Привет всем!
FreeBSD 4.10, Samba 3.0.11, домен win2003 в native mode. Пытаюсь прикрутить самбу к домену, чтобы пускала на шары с доменными аккаунтами и паролями.Samba:
./configure --with-winbind --with-winbind-auth-challenge --with-pam/usr/local/samba/lib/smb.conf:
[global]
dos charset=CP866
unix charset=KOI8-R
workgroup=sigma
server string=Samba Server
security=domain
password server=gateway.sigma.net
hosts allow=192.168. 127.
netbios name=weasel
load printers=no
encrypt passwords=yes
obey pam restrictions=yes
pam password change=yes
winbind uid=10000-20000
winbind gid=10000-20000
winbind separator=+
winbind enum users=yes
winbind enum groups=yes
winbind use default domain=yes
nt acl support=yes
wins server=gateway.sigma.net
interfaces=fxp0
log file=/var/log/samba.log
max log size=100
socket options=TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192[Common]
comment=Test share
path=/usr/home/common
browseable=yes
public=yes
writable=yes
printable=no
create mask=0775
force create mode=0664
force directory mode=0755в домен зашел:
net join sigma -U <имя домен админа>
wbinfo -t и -u ок, показывают не только "моих" юзеров, но всех доменов в трасте с моим.в /etc/nsswitch.conf не было, создал:
passwd: files winbind
group: files winbind
hosts: files dns winbindПри попытке зайти на сервер самбы в samba.log:
[2005/02/16 12:53:46, 0] nsswitch/winbindd_util.c:get_trust_pw(1034)
get_trust_pw: could not fetch trust account password for my domain SIGMAну да в принципе понятно, что я еще pam не крутил. Вот тут и проблема, во всех советах, что я уже начитался, все ссылаются, что pam в /etc/pam.d/, у меня такого в помине нет, есть только /etc/pam.conf, также нет ничего похожего на подобное:
pam_winbind.so
Подскажите что и как сделать, чтоб разрулить эту ситуацию. Спасибо.
попробуй так
./configure --with-winbind --with-winbind-auth-challenge --with-pam --with-pam_smbpass
и кстати.. /etc/pam.d/ появилась только в 5-й ветке.. в 4-й надо юзать /etc/pam.conf
>--with-pam_smbpass
значит ли это то, что пароли все таки придется в самбе назначать? мне б из домена б...>и кстати.. /etc/pam.d/ появилась только в 5-й ветке.. в 4-й надо юзать
>/etc/pam.conf
нашел я недостающий модуль pam_winbind.so в исходниках, скопировал в /usr/local/lib.
/etc/pam.conf покрутил как советовали, неудачно:
кстати pam_nologin.so у меня нет, хотя я пробовал и с pam_skey.so и с pam_nologin.so
# auth
login auth sufficient pam_skey.so no_warn
#login auth required pam_nologin.so no_warn
login auth sufficient pam_winbind.so
login auth sufficient pam_opie.so no_warn no_fake_prompts
login auth requisite pam_opieaccess.so no_warn allow_local
login auth required pam_unix.so try_first_pass
# account
account sufficient pam_winbind.so
accpunt required pam_unix.so
# session
session required pam_permit.soЕще советы pls.
>>--with-pam_smbpass
>значит ли это то, что пароли все таки придется в самбе назначать?
>мне б из домена б...
>
>>и кстати.. /etc/pam.d/ появилась только в 5-й ветке.. в 4-й надо юзать
>>/etc/pam.conf
>нашел я недостающий модуль pam_winbind.so в исходниках, скопировал в /usr/local/lib.
>/etc/pam.conf покрутил как советовали, неудачно:
>кстати pam_nologin.so у меня нет, хотя я пробовал и с pam_skey.so и
>с pam_nologin.so
># auth
>login auth sufficient pam_skey.so no_warn
>#login auth required pam_nologin.so no_warn
>login auth sufficient pam_winbind.so
>login auth sufficient pam_opie.so no_warn no_fake_prompts
>login auth requisite pam_opieaccess.so no_warn allow_local
>login auth required pam_unix.so try_first_pass
># account
>account sufficient pam_winbind.so
>accpunt required pam_unix.so
># session
>session required pam_permit.so
>
>Еще советы pls.Попробуйте http://www.wlug.org.nz/ActiveDirectoryKerberos, очень познавательно.
>Попробуйте http://www.wlug.org.nz/ActiveDirectoryKerberos, очень познавательно.Попробовал, поставил heimdal-0.6.1, создал файл /etc/krb5.conf:
[logging]
default = FILE:/var/log/krb5/libs.log
kdc = FILE:/var/log/krb5/kdc.log
admin_server = FILE:/var/log/krb5/admin.log[libdefaults]
ticket_lifetime = 24000
default_realm = GATEWAY.SIGMA.NET
default_tgs_enctypes = des-cbc-crc des-cbc-md5
default_tkt_enctypes = des-cbc-crc des-cbc-md5
forwardable = true
proxiable = true
dns_lookup_realm = true
dns_lookup_kdc = true[realms]
GATEWAY.SIGMA.NET = {
kdc = gateway.sigma.net:88
default_domain = gateway.sigma.net
}[domain_realm]
.gateway.sigma.net = GATEWAY.SIGMA.NET
gateway.sigma.net = GATEWAY.SIGMA.NET[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf - такого у меня нет, шо делать?[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = falseну и:
weasel# kinit georgy@GATEWAY.SIGMA.NET
FreeBSD Inc. (weasel.sigma.net)
Kerberos Initialization for "georgy@GATEWAY.SIGMA.NET"
Password:
kinit: Can't send request (send_to_kdc)
weasel#делал как описано в:
http://www.opennet.me/base/net/freebsd_win2k_auth.txt.htmlвсе ок, wbinfo показывает все что должен, но:
weasel# id georgy
id: georgy: no such user
weasel#Есть соображения?
да, еще, самбу инсталлил
./configure --with-winbind --with-winbind-auth-challenge
потом
make -DKRB5_HOME=/usr/local
make install
>да, еще, самбу инсталлил
>./configure --with-winbind --with-winbind-auth-challenge
>потом
>make -DKRB5_HOME=/usr/local
>make install
Уберай эту строчку нафиг
winbind separator=+
мдяяя, не получается, мои последние действия:
FreeBSD 4.10, Samba 3.0.11, DC - W2k3поставил heimdal-0.6.3
/etc/krb5.conf:
[logging]
default = FILE:/var/log/krb5/libs.log
kdc = FILE:/var/log/krb5/kdc.log
admin_server = FILE:/var/log/krb5/admin.log[libdefaults]
ticket_lifetime = 24000
default_realm = SIGMA.NET
default_tgs_enctypes = des-cbc-crc des-cbc-md5
default_tkt_enctypes = des-cbc-crc des-cbc-md5
forwardable = true
proxiable = true
dns_lookup_realm = true
dns_lookup_kdc = true[realms]
SIGMA.NET = {
kdc = gateway.sigma.net:88
default_domain = sigma.net
}[domain_realm]
.sigma.net = SIGMA.NET
sigma.net = SIGMA.NET[kdc]
profile = /var/heimdal/kdc.conf[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = falseНепонятно что там должно быть:
[kdc]
profile = /var/heimdal/kdc.conf - ???
weasel# /usr/heimdal/bin/kinit
georgy@SIGMA.NET's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week
weasel#Далее, поставил последний openldap, 2.2.23
./configure --enable-bdb=noпоставил самбу
./configure --with-winbind --with-winbind-auth-challenge --with-krb5=/usr/heimdal --with-ads --with-ldap/etc/local/samba/lib/smb.conf:
[global]
dos charset=CP866
unix charset=KOI8-R
workgroup=sigma
server string=Samba Server
security=ADS
realm=SIGMA.NET
password server=*
hosts allow=192.168. 127.
netbios name=weasel
load printers=no
encrypt passwords=yes
obey pam restrictions=yes
winbind uid=10000-20000
winbind gid=10000-20000
template shell=/bin/false
winbind enum users=yes
winbind enum groups=yes
winbind use default domain=yes
nt acl support=yes
wins server=gateway.sigma.net
interfaces=fxp0
log file=/var/log/samba.log
max log size=50
use spnego=yes
client use spnego=yes
local master=no
allow trusted domains=yes
username map=/usr/local/samba/lib/users.map[Common]
comment=Test share
path=/usr/common
browseable=yes
public=yes
writable=yes
printable=no
create mask=0775
force create mode=0664
force directory mode=0755Из чего не понятно, что должно быть в
/usr/local/samba/lib/users.map
и нужен он вообще???winbindd запущен
weasel# /usr/local/samba/bin/net ads join
Using short domain name -- SIGMA
Joined 'WEASEL' to realm 'SIGMA.NET'
weasel#
Даже никакого пароля не хотелоweasel# ./wbinfo -t
checking the trust secret via RPC calls succeeded
weasel#weasel# ./wbinfo -g
weasel# ./wbinfo -uвсе как положено, доменных список групп и юзеров со всех доменов в трасте с моим.
/etc/nsswitch.conf:
passwd: files winbind
shadow: files winbind
group: files winbindскопировал из ../source/nsswitch/libnss_winbind.so в /usr/lib
сделал по доке симлинки
ln -s /usr/lib/libnss_winbind.so /usr/lib/libnss_winbind.so.1
ln -s /usr/lib/libnss_winbind.so /usr/lib/nss_winbind.so.1
ln -s /usr/lib/libnss_winbind.so /usr/lib/nss_winbind.so.2
/usr/local/samba/sbin/nmbd -D
/usr/local/samba/sbin/smbd -Dи на этом все, при попытке зайти на шару просит логин/пароль, не пускает, в логах самбы:
[2005/02/23 08:47:15, 0] smbd/server.c:open_sockets_smbd(388)
open_sockets_smbd: accept: Software caused connection abort
[2005/02/23 08:47:15, 1] smbd/sesssetup.c:reply_spnego_kerberos(250)
Username SIGMA\Georgy is invalid on this system
[2005/02/23 08:47:15, 1] smbd/sesssetup.c:reply_spnego_kerberos(250)
Username SIGMA\Georgy is invalid on this system
[2005/02/23 08:47:16, 1] smbd/sesssetup.c:reply_spnego_kerberos(250)
Username SIGMA\Georgy is invalid on this system
[2005/02/23 08:47:16, 0] auth/auth_util.c:make_server_info_info3(1163)
make_server_info_info3: pdb_init_sam failed!Надо было компилить самбу с --with-pam???
Что нужно наковырять в /etc/pam.conf???
мой /etc/pam.conf:
# If the user can authenticate with S/Key, that's sufficient; allow clear
# password. Try kerberos, then try plain unix password.
login auth sufficient pam_skey.so
login auth sufficient pam_opie.so no_fake_prompts
#login auth requisite pam_opieaccess.so
login auth requisite pam_cleartext_pass_ok.so
#login auth sufficient pam_kerberosIV.s try_first_pass
#login auth sufficient pam_krb5.so try_first_pass
login auth required pam_unix.so try_first_pass
login account required pam_unix.so
login password required pam_permit.so
login session required pam_permit.so# Same requirement for ftpd as login
ftpd auth sufficient pam_skey.so
ftpd auth sufficient pam_opie.so no_fake_prompts
#ftpd auth requisite pam_opieaccess.so
ftpd auth requisite pam_cleartext_pass_ok.so
#ftpd auth sufficient pam_kerberosIV.so try_first_pass
#ftpd auth sufficient pam_krb5.so try_first_pass
ftpd auth required pam_unix.so try_first_pass# OpenSSH with PAM support requires similar modules. The session one is
# a bit strange, though...
sshd auth sufficient pam_skey.so
sshd auth sufficient pam_opie.so no_fake_prompts
#sshd auth requisite pam_opieaccess.so
#sshd auth sufficient pam_kerberosIV.so try_first_pass
#sshd auth sufficient pam_krb5.so try_first_pass
sshd auth required pam_unix.so try_first_pass
sshd account required pam_unix.so
sshd password required pam_permit.so
sshd session required pam_permit.so# "telnetd" is for SRA authenticated telnet only. Non-SRA uses 'login'
telnetd auth required pam_unix.so try_first_pass# Don't break startx
xserver auth required pam_permit.so# XDM is difficult; it fails or moans unless there are modules for each
# of the four management groups; auth, account, session and password.
xdm auth required pam_unix.so
#xdm auth sufficient pam_kerberosIV.so try_first_pass
#xdm auth sufficient pam_krb5.so try_first_pass
xdm account required pam_unix.so try_first_pass
xdm session required pam_deny.so
xdm password required pam_deny.so# GDM (GNOME Display Manager)
gdm auth required pam_unix.so
#gdm auth sufficient pam_kerberosIV.so try_first_pass
#gdm auth sufficient pam_krb5.so try_first_pass
gdm account required pam_unix.so try_first_pass
gdm session required pam_permit.so
gdm password required pam_deny.so# Mail services
imap auth required pam_unix.so try_first_pass
pop3 auth required pam_unix.so try_first_pass# If we don't match anything else, default to using getpwnam().
other auth sufficient pam_skey.so
other auth required pam_unix.so try_first_pass
other account required pam_unix.so try_first_pass
Подскажите в каком направлении копать??? HELP!!!
Люди, не дайте умереть молодым...
Вот работающие конфиги.
smb.conf
[global]
workgroup = ***
netbios name = MAIN
server string = Server %v
security = ADS
realm = ***.***.RU
password server = ads.***.***.ru
encrypt passwords = yes
log file = /var/log/samba3/log.%m
max log size = 50
dns proxy = No
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
case sensitive = yes
interfaces = eth0
hosts allow = 192.168.0.0/255.255.0.0
create mask = 0777
directory mask = 0775
unix charset = UTF-8
template homedir = /home/%D/%U
template shell = /bin/bash
/etc/krb5.conf
kdc = FILE:/var/log/krb5/kdc.log
admin_server = FILE:/var/log/krb5/admin.log[libdefaults]
default_realm = ***.***.RU
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24000[realms]
APPO.PU.RU = {
kdc = 192.168.0.5
admin_server = ***.***.***.ru:749
default_domain = ***.***.ru
}[domain_realm]
.***.***.ru = ***.***.RU
***.***.ru = ***.***.RU
/etc/nsswitch.conf
passwd: files
shadow: files
group: filespasswd: winbind compat
group: winbind compat
shadow: winbind compat
/etc/pam.d/system-auth-winbind
auth required /lib/security/pam_env.so
auth sufficient /lib/security/pam_winbind.so
auth sufficient /lib/security/pam_unix.so likeauth nullok use_first_pass
auth required /lib/security/pam_deny.soaccount sufficient /lib/security/pam_winbind.so
account required /lib/security/pam_unix.sopassword required /lib/security/pam_cracklib.so retry=3
password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadow
password required /lib/security/pam_deny.sosession required /lib/security/pam_mkhomedir.so skel=/etc/skel/ umask=0022
session required /lib/security/pam_limits.so
session required /lib/security/pam_unix.so
/etc/pam.d/login
auth required /lib/security/pam_securetty.so
auth sufficient /lib/security/pam_winbind.so
auth required /lib/security/pam_stack.so service=system-auth
auth required /lib/security/pam_nologin.so
account sufficient /lib/security/pam_winbind.so
account required /lib/security/pam_stack.so service=system-auth
password required /lib/security/pam_stack.so service=system-auth
session required /lib/security/pam_stack.so service=system-auth
session optional /lib/security/pam_console.so
/////
kinit Administrator@*** У вас работает?
Вообще посмотрите http://www.wlug.org.nz/ActiveDirectorySamba, там все примеры есть.....
>kinit Administrator@*** У вас работает?да, работает:
weasel# /usr/heimdal/bin/kinit
georgy@SIGMA.NET's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week
weasel#у меня проблем в том, что я никак не могу сообразить как покрутить /etc/pam.conf, у него структура отличается от /etc/pam.d/ и надо ли было инсталлить самбу с --with-pam???
В общем все получилось, делал как описано в многочисленных руководствах и манах, но пришлось переставить фрю с 4.10 на 5.2.1. Напоминаю, что у меня DC - w2k3 native mode, фря - файловый сервак, авторизация с DC.