[Comm] ALTLinux и Microsoft Active Directory
Vasily Tereshko
=?iso-8859-1?q?tolmi_=CE=C1_end=2Ekiev=2Eua?=
Чт Янв 24 15:25:08 MSK 2008
Astakhov Andrey пишет:
>
>
> 24.01.08, *Дмитрий* <ddv на nevod.ru <mailto:ddv на nevod.ru>> написал(а):
>
>
>
> аутентификация/авторизация в pam. Если работаете под uid/gid линукс
> системы, то права не сможете получить к файлам зайдя по самбе.
> Если вас
> авторизует сначала winbind, то значет Вы не в группе wheel. Можете
> написать враппер для winbind'а. Т.е. подменять uid и gid
> системными, но
> я думаю это не лучшее решение.
>
Зачем такие сложности? winbind вполне достаточно. Другое дело, что там
маппинг по любому чиху слетает, и, если делать под пользователей, потом
регулярно возникают проблемы. Если делать только "для себя, любимого",
то это обычно не доставляет особых проблем.
>
> Т.е. мне надо удалить пользователя в linux имя которого совпадает с
> именем пользователя в AD, после чего включить компьютер в домен, после
> чего я уже буду авторизоваться на Linux машине через учетные записи AD?
Не нужно ничего удалять.
man smb.conf
просветляться на предмет username map
там можно поставить в соответствие доменного пользователя и локального
пользователя линуксовой машины. Перед этим необходимо настроить
winbindd, чтобы getent passwd корректно показывал пользователей ADS, и
тогда всё будет делаться прозрачно и без всяких патчей.
>
> По поводу включения компьютера в домен. Делал все по это статье:
> http://volgograd.lug.ru/wiki/GrableVodstvo/articles/SquidNtlm.
>
> После команды net ads join -S ip_адрес_PDC -U
> имя_пользотеля_входящего_в_группу_администраторы_домена_PDC
> получил такое сообщение:
>
> Administrator's password:
> Using short domain name -- ROKU-TULA
> Failed to set servicePrincipalNames. Please ensure that
> the DNS domain of this server matches the AD domain,
> Or rejoin with using Domain Admin credentials.
> Deleted account for 'ALT' in realm 'ROKU-TULA.LOCAL'
> Failed to join domain: Type or value exists
>
> Что-то я не понял. Особенно последнюю строку. Компьютера такого нет в
> AD. На что же он ругается?
kinit нормально отработал? Похоже что-то неправильно в /etc/krb5.conf
Подробная информация о списке рассылки community