[samba] Samba и домен Win2k3

astroiLL astroill на gmail.com
Чт Ноя 29 15:50:33 MSK 2007


Alexey Shabalin пишет:
> 29.11.07, astroiLL<astroill на gmail.com> написал(а):
>> Alexey Shabalin пишет:
>>>>> Только внимательно!!! каждая библиотека в новой строке!
>>>>> Все отлично работает, сам бился почти месяц.........
>>>> На всякий пожарный переспрошу: Это АЛТ?
>>>> Хотя сейчас попробую. Спасибо.
>>>>
>>>> JT: Просто когда нахожу какое-то работающее решение, то его и применяю,
>>>> потом через время обнаруживается, что в новых версиях что-то исправили и
>>>> можно делать по-другому, гораздо проще, но привык делать как делаю, а
>>>> разбираться как это по-новому времени нет.
>>> Вы же администратор, я правильно понимаю? Так вы должны понимать что
>>> делаете, что означает каждая строчка в конфиге. Лучше потратьте пару
>>> часов на изучение, потом за пять минут "долетите"
>> Это все понятно, но если я в прошлов веке ;-) разобрался как настроить
>> нормально сервер чтобы все работало, пользователи с винды на самбу
>> входили, ресурсы разграничивались, почта работала, то теперь хоть оно
>> и продолжает бесперебойно работать, но современные реалии требуют, чтобы
>> сервер был не STANDALONE, а в составе AD и была единая авторизация в
>> домене, а не как у меня сейчас и в домен завожу и на сервер.
>> А остановиться и разобраться времени всегда не хватает. Все гонка,
>> спешка, текучка...
>>> PS: да, это ALT.  pam_tcb - практически только у нас используется.
>> Ну понятно, методом исключения "если tcb значит на 99% что это АЛТ" ;-)
>> Просто изучая разные "решения" приходиться задаваться вопросом: "а
>> работает это в АЛТ?" или "а может в АЛТ это уже сделано прозрачнее и
>> проще?". Не хватает знака "решение ALT ready!" :-)
>> Вот вчера добрые люди поделились ихним решением ввода машины в AD для
>> АЛТ, сейчас проверю, как это пройдет у меня. Такие решения надо
>> публиковать (может я пропустил?).
> вы путаете понятия.
> ввод машины в домен(net ads join) - везде одинакова (не ALT специфична).
> аутентификация AD-пользователей на сервера самба (сервис winbind) -
> везде одинакова
> аутентификация linux пользователей/сервисов в AD (или в любом другом
> месте - ldap, files,mysql) - это PAM - ALT здесь специфичен, но самый
> минимум. И понимая работу и настройки PAM, всё делается просто. вот я
> вам и советую ознакомится с основами аутентификации/авторизации в *nix
> системах - PAM, как администратору вам это очень пригодится. например
> вы сможете настроить login на AD, ssh на files(tcb), ftp на ldap. В
> общем всё гибко - зависит от необходимости и фантазии :)
Я понимаю что PAM. Собственно с самбой (в составе AD) у меня и 
получались раньше затыки именно когда начинались аутентификации 
пользователей из AD.
От линукс-пользователей (т.е. пользователей заведенных в систему Линукс) 
я хочу избавится. У меня есть пользователи в AD и я хочу, чтобы на всех 
серверах (самба это или Винда) авторизация была из домена.
Вот сейчас с подачи Kudashev Mike я нормально настроил вход в самбу 
пользователей из домена AD. Ресурсы с самбы берутся, все нормально.
От коробочного PAM исправил только /etc/pam.d/system-auth
#%PAM-1.0
auth     sufficient     pam_winbind.so
auth     required       pam_tcb.so shadow fork prefix=$2a$ count=8 
nullok use_first_pass
auth     sufficient     pam_unix.so use_first_pass
account  sufficient     pam_winbind.so
account  required       pam_tcb.so shadow fork
password sufficient     pam_winbind.so use_authtok
password required       pam_passwdqc.so min=disabled,24,12,8,7 max=40 
passphrase=3 match=4 similar=deny random=42 enforce=users retry=3
password required       pam_tcb.so use_authtok shadow fork \
		prefix=$2a$ count=8 nullok write_to=tcb
password sufficient     pam_unix.so nullok use_authtok md5 shadow
session  optional       pam_winbind.so
session  required       pam_mkhomedir.so skel=/etc/skel umask=0077
session  required       pam_tcb.so
session  required       pam_mktemp.so
session  required       pam_limits.so
session  required       pam_unix.so
Идем дальше. Например, пытаюсь зайти на ftp. У меня работает proftpd.
Локальный пользователь пускается, а пользователь из AD - нет
Почему не заходит? Ведь в файле /pam.d/proftpd строка:
auth     include        system-auth
должна это позволять делать? Логин то в систему проходит?
Или мне лучше сначало поизучать PAM а потом может и вопросы отпадут?
Хотя настройка ftp да и pam вообще-то выходит за рамки этой рассылки.

-- 
Linux & Astronomy
Ilya Bryzgalow
http://astrokuban.info/
-----------------------------------
i don't smoke and wish you the same!



Подробная информация о списке рассылки Samba