URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 325
[ Назад ]

Исходное сообщение
"SAMBA RED HAT 9 и AD"
Отправлено Avers , 23-Мрт-05 12:58

Поставил SAMBA 3.0.11 на RH9. Настроил krb5 winbind. Зарегистрировал в AD. Вроде все работает, но в Gnome под учетной записью AD войти не могу ( в консоли все работает). Создал папку пользователя AD по пути прописанному в smb.conf но какие файлы необходимо скопировать в эту папку не знаю HELP.

Содержание

SAMBA RED HAT 9 и AD,SergM, 14:53 , 23-Мрт-05
- SAMBA RED HAT 9 и AD,SergM, 14:56 , 23-Мрт-05
  - SAMBA RED HAT 9 и AD,Avers, 15:32 , 23-Мрт-05
    - SAMBA RED HAT 9 и AD,SergM, 16:14 , 23-Мрт-05
      - SAMBA RED HAT 9 и AD,Avers, 16:56 , 23-Мрт-05
        
        SAMBA RED HAT 9 и AD,Avers, 18:00 , 23-Мрт-05
        
        SAMBA RED HAT 9 и AD,SergM, 08:42 , 24-Мрт-05
        
        SAMBA RED HAT 9 и AD,Avers, 15:08 , 24-Мрт-05
        
        SAMBA RED HAT 9 и AD,SergM, 16:05 , 24-Мрт-05
        
        SAMBA RED HAT 9 и AD,SergM, 16:13 , 24-Мрт-05
        
        SAMBA RED HAT 9 и AD,Avers, 16:55 , 24-Мрт-05
        
        SAMBA RED HAT 9 и AD,SergM, 17:09 , 24-Мрт-05

Сообщения в этом обсуждении

"SAMBA RED HAT 9 и AD"
Отправлено SergM , 23-Мрт-05 14:53

>Поставил SAMBA 3.0.11 на RH9. Настроил krb5 winbind. Зарегистрировал в AD. Вроде
>все работает, но в Gnome под учетной записью AD войти не
>могу ( в консоли все работает). Создал папку пользователя AD по
>пути прописанному в smb.conf но какие файлы необходимо скопировать в эту
>папку не знаю HELP.
Имею аналогичную связку. Только не вышло зарегистрировать с security=ads , пришлось оставить security=domain.
Если все работает в консоли, т.е. на rc3 пользователь из домена может зайти локально, то попробуй поковырять /etc/pam.d. НО, ЭТО МОЖЕТ ПРИВЕСТИ К ПОЛНОЙ НЕРАБОТОСПОСОБНОСТИ СИСТЕМЫ. Все эксперименты над РАМ проводи с двумя-тремя запущенными консолями root. И не забывай про бэкап.
А вообще-то нехило бы взглянуть на конфиги и логи самбы...:-)))

"SAMBA RED HAT 9 и AD"
Отправлено SergM , 23-Мрт-05 14:56

для создания домашнего каталога автоматом впиши в /etc/pam.d/login
session required pam_mkhomedir.so skel=/etc/skel
Ну уж начинку скелета сам по своему вкусу выбирай...

"SAMBA RED HAT 9 и AD"
Отправлено Avers , 23-Мрт-05 15:32

>для создания домашнего каталога автоматом впиши в /etc/pam.d/login
>
>session required pam_mkhomedir.so skel=/etc/skel
>
>Ну уж начинку скелета сам по своему вкусу выбирай...
Привожу пример соего /etc/pam.d/login
auth requred pam_securetty.so
auth sufficient pam_winbind.so
auth sufficient pam_unix.so use_first_pass
auth requred pam_stack.so service=system-auth
auth requred pam_nologin.so
account sufficient pam_winbind.so
account requred pam_stack.so service=system-auth
password requred pam_stack.so service=system-auth
session requred pam_stack.so service=system-auth
session optional pam_console.so
Линуксом занимаюсь недавно, если можно по подробнее что изменить в login и какая начинка скелета необходима

"SAMBA RED HAT 9 и AD"
Отправлено SergM , 23-Мрт-05 16:14

>auth requred pam_securetty.so
>auth sufficient pam_winbind.so
>auth sufficient pam_unix.so use_first_pass
>auth requred pam_stack.so service=system-auth
>auth requred pam_nologin.so
>account sufficient pam_winbind.so
>account requred pam_stack.so service=system-auth
>password requred pam_stack.so service=system-auth
>session requred pam_stack.so service=system-auth
>session optional pam_console.so
>
А вот мой:
auth       required    pam_securetty.so
auth       required    pam_stack.so service=system-auth
auth       required    pam_nologin.so
account    required    pam_stack.so service=system-auth
password   required    pam_stack.so service=system-auth
session        required    pam_stack.so service=system-auth
session        required    pam_mkhomedir.so skel=/etc/skel
session        optional    pam_console.so
ничего тут не правил с самой установки, кроме добавки pam_mkhomedir. Я вообще-то думал, у вас просто угробился pam в процессе установки.
я тут подумал - а ведь гоню... если вновь зашедшему рядовому пользователю без ЛОКАЛЬНОГО бюджета(и соотв. домашнего каталога, а по правилам из smb.conf  наверняка задается что-то типа /home/%D/%U)  домашним каталогом устанавливается / (корень файловой системы), и прав там у него не больше чем у соседской мыши на дворового кота... Короче, создай папку /home/<имя пользователя из АД>(посмотри параметр template homedir = ....). Запиши туда .bash_profile, .bashrc,  в общем окружение пользователю хоть какое-то сделай, временно можно рутовские записать, только про права не забудь. И поставь на эту папку права этому пользователю. потом пробуй зайти и пускать иксы...
Чтобы не заморачиваться с каждым новым пользователем и существует /etc/skel (вообще-то это может быть любой каталог с нужной структурой файлов, его только надо указать в явном виде,  точнее обозначить переменную, которая будет на него указывать).
З.Ы. А в АД загоняли как? с созданием машинного пароля на контроллере или без доступа к DC?

"SAMBA RED HAT 9 и AD"
Отправлено Avers , 23-Мрт-05 16:56

Создал в AD пользователя. В консоле захожу под вновь созданным пользователем. Сразу создается папка /home/DOMAIN/USER. Захожу в GNOME под рутом (права на папку USER владелец USER уже есть)Папка пустая. Поиском пытаюсь найти bash_profile а этого файла нет :(( где точно должны лежать файлы bash_profile, .bashrc

"SAMBA RED HAT 9 и AD"
Отправлено Avers , 23-Мрт-05 18:00

Нашел bash-profile, bashrc. Переписал в папку пользователя. Дал права пользователю. В GNOME все равно под этим пользователем войти не могу

"SAMBA RED HAT 9 и AD"
Отправлено SergM , 24-Мрт-05 08:42

>Нашел bash-profile, bashrc. Переписал в папку пользователя. Дал права пользователю. В GNOME
>все равно под этим пользователем войти не могу
Т.е. существует папка /home/domain/user, в ней есть файлы профиля, в консоль пускает(т.е. на runlevel3, т.е. в /etc/inittab  стоит id:3:initdefault: ), позволяет делать какие-либо действия(ну там, мс запустить, файлы почитать/записать) ? также все права на эту папку, включая имя владельца, записаны на пользователя(т.е.  chown -R USER:Group /home/DOMAIN/USER  сделано и chmod -R 600(можно и 640) /home/DOMAIN/USER)?
Далее, если все вышеописанное выполняется, то что говорит при запуске startx (собственно это скрипт запука Иксов)?
Затем,  при установке id:5  в inittab (что будет означать запуск на уровне 5, т.е. сразу при рестаре появится графическая оболочка), что происходит? что пишет в логах /var/log/XFree* к примеру, /var/log/messages?
Я сначала и завел разговор про рам, ибо, насколько мне позволяют мои знания и прочитанное...:-), похоже, что  пользователю просто не хватает прав на запуск графики.
Возможно, я не прав. Но, чтобы сделать другой вывод, надо хотя бы прочитать логи.
В общем, ждем продолжения....:-)))

"SAMBA RED HAT 9 и AD"
Отправлено Avers , 24-Мрт-05 15:08

Посмотрел в логах при попытки войти под доменным пользователем пишет
gdm(pam_unix) [2454] chek pass; user unknown
gdm(pam_unix) [2454] authentication failure; logname= uid=0 euid=0 tty=:0 ruser=gdm rhost=localhost
gdm-binary [2454]: дальше абракадабра (кодировку менял все равно бред)
Еще вопрос возможно ли дать доменному пользователю права root на машине RED HAT и как это сделать

"SAMBA RED HAT 9 и AD"
Отправлено SergM , 24-Мрт-05 16:05

>Посмотрел в логах при попытки войти под доменным пользователем пишет
>gdm(pam_unix) [2454] chek pass; user unknown
>gdm(pam_unix) [2454] authentication failure; logname= uid=0 euid=0 tty=:0 ruser=gdm
           ^^^^^^^^^^
           Насколько я понимаю этот модуль "знает" ТОЛЬКО линуховых пользователей, соотв. поьзователей из домена не пускает.
вот мой /etc/pam.d/gdm
#%PAM-1.0
auth       required    pam_env.so
auth       required    pam_stack.so service=system-auth
auth       required    pam_nologin.so
account    required    pam_stack.so service=system-auth
password   required    pam_stack.so service=system-auth
session    required    pam_stack.so service=system-auth
session    optional     pam_console.so
может, вам стоит сюда вставить что-то типа
auth       required    pam_winbind.so
>gdm-binary [2454]: дальше абракадабра (кодировку менял все равно бред)
                       ^^^^^^^
                     Имхо, пока на это можно забить
>Еще вопрос возможно ли дать доменному пользователю права root на машине RED
>HAT и как это сделать
для подобных вещей идеологически верным будет пользоваться командами su или sudo, они несколько отличаются по своему подходу, но суть дела не меняется - рутовые права даются.

"SAMBA RED HAT 9 и AD"
Отправлено SergM , 24-Мрт-05 16:13

И еще - а самба "самосборная" или ставился скачанный рпм-пакет?
Просто у меня самосбор, и поэтому, может быть различие в конфигах.

"SAMBA RED HAT 9 и AD"
Отправлено Avers , 24-Мрт-05 16:55

>И еще - а самба "самосборная" или ставился скачанный рпм-пакет?
>Просто у меня самосбор, и поэтому, может быть различие в конфигах.
ставил rpm пакет для RH9

"SAMBA RED HAT 9 и AD"
Отправлено SergM , 24-Мрт-05 17:09

>ставил rpm пакет для RH9
Он именовался примерно так - samba-3-0-11-i386.rpm ? А с какими опциями она собрана? Не поленись, слей исходники, почитай installation.
Благо в них специально для таких как я предусмотрены возможности сборки пакетов под разные менеджеры(т.е. заходишь в каталог с названием redhat, запускаешь сборку пакета и получаешь готовый rpm под СВОЮ систему). Сначала, конечно, нехило просто запустить конфигуратор и проверить наличие поддержки требуемых вещей, как то керберос, лдап, winbind. Самолично так и поступил, ибо идущая в комплекте с дистрибутивом самба была 2.2.7 и ни в какую не хотела дружить с нашим доменом...:(
Я к тому говорю, что приводимые мной конфиги рам-а вполне рабочие, но у меня! и, если мне память не изменяет, при сборке пролетало что-то типа "установка стековой версии чего-то там", а в пам-е есть строчка pam_stack.so. Скорее всего я гоню, но уж больно похоже на правду.....или мне так хочется думать...:)