[Sysadmins] web-alterator access

[Sysadmins] web-alterator access

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 939 bytes --]

Hi,
Где описано как должен работать веб доступ к конфигурированию
системы 4.0? После установки ALS 4.0.1 веб морда не пускает никого и
ни откуда. Нашел только жалобы на отсутствие /var/.htaccess. Такого
файла нет. Что оно ищет? Где ищет? Как лечить ситуацию?
Пишу в две рассылки т.к. первое обращение в community осталось без
ответа.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] web-alterator access

[Michael Shigorin]

On Mon, Oct 22, 2007 at 03:13:52PM +0300, Andrii Dobrovol`s`kii wrote:
> Где описано как должен работать веб доступ к конфигурированию
> системы 4.0? После установки ALS 4.0.1 веб морда не пускает
> никого и ни откуда. Нашел только жалобы на отсутствие
> /var/.htaccess. Такого файла нет. Что оно ищет? Где ищет? Как
> лечить ситуацию?

Что ты с ним умудрился сделать?  Я такого ещё не видывал.
В /var .htaccess действительно не положено; где жалобы нашёл-то?

> Пишу в две рассылки т.к. первое обращение в community осталось
> без ответа.

Ну так это в sysadmins@, хоть дело и не в том...

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
 ----       Oct 26--27, Kiev, Ukraine:
--       http://conference.osdn.org.ua

Re: [Sysadmins] web-alterator access

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1236 bytes --]

Michael Shigorin пишет:
> On Mon, Oct 22, 2007 at 03:13:52PM +0300, Andrii Dobrovol`s`kii wrote:
>> Где описано как должен работать веб доступ к конфигурированию
>> системы 4.0? После установки ALS 4.0.1 веб морда не пускает
>> никого и ни откуда. Нашел только жалобы на отсутствие
>> /var/.htaccess. Такого файла нет. Что оно ищет? Где ищет? Как
>> лечить ситуацию?
> 
> Что ты с ним умудрился сделать?  Я такого ещё не видывал.
> В /var .htaccess действительно не положено; где жалобы нашёл-то?
> 
В том-то и проблема, что ничего. :) Установил систему.
Перезагрузился. Хочу через вебфейс поадминить... Не пущает. :(
Жалобы в его логе. И на 12й консоле.
>> Пишу в две рассылки т.к. первое обращение в community осталось
>> без ответа.
> 
> Ну так это в sysadmins@, хоть дело и не в том...
> 
Эт да. Не в этом. Только на десктопах альтератор тот же...
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] web-alterator access

[Michael Shigorin]

On Mon, Oct 22, 2007 at 05:56:34PM +0300, Andrii Dobrovol`s`kii wrote:
> >> Где описано как должен работать веб доступ к
> >> конфигурированию системы 4.0? После установки ALS 4.0.1 веб
> >> морда не пускает никого и ни откуда. Нашел только жалобы на
> >> отсутствие /var/.htaccess. Такого файла нет. Что оно ищет?
> >> Где ищет? Как лечить ситуацию?
> > Что ты с ним умудрился сделать?  Я такого ещё не видывал.
> > В /var .htaccess действительно не положено; где жалобы нашёл-то?
> В том-то и проблема, что ничего. :) Установил систему.
> Перезагрузился. Хочу через вебфейс поадминить... Не пущает. :(

Куда именно идёшь и не пущает?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/
 ----       Oct 26--27, Kiev, Ukraine:
--       http://conference.osdn.org.ua

Re: [Sysadmins] web-alterator access

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1560 bytes --]

Michael Shigorin пишет:
> On Mon, Oct 22, 2007 at 05:56:34PM +0300, Andrii Dobrovol`s`kii wrote:
>>>> Где описано как должен работать веб доступ к
>>>> конфигурированию системы 4.0? После установки ALS 4.0.1 веб
>>>> морда не пускает никого и ни откуда. Нашел только жалобы на
>>>> отсутствие /var/.htaccess. Такого файла нет. Что оно ищет?
>>>> Где ищет? Как лечить ситуацию?
>>> Что ты с ним умудрился сделать?  Я такого ещё не видывал.
>>> В /var .htaccess действительно не положено; где жалобы нашёл-то?
>> В том-то и проблема, что ничего. :) Установил систему.
>> Перезагрузился. Хочу через вебфейс поадминить... Не пущает. :(
> 
> Куда именно идёшь и не пущает?
> 
Пробовал локально root и user которого создал при установке на
localhost:8080, как написало в конце установки. Ими же локально на
(имя машины по ДНС):8080 -- та же петрушка. При обращении по http
рекомендует использовать https, потом говорит, что нет прав. Запрос
на логин не выбрасывает.
Пробовал по сети удаленно. То же сразу нет прав.
В процессе установки во фстаб установщик вписал один УИД в разные
части файловой системы (/var и /var/где/там/контейнеры) заметил уже
при разборках с альтератором.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] web-alterator access

[Gennady Kovalev]

> Пробовал локально root и user которого создал при установке на
> localhost:8080, как написало в конце установки. Ими же локально на (имя
> машины по ДНС):8080 -- та же петрушка. При обращении по http
> рекомендует использовать https, потом говорит, что нет прав. Запрос на
> логин не выбрасывает.
> Пробовал по сети удаленно. То же сразу нет прав.
> В процессе установки во фстаб установщик вписал один УИД в разные части
> файловой системы (/var и /var/где/там/контейнеры) заметил уже при
> разборках с альтератором.

Че-то знакомое. А если сразу в браузере набрать https://localhost:8080/ ?
Без всяких предложений и ссылок про переход на https?

Re: [Sysadmins] web-alterator access

[Konstantin A. Lepikhov]

Hi Andrii!

Monday 22, at 03:13:52 PM you wrote:

> Hi,
> Где описано как должен работать веб доступ к конфигурированию
> системы 4.0? После установки ALS 4.0.1 веб морда не пускает никого и
> ни откуда. Нашел только жалобы на отсутствие /var/.htaccess. Такого
> файла нет. Что оно ищет? Где ищет? Как лечить ситуацию?
> Пишу в две рассылки т.к. первое обращение в community осталось без
> ответа.
у вас что-то с правами на каталоги со скриптами альтератора. Точно
используете официальную версию, а не бету?

-- 
WBR et al.

Re: [Sysadmins] web-alterator access

[Хихин Руслан]

[-- Attachment #1: Type: text/plain, Size: 397 bytes --]

Здравствуйте Konstantin A. Lepikhov
  В сообщении от 22 октября 2007 Konstantin A. Lepikhov написал(a):
 >  Точно
 >
 > используете официальную версию, а не бету?

Речь вроде о бете 4.0.1

-- 
  А ещё говорят так  (fortune):
 
Using TSO is like kicking a dead whale down the beach. -- S.C. Johnson 
________________________________________________________________________
С уважением Хихин Руслан

[-- Attachment #2: This is a digitally signed message part. --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] web-alterator access

[Konstantin A. Lepikhov]

Hi Хихин!

Tuesday 23, at 01:08:05 AM you wrote:

> Здравствуйте Konstantin A. Lepikhov
>   В сообщении от 22 октября 2007 Konstantin A. Lepikhov написал(a):
>  >  Точно
>  >
>  > используете официальную версию, а не бету?
> 
> Речь вроде о бете 4.0.1
бет было несколько.

-- 
WBR et al.

Re: [Sysadmins] web-alterator access

[Yakov Reztsov]

> Hi Andrii!
> 
> Monday 22, at 03:13:52 PM you wrote:
> 
> > Hi,
> > Где описано как должен работать веб доступ к конфигурированию
> > системы 4.0? После установки ALS 4.0.1 веб морда не пускает никого и
> > ни откуда. Нашел только жалобы на отсутствие /var/.htaccess. Такого
> > файла нет. Что оно ищет? Где ищет? Как лечить ситуацию?

У меня выдает сообщение про сертификат, но если его игнориоровать,
то все работает нормально. ALS 4.0.1

-- 
Yakov Reztsov

[Sysadmins] ALD 4.0 как Active Directory member win2003

[Kudashev Mike]

Граждане админы, прошу вашей помощи и совета в настройке ALD 4.0 Desktop 
как члена актив директори win 2003. Многое сделано мной в этом 
направлении и застрял я на настройке nsswitch.conf и файлов в /etc/pam.d

Конечная задача - залогиниться на машине с линукс пользователем Active 
Directory

конфиги:

/etc/samba/smb.conf

[global]
    workgroup = KPK
    netbios name = IT04
    server string =  Samba server on %h (v. %v)
    security = ads
    password server = 192.168.0.206
    realm = KPK.LOCAL
    encrypt passwords = yes
    winbind uid = 10000-20000
    winbind gid = 10000-20000
    winbind enum users = yes
    winbind enum groups = yes
    winbind use default domain = yes
    winbind separator = @
    allow trusted domains = no
    template homedir = /home/%D/%U
    template shell = /bin/bash

    dos charset = CP866
    unix charset = CP1251
    display charset = CP1251

    printcap name = cups
    load printers = yes
    printing = cups

    log level = 1
    syslog = 0
    log file = /var/log/samba/log.%m
    max log size = 500

    socket options = TCP_NODELAY
------------------------------------------------
/etc/krb5.conf

[logging]
  default = FILE:/var/log/krb5libs.log
  kdc = FILE:/var/log/krb5kdc.log
  admin_server = FILE:/var/log/kadmind.log

[libdefaults]
  ticket_lifetime = 24000
  default_realm = KPK.LOCAL
  dns_lookup_realm = false
  dns_lookup_kdc = no

[realms]
  KPK.LOCAL = {
   kdc = xserver.kpk.local
  }

[domain_realm]
  .kpk.local = KPK.LOCAL
  kpk.local = KPK.LOCAL

[kdc]
  profile = /var/lib/kerberos/krb5kdc/kdc.conf

[pam]
  debug = false
  ticket_lifetime = 36000
  renew_lifetime = 36000
  forwardable = true
  krb4_convert = false

Тикеты выдаются:
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: kudashev@KPK.LOCAL

Valid starting     Expires            Service principal
10/23/07 12:35:58  10/23/07 19:15:58  krbtgt/KPK.LOCAL@KPK.LOCAL

------------------------------------------------
winbind настроен и, вроде, работает:

[root@IT04 etc]# wbinfo -p
Ping to winbindd succeeded on fd 6
[root@IT04 etc]# wbinfo -t
checking the trust secret via RPC calls succeeded
[root@IT04 etc]# wbinfo -u
administrator
guest
support_388945a0
krbtgt
kudashev
iserver
[root@IT04 etc]# wbinfo -g
BUILTIN@administrators
BUILTIN@users
helpservicesgroup
telnetclients
?????????? ??????
??????????? ??????
?????????????? ?????
?????????????? ???????????
???????? ????????????
?????????????? ??????
???????????? ??????
????? ??????
?????????-????????? ????????? ????????
??????? ras ? ias
dnsadmins
dnsupdateproxy
Тут тоже беда, не знаю, как прочитать русские символы (может есть у кого 
решение?).

Далее по мануалам надо править nswitch.conf

passwd: files winbind
#shadow: files winbind tcb nis nisplus
group: files winbind
hosts: files dns winbind

с nsswitch вопросов два:
1. надо ли править строчку shadow и hosts или достаточно passwd и group?
2. после исправления shadow на указанное выше пропадает возможность 
логиниться под локальными пользователями+root (может, это от 
ненастроенного PAM?).
-------------
PAM.
По данному поводу я вообще в ступоре. В некоторых статьях и how-to 
говориться надо править только kde в /etc/pam.d, в некоторых только 
login, в некоторых несколько файлов. Мне надо логиниться в графическом 
режиме, посему нужен совет, какие файлы править (может, примерчик есть)?

Очень надеюсь на вашу помощь, в samba@ отвечают редко.

Re: [Sysadmins] ALD 4.0 как Active Directory member win2003

[Motsyo Gennadi aka Drool]

Kudashev Mike пишет:

	Не совсем в тему, но ловил на самбе грабли кодировки.

[skip]
>     dos charset = CP866
>     unix charset = CP1251

	Решал так:

	unix charset = UTF8

Re: [Sysadmins] web-alterator access

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1080 bytes --]

Gennady Kovalev пишет:
>> Пробовал локально root и user которого создал при установке на
>> localhost:8080, как написало в конце установки. Ими же локально на (имя
>> машины по ДНС):8080 -- та же петрушка. При обращении по http
>> рекомендует использовать https, потом говорит, что нет прав. Запрос на
>> логин не выбрасывает.
>> Пробовал по сети удаленно. То же сразу нет прав.
>> В процессе установки во фстаб установщик вписал один УИД в разные части
>> файловой системы (/var и /var/где/там/контейнеры) заметил уже при
>> разборках с альтератором.
> 
> Че-то знакомое. А если сразу в браузере набрать https://localhost:8080/ ?
> Без всяких предложений и ссылок про переход на https?
Всё одинаково.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] web-alterator access

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 1041 bytes --]

Konstantin A. Lepikhov пишет:
> Hi Andrii!
> 
> Monday 22, at 03:13:52 PM you wrote:
> 
>> Hi,
>> Где описано как должен работать веб доступ к конфигурированию
>> системы 4.0? После установки ALS 4.0.1 веб морда не пускает никого и
>> ни откуда. Нашел только жалобы на отсутствие /var/.htaccess. Такого
>> файла нет. Что оно ищет? Где ищет? Как лечить ситуацию?
>> Пишу в две рассылки т.к. первое обращение в community осталось без
>> ответа.
> у вас что-то с правами на каталоги со скриптами альтератора. Точно
> используете официальную версию, а не бету?
> 
Возможно. Только, что смотреть и как оно должно быть? Переустановка
alterator-httpd ничего не дала.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] web-alterator access

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 697 bytes --]

Хихин Руслан пишет:
> Здравствуйте Konstantin A. Lepikhov
>   В сообщении от 22 октября 2007 Konstantin A. Lepikhov написал(a):
>  >  Точно
>  >
>  > используете официальную версию, а не бету?
> 
> Речь вроде о бете 4.0.1
> 
Речь идет о том, что лежит на официальном ФТП как ALS 4.0.1. Это
бета или нет? И что это меняет?
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] web-alterator access

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 963 bytes --]

Yakov Reztsov пишет:
>> Hi Andrii!
>>
>> Monday 22, at 03:13:52 PM you wrote:
>>
>>> Hi,
>>> Где описано как должен работать веб доступ к конфигурированию
>>> системы 4.0? После установки ALS 4.0.1 веб морда не пускает никого и
>>> ни откуда. Нашел только жалобы на отсутствие /var/.htaccess. Такого
>>> файла нет. Что оно ищет? Где ищет? Как лечить ситуацию?
> 
> У меня выдает сообщение про сертификат, но если его игнориоровать,
> то все работает нормально. ALS 4.0.1
> 
Как я уже написал, оно выдает только сообщение об отсутствии прав на
сервере. Всё. Логиниться не предлагает.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] web-alterator access

[Motsyo Gennadi aka Drool]

Andrii Dobrovol`s`kii пишет:
> Как я уже написал, оно выдает только сообщение об отсутствии прав на
> сервере. Всё. Логиниться не предлагает.

	Дурной вопрос - а root при инсталляции не с пустым паролем был зареген? 
Это было возможно в 2.4 точно, вроде и в 3.0 (зуб не дам). А в 4.х как?

Re: [Sysadmins] web-alterator access

[Andrii Dobrovol`s`kii]

[-- Attachment #1: Type: text/plain, Size: 751 bytes --]

Motsyo Gennadi aka Drool пишет:
> Andrii Dobrovol`s`kii пишет:
>> Как я уже написал, оно выдает только сообщение об отсутствии прав на
>> сервере. Всё. Логиниться не предлагает.
> 
> 	Дурной вопрос - а root при инсталляции не с пустым паролем был зареген? 
> Это было возможно в 2.4 точно, вроде и в 3.0 (зуб не дам). А в 4.х как?
Нет. Всё "честно". Пользователь тоже с паролем.
-- 
Rgrds,
Andriy
*********************************************************************
email: dobr at iop dot kiev dot ua            Kyiv, Ukraine
Phone: (380-44)   525-7824            Department of Gas Electronics
Fax:   (380-44)   525-2329             Institute of Physics of NASU
*********************dobrATjabber.iop.kiev.ua************************


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [Sysadmins] ALD 4.0 как Active Directory member win2003

[Alexey Shabalin]

> Граждане админы, прошу вашей помощи и совета в настройке ALD 4.0 Desktop
> как члена актив директори win 2003. Многое сделано мной в этом
> направлении и застрял я на настройке nsswitch.conf и файлов в /etc/pam.d
>
> Конечная задача - залогиниться на машине с линукс пользователем Active
> Directory
>
> конфиги:
>
> /etc/samba/smb.conf
>
> [global]
>     workgroup = KPK
>     netbios name = IT04
>     server string =  Samba server on %h (v. %v)
>     security = ads
>     password server = 192.168.0.206
при нармально настроеном krb5 можно сделать password server = * (лучше
после введения машины в домен)

>     realm = KPK.LOCAL
>     encrypt passwords = yes
>     winbind uid = 10000-20000
>     winbind gid = 10000-20000
>     winbind enum users = yes
>     winbind enum groups = yes
>     winbind use default domain = yes
>     winbind separator = @
Зачем все меняют сепаратор. чем вас \ не устраивает? потом сами будете
мучатся почему DOMAIN\user не проходит

>     allow trusted domains = no
>     template homedir = /home/%D/%U
Не забудьте для пользователя домена создать эту директорию (либо
исподбзовать для pam - mk_home - как-то так, не помню точно)

>     template shell = /bin/bash
>
>     dos charset = CP866
>     unix charset = CP1251
>     display charset = CP1251
используйте utf-8 - посмотрите в дефолтной настройке
>
>     printcap name = cups
>     load printers = yes
>     printing = cups
>
>     log level = 1
>     syslog = 0
>     log file = /var/log/samba/log.%m
>     max log size = 500
>
>     socket options = TCP_NODELAY
> ------------------------------------------------
> /etc/krb5.conf
>
> [logging]
>   default = FILE:/var/log/krb5libs.log
>   kdc = FILE:/var/log/krb5kdc.log
>   admin_server = FILE:/var/log/kadmind.log
>
> [libdefaults]
>   ticket_lifetime = 24000
>   default_realm = KPK.LOCAL
>   dns_lookup_realm = false
>   dns_lookup_kdc = no

Я использую dns для поиска kdc, и думаю это нормально :) можете
поменять на true.
Естественно dns должны быть настроены :)

> [realms]
>   KPK.LOCAL = {
>    kdc = xserver.kpk.local

добавьте ещё
admin_server = xserver.kpk.local
default_domain = kpk.local

>   }
>
> [domain_realm]
>   .kpk.local = KPK.LOCAL
>   kpk.local = KPK.LOCAL
>
> [kdc]
>   profile = /var/lib/kerberos/krb5kdc/kdc.conf
>
> [pam]
>   debug = false
>   ticket_lifetime = 36000
>   renew_lifetime = 36000
>   forwardable = true
>   krb4_convert = false
>
> Тикеты выдаются:
> # klist
> Ticket cache: FILE:/tmp/krb5cc_0
> Default principal: kudashev@KPK.LOCAL
>
> Valid starting     Expires            Service principal
> 10/23/07 12:35:58  10/23/07 19:15:58  krbtgt/KPK.LOCAL@KPK.LOCAL
>
> ------------------------------------------------
> winbind настроен и, вроде, работает:
>
> [root@IT04 etc]# wbinfo -p
> Ping to winbindd succeeded on fd 6
> [root@IT04 etc]# wbinfo -t
> checking the trust secret via RPC calls succeeded
> [root@IT04 etc]# wbinfo -u
> administrator
> guest
> support_388945a0
> krbtgt
> kudashev
> iserver
> [root@IT04 etc]# wbinfo -g
> BUILTIN@administrators
> BUILTIN@users
> helpservicesgroup
> telnetclients
> ?????????? ??????
> ??????????? ??????
> ?????????????? ?????
> ?????????????? ???????????
> ???????? ????????????
> ?????????????? ??????
> ???????????? ??????
> ????? ??????
> ?????????-????????? ????????? ????????
> ??????? ras ? ias
> dnsadmins
> dnsupdateproxy
> Тут тоже беда, не знаю, как прочитать русские символы (может есть у кого
> решение?).

а вы смотрите от пользователя. у root локаль POSIX.
(делаю вывод что машину в домен вы уже ввели)

> Далее по мануалам надо править nswitch.conf
>
> passwd: files winbind
> #shadow: files winbind tcb nis nisplus
> group: files winbind
> hosts: files dns winbind

А куда tcb выкинул? поосторожней с этим.

у меня так
passwd:     files winbind
shadow:     tcb files
group:      files winbind

> с nsswitch вопросов два:
> 1. надо ли править строчку shadow и hosts или достаточно passwd и group?
> 2. после исправления shadow на указанное выше пропадает возможность
> логиниться под локальными пользователями+root (может, это от
> ненастроенного PAM?).
> -------------
> PAM.
> По данному поводу я вообще в ступоре. В некоторых статьях и how-to
> говориться надо править только kde в /etc/pam.d, в некоторых только
> login, в некоторых несколько файлов. Мне надо логиниться в графическом
> режиме, посему нужен совет, какие файлы править (может, примерчик есть)?
>
> Очень надеюсь на вашу помощь, в samba@ отвечают редко.

у меня так:

в system-auth-winbind - им можно заменить system-auth (можно
симлинками разрулить)

#%PAM-1.0
auth     required	pam_securetty.so
auth     required	pam_nologin.so
auth     sufficient	pam_winbind.so debug
#auth     include	system-auth-use_first_pass
account  sufficient	pam_winbind.so debug
#account  include	system-auth
password sufficient	pam_winbind.so debug
#password include	system-auth-use_first_pass
# We use pam_mkhomedir to create home dirs for incoming domain users
# Note used umask, it will result in rwxr-x--x access rights
session  required       pam_mkhomedir.so skel=/etc/skel/ umask=0026
#session  include	system-auth

вот например для логина /etc/pam.d/login выглядит так

auth     required       pam_securetty.so debug
auth     required       pam_nologin.so
auth     sufficient     pam_winbind.so debug
auth     required       pam_tcb.so debug shadow fork prefix=$2a$
count=8 nullok use_first_pass
account  sufficient     pam_winbind.so debug
account  required       pam_tcb.so debug shadow fork
password sufficient     pam_winbind.so debug
password required       pam_tcb.so debug use_authtok shadow fork
prefix=$2a$ count=8 nullok write_to=tcb

# We use pam_mkhomedir to create home dirs for incoming domain users
# Note used umask, it will result in rwxr-x--x access rights
session  required       pam_mkhomedir.so skel=/etc/skel/ umask=0026
#session  required       pam_tcb.so debug
#session  required       pam_mktemp.so debug
session  required       pam_limits.so debug

A gdm так

auth     required       pam_securetty.so debug
auth     required       pam_nologin.so
auth     sufficient     pam_winbind.so debug
auth     required       pam_tcb.so debug shadow fork prefix=$2a$
count=8 nullok use_first_pass
account  sufficient     pam_winbind.so debug
account  required       pam_tcb.so debug shadow fork
password sufficient     pam_winbind.so debug
password required       pam_tcb.so debug use_authtok shadow fork
prefix=$2a$ count=8 nullok write_to=tcb

# We use pam_mkhomedir to create home dirs for incoming domain users
# Note used umask, it will result in rwxr-x--x access rights
session  required       pam_mkhomedir.so skel=/etc/skel/ umask=0026
#session  required       pam_tcb.so debug
#session  required       pam_mktemp.so debug
session  required       pam_limits.so debug

-- 
Alexey Shabalin