[Comm] ALTLinux и Microsoft Active Directory

[Дмитрий]

andy_t на cstula.ru пишет:
> Stavr пишет:
>   
>> 23.01.08, 22:06, "andy_t на cstula.ru" <andy_t на cstula.ru>:
>>
>>   
>>     
>>> Здравствуйте! Буду премного благодарен, если кто объяснит следующее:
>>> зачем нужна аутентификация компьютера с установленным ALTLinux в домене
>>> Windows2003 с Active Directory, при условии что пользователь ALTLinux 
>>> является
>>>  администратором домена Windows2003 ( rdesktop работает отлично, но 
>>> хотелось бы на
>>> ALT делать - печать на принтеры, подключенные на Win-машины; использование
>>> виндовых шар с правами админа домена, ну и чтоб выполнялись команды 
>>> типа: cd //comp1/d$
>>>     
>>>       
>> Некорректно поставлен вопрос.
>> Непонятно как пользователь Linux является администратором домена если компьютер с Linux/samba не введен в домен?
>>   
>>     
> Вопрос корректно поставлен. Пользователь Bill является админом домена
> Win2003 with ActiveDirectory. Просто он поставил себе Linux вместо XP.
>
>   
>> Даже в Windows, локальный администратор не является администратором домена, тем более, если компьютер не введен в домен.
>>   
>>     
> Администратор домена является локальным админом и компьютер введен в 
> домен (в случае если используем WinXP)
>   
>> Rdesktop - это лишь терминальный клиент. Локальные пользователи Linux при этом никоим образом не имеют отношения к домену. Аналогично с Windows. Если с машины с установленной на ней Windows, но не введенной в домен, будет создано терминальное подключение к контроллеру домена, то вы используете для подключения именно логин домена, а не локальный аккаунт.
>>   
>>     
> Ага.
>   
>> Для доступа из под linux к ресурсам Windows вам нужно установить службу samba и настроить ее нужным Вам способом. Подпишитесь на samba@ и внимательно просмотрите архив.
>>   
>>     
> архив конечно посмотрю
>
>
>
>
>
>
> Спасибо
> _______________________________________________
> community mailing list
> community на lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community
Так или иначе пользователь должен храниться в LDAP'е AD и иметь
SID/GID(без последних 4х символов) домена. Те пользователи которые
являются админами домена должны иметь GID соответствующий группе "Domain
Admins". В Linux если настроить аутентификацию/авторизацию PAM через
kerberos или winbind, то этотго пользователя можно использовать в
Linux-системе. Чтобы этого пользователя включить в группу wheel, нужно
чтобы в LDAP'е AD были атрибуты Posix(uidNumber,gidNumber, ...), которые
там отсутствуют. Существует патч для AD, который добавляет эти атрибуты.

Если есть какие-то другие способы сделать пользователя одновременно
админом Linux-системы и AD-домена, пишите.