[mdk-re] NT domain

Denis Kulgeyko =?iso-8859-1?q?burzumie_=CE=C1_ukr=2Enet?=
Чт Мар 28 11:33:01 MSK 2002 

     Доброго времени суток !

> Всем здравствуйте!
> Не подскажители  - каким самым безболезненным образом можно перевести
> домен WinNT на линух, сохраняя привычную для юзеров авторизацияю и т.д. ?

  Было такое. Junuior-1.1 + кой чего из "Сизифа", samba-2.2.2-alt9, переcобраная из 
SRPM самостоятельно. Я делал так:
0. Поставить samba с качестве PDC. см. Samba-PDC-HOWTO (на www.samba.org или 
документации к samba)
1. Говорят, что она уже может работать как BDC, но я точно не в курсе. если так - то 
может получится синхронизировать пароли (т.е. минус одна лишняя головная боль)
2. иначе каждому юзеру надо сделать пароль в smbpasswd (вот тут им прийдется 
несколько понапрягаться)
3. меняем PDC (пожалуй лучше в нерабочее время, причину см. ниже)
4. если в домене только win9x то на этом все и закончится
5. если есть win2k/NT - то: нужен юзер с правами "администратора" (локального, не 
из домена. см. ниже почему)
- если известен SID-ключ старого PDC - заменить его в реестре каждой (!) рабочей 
станции на ключ нового PDC (/etc/samba/MACHINE.SID) и перезагрузиться. выяснить 
старый ключ я не смог, поэтому дальше. иначе рабочие станции и новый PDC 
попросту не подружатся.
- зайти на рабочую станцию под этим юзером, убрать "домен", перевести машину  в 
рабочую группу с именем домена, перезагрузка
- опять зайти под этим юзером (к домену уже не достучаться, поэтому нужен 
локальный юзер. иначе вообще никак не пустит), поставить домен вместо рабочей 
группы, перезагрузиться. все (после этого должно работать)

  Пара тонких моментов:
- win2k/NT нужно прописывать в "домен": добавить юзера с именем 
"<имя_машины>$" (имя машины со знаком доллара в конце) в /etc/passwd (напр. 
через useradd. если сразу не даст добавить с долларом - добавить без него а потом 
переименовать юзера - напр. vipw и исправить), потом smbpasswd -a -m <имя 
машины>. shell'ы и системные пароли таким юзерам не нужны. про это см. в HOWTO
- в smbpasswd должен быть юзер у которого в /etc/passwd UID == 0. этому юзеру 
можно (и нужно) вообще прикрыть все (системный пароль, shell ...), главное, чтобы 
был smb-пароль и системный UID == 0. и не пускать этого юзера вообще никуда (и по 
samba тоже) - как никак UID == 0 - абсолютные права на все (!). зачем: при проверке 
на существование машины в домене:  samba делает setuid на этого юзера и из-под 
него читает smbpasswd (зачем - так и не понял, но именно так оно происходит), а 
перед этим делает chown root.root smbpasswd, chmod 0600 smbpasswd. думаю, 
дальше причины понятны

  Успехов !

-- 
With Best Regards,
Denis A. Kulgeyko
DK666-UANIC
e-mail: burzumie на ukr.net
ICQ: 81607525
-================================-
UNIXes ... they are VERY friendly.
But .. they chooses their friends VERY carefully ... :)
^]:wq!

Подробная информация о списке рассылки community