidchenko пишет: > Это и 3 самбе тоже такое телодвижение надо делать для доступа NT > и XP в домен самбы ? > То есть сразу с пылу с жару при установке NT подобных машин в > домен не попасть (не удобно однако :( ) В смысле заводить аккаунты? Да, надо. Если лень ручками, то почитай на тему useradd-скриптов (кажется так оно звалось...). > Ты имемешь в виду надо копмилироовать самбу --withldap? > или можно обойтись библиотекой PAM_LDAP ? Я имею в виду --withldap, тогда Самба забудет о файле smbpasswd, и полезет в LDAP. Но smbpasswd -a username все равно делать надо. Можно вручную, а можно и скриптами... ^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM 2003-07-23 8:36 ` BSW @ 2003-07-23 8:54 ` Dmitriy Gnidchenko 2003-07-24 3:20 ` BSW 0 siblings, 1 reply; 23+ messages in thread From: Dmitriy Gnidchenko @ 2003-07-23 8:54 UTC (permalink / raw) To: community On Wed, 23 Jul 2003, BSW wrote: > Dmitriy Gnidchenko пишет: > > Это и 3 самбе тоже такое телодвижение надо делать для > доступа NT > > и XP в домен самбы ? > > То есть сразу с пылу с жару при установке NT подобных машин > в > > домен не попасть (не удобно однако :( ) > В смысле заводить аккаунты? Да, надо. Если лень ручками, то > почитай на > тему useradd-скриптов (кажется так оно звалось...). Нет я не про это, а про тему правки реестра на XP NT W2K. Узера должен добавлять Админ домена, а не уборщица (это правильная политика) :), так что относительно добавление аккаунтов у меня воспросов нет. > > Ты имемешь в виду надо копмилироовать самбу --withldap? > > или можно обойтись библиотекой PAM_LDAP ? > Я имею в виду --withldap, тогда Самба забудет о файле > smbpasswd, и полезет в LDAP. > Но smbpasswd -a username все равно делать > надо. Можно вручную, а можно и скриптами... Тогда я что то не сооброжу Если Самба забудет о файле smbpasswd, то кому он будет нужен? ^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM 2003-07-23 8:54 ` Dmitriy Gnidchenko @ 2003-07-24 3:20 ` BSW 2003-07-24 6:35 ` Dmitriy Gnidchenko 0 siblings, 1 reply; 23+ messages in thread From: BSW @ 2003-07-24 3:20 UTC (permalink / raw) To: community Dmitriy Gnidchenko пишет: > Нет я не про это, а про тему правки реестра на XP NT W2K. Я мог что-то забыть, но в w2k я реестр не трогал, да и в NT не всегда... Попробуй, может и так заведется... > Тогда я что то не сооброжу Если Самба забудет о файле smbpasswd, > то кому он будет нужен? _Файл_ smbpasswd (man 5 smbpasswd) действительно будет не нужен, вся информация о юзерах будет лежать в LDAP-е. Но _команда_ smbpasswd (man 8 smbpasswd) лишней не станет, именно она и будет рулить Самбовыми юзерами в LDAP-е. ^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM 2003-07-24 3:20 ` BSW @ 2003-07-24 6:35 ` Dmitriy Gnidchenko 2003-07-25 3:23 ` BSW 0 siblings, 1 reply; 23+ messages in thread From: Dmitriy Gnidchenko @ 2003-07-24 6:35 UTC (permalink / raw) To: community On Thu, 24 Jul 2003, BSW wrote: > Dmitriy Gnidchenko пишет: > > Нет я не про это, а про тему правки реестра на XP NT W2K. > Я мог что-то забыть, но в w2k я реестр не трогал, да и в NT не > всегда... > Попробуй, может и так заведется... Это я попрообую, пока что мамшины другой нет под рукой. > > Тогда я что то не сооброжу Если Самба забудет о файле > smbpasswd, > > то кому он будет нужен? > _Файл_ smbpasswd (man 5 smbpasswd) действительно будет не > нужен, вся > информация о юзерах будет лежать в LDAP-е. Но _команда_ > smbpasswd (man 8 > smbpasswd) лишней не станет, именно она и будет рулить > Самбовыми юзерами в LDAP-е. А... то есть при использовании команды smbpasswd, она (команда) будет работать уже с базой LDAP ? Тогда вроде вссе становится на свои места. ^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM 2003-07-24 6:35 ` Dmitriy Gnidchenko @ 2003-07-25 3:23 ` BSW 2003-07-25 7:10 ` Dmitriy Gnidchenko 0 siblings, 1 reply; 23+ messages in thread From: BSW @ 2003-07-25 3:23 UTC (permalink / raw) To: community Dmitriy Gnidchenko пишет: > А... > то есть при использовании команды smbpasswd, она (команда) > будет работать уже с базой LDAP ? Конечно. А иначе зачем все это? ^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM 2003-07-25 3:23 ` BSW @ 2003-07-25 7:10 ` Dmitriy Gnidchenko 2003-07-25 11:18 ` BSW 0 siblings, 1 reply; 23+ messages in thread From: Dmitriy Gnidchenko @ 2003-07-25 7:10 UTC (permalink / raw) To: community On Fri, 25 Jul 2003, BSW wrote: > Dmitriy Gnidchenko пишет: > > А... > > то есть при использовании команды smbpasswd, она (команда) > > будет работать уже с базой LDAP ? > Конечно. А иначе зачем все это? :) Да к стати всех с Праздником Системного Администратора!!! На данный момент если не пересобирать Samba с поддержкой LDAP то pam_ldap совершенно не уперся для самбы он ни как не завязан на PAM для паролей, а работает только с smbpaswd. В какой-то степени это уже не играет большой роли, так как все узера за счет nsswitch лежат в LDAP и самба берет их от туда и заносит к себе в файл (немного разбросано получается но жить можно) Если говорть о SWAT, то он может нормально использовать pam_ldap В общем ждем когда будет Самба с поддержкой LDAP. Тогда можно и говорить о одном месте хранения данных (узера и пароли) Огромно спасибо за разъяснение и помощь!!! Regards, Dmitriy savithur@avatar.spb.ru ^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM 2003-07-25 7:10 ` Dmitriy Gnidchenko @ 2003-07-25 11:18 ` BSW 2003-07-25 11:37 ` Dmitriy Gnidchenko 0 siblings, 1 reply; 23+ messages in thread From: BSW @ 2003-07-25 11:18 UTC (permalink / raw) To: community Dmitriy Gnidchenko пишет: > Да к стати всех с Праздником Системного Администратора!!! [skiped] > Огромно спасибо за разъяснение и помощь!!! На радостях не упейся вусмерть! Кто в понедельник будет поднимать разгромленную систему? :-))) ^ permalink raw reply [flat|nested] 23+ messages in thread
* Re: [Comm] LDAP Samba PAM 2003-07-25 11:18 ` BSW @ 2003-07-25 11:37 ` Dmitriy Gnidchenko 0 siblings, 0 replies; 23+ messages in thread From: Dmitriy Gnidchenko @ 2003-07-25 11:37 UTC (permalink / raw) To: community On Fri, 25 Jul 2003, BSW wrote: > Dmitriy Gnidchenko пишет: > > Да к стати всех с Праздником Системного Администратора!!! > [skiped] > > Огромно спасибо за разъяснение и помощь!!! > > На радостях не упейся вусмерть! Кто в понедельник будет > поднимать > разгромленную систему? :-))) тьфу-тьфу-тьфу От греха подальше пойду пьянствовать в другое место. Там другой админ и железа поменьше :о)) Так что сведем потери к минимуму :)))) Regards, Dmitriy savithur@avatar.spb.ru ^ permalink raw reply [flat|nested] 23+ messages in thread
end of thread, other threads:[~2003-07-25 11:37 UTC | newest] Thread overview: 23+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2003-07-21 14:01 [Comm] LDAP Samba PAM Dmitriy Gnidchenko 2003-07-21 14:17 ` Maxim Tyurin 2003-07-21 18:00 ` Dmitriy Gnidchenko 2003-07-22 3:06 ` BSW 2003-07-22 6:50 ` Dmitriy Gnidchenko 2003-07-22 8:01 ` BSW 2003-07-22 8:35 ` Dmitriy Gnidchenko 2003-07-22 10:49 ` BSW 2003-07-22 11:39 ` Dmitriy Gnidchenko 2003-07-22 12:38 ` BSW 2003-07-22 13:31 ` Dmitriy Gnidchenko 2003-07-23 5:51 ` BSW 2003-07-23 6:32 ` Dmitriy Gnidchenko 2003-07-23 7:35 ` BSW 2003-07-23 7:59 ` Dmitriy Gnidchenko 2003-07-23 8:36 ` BSW 2003-07-23 8:54 ` Dmitriy Gnidchenko 2003-07-24 3:20 ` BSW 2003-07-24 6:35 ` Dmitriy Gnidchenko 2003-07-25 3:23 ` BSW 2003-07-25 7:10 ` Dmitriy Gnidchenko 2003-07-25 11:18 ` BSW 2003-07-25 11:37 ` Dmitriy Gnidchenko
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git