[Sysadmins] ALD 4.0 как Active Directory member win2003

Alexey Shabalin =?iso-8859-1?q?a=2Eshabalin_=CE=C1_gmail=2Ecom?=
Ср Окт 24 15:21:23 MSD 2007 

> Граждане админы, прошу вашей помощи и совета в настройке ALD 4.0 Desktop
> как члена актив директори win 2003. Многое сделано мной в этом
> направлении и застрял я на настройке nsswitch.conf и файлов в /etc/pam.d
>
> Конечная задача - залогиниться на машине с линукс пользователем Active
> Directory
>
> конфиги:
>
> /etc/samba/smb.conf
>
> [global]
>     workgroup = KPK
>     netbios name = IT04
>     server string =  Samba server on %h (v. %v)
>     security = ads
>     password server = 192.168.0.206
при нармально настроеном krb5 можно сделать password server = * (лучше
после введения машины в домен)

>     realm = KPK.LOCAL
>     encrypt passwords = yes
>     winbind uid = 10000-20000
>     winbind gid = 10000-20000
>     winbind enum users = yes
>     winbind enum groups = yes
>     winbind use default domain = yes
>     winbind separator = @
Зачем все меняют сепаратор. чем вас \ не устраивает? потом сами будете
мучатся почему DOMAIN\user не проходит

>     allow trusted domains = no
>     template homedir = /home/%D/%U
Не забудьте для пользователя домена создать эту директорию (либо
исподбзовать для pam - mk_home - как-то так, не помню точно)

>     template shell = /bin/bash
>
>     dos charset = CP866
>     unix charset = CP1251
>     display charset = CP1251
используйте utf-8 - посмотрите в дефолтной настройке
>
>     printcap name = cups
>     load printers = yes
>     printing = cups
>
>     log level = 1
>     syslog = 0
>     log file = /var/log/samba/log.%m
>     max log size = 500
>
>     socket options = TCP_NODELAY
> ------------------------------------------------
> /etc/krb5.conf
>
> [logging]
>   default = FILE:/var/log/krb5libs.log
>   kdc = FILE:/var/log/krb5kdc.log
>   admin_server = FILE:/var/log/kadmind.log
>
> [libdefaults]
>   ticket_lifetime = 24000
>   default_realm = KPK.LOCAL
>   dns_lookup_realm = false
>   dns_lookup_kdc = no

Я использую dns для поиска kdc, и думаю это нормально :) можете
поменять на true.
Естественно dns должны быть настроены :)

> [realms]
>   KPK.LOCAL = {
>    kdc = xserver.kpk.local

добавьте ещё
admin_server = xserver.kpk.local
default_domain = kpk.local

>   }
>
> [domain_realm]
>   .kpk.local = KPK.LOCAL
>   kpk.local = KPK.LOCAL
>
> [kdc]
>   profile = /var/lib/kerberos/krb5kdc/kdc.conf
>
> [pam]
>   debug = false
>   ticket_lifetime = 36000
>   renew_lifetime = 36000
>   forwardable = true
>   krb4_convert = false
>
> Тикеты выдаются:
> # klist
> Ticket cache: FILE:/tmp/krb5cc_0
> Default principal: kudashev на KPK.LOCAL
>
> Valid starting     Expires            Service principal
> 10/23/07 12:35:58  10/23/07 19:15:58  krbtgt/KPK.LOCAL на KPK.LOCAL
>
> ------------------------------------------------
> winbind настроен и, вроде, работает:
>
> [root на IT04 etc]# wbinfo -p
> Ping to winbindd succeeded on fd 6
> [root на IT04 etc]# wbinfo -t
> checking the trust secret via RPC calls succeeded
> [root на IT04 etc]# wbinfo -u
> administrator
> guest
> support_388945a0
> krbtgt
> kudashev
> iserver
> [root на IT04 etc]# wbinfo -g
> BUILTIN на administrators
> BUILTIN на users
> helpservicesgroup
> telnetclients
> ?????????? ??????
> ??????????? ??????
> ?????????????? ?????
> ?????????????? ???????????
> ???????? ????????????
> ?????????????? ??????
> ???????????? ??????
> ????? ??????
> ?????????-????????? ????????? ????????
> ??????? ras ? ias
> dnsadmins
> dnsupdateproxy
> Тут тоже беда, не знаю, как прочитать русские символы (может есть у кого
> решение?).

а вы смотрите от пользователя. у root локаль POSIX.
(делаю вывод что машину в домен вы уже ввели)

> Далее по мануалам надо править nswitch.conf
>
> passwd: files winbind
> #shadow: files winbind tcb nis nisplus
> group: files winbind
> hosts: files dns winbind

А куда tcb выкинул? поосторожней с этим.

у меня так
passwd:     files winbind
shadow:     tcb files
group:      files winbind

> с nsswitch вопросов два:
> 1. надо ли править строчку shadow и hosts или достаточно passwd и group?
> 2. после исправления shadow на указанное выше пропадает возможность
> логиниться под локальными пользователями+root (может, это от
> ненастроенного PAM?).
> -------------
> PAM.
> По данному поводу я вообще в ступоре. В некоторых статьях и how-to
> говориться надо править только kde в /etc/pam.d, в некоторых только
> login, в некоторых несколько файлов. Мне надо логиниться в графическом
> режиме, посему нужен совет, какие файлы править (может, примерчик есть)?
>
> Очень надеюсь на вашу помощь, в samba@ отвечают редко.

у меня так:

в system-auth-winbind - им можно заменить system-auth (можно
симлинками разрулить)

#%PAM-1.0
auth     required	pam_securetty.so
auth     required	pam_nologin.so
auth     sufficient	pam_winbind.so debug
#auth     include	system-auth-use_first_pass
account  sufficient	pam_winbind.so debug
#account  include	system-auth
password sufficient	pam_winbind.so debug
#password include	system-auth-use_first_pass
# We use pam_mkhomedir to create home dirs for incoming domain users
# Note used umask, it will result in rwxr-x--x access rights
session  required       pam_mkhomedir.so skel=/etc/skel/ umask=0026
#session  include	system-auth

вот например для логина /etc/pam.d/login выглядит так

auth     required       pam_securetty.so debug
auth     required       pam_nologin.so
auth     sufficient     pam_winbind.so debug
auth     required       pam_tcb.so debug shadow fork prefix=$2a$
count=8 nullok use_first_pass
account  sufficient     pam_winbind.so debug
account  required       pam_tcb.so debug shadow fork
password sufficient     pam_winbind.so debug
password required       pam_tcb.so debug use_authtok shadow fork
prefix=$2a$ count=8 nullok write_to=tcb

# We use pam_mkhomedir to create home dirs for incoming domain users
# Note used umask, it will result in rwxr-x--x access rights
session  required       pam_mkhomedir.so skel=/etc/skel/ umask=0026
#session  required       pam_tcb.so debug
#session  required       pam_mktemp.so debug
session  required       pam_limits.so debug

A gdm так

auth     required       pam_securetty.so debug
auth     required       pam_nologin.so
auth     sufficient     pam_winbind.so debug
auth     required       pam_tcb.so debug shadow fork prefix=$2a$
count=8 nullok use_first_pass
account  sufficient     pam_winbind.so debug
account  required       pam_tcb.so debug shadow fork
password sufficient     pam_winbind.so debug
password required       pam_tcb.so debug use_authtok shadow fork
prefix=$2a$ count=8 nullok write_to=tcb

# We use pam_mkhomedir to create home dirs for incoming domain users
# Note used umask, it will result in rwxr-x--x access rights
session  required       pam_mkhomedir.so skel=/etc/skel/ umask=0026
#session  required       pam_tcb.so debug
#session  required       pam_mktemp.so debug
session  required       pam_limits.so debug

-- 
Alexey Shabalin

Подробная информация о списке рассылки Sysadmins