The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Включение Fedora Core 7 в домен под управлением Windows 2003 (fedora samba windows domain auth pam)


<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>
Ключевые слова: fedora, samba, windows, domain, auth, pam,  (найти похожие документы)
From: Danil <danil@sunrise-ufa.ru.> Newsgroups: email Date: Mon, 24 Oct 2007 14:31:37 +0000 (UTC) Subject: Включение Fedora Core 7 в домен под управлением Windows 2003 1. Необходимо проапгрейдить сервер самба, поскольку по умолчанию стоит 3.025 и у меня возникли проблемы при подключении к домену, постоянно падал winbind - # yum update samba 2. Я использовал kerberos 5 поэтому , его необходимо установить # yum install krb5 я ставил вот эти пакеты krb5-devel-1.6.1-4.fc7.i386.rpm krb5-libs-1.6.1-4.fc7.i386.rpm krb5-server-1.6.1-4.fc7.i386.rpm krb5-workstation-1.6.1-4.fc7.i386.rpm krb5-workstation-clients-1.6.1-4.fc7.i386.rpm xinetd-2.3.14-12.fc7.i386.rpm 3. Настройка kerberos тривиальна но есть загвоздки. Реалм должен быть указан в ВЕРХНЕМ РЕГИСТРЕ [libdefaults] ticket_lifetime = 24000 clock_skew = 300 default_realm = DC.MYDOMAIN.LOCAL dns_lookup_realm = true dns_lookup_kdc = true [realms] DC.MYDOMAIN.LOCAL = { kdc = SERV1.DC.MYDOMAIN.LOCAL admin_server = SERV1.DC.MYDOMAIN.LOCAL default_domain = DC.MYDOMAIN.LOCAL } 10.10.0.105 = { kdc = 10.10.0.105 } [domain_realm] .NS.DOMAIN = DC.MYDOMAIN.LOCAL NS.DOMAIN = DC.MYDOMAIN.LOCAL dc.mydomain.local = DC.MYDOMAIN.LOCAL .dc.mydomain.local = DC.MYDOMAIN.LOCAL [logging] default = FILE:/var/log/krb5.log проверяем подключение # kinit [email protected] # Password: пишем пароль администратора опять обращаю внимание что домен пишется в верхнем регистре, если все нормально проверяем # klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: [email protected] Valid starting Expires Service principal 10/25/07 11:28:11 10/25/07 18:08:11 krbtgt/[email protected] Так c kerberos разобрались настраиваем samba и winbind. 4. Настраиваем сервер samba приводим файл lmhosts к след содержанию 127.0.0.1 localhost 10.10.0.105 serv1 # где serv1 - это PDC приводим smb.conf к след виду #smb.conf [global] log file = /var/log/samba/log.%m idmap gid = 10000-20000 socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 auth methods = winbind interfaces = 10.10.0.2/24 encrypt passwords = yes hosts allow = 10.10.0. 127. realm = SERV1.DC.MYDOMAIN.LOCAL winbind use default domain = yes case sensitive = no dns proxy = no netbios name = desktop server string = desktop.dc.mydomain.local idmap uid = 10000-20000 password server = 10.10.0.105 default = public dos charset = 866 local master = no workgroup = DC os level = 20 security = ads unix charset = KOI8-R max log size = 50 template shell = /bin/bash #обязательно укажем этот параметр template homedir = /home/%D/%U #и этот [public] guest ok = Yes writable = yes writeable = yes public = yes path = /file_share write list = nobody Остановим сервер samba и winbind # service smb stop # service winbind stop Добавим в файл /etc/hosts 10.10.0.105 serv1 #описание PDC Приведем файл /etc/nsswitch к след виду passwd: files winbind shadow: files winbind group: files winbind #hosts: db files nisplus nis dns hosts: files dns # Example - obey only what nisplus tells us... #services: nisplus [NOTFOUND=return] files #networks: nisplus [NOTFOUND=return] files #protocols: nisplus [NOTFOUND=return] files #rpc: nisplus [NOTFOUND=return] files #ethers: nisplus [NOTFOUND=return] files #netmasks: nisplus [NOTFOUND=return] files bootparams: nisplus [NOTFOUND=return] files ethers: files netmasks: files networks: files protocols: files rpc: files services: files netgroup: files publickey: nisplus automount: files aliases: files nisplus Далее идем в каталог /etc/pam.d добавляем файл common-account # touch common-account и прописываем там account sufficient pam_winbind.so Далее в этом же каталоге необходимо отредактировать файл system-auth-ac - его приводим к следующему виду: auth required /lib/security/$ISA/pam_env.so auth sufficient /lib/security/$ISA/pam_winbind.so auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok use_first_pass auth required /lib/security/$ISA/pam_deny.so account required /lib/security/$ISA/pam_unix.so account sufficient /lib/security/$ISA/pam_winbind.so account sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet account required /lib/security/$ISA/pam_permit.so password requisite /lib/security/$ISA/pam_cracklib.so retry=3 password sufficient /lib/security/$ISA/pam_winbind.so password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow password required /lib/security/$ISA/pam_deny.so session required /lib/security/$ISA/pam_mkhomedir.so skel=/etc/skel umask=0077 session required /lib/security/$ISA/pam_limits.so session required /lib/security/$ISA/pam_unix.so 5. Синхронизируем время на машине с PDC # net time set 6. Подключим машину к домену # net join ads -U Administartor 7. Запустим samba и winbind # service smb start # service winbind start 8. Проверим winbin # wbinfo -p ответ примерно такой - Ping to winbindd succeeded on fd 4 Далее необходимо установить авторизатора винбинда # wbinfo --set-auth-user=Administartorr%123456 проверим # wbinfo --get-auth-user ответ DC\Administartor%123456 Проверим доступность доменных пользователей и групп # wbinfo -u ответ - список пользователей домена # wbinfo -g ответ - список групп домена Проверяем вход под доменной учетной записью # ssh drock@localhost # drock@localhost's password: Creating directory '/home/DC/drock'. Creating directory '/home/DC/drock/.kde'. Creating directory '/home/DC/drock/.kde/Autostart'. Last login: Tue Oct 23 15:30:25 2007 from 10.10.0.2 [drock@fedora ~]$ Вроде ничего не забыл.

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

Обсуждение [ Линейный режим | Показать все | RSS ]
  • 1.1, kde (??), 13:27, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А если 2k3-R2 для без подержки win2k и ниже ???
     
  • 1.2, andrey (??), 13:59, 26/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >А если 2k3-R2 для без подержки win2k
    > и ниже ???

    грамотно поставленный вопрос - убийца ответов...

     
  • 1.3, Danil (??), 08:50, 29/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    при разворачивании AD выбрал смешанный режим, на эксперементы времени не было
     
  • 1.4, Danil (??), 08:55, 29/10/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    да еще обратил одну не шибко приятную особенность, но и не критичную, в GUI отображение русских групп и имен пользователей отображается вопросами
     
  • 1.5, Аноним (5), 20:14, 05/11/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    забыл про system-config-authentication
    где это делается несколькими щелчками мыши за 30 сек, где ниже вероятность ошибки для админа. И нет необходимости сравнивать ваши конфиги со своими при попытке повтора задачи "K.I.S.S."
     
  • 1.6, Danil (??), 18:58, 12/11/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ну скажем так больше расчитывал на консоль
     
  • 1.7, Evgeny (??), 19:56, 17/01/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я так понимаю Linux будет работать только в смешанном режиме с 2k3 r2? Просто все сделал... А вот теперь linux не могу зайти не под root не под любым пользователем AD :( Я как понимаю мне придеться переустанавливать Linux?  
     
     
  • 2.8, Inkv (?), 16:12, 26/03/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >А вот теперь linux не могу зайти
    >не под root не под любым пользователем AD :( Я как
    >понимаю мне придеться переустанавливать Linux?

    А в однопользовательском режиме зайти ? никак ?

     
     
  • 3.9, Barabashka (?), 10:50, 22/05/2008 [^] [^^] [^^^] [ответить]  
  • +/
    А можно для чайника озвучить как это сделать..?
     

  • 1.10, rayman (?), 09:34, 18/12/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Осталось только добиться от wbinfo информации по sid и uid
    команды:
    wbinfo -N
    wbinfo -I
    wbinfo -n
    говорят:
    "Could not lookup WINS by name ..." и по другим из приведённых выше командам таже ошибка.
    Цель моих дерзаний - определить sid сервака дял squid.
     
  • 1.11, Дмитрий (??), 14:08, 18/03/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Подскажите "чайнику", что значит полученное в ответ на ввод пароля после kinit -p %username%  -- "Clock skew too great while initial credentials"  и чем лечится?
     
     
  • 2.13, Владимир (??), 18:57, 02/10/2009 [^] [^^] [^^^] [ответить]  
  • +/
    точно такая же проблема, только на сусе 11
     

  • 1.12, Paul Wilde (?), 17:29, 14/08/2009 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Самая толковая статья, которую я видел, а все равно - не работает ((( Все сделал, как написано. Подключился к домену. Все wbinfo проходят на ура. А залогиниться не могу. И даже когда рутом захожу, выдает мне

    login as: root
    root@123's password:
    Wrong Password
    Last login: Fri Aug 14 14:59:38 2009 from 321.my.domain.com
    -bash: auth: command not found
    -bash: account: command not found
    -bash: password: command not found
    -bash: session: command not found
    -bash: /etc/profile.d/which2.sh: line 2: syntax error near unexpected token '('
    -bash: /etc/profile.d/which2.sh: line 2: '      set path = ( /usr/kerberos/bin $path )'

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру