[Comm] Линукс в домен W2K с ADS
Алексей Данилович
=?iso-8859-1?q?mlists_=CE=C1_list=2Eru?=
Ср Июл 21 23:58:42 MSD 2004
Nick S. Grechukh пишет:
>В сообщении от Вторник 20 Июль 2004 21:45 Алексей Данилович написал(a):
>
>
>>Nick S. Grechukh пишет:
>>
>>
>>>>>>Иначе: как пользователя линуха аутентифицировать через ADS?
>>>>>>
>>>>>>
>>>>>по-видимому вам нужен winbind.
>>>>>пользователи ad будут видны наравне с системными, и можно будет входить
>>>>>под ними.
>>>>>
>>>>>
>>>>Так стоит. Но как? Поверьте, если вы попытаетесь войти в систему под
>>>>именем юзера из виндов, то ничего не выйдет!
>>>>Я прочитал про прикручивание авторизации в домене через PAM для login...
>>>>Сейчас буду пробовать, но не понимаю, в какую дом. директорию войдет
>>>>юзер, авторизовавшись из-под домена, но в юниксе не созданный??
>>>>
>>>>
>>>погуглите архивы devel@ по слову system-auth-standart, я писал в марте.
>>>домашнюю директорию создаст модуль pam_mkhomedir. и будет она называться
>>>полным именем юзера:
>>>domain+user (если winbind separator = + ).
>>>
>>>
>>Не был подписан на devel на . Теперь видимо придется.
>>
>>
>не придется :-) точнее не получится
>
>
>
>>Погуглю.
>>
>>
>только так.
>
>
>
Погуглил. Нашел. Почитал. Понял, попробую, но все пока упиерлось в мой
пост про PAM и winbind problem (см. в community@ & samba@). неврубаюсь,
что ему-то тут нехватает - какой-то интернал еррор полез...
Кстати, а на кой тогда примеры в самбе, если реальные штуки так сильно
отличаются....
>>>>>>Третий вопрос: что, сделав net ads join -U Administrator, я получил
>>>>>>права для рута рулить доменом навсегда? Не стремно ли?
>>>>>>
>>>>>>
>>>>>нет конечно. вы не можете рулить доменом, пароль админа вводится админом
>>>>>домена для передачи серверу. если видели, именно так вводятся в домен xp
>>>>>prof. там надо ввести пароль domain admin, это надо для создания в AD
>>>>>учетной записи _машины_ (machine$)
>>>>>
>>>>>
>>>>Все равно не врубаюсь... Я же после этого с помощью команд net ads user
>>>>add и т.д. добавлял/удалял пользователей домена... Или это пока
>>>>керберос-билет не кончиться?
>>>>
>>>>
>>>и что, даже админский (не рутовый) пароль не спрашивало?
>>>
>>>
>>Ага, один раз было - при net ads join -U Administartor. Далее уже без
>>него. Видимо, до конца билета.
>>
>>
>странно. мож надо было после этого залогиниться под доменным юзером, глядишь и
>билет бы новый дали
>
>
>
Так не получается... Я бы с радостью. :(
Подробная информация о списке рассылки community