[samba] Samba и домен Win2k3

Stavr killkeny на yandex.ru
Вт Окт 30 13:36:29 MSK 2007



26.10.07, 11:55, Alexander Bokovoy (ab на samba.org):

> Stavr пишет:
> > 
> >>> klist находится в пакете krb5-kinit, учитывая отсуствие этого
> >>> пакета я
> >> могу предположить что керберос вы вообще не устанавливали в
> >> систему... Нет, не устанавливал. Поскольку в системе установлен
> >> пакет libkrb5 и существует файл /etc/krb5.conf - сделал заключение,
> >> что этого достаточно
> > 
> > Какие пакеты необходимо установить для установки kerberos?
> По идее, ничего, кроме уже установленного. Разве что krb5-client или как
> он там называется.
> Вообще, добавление машины в домен обязано происходит при выключенной
> Samba и Winbind. А с TCB вы, конечно, опростоволосились. TCB -- это
> основной метод хранения паролей в ALT Linux и OWL, позволяющий
> значительно снизить риск утекания паролей.

Мдя, мой был косяк. Сейчас с этим разобрался. В домен вошел без проблем. Компонентов Kerberos достаточно установленных по умолчанию.
Но с системой PAM все-таки до конца не разобрался.

# ll /etc/pam.d/system-auth
lrwxrwxrwx 1 root root 17 Oct 25 08:53 /etc/pam.d/system-auth -> system-auth-local

почитал man pam и man pam.conf
в качестве разделителя использовал только одинарный пробел
что бы исключить вероятность добавления "отсебятины" редактором, использовал vi

# cp /etc/pam.d/system-auth-local /etc/pam.d/system-auth-local.orig
# vi /etc/pam.d/system-auth
# cat /etc/pam.d/system-auth
#%PAM-1.0
auth sufficient /lib/security/pam_winbind.so
auth required pam_tcb.so shadow fork prefix=$2a$ count=8 nullok
auth sufficient pam_unix.so
account sufficient /lib/security/pam_winbind.so
account required pam_tcb.so shadow fork
password sufficient /lib/security/pam_winbind.so use_authtok
password required pam_passwdqc.so min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny random=42 enforce=users retry=3
password required pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 nullok write_to=tcb
password sufficient pam_unix.so nullok use_authtok md5 shadow
session optional /lib/security/pam_winbind.so
session required pam_tcb.so
session required pam_mktemp.so
session required pam_limits.so
session required pam_unix.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077

В результате все заработало. Пользователи домена логинятся отлично. Все хорошо, кроме исполнения su - и доступа к различным службам, требующим пароль пользователя root.
При получении доступа к менеджеру пакетов, например. После ввода пароля root окно запроса просто слетает. Без сообщения об ошибке, при чем без разницы что я ввел в поле пароля.
При попытке получить права root  в консоли, получаю трижды запрос пароля. И только после этого получаю права. Причем немного поэкспериментировав получил интересную ситуацию - если я дважды ввел пароль правильно, то в третий раз я могу ввести любую строку, либо просто нажать Enter - доступ получаю в любом случае.

Пожалуйста, подскажите где мои очередные грабли.


Подробная информация о списке рассылки Samba