HOWTO: Active Directory Member Server|Workstation (Ubuntu Based)

[Shwed]

Выше же написано

Кратко: выхода два - либо прописать доменного юзера в локальные группы, либо создать в АД аналоги локальных групп и включить туда нужных пользователей. (второй вариант не пробовал)

[-alex-]

Выше же написано

Кратко: выхода два - либо прописать доменного юзера в локальные группы, либо создать в АД аналоги локальных групп и включить туда нужных пользователей. (второй вариант не пробовал)

Попробовал обя варианта резуоьтат отрицательный.
Добавлял доменного юзера в группы audio , cdrom  создавал эти группы в АД.
Звук отсутствует.

Попробую еще пошаманить...  , где бы бубен достать 

ЗЫ Ubuntu 7.04

[xmig]

Добавлял доменного юзера в группы audio , cdrom  создавал эти группы в АД.
Звук отсутствует.

Надо еще добавить в группу adm.

Я в этом посте выложил свое руководство по подключению ubuntu в NT домен.
https://forum.ubuntu.ru/index.php?topic=8727.msg64956#msg64956
Может кому пригодиться. Там есть некоторые моменты с которыми мне пришлось помучиться, так зачем же другим наступать на те же грабли. 

[-alex-]

Я в этом посте выложил свое руководство по подключению ubuntu в NT домен.
https://forum.ubuntu.ru/index.php?topic=8727.msg64956#msg64956
Может кому пригодиться. Там есть некоторые моменты с которыми мне пришлось помучиться, так зачем же другим наступать на те же грабли. 

Большое спасибо за ответ,  будем пробовать.

[antivir]

Доброго времени!
Что-то как то не так после настройки.....

А точнее после проведенных манипуляций с конфигами, к домену Ubuntu подключилась.... однако во время "серфинга" по компьютерам сети постоянно требует аутентификацию....

И самый интересный трабл: Ubuntu не пускает в административные консоли, говорит пароль не правильный, хотя в sudo пускает спокойно. 

smb.conf

Код: [Выделить]

       workgroup = NS
        realm = NS.DOMAIN
        server string = %h
        security = ADS
        obey pam restrictions = Yes
        password server = IP_PDC
        passdb backend = tdbsam
        passwd program = /usr/bin/passwd %u
        passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* .
        restrict anonymous = 2
        syslog = 0
        log file = /var/log/samba/log.%m
        max log size = 1000
        client use spnego = No
        dns proxy = No
        wins server = PDC                                                         ;pdc.ns.domain
        panic action = /usr/share/samba/panic-action %d
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        template shell = /bin/bash
        winbind separator = /
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        invalid users = root

pam.d/common-auth

Код: [Выделить]

auth    required        pam_unix.so nullok_secure
auth sufficient pam_winbind.so use_first_pass
auth sufficient pam_unix.so nullok_secure use_first_pass
auth required   pam_deny.so
#auth sufficient pam_krb5.so ccache=/tmp/krb5cc_%u

pam.d/common-account

Код: [Выделить]

account required        pam_access.so
account sufficient      pam_winbind.so
account required        pam_unix.so

krb5.conf

Код: [Выделить]

[libdefaults]
        ticket_lifetime = 24000
        clock_skew = 300
        default_realm = NS.DOMAIN

        krb4_config = /etc/krb.conf
        krb4_realms = /etc/krb.realms
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true

        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }
        fcc-mit-ticketflags = true

[realms]
        NS.DOMAIN = {
                kdc = pdc.ns.domain
                admin_server = pdc.ns.domain
                default_domain = NS.DOMAIN
        }

[domain_realm]
        .NS.DOMAIN = NS.DOMAIN
        NS.DOMAIN = NS.DOMAIN

[logging]
        default = FILE:/var/log/krb5.log


[-alex-]

Я в этом посте выложил свое руководство по подключению ubuntu в NT домен.
https://forum.ubuntu.ru/index.php?topic=8727.msg64956#msg64956
Может кому пригодиться. Там есть некоторые моменты с которыми мне пришлось помучиться, так зачем же другим наступать на те же грабли. 

Извеняюсь за поздний ответ. Ваше руководство помогло. Спасибо.

[Nevell]

1й трабл
На стадии:

# kinit domain-admin@NS.DOMAIN

Да и просто комманда kinit выдает:

kinit(v5): Cannot contact any KDC for requested realm while getting initial credentials

В чем трабла? Настройки в /etc/krb5.conf все перепроверял, написаны правильно...

P.S. Есть сервер 1 (на нем настроенна samba+ldap настривал не я), есть сервер 2 (squid+sams+internet и т.д.), есть сервер 3 (будет file-print-server который пытаюсь настроить чтобы брал ldap инфу от сервера 1). Все пользователи сидят на Windows и входят в домен который собственно настроен на сервере 1 под своими учетными записями. В инет выходят через сервер 2, он "слинкован" с сервером 1, т.е. все учетные записи беруться из ldap сервера 1 (но на сервере 2 тоже дает такую ошибку).

Сам сервер 1 нормально пингуеться от сервера 3, но почемуто пишет ошибку которую описал выше.

2 трабл (вытекает из первого?)
Опустив первый трабл и продолжив установку по инструкции нарвался на следующий
#net ads join

root's password:
[2007/05/30 18:21:11, 0] utils/net_ads.c:ads_startup(289)
ads_connect: Connection refused

Соответсвенно winbind не получает ни каких данных о пользователях. В чем дело?
Сервер 3 в сети с другой машины виден, но естественно при попытке войти пишет что нет прав доступа...

3 трабл

cоздаём доменную группу UbuntuServer_Console_Allow, и наполняем её пользователями.

Как проделать эту операцию? И зачем если winbind нормально обработает инфу с сервера 1 то все группы и юзеры перенесуться сюда и соотвественно можно юзать уже существующие группы, значит этого не обязательно делать? Чет не понял...

# chown root:UbuntuServer_ASU_Allow /shared

Вообщето пишет что неверная группа, что опнятно т.к. в инструкции о ее создании ничего не сказанно, ну я так понимаю опять же можно юзать уже инфу взятую с сервера 1, только вот как? Описанные траблы выше...

P.S. Прошу ответить желательно подробнее по траблам, по возможности в скором временни, т.к. данную вещь нужно как можно быстрей настроить, но чтот не как не выходит...

[antivir]

1й трабл
На стадии:

# kinit domain-admin@NS.DOMAIN

Да и просто комманда kinit выдает:

kinit(v5): Cannot contact any KDC for requested realm while getting initial credentials

В чем трабла? Настройки в /etc/krb5.conf все перепроверял, написаны правильно...

P.S. Есть сервер 1 (на нем настроенна samba+ldap настривал не я), есть сервер 2 (squid+sams+internet и т.д.), есть сервер 3 (будет file-print-server который пытаюсь настроить чтобы брал ldap инфу от сервера 1). Все пользователи сидят на Windows и входят в домен который собственно настроен на сервере 1 под своими учетными записями. В инет выходят через сервер 2, он "слинкован" с сервером 1, т.е. все учетные записи беруться из ldap сервера 1 (но на сервере 2 тоже дает такую ошибку).

Сам сервер 1 нормально пингуеться от сервера 3, но почемуто пишет ошибку которую описал выше.

А где Active Directory? KDC - Kerberos Domain Controller
Если нету AD и аутентификации по механизму kerberos, то собственно вам надо по другому конектиться.

в этом посте выложен механизм подключения без контролера домена: https://forum.ubuntu.ru/index.php?topic=8727.msg64956#msg64956
а вот прямая ссылка: https://forum.ubuntu.ru/index.php?action=dlattach;topic=8727.0;attach=1668

2 трабл (вытекает из первого?)
Опустив первый трабл и продолжив установку по инструкции нарвался на следующий
#net ads join

root's password:
[2007/05/30 18:21:11, 0] utils/net_ads.c:ads_startup(289)
ads_connect: Connection refused

Соответсвенно winbind не получает ни каких данных о пользователях. В чем дело?
Сервер 3 в сети с другой машины виден, но естественно при попытке войти пишет что нет прав доступа...

смотри выше

3 трабл

cоздаём доменную группу UbuntuServer_Console_Allow, и наполняем её пользователями.

Как проделать эту операцию? И зачем если winbind нормально обработает инфу с сервера 1 то все группы и юзеры перенесуться сюда и соотвественно можно юзать уже существующие группы, значит этого не обязательно делать? Чет не понял...

# chown root:UbuntuServer_ASU_Allow /shared

Вообщето пишет что неверная группа, что опнятно т.к. в инструкции о ее создании ничего не сказанно, ну я так понимаю опять же можно юзать уже инфу взятую с сервера 1, только вот как? Описанные траблы выше...

P.S. Прошу ответить желательно подробнее по траблам, по возможности в скором временни, т.к. данную вещь нужно как можно быстрей настроить, но чтот не как не выходит...

реши сначала первое, потом мат часть.....

[OH]

Товарищи!!!!
ну кто-нибудь ответит, почему теперь на локальной машине пароль вводить нужно дважды?

[antivir]

Товарищи!!!!
ну кто-нибудь ответит, почему теперь на локальной машине пароль вводить нужно дважды?

потому что в pam.d ты прописываешь дважды

[Nevell]

в этом посте выложен механизм подключения без контролера домена: https://forum.ubuntu.ru/index.php?topic=8727.msg64956#msg64956
а вот прямая ссылка: https://forum.ubuntu.ru/index.php?action=dlattach;topic=8727.0;attach=1668

Попробывал настроить по этому методу, вроде настроилось, группы импортировались, люди заходят.
Но появилась следующая трабла
не работает valid users = , т.е. если я добавлю в smb.conf в нужынй раздел valid user (пробывал пописат все возможные параметры в стрку: @DOMENNAME\imya.familiya, DOMENNAME\imya.familiya, imya.familiya, @imya.familiya) после того как я это прописываю прекращает пускать на данную шару, просит логин/пароль, и соответственно не принимает...

Но меня больше интересует write list = (мне нужно чтобы к шаре имели доступ все пользователи, а писать имеют право только некоторые)

На остальные шары с обычными параметрами пускает и дает писать (каталоги создаються с правельными пользователями, т.е. если создал каталог логин imya.familiya то и владелец будет он), следовательно если самба знает об этих пользователях почему тогда не работает valid users, и что еще более важно write list = ?)

Как можно решить данную проблемму?

P.S. И еще когда будет заведен новый пользовател в домене (на сервере 1), они автоматически добавяться на сервер 3?

Добавленно 1
Поставил

writable = no
write list = %U (/home/%N/%U тоже работает)

Могу создавать каталоги и файлы, ставлю write list = imya.familiya (пробывал и с доменом прописывать) не дает писать...
Тоже самое и с valid users = %U (/home/%N/%U тоже работает) ставлю пускает в папку, если ставлю imya.familiya (пробывал и с доменом прописывать) не пускает. Наводит на мысли, где можно добавить нужных пользовтелей в этот %U альяс, или как-то можно нормально через write list = сделатЬ?

Добавленно 1.1
Блин пол дня ковырялся, оказалось (в valid users и write list) надо вместо \ ставить + между доменом и пользователем, а так же убрать сабаку @ в итоге получаем:

DOMEN+imya.familiya

Добавленно 2
После загрузки сервера 3 из Windows зайти нельзя требует логин/пароль, если сделать:
/etc/init.d/winbind stop && /etc/init.d/samba restart && /etc/init.d/winbind start
То нормально работает, пускает... Что за трабла?

[OH]

Но меня больше интересует write list = (мне нужно чтобы к шаре имели доступ все пользователи, а писать имеют право только некоторые)



Можно поподробнее? Я тоже задаюсь вопросом, как организовать доступ группе, но при разных условиях. Т.е. например есть папка \1, в ней есть подпапки \2 и \3. Есть группа, в ней пользователи - A, B, C, D. Как правильно дать возможность читать пользователю А \1\3, но писать в \1\2; пользователю B -  наоборот; пользователю C только чтение \1; пользователю D запретить доступ вообще и т.д.?

Подскажите, пожалуйста.

[antivir]

Но меня больше интересует write list = (мне нужно чтобы к шаре имели доступ все пользователи, а писать имеют право только некоторые)

Добавленно 1.1
Блин пол дня ковырялся, оказалось (в valid users и write list) надо вместо \ ставить + между доменом и пользователем, а так же убрать сабаку @ в итоге получаем:

DOMEN+imya.familiya

в параметр write list прописываются группы и/или юзеры которые  имеют право писать в папку, 
а в параметр read list прописывается группа "NS/Пользователи домена"

"+" ставить как разделитель, либо чтото другое например "/" или "\" зависит от того что вы пропишите в параметр раздела [global]
winbind separator

Добавленно 2
После загрузки сервера 3 из Windows зайти нельзя требует логин/пароль, если сделать:
/etc/init.d/winbind stop && /etc/init.d/samba restart && /etc/init.d/winbind start
То нормально работает, пускает... Что за трабла?

а совпадающих имен в сети нету?

[Nevell]

Вообщем хватает $ sudo /etc/init.d/winbind restart тогда с Windows машины прекращает спрашивать пароль и нормально входит

А так же после этого если сделать su, то появляеться предупреждение, точнее пишеться информация:

id: невозможно определить имя группы дял ID 10001
id: невозможно определить имя группы дял ID 10002
id: невозможно определить имя группы дял ID 10004
id: невозможно определить имя группы дял ID 10005

Можно заметить кстати что 10003 нету...
И после этих строк нормально входит как рут... Я так понимаю это изза того что winbind импортирует(пытаеться?) импортировать рута с той машины, т.к. он администратор в домене... Вроде это не мешает, но опасения вызивает, может это как-то поправить?

[antivir]

Можно заметить кстати что 10003 нету...
И после этих строк нормально входит как рут... Я так понимаю это изза того что winbind импортирует(пытаеться?) импортировать рута с той машины, т.к. он администратор в домене... Вроде это не мешает, но опасения вызивает, может это как-то поправить?

а какие имена у групп 10001-10005