URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 860
[ Назад ]

Исходное сообщение
"ASPLinux 11 Standard и AD Win2k"

Отправлено hamele0n , 18-Май-06 15:20 
Здравствуйте. Была поставлена задача ввести в Win2k домен рабочую станцию на Linux. Настройку осуществлял по статьям с этого ресурса. В результате получилось следующее.

***********************************smb.conf*************************************
[global]
log file = /var/log/samba/log.%m
socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192
null passwords = no
interfaces = 192.168.10.4/255.255.255.0
hosts allow = 192.168.10. 127.0.0.1
encrypt passwords = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
auth methods = winbind
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = yes
name resolve order = hosts wins bcast lmhosts
case sensitive = no
dns proxy = no
netbios name = Esipov
server string = Desktop
password server = srv1.zao.local
realm = ZAO.LOCAL
client use spnego = yes
client signing = yes
local master = no
domain master = no
preferred master = no
workgroup = ZAO
debug level = 2
security = ads
dos charset = 866
unix charset = UTF-8
max log size = 50
os level = 0
#allow trusted domains = no
#winbind separator = \

#============================ Share Definitions ==============================
[homes]
   comment = Home Directories
   browseable = no
   writable = yes

[printers]
   comment = All Printers
   path = /var/spool/samba
   browseable = no
# Set public = yes to allow user 'guest account' to print
   guest ok = no
   writable = no
   printable = yes

**********************************krb5.conf********************
[libdefaults]
default_realm = ZAO.LOCAL

[realms]
SRV1.ZAO.LOCAL = {
kdc = srv1.zao.local
admin_server = srv1.zao.local
default_domain = zao.local
}

[domain_realms]
.zao.local = ZAO.LOCAL

[logging]
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
default = FILE:/var/log/krb5lib.log

*******************************nsswitch.conf********************
passwd:     files winbind
shadow:     files
group:      files winbind

hosts:      files dns

bootparams: nisplus [NOTFOUND=return] files

ethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   files

netgroup:   nisplus

publickey:  nisplus

automount:  files nisplus
aliases:    files nisplus

***************************/pam.d/login && gdm && sshd*******************
auth    required    pam_securetty.so
auth    sufficient    pam_winbind.so
auth    sufficient    pam_unix.so use_first_pass
auth    required    pam_stack.so service=system-auth
auth    required    pam_nologin.so
account    sufficient    pam_winbind.so
account    required    pam_stack.so service=system-auth
password    required     pam_stack.so service=system-auth
session    required    pam_stack.so service=system-auth
session    optional    pam_console.so

***************************/pam.d/samba*******************************
auth    required    pam_winbind.so
auth    required    pam_nologin.so
auth    required    pam_stack.so service=system-auth
account    required    pam_stack.so service=system-auth
sessiom    required    pam_stack.so service=system-auth
account sufficient    pam_winbind.so
password    required    pam_winbind.so

Проблема в следующем: когда пытаешься зайти в консоли или через ssh под учеткой доменного пользователя, то сеанс тут же прекращается сразу после авторизации, причем в /var/log/message появляется запись о том, что авторизация прошла успешно:
May 18 15:03:56 esipov sshd[4498]: Accepted password for user from 192.168.10.16 port 2828 ssh2

Когда же пытаешься зайти в гном под доменной учетной записью, то появляется сообщение "Администратор заблокировал вашу учетную запись" и сеанс прекращается.

Но в то же время на расшаренные ресурсы данного компьютера зайти можно с других компов домена под доменными учетными записями. Жду от вас подсказки.


Содержание

Сообщения в этом обсуждении
"ASPLinux 11 Standard и AD Win2k"
Отправлено Andrey_T , 18-Май-06 17:30 
Сам не делал но выскажу предположение
Для пользователя должен существовать домашний каталог владельцем которого он является
по умолчанию /bin/false
устанавливается в smb.conf
[global]
template shell = /bin/bash
template homedir = /home/%D/%U #

Если не создается домашний каталог автоматически(прописыватся в pam)
то его надо создать руками

#getent passwd
Выведет определенные для пользователей шелл и каталог

Посмотри здесь:
http://www.nestor.minsk.by/sr/2003/08/30809.html


"ASPLinux 11 Standard и AD Win2k"
Отправлено hamele0n , 20-Май-06 09:24 
>Сам не делал но выскажу предположение
>Для пользователя должен существовать домашний каталог владельцем которого он является
>по умолчанию /bin/false
>устанавливается в smb.conf
>[global]
>template shell = /bin/bash
>template homedir = /home/%D/%U #
>
>Если не создается домашний каталог автоматически(прописыватся в pam)
>то его надо создать руками
>
>#getent passwd
>Выведет определенные для пользователей шелл и каталог
>
>Посмотри здесь:
>http://www.nestor.minsk.by/sr/2003/08/30809.html
>
>

Спасибо, проблема действительно была в этом.. теперь все работает.. ;)


"ASPLinux 11 Standard и AD Win2k"
Отправлено hamele0n , 23-Май-06 21:37 
Возник очередной трабл. Хотелось бы наряду с login, sshd, samba и gdm прикрутить pam авторизацию доменных пользователей для xscreensaver. А то как-то глупо получается, пользователь работает на компьютере, но стоит ему чуть отвлечься, как скрин сэйвер ему все лочит, а обратно не пускает.

по умолчанию в /etc/pam.d/xscreensaver прописано следующее:

auth required pam_unix_auth.so

но, само собой, этого не достаточно.


"ASPLinux 11 Standard и AD Win2k"
Отправлено Kayot , 14-Июн-06 08:10 
подниму тему...
у меня та же задача, только asplinux v10
отредактировал файлы так же, как и выше...
не заработал керберос, так что krb5.conf я "отключил"
плююс добавил три строки в smb.conf
winbind uid = 10000-20000
winbind gid = 10000-20000
nt acl support = yes
после этого при выполнении net join линь ругается на ads, но в домен заходит
но после правки файлов из pam.d после ребута при вводе любого имени-пароля пишет  "сбой авторизации"
подскажите, из-за чего это может быть??