[sisyphus] samba-appliance-0.5-1 domain member HOWTO

cornet =?iso-8859-1?q?cornet_=CE=C1_zmail=2Eru?=
Пт Авг 10 17:12:41 MSD 2001 

"Lenya L. Khachaturov" wrote:

skip.

> > Ну уж включение samba'ы в домен отработано до автоматизма :-)
> 
> Не поделитесь знаниями? Как раз возникла такая задача.
> 

Все просто как веник :-))

Брете имеющийся PDC по имени DOMPDC за вымя и говорите, что тачка
COMP теперь является членом контролируемого им домена DOM.

Идете на тачку COMP и в smb.conf пишите:
[global]
workgroup = DOM
netbios name = COMP
security = domain
password server = *
allow trusted domains = yes
nt acl support = yes

Глушите Самбу.

Говорите:
$smbpasswd -j DOM -r DOMPDC
и если получаете сообщение:
Joined domain DOM.
То все покайфу, а если нет, то в smb.conf пишете:
[global]
log level = 4
повторяете последнюю команду и начинаете по расширенным логам
разбираться что не так.
Вот например сегодня мой PDC на NT4 с глузду двинулся и начал
отказывать в авторизации на подключение к домену :-( Пришлось
клиентскую тачку из домена убрать, прождать час пока в его кривых
PDC'овых мозгах это проварится, после чего зарегистрировать туже
тачку снова - помогло :-)

С этого момента когда к Самбе пришел юзер 'lamer' с паролем
'passw' то она сначала ищет его в smbpasswd, если пароль и имя
совпадают - пускает, если не совпадаю - посылает нафиг или
считает гостем (как настроите), если такого имени нету смотрит в
passwd и если есть - спрашивает PDC а числится ли за юзером lamer
полученный пароль passw и если да - пускает к телу, а если нет -
посылает либо нафиг либо на гостевой заход, это уж как настроите.
По идее, при работе в домене, на рядовых рабочих станциях
smbpasswd должен быть абсолютно пустым, либо содержать только
админские заходы с доменом никак не связанные.

Для того, что бы доменные юзеры автоматически проваливались в
/etc/passwd при первом же удачном обращении, в smb.conf пишите в
одну строку в [global]:
add user script = /usr/sbin/useradd -d /home/domain/%u  -g 600 -m
-k /etc/skel_domain -s /bin/false %u

соответственно каталоги /home/domain и /etc/skel_domain а так же
группа 600 должны уже существовать.

Поднимаем Самбу обратно и живем припеваючи :-)

Все конкретные имена и опции useradd можете менять по вкусу.

Источники инфы:
http://www.linuxworld.com/linuxworld/lw-1998-10/lw-10-samba_p.html
и более усеченный вариант
file:/usr/share/doc/samba-2.X.X/docs/htmldocs/DOMAIN_MEMBER.html
а так же
ls -R /usr/share/doc/samba-2.X.X/docs/*

Мужики, по моему это пора в Alt-ЧАВО заносить!!
:-))

-- 
******** FIRE & STEEL ********

Подробная информация о списке рассылки Sisyphus