[Решено] Linux, Domain Controller, winbind offline logon = yes не работает.

[1um]

Настроил вход Ubuntu в домен. Если сеть доступна - все работает, но без сети в домен не войдешь, пишет

Код: [Выделить]

Domain Controller unreachable, using cached credentials instead. Network resources may be unavailable.в smb.conf прописано winbind offline logon = yes. Но пароли от учеток все равно не кешируються.

(Нажмите, чтобы показать/скрыть)

[global]
     # Эти две опции нужно писать именно в заглавном регистре, причём workgroup без
     # последней секции после точки, а realm - полное имя домена
        workgroup = XXXX
        realm = XXXX.LOCAL
     # Эти две опции отвечают как раз за авторизацию через AD
        security = ADS
        encrypt passwords = true
     # Просто важные
        dns proxy = no
        socket options = TCP_NODELAY
     # Если вы не хотите, чтобы самба пыталась при случае вылезти в лидеры в домене или рабочей группе,
     # или даже стать доменконтроллером, то всегда прописывайте эти пять опций именно в таком виде
        domain master = no
        local master = no
        preferred master = no
        os level = 0
        domain logons = no
    # Опции сопоставления доменных пользователей и виртуальных пользователей в системе через Winbind.
     # Диапазоны идентификаторов для виртуальных пользователей и групп.
        idmap uid = 10000 - 40000
        idmap gid = 10000 - 40000
     # Эти опции не стоит выключать.
        winbind enum groups = yes
        winbind enum users = yes
     # Использовать домен по умолчанию для имён пользователей. Без этой опции имена пользователей и групп
     # будут использоваться с доменом, т.е. вместо username - DOMAIN\username.
     # Возможно именно это вам и нужно, однако обычно проще этот параметр включить.
        winbind use default domain = yes
     # Если вы хотите разрешить использовать командную строку для пользователей домена, то
     # добавьте следующую строку, иначе в качестве shell'а будет вызываться /bin/false
        template shell = /bin/bash
     # Для автоматического обновления билета Kerberos модулем pam_winbind.so нужно добавить строчку
        winbind refresh tickets = yes
     # Для возможности оффлайн-авторизации при недоступности доменконтроллера необходимо вписать
        winbind offline logon = yes
     # Период кэширования учетных записей, по умолчанию равен 300 секунд
        winbind cache time = 1440

Есть идеи? Где лежат базы с зашифрованными паролями winbind? Можно ли реализовать оффлайн логон  по-другому?

[fisher74]

Добавить в /etc/security/pam_winbind.conf

Код: [Выделить]

cached_login = yes

[1um]

Спасибо за наводку!!! Все заработало по следующей инструкции.

2chain решил так
создал файл /etc/security/pam_winbind.conf
с такими опциями

Код:

Код: [Выделить]

#
# pam_winbind configuration file
#
# /etc/security/pam_winbind.conf
#

[global]

# turn on debugging
debug = no

# request a cached login if possible
# (needs "winbind offline logon = yes" in smb.conf)
cached_login = yes

# authenticate using kerberos
krb5_auth = yes

# when using kerberos, request a "FILE" krb5 credential cache type
# (leave empty to just do krb5 authentication but not have a ticket
# afterwards)
krb5_ccache_type = FILE

# make successful authentication dependend on membership of one SID
# (can also take a name)
;require_membership_of =

silent = yes

а /etc/pam.d/gnome-screensaver теперь выглядит так

Код: [Выделить]

auth    sufficient      pam_unix.so nullok_secure
auth    sufficient      pam_winbind.so use_first_pass
auth    required        pam_deny.so

 /etc/pam.d/common-auth

Код: [Выделить]

auth    optional        pam_group.so
auth    sufficient      pam_unix.so nullok_secure  use_first_pass
auth    sufficient      pam_winbind.so use_first_pass
auth    required        pam_deny.so


Теперь всё тихо Smiley

Чувствую там много лишнего и ненужного мне, буду пытаться методом исключения убрать ненужное.

[solint]

Вот за это спасибо ТС. Есть масса вопрошающих, получивших решение и умолчавших.  Закрепить, либо в хав-ту или еще как чтобпоследующие не ходили по тем же граблям.
ТС пометь тему РЕШЕНО хотя бы.