HOWTO: Active Directory Member Server|Workstation (Ubuntu Based)

[Nevell]

Групп с такими ID в /etc/groups вообще нет...

А что делать с этим вопросом?

Вообщем хватает $ sudo /etc/init.d/winbind restart тогда с Windows машины прекращает спрашивать пароль и нормально входит

А что делать с этим? Что-то пускает через раз, т.е. перезагружаю сервер, пытаюсь зайти с Windowsкой машины, просит пароль, запускаю $ sudo /etc/init.d/winbind restart, все пускает как и надо, перезагружаю опять сервер, пытаюсь зайти, заходит (может и не зайти), перезагружаю опять сервер не заходит (может зайти) пока не выполнить опять рестарт winbind. Фигня какая-то, как это поправить и в чем может быть дело. ИМХО дело в winbind, а вот что с ним не так не могу понять.

Ведь если не делать рестарт winbind то и предупреждения о не правильных ID тоже не возникает, следовательно после рестарта winbind чего-то импортирует... Может в самбе какойнить password sync включить?

P.S. Пока единстенный выход вижу в установки скрипта рестарта winbind в rc.*

[xmig]

ИМХО дело в winbind, а вот что с ним не так...

ИМХО неправильно настроены PAM.

[antivir]

Групп с такими ID в /etc/groups вообще нет...

Вы собственно ручно прописывали (хм... я думаю прописывали) в smb.conf

Код: [Выделить]

idmap uid = 10000-20000
idmap gid = 10000-20000

то есть доменным пользователям и группам присваивать идентификаторы от 10000 до 20000
и если выполнить команду
getent group

то вам вывалиться список групп локальных(никсовых) и доменных(виндовых)
но в файле group доменных записей не будет

а по поводу winbind...
я думаю xmig говорит верно.....

[Nevell]

Таких групп (10001-10005) вообще нет (ну собственно это и понятно, т.к. предупреждение это и пишет).
Есть:

10000 - users2
10003 - domain admins
10006 - managers_2
10007 - development_2
10008 - domain users
10010 - BUILTIN+administrators (интересно почему BUILTIN, я так понимаю это домен, а домен на самом деле NAMEDOMEN)
10011 - BUILTIN+users
10012 - domain guests
10013 - domain computers

ИМХО неправильно настроены PAM.

Настраивал все по данной доке:

в этом посте выложен механизм подключения без контролера домена: https://forum.ubuntu.ru/index.php?topic=8727.msg64956#msg64956
а вот прямая ссылка: https://forum.ubuntu.ru/index.php?action=dlattach;topic=8727.0;attach=1668

При настройке несколько раз перепроверял, все вроде правильно. Странно, поидее же если не правельно настроено то и после рестарта winbind тоже не должно было работать (не пускать), а работает таки...

[xmig]

2 Nevel
Или я чего-то не понял, или мы не о том говорим. Вот это руководство

в этом посте выложен механизм подключения без контролера домена: https://forum.ubuntu.ru/index.php?topic=8727.msg64956#msg64956
а вот прямая ссылка: https://forum.ubuntu.ru/index.php?action=dlattach;topic=8727.0;attach=1668

я подготовил и выложил для случая когда сервер - Windows, а рабочие станции - Linux, причем на сервере поднят NT домен, т.е. нет никакой авторизации через Kerberos (ну не нужно мне это). Руководство предназначено только для настройки рабочих станций.
У вас же, как я понял, все наоборот: сервер - Linux, рабочие станции - Windows. И применять это руководство для настройки сервера... ну не совсем правильно.
Кстати, походу готова новая версия инструкции дополненая и с исправленными ошибками. Скоро выложу.

[Nevell]

У вас же, как я понял, все наоборот: сервер - Linux, рабочие станции - Windows. И применять это руководство для настройки сервера... ну не совсем правильно.

Да действительно так. А можно написать такое же руководство только наоборот? (это руководство отличное, но как оказалось не совсем под мои нужды) Новую версию этого руководства тоже неплохо получить.
Дела обстоят так:
Есть Сервер 1 (linux) на нем настроен собственно домен. Есть сервер 3 (linux) эта машина которую настраиваю, он файл-принт сервер. Вот нужно чтобы Сервер 3 брал инфу с Сервера 1 (точнее учетные записи и т.д.) Чтобы можно было рулить правами для самбы. Клиенты соотвественно Windows.

[antivir]

2 xmig
руководство отличное.... 
а применять его для настройки рабочей станции либо сервера разницы особой нету....
2 Nevell
я тоже настраивал по этой доке 
только потом еще раз настраивал по ней же.... 
и еще раз... потом вроде все нормально стало... мат часть прежде всего
надо просто еще почитать.... и можно почитать www.samba.org там самая лучшая дока

[xmig]

Как и обещал вот обновленное руководство по настройке рабочей станции под управлением Ubuntu Linux в домене NT. Изменения с предыдущей версии незначительные: несколько дополнений по безопасности, исправил небольшое упущение в настройке pammount, важное замечание в sambe проявившее себя при клонировании системы, немного структурировал текст, ну и добавил решение проблемы с терминалом (спасибо этому форуму). Injoy.

[вложение удалено Администратором]

[Nevell]

Спасибо, продолжай в том же духе!
А что там с моим вопросом?

Есть Сервер 1 (linux) на нем настроен собственно домен. Есть сервер 3 (linux) эта машина которую настраиваю, он файл-принт сервер. Вот нужно чтобы Сервер 3 брал инфу с Сервера 1 (точнее учетные записи и т.д.) Чтобы можно было рулить правами для самбы и т.д. Клиенты соотвественно Windows.

Т.е. что нужно изменить в твоем хауту для моей конкретной ситуации? Может все таки появиться хауту и по моей теме?

[xmig]

Ну в твоей ситуации, насколько я понимаю, тебе не нужно морочить голову с pam_mount и pam_group. Выброси из /etc/pam.d/common-auth  и  /etc/pam.d/common-session все упоминания о них. И не нужно ничего писать в /etc/pam.d/common-pammount, /etc/security/pam_mount.conf и /etc/security/group.conf
Все остальное без изменений - должно работать.

[devostr]

Добрый день! Пытаюсь все сделать как описано выше. Все последовательно получается до пункта  - Проверяем вход c доменным логином:
   $ ssh domain-admin@ubuntu-server
   domain-admin@ubuntu-server's password:
Ввожу пароль, пишет Permission denied, а после трех раз Permission denied (publickey,password)
Перепробовал все варианты - ноль. Может кто знает, где копать? Спасибо!

[xmig]

Я так понял ты пробуешь подключиться к машине по ssh. Проверь /etc/ssh/sshd_config. Ты точно там не напутал? Там должно быть написано что-то типа
AllowUsers domain-admin@<ip_компа_с_которого_заходиш>

[devostr]

У меня в /etc/ssh/sshd_config вообще нет таой строки

[xmig]

Ай-йа-йай, невнимательно читаем инструкцию. 
Ну так добавь эту строку, и будет тебе счастье.
Это нужно сделать потому, что по-умолчанию по ssh к машине может подконнектиться только тот пользователь, у которого есть локальная учетная запись на этом компьютере. А твой domain-admin суть пользователь домена.

[Nevell]

Ну в твоей ситуации, насколько я понимаю, тебе не нужно морочить голову с pam_mount и pam_group. Выброси из /etc/pam.d/common-auth  и  /etc/pam.d/common-session все упоминания о них. И не нужно ничего писать в /etc/pam.d/common-pammount, /etc/security/pam_mount.conf и /etc/security/group.conf
Все остальное без изменений - должно работать.

Сделал, убрал из скриптов загрузки свой скрипт который почти в конце загрузки системы перед rc.local он перезапускал winbind. Вроде помогло, сколько не перезагружал сервер 3 пускало на шары без проблемм.
Но! Появилась другая трабла. В терминале пишу su мне а ответ:

su: Authentication failure
Извините.

Делаю sudo su, все проходит нормально, но опять же предупреждение про группы пишеться:

id: невозможно определить имя группы для ID 10001
id: невозможно определить имя группы дял ID 10002
id: невозможно определить имя группы дял ID 10004
id: невозможно определить имя группы дял ID 10005

Возможно ли поправить эти две траблы и как?

P.S. Так и не понятно будут ли динамически обновляться пользователи и группы, а так же их пароли при изменении их на домене?

Добавленно!
Нет, всетаки стал опять просить логин/пароль при входе, и соотвественно не принимать. Такая фигня продолжаеться пока не сделать winbind restart. Так что пока пришлось вернуть скрипт перезапускающий winbind после загрузки системы. Народ что с этой фигней сделать?