URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 1718
[ Назад ]

Исходное сообщение
"Samba+winbind права на директории"

Отправлено securelord , 01-Апр-08 18:31 
Добрый день.

Есть домен win2k3. И есть клиентская машина под Mandriva 2008. Необходимо сделать ее членом домена.

[smb.conf]

[global]
workgroup       = DOMAIN
security        = ads
password server = server
# область kerberos
realm           = DOMAIN.LOCAL
netbios name    = SMBSRV
server string   = SAMBA shares server
log file        = /var/log/samba/%m.%U.log
max log size    = 50000
idmap uid       = 10000-20000
idmap gid       = 10000-20000
winbind use default domain = yes
display charset = utf8
unix charset    = utf8
dos charset     = cp866
template homedir = /home/%U

[nsswitch.conf]
passwd:         files winbind
shadow:         files winbind
group:          files winbind


[resolv.conf]
nameserver 192.168.0.1
search DOMAIN.LOCAL


[hosts]
127.0.0.1               localhost
192.168.0.1             server    server.DOMAIN.LOCAL


[krb5.conf]
[logging]
default = FILE:/var/log/kerberos/krb5libs.log
kdc = FILE:/var/log/kerberos/krb5kdc.log
admin_server = FILE:/var/log/kerberos/kadmind.log

[libdefaults]
ticket_lifetime = 24000
default_realm = DOMAIN.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false

[realms]
TRIEST.LOCAL = {
  kdc = server.DOMAIN.LOCAL:88
  admin_server = server.DOMAIN.LOCAL:749
  default_domain = DOMAIN.LOCAL
}

[domain_realm]
.DOMAIN.LOCAL = DOMAIN.LOCAL

[kdc]
profile = /etc/kerberos/krb5kdc/kdc.conf

[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false

[login]
krb4_convert = false
krb4_get_tickets = false


[pam.d/login]
auth required pam_securetty.so
auth sufficient pam_winbind.so
auth sufficient pam_unix.so use_first_pass
auth required pam_stack.so service=system-auth
auth required pam_nologin.so
account sufficient pam_winbind.so
account required pam_stack.so service=system-auth
password required pam_stack.so service=system-auth
session required pam_stack.so service=system-auth


#---------------------------------------------------

К домену я подключился. wbinfo работает. Залогиниться любым доменным пользователем можно.
Проблема вот в чем - когда я вхожу в тот же KDE под доменным пользователем и открываю что то наподобии "smb://server/folder/", мне предлагается ввести логин-пароль. После этого я в директорию захожу без проблем.
Насколько я понимаю это не правильно. Логин-пароль спрашивать не должно. Такого не должно быть. Самба не "подтягивает" пользовательские данные.

Как это исправить подскажите.


Содержание

Сообщения в этом обсуждении
"Samba+winbind права на директории"
Отправлено grot , 02-Апр-08 09:35 
>[оверквотинг удален]
>#---------------------------------------------------
>
>К домену я подключился. wbinfo работает. Залогиниться любым доменным пользователем можно.
>Проблема вот в чем - когда я вхожу в тот же KDE
>под доменным пользователем и открываю что то наподобии "smb://server/folder/", мне предлагается
>ввести логин-пароль. После этого я в директорию захожу без проблем.
>Насколько я понимаю это не правильно. Логин-пароль спрашивать не должно. Такого не
>должно быть. Самба не "подтягивает" пользовательские данные.
>
>Как это исправить подскажите.

так, как для авторизации на серверах используется тикет керберос, то
при входе в ситему ты его сначала должен получить. это можно сделать
либо руками, либо автоматом. для автомата я добавлял в system-auth
до
auth sufficient pam_winbind.so (эта строка у меня в system-auth)
auth sufficient pam_krb5.so ccache=/tmp/krb5cc_%u