[Comm] winbind (maybe again)

Kolya Grechukh =?iso-8859-1?q?ngrechukh_=CE=C1_ua=2Efm?=
Вт Дек 16 20:10:46 MSK 2003


at Вторник 16 Декабрь 2003 18:33 Kolya Grechukh wrote:
> пытаюсь настроить вход под учетной записью nt домена.
> дано:
> win2000server (админских прав нет, и не понадобились)
> master2.2
> pam-config-1.1.3-alt1
> samba3-3.0-alt46.1m (shrek'овской сборки)
> pam-0.75-alt18
>
> самба как таковая уже настроена. в /etc/nsswitch.conf дописываю слово
> winbind. passwd:     files winbind nisplus nis
> shadow:     winbind  tcb files nisplus nis
> group:      files winbind nisplus nis
>
> раскоментировал template shell.
>
> включаю в домен путем
> [kolya на gns kolya]$ sudo net join -U GNS.
> [kolya на gns kolya]$ sudo service winbind start
> [kolya на gns kolya]$ sudo wbinfo -p
> ...есть.
> [kolya на gns kolya]$ sudo wbinfo -t
> ...есть.
> [kolya на gns kolya]$ sudo wbinfo --set-auth-user
> [kolya на gns kolya]$ sudo wbinfo -u
> все работает.
>
> запара вышла с настройкой pam_winbind. /me так и не понял как кошерно в
> понятиях альта включить pam_winbind.
> так и не удалось вызвать winbind напрямую из system-auth (так чтобы он
> проверялся для всех сервисов). соответственно, вызов winbind придется
> задавать для каждого сервиса отдельно.
>
> в общем, путем длительных экспериментов, получил следующее:
> в pam.d/login
> auth    required        /lib/security/pam_stack.so
> service=system-auth-winbind account    required  
> /lib/security/pam_stack.so service=system-auth-winbind password    required
>   /lib/security/pam_stack.so service=system-auth-winbind session  required 
>   /lib/security/pam_stack.so service=system-auth-winbind (вместо
> system-auth).
>
> но после этого следующий баг:
>
> логинюсь под именем TDO\GNS с паролем домена.
> Dec 16 18:06:44 gns login: PAM pam_parse: expecting return value;
> [...include] Dec 16 18:06:44 gns login: PAM unable to
> dlopen(/lib/security/system-auth-use_first_pass)
> Dec 16 18:06:44 gns login: PAM [dlerror:
> /lib/security/system-auth-use_first_pass: cannot open shared object file:
> No such file or directory]
> Dec 16 18:06:44 gns login: PAM adding faulty module:
> /lib/security/system-auth-use_first_pass
> Dec 16 18:06:44 gns login: PAM pam_parse: expecting return value;
> [...include] Dec 16 18:06:44 gns login: PAM unable to
> dlopen(/lib/security/system-auth) Dec 16 18:06:44 gns login: PAM [dlerror:
> /lib/security/system-auth: cannot open shared object file: No such file or
> directory]
> Dec 16 18:06:44 gns login: PAM adding faulty module:
> /lib/security/system-auth Dec 16 18:06:44 gns login: PAM pam_parse:
> expecting return value; [...include] Dec 16 18:06:44 gns login: PAM
> pam_parse: expecting return value; [...include] Dec 16 18:06:46 gns
> pam_winbind[21263]: user 'TDO\GNS' granted acces Dec 16 18:06:46 gns
> pam_winbind[21263]: user 'TDO\GNS' granted acces Dec 16 18:06:46 gns
> login[21263]: unable to open session: Module is unknown Dec 16 18:06:46 gns
> login[21263]: pam_open_session: unable to open session
>
> визуально это выглядит как логин прошел, что-то быстро мелькнуло и опять
> приглашению к вводу логина. в систему не заходит. не буду описывать долгий
> поиск решения, скажу результат. чтобы все работало, нужно еще
> закомментировать следующие строчки в system-auth-winbind:
>
> auth     include      system-auth-use_first_pass
> account        include        system-auth
> password include      system-auth-use_first_pass
> session  include      system-auth
>
> этого достаточно (проверено на тестовой машине с чистым мастером + та же
> самба.) логин в консоли работает, и домашняя папка создана.
> работает-то все работает, но правильный ли это путь? и почему
> system-auth-winbind глючный, это баг или фича? корректны ли мои
> исправления,не сломал ли я чего. м.б следует в system-auth-winbind написать
> ссылку на system-auth вместо include  в виде sufficient pam_stack
> service=system-auth?
>
> btw: для применения аутентификации winbind к другим сервисам, в их pam тоже
> придется прописывать system-auth-winbind??
вписав winbind в /etc/pam.d/kde получил возможность входить через графический 
логин. но такие пользователи не могут, к примеру, разблокировать экран, если 
заблокируют случайно.


> в аттаче конфиги ДО изменений. и вывод diff.
>
> --------
> Nick S. Grechukh
> kolyag на mail.ru
> Refractory Trading House, network administrator.

-- 
--------
Nick S. Grechukh
kolyag на mail.ru
Refractory Trading House, network administrator.


Подробная информация о списке рассылки community