From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <alehander06@inbox.ru>
X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-0.6 required=5.0 tests=AWL,BAYES_00,SPF_PASS,
	SUBJ_RE_NUM autolearn=no version=3.2.5
From: =?koi8-r?Q?=E1=CC=C5=CB=D3=C1=CE=C4=D2?= <alehander06@inbox.ru>
To: =?koi8-r?Q?=F1=D2=CF=D3=CC=C1=D7_=F2=D5=CD=D1=CE=C3=C5=D7?=
	<voron.r35@gmail.com>
Mime-Version: 1.0
X-Mailer: mPOP Web-Mail 2.19
X-Originating-IP: [194.146.241.22]
Date: Tue, 12 May 2009 11:44:37 +0400
References: <3f1c944f0905112303t63992710v509da112aa5f75c9@mail.gmail.com>
In-Reply-To: <3f1c944f0905112303t63992710v509da112aa5f75c9@mail.gmail.com>
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit
Message-Id: <E1M3mfF-0006PR-00.alehander06-inbox-ru@f222.mail.ru>
X-Spam: Not detected
X-Mras: Ok
Cc: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Subject: Re: [Sysadmins]
	=?koi8-r?b?68HLIMTPwsHXydTYINDPzNjaz9fB1MXM0SDJ2iBB?=
	=?koi8-r?b?RA==?=
X-BeenThere: sysadmins@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: =?koi8-r?Q?=E1=CC=C5=CB=D3=C1=CE=C4=D2?= <alehander06@inbox.ru>,
	ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
List-Id: ALT Linux sysadmin discuss <sysadmins.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/sysadmins>
List-Post: <mailto:sysadmins@lists.altlinux.org>
List-Help: <mailto:sysadmins-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/sysadmins>,
	<mailto:sysadmins-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Tue, 12 May 2009 07:44:51 -0000
Archived-At: <http://lore.altlinux.org/sysadmins/E1M3mfF-0006PR-00.alehander06-inbox-ru@f222.mail.ru/>
List-Archive: <http://lore.altlinux.org/sysadmins/>

>Я делал вот по этой статье:
>http://www.altlinux.org/Участник:Alexandr/altinlan
>все работает, хотя включить доменного пользователя в локальные группы автоматом так и не удалось.
>Проверь, включен ли автозапуск winbind и правильно ли сделал записи в system-auth-winbind.

я запустил скрипт который написан на основе этого мана
http://www.altlinux.org/%D0%A3%D1%87%D0%B0%D1%81%D1%82%D0%BD%D0%B8%D0%BA:Alexandr/altinlan.script
не думаю что там есть разница
>хотя включить доменного пользователя в локальные группы автоматом так и не удалось
как его можно ручками прописать?
>включен ли автозапуск winbind
скорее всего нет
как это сделать?
>правильно ли сделал записи в system-auth-winbind
я пользовался этим маном 
http://forum.altlinux.org/index.php/topic,376.30.html
Если настройка kerberos  и samba выполнены, то осталось внести необходимые изменения в процедуру аутентификации.
Пакет samba-common-3.X.X уже содержит шаблон конфигурационного файла PAM-модулей, для аутентификации через сервис winbind (system-auth-winbind).
Вносим изменения в этот файл (в системе он находится в /etc/pam.d/system-auth-winbind). Добавляем в строчку:
Код:

auth sufficient pam_winbind.so

параметры krb5_auth, krb5_ccache_type=FILE и cached_login. Указанная строка конфигурационного файла примет вид:
Код:

auth sufficient pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login

Это позволить производить аутентификацию с использованием Kerberos, а так же производить кэширование учетных записей пользователей, прошедших аутентификацию на данном компьютере. Кэширование позволит произвести аутентификацию в случае недоступности контроллера домена (сетевого окружения).
Дополнительно изменяем строку:
Код:

session  required       pam_mkhomedir.so skel=/etc/skel/ umask=0022

на
Код:

session  required       pam_mkhomedir.so skel=/etc/skel/ umask=0077

таким образом, в случае отсутствия домашнего каталога пользователя он будет создан с правами rwx------ (по умолчанию домашний каталог пользователя создавался бы с правами rwxr-xr-x).
Далее Вам необходимо определится каким образом пользователи будут проходить аутентификацию в системе, т.е. какое приложение будет отвечать за допуск пользователей из Active Directory к Linux-системе.
Пусть за процедуру аутентификации доменных пользователей отвечает KDE Desktop Manager (kdm).
Так же, в силу того, что предполагается использовать хранитель экрана KDE с блокировкой сеанса, необходимо чтобы это приложение тоже знало о пользователях из Active Directory.
Для решения этой задачи необходимо внести изменения в файлы:
/etc/pam.d/kde - отвечает за kdm
/etc/pam.d/kscreensaver - отвечает за хранитель экрана KDE
Файл /etc/pam.d/kde в нашем случае принимает вид:
Код:

#%PAM-1.0
auth     include        system-auth-winbind
auth     required       pam_nologin.so
account  include        system-auth-winbind
password include        system-auth-winbind
session  include        system-auth-winbind
session  optional       pam_console.so

т.е. мы все вхождения system-auth заменили на system-auth-winbind. Аналогично поступаем с файлом /etc/pam.d/kscreensaver, после чего он принимает вид:
Код:

#%PAM-1.0
auth     include        system-auth-winbind
password required       pam_deny.so

Последним этапом настройки необходимо добавить в файл /ets/nsswitch.conf слово winbind в следующих строках:
Код:

passwd:     files winbind nisplus nis
shadow:     tcb files winbind nisplus nis
group:      files winbind nisplus nis

зы: я новичок в линукс