Re: [Sysadmins] Как добавить пользователя из AD

Re: [Sysadmins] Как добавить пользователя из AD

[Александр]

>Я делал вот по этой статье:
>http://www.altlinux.org/Участник:Alexandr/altinlan
>все работает, хотя включить доменного пользователя в локальные группы автоматом так и не удалось.
>Проверь, включен ли автозапуск winbind и правильно ли сделал записи в system-auth-winbind.

я запустил скрипт который написан на основе этого мана
http://www.altlinux.org/%D0%A3%D1%87%D0%B0%D1%81%D1%82%D0%BD%D0%B8%D0%BA:Alexandr/altinlan.script
не думаю что там есть разница
>хотя включить доменного пользователя в локальные группы автоматом так и не удалось
как его можно ручками прописать?
>включен ли автозапуск winbind
скорее всего нет
как это сделать?
>правильно ли сделал записи в system-auth-winbind
я пользовался этим маном 
http://forum.altlinux.org/index.php/topic,376.30.html
Если настройка kerberos  и samba выполнены, то осталось внести необходимые изменения в процедуру аутентификации.
Пакет samba-common-3.X.X уже содержит шаблон конфигурационного файла PAM-модулей, для аутентификации через сервис winbind (system-auth-winbind).
Вносим изменения в этот файл (в системе он находится в /etc/pam.d/system-auth-winbind). Добавляем в строчку:
Код:

auth sufficient pam_winbind.so

параметры krb5_auth, krb5_ccache_type=FILE и cached_login. Указанная строка конфигурационного файла примет вид:
Код:

auth sufficient pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login

Это позволить производить аутентификацию с использованием Kerberos, а так же производить кэширование учетных записей пользователей, прошедших аутентификацию на данном компьютере. Кэширование позволит произвести аутентификацию в случае недоступности контроллера домена (сетевого окружения).
Дополнительно изменяем строку:
Код:

session  required       pam_mkhomedir.so skel=/etc/skel/ umask=0022

на
Код:

session  required       pam_mkhomedir.so skel=/etc/skel/ umask=0077

таким образом, в случае отсутствия домашнего каталога пользователя он будет создан с правами rwx------ (по умолчанию домашний каталог пользователя создавался бы с правами rwxr-xr-x).
Далее Вам необходимо определится каким образом пользователи будут проходить аутентификацию в системе, т.е. какое приложение будет отвечать за допуск пользователей из Active Directory к Linux-системе.
Пусть за процедуру аутентификации доменных пользователей отвечает KDE Desktop Manager (kdm).
Так же, в силу того, что предполагается использовать хранитель экрана KDE с блокировкой сеанса, необходимо чтобы это приложение тоже знало о пользователях из Active Directory.
Для решения этой задачи необходимо внести изменения в файлы:
/etc/pam.d/kde - отвечает за kdm
/etc/pam.d/kscreensaver - отвечает за хранитель экрана KDE
Файл /etc/pam.d/kde в нашем случае принимает вид:
Код:

#%PAM-1.0
auth     include        system-auth-winbind
auth     required       pam_nologin.so
account  include        system-auth-winbind
password include        system-auth-winbind
session  include        system-auth-winbind
session  optional       pam_console.so

т.е. мы все вхождения system-auth заменили на system-auth-winbind. Аналогично поступаем с файлом /etc/pam.d/kscreensaver, после чего он принимает вид:
Код:

#%PAM-1.0
auth     include        system-auth-winbind
password required       pam_deny.so

Последним этапом настройки необходимо добавить в файл /ets/nsswitch.conf слово winbind в следующих строках:
Код:

passwd:     files winbind nisplus nis
shadow:     tcb files winbind nisplus nis
group:      files winbind nisplus nis

зы: я новичок в линукс