HOWTO: Active Directory Member Workstation- (Версия Исаева Романа А.)

[fullmetal]

прочитал весь тред. сделал все как в howto и тем не менее.

failed to find dc for domain.
домен ясное дело есть на указанном ip-шнике.

конфиги:
пробовал и ... -U administrator, и -U administrator@DOMAIN.RU
нифига не пашет - не может найти DC

как так?

А файлики nsswitch.conf и resolve.conf редактировались ? домен пингуется-то по имени ?

[x_arrange]

прочитал весь тред. сделал все как в howto и тем не менее.

failed to find dc for domain.
домен ясное дело есть на указанном ip-шнике.

конфиги:
пробовал и ... -U administrator, и -U administrator@DOMAIN.RU
нифига не пашет - не может найти DC

как так?

А файлики nsswitch.conf и resolve.conf редактировались ? домен пингуется-то по имени ?

ну я только в hosts прописал сопоставление чтобы пинговался сервак. этого мало?

[chain]

nsswitch.conf менять обязательно

[x_arrange]

поменял. все равно DC для ads join не виден, хотя и пингуется прекрасно.

вообще имеет значение, что я это все в мандриве делаю, а не в убунте?

просто там есть гуишная тулза drakauth. она конечно тоже не работает. но после нее, когда рестартуют  samba и winbind видно, что происходит ошибка при остановке winbind'a. это о чем-то говорит?

[kot__ok]

Прошу прощения, возможно в чем-то я и не прав, но из замеченного:
1. если первичный днс в системе указан не DC обычно и пишет что не найден DC, хотя он и пингуется, т.к. система использует определенные службы АД, но не видит их в днс-ах... Именно поэтому не помогает прописывать IP DC в /etc/hosts
2. для Ubuntu-8.04-server в файле /etc/pam.d/common-auth в строке auth   sufficient   pam_unix.so nullok_sequre use_first_pass параметр nullok_sequre система не узнает и ругается в логах, поменяйте на nullok
3. внимательно читайте руководство (если не используете сетевое монтирование папок ... раскомментируйте строку session   required   pam_mkhomedir.so umask=0022 skel=/etc/skel  в /etc/pam.d/common-session
4. в /etc/pam.d/sudo можно просто указать две ссылки т.к. авторизация для sudo происходит в том же порядке
      @include common-auth
      @include common-account
5. в конфигурации самбы если в секции [homes] прописать browseable=yes вместо browseable=no то в случае если это "шаровый сервер" при входе на него получаем 2 папки (homes и %имя_вашей_учетки%) ведущих в одно и то же место (может кому-то это и очевидно, а я потратил день пока понял )

[goshanecr]

Привет всем! На работе решил сетку переводить на линухи, выбрал только вот не Ubuntu а мандриву. По этой статье настроил авторизацию в домене, всё чудесно кроме одного момента:
В мандриве видимо нет чего-то касательного pam_mount (libpam_mount пакет я поставил) и сетевая папка общая не монтируется. Подскажите как бы её при логоне пользователя подключать?

[aserp]

Добрый день.

А как лечить ""sudo: unable to initialize PAM: No such file or directory" полученную в результате ?

Подробнее:

Решил попробовать тему. Имею Ubuntu 9.1 server. Поставил с нуля. Далее сделал все по инструкции.
Сквозная авторизация заработала, все в порядке, wbinfo все выдает, уже начал радоваться - и перезагрузился - теперь sudo -i не работает , выдает :

"sudo: unable to initialize PAM: No such file or directory"

Неужели придется переустанавливать сервер ? Ведь sudo недоступно. И как снова на эти грабли не попасть, в чем я ошибся ?

Привожу листинг /var/log/auth.log :

Dec 29 19:06:50 ubsrv1 sudo: PAM unable to dlopen(/lib/security/pam_foreground.so): /lib/security/pam_foreground.so: cannot open shared object file: No such file or directory
Dec 29 19:06:50 ubsrv1 sudo: PAM adding faulty module: /lib/security/pam_foreground.so
Dec 29 19:06:50 ubsrv1 sudo: PAM _pam_load_conf_file: unable to open /etc/pam.d/common-pammount
Dec 29 19:06:50 ubsrv1 sudo: PAM error loading (null)
Dec 29 19:06:50 ubsrv1 sudo: PAM _pam_init_handlers: error reading /etc/pam.d/sudo
Dec 29 19:06:50 ubsrv1 sudo: PAM _pam_init_handlers: [Критическая ошибка - немедленная отмена]
Dec 29 19:06:50 ubsrv1 sudo: PAM error reading PAM configuration file
Dec 29 19:06:50 ubsrv1 sudo: PAM pam_start: failed to initialize handlers
Dec 29 19:06:50 ubsrv1 sudo:       a1 : unable to initialize PAM : No such file or directory ; TTY=pts/0 ; PWD=/var/log ; USER=root ; COMMAND=/bin/bash


Я понимаю что файлов не хватает (pam_foreground.so) - но как же мне их без sudo поставить ?

[kinderr]

Всем привет!
Помогите, пожалуйста, присоединить ubuntu 9.04 к доменту win2003.
Перелопатил здесь на сайте много чего, вроде все вокруг до около, и не пускает. Ошибки все время разные, типо:
kinit(v5): Preauthentication failed while getting initial credentials
kinit(v5): Cannot resolve network address for KDC in realm SSP.tver.ru while getting initial credentials

Выложил свои конфиги, в них наверное такая каша, подскажите, что где поправить?

[smb.conf]
[global]
security = ads
netbios name = UBUNTU
REALM = SSP.tver
password server = 192.168.0.2
workgroup = SSP
idmap uid = 500-10000000
idmap gid = 500-10000000
winbind separator = +
winbind enum users = no
winbind enum groups = no
winbind use default domain = yes
template shell = /bin/bash

[kinderr]

Ау, народ, подскажите кто-нибудь пожалуйста((

[DeN SPb]

Гуру, может подскажете?
Ситуация: машина не в домене, но при помощи пакетов kerberos и samba отлично ходит по доменным шарам под одним из пользователей. В домене есть политика смены пароля и когда приходит время, аутентификация отваливается.
Вопрос: возможно ли как-то менять пароль для учётки домена win из ubuntu не вводя машину в домен?

[z_s_s]

Добрый всем день, а особенно - конец такого в пятницу !
Хочу о помощи просить. Вот вопросик: можно ли на рабочей станции Ubuntu спользовать учётки из родительского домена AD ?
Подробнее.
Рабочая станция с Ubuntu 9.10 с помощью LikeWise Open5 включена в домен  filial1.firma.com.inc леса AD с корневым доменом firma.com.inc.
В домене filial1 всё видим, всех пользователей в домене запускаем на машинку.
Но в первую очередь надо пускать на станцию пользователей из firma.com.inc. А - не пускает.
И домена firma.com.inc не видно по getent password OR getent group.
При этом, включение в домен делалось админской учёткой из корневого домена:  admin@firma.com.inc
Можно подсказать - что делать ?

[kinderr]

Обалдеть, хороший вопрос.
Тут кто бы помог просто хотя бы включить в домен

[svcunion]

Уважаемые!
Может дадите краткий конспект по клиенту в AD на базе сервака Ubuntu:
1. GPO. Работает или нет? Какие нужны скрипты, точнее на чем написаны?
2. Domain Admins выше по статусу локального?
3. Миграция клиентов из AD на Wind2003 Sp1 -2 > Ad Ubuntu Server. Как, просто вводом доп. КД, репликация. Понижение КД на Wind2003 Sp1 -2 и всё?
4. Есть ли аналог тестовых утилит Resourse Kit , Support Tools от Wind2003 у Ad Ubuntu Server?
5. Структура Ad: Ou - юнит, группа безопасности, группа рапространения? С аналогичными возможностями?

Если чего - то упустил, то в самый раз добавить.

[z_s_s]

Может дадите краткий конспект по клиенту в AD на базе сервака Ubuntu:

Э-э-э ... Ты какой-то конкретный клиент АД имеешь ввиду или вообще, так сказать - находишься на фазе поиска ?
Я после переписок получил стандартно, на месяц , триал LikeWise Enterprice. Кратко: если он нужен, то он отлично подходит.
В нём есть (кратко по памяти):
политики для линукс-машин, включённых в АД, и инструментарий для них,
плагин управления для ММС для этих же машин,
методика сознания контейнеров машин и пользователей для линукс-платформ.
Но, всё оно либо ограничено, либо ощутимо отличается от ожиданий. Моих, во всяком случае.
Но, но ... Если надо именно линукс-машинки включить в АД, и в АД много сущностей, к которым надо предоставлять регулируемый доступ, то, НАВЕРНО, имеет смысл платить.

Мы отошли от этого подхода. Но, опять же "но", только потому, что приняли решение в качестве глобального каталога использовать давно и успешно работающий Оракловский Интернет Директорий и импортирующие из него OpenLDAP сервера на сайтах.

И ударились в проблему мапинга при экспорта участников групп ... Кто-то копенгаген в этом вопросе ?

[svcunion]

У меня есть некоторые планы на eBox Platform Linux Small Business Server
Там, если правильно понял, оплата лишь за тулзу NetWorkAdministrator по мониторингу и контролю AD. Насколько она эффективна, вообще нужна не берусь сказать.
Однако первопроходцы этого направления, пока не спешат с отзывами.

По идеи и ю-трубы ( кстати, роликов не мерено по этой теме ) всё как бы не сложно.
Например, Ebox Domain Controller Installation Howto
Но почему - то все больше о поверхностный понятиях, будто в этом и есть главная сложность. Ах да, проетарщина однако!

2: z_s_s

Ты какой-то конкретный клиент АД имеешь ввиду или вообще, так сказать - находишься на фазе поиска ?

Клиент Active Directory. Что может быть конкретнее? Понятно, теории о том чего именно может это дать, можно пропустить. В большем интересе как это работает ( например по перечню вопросов по п.п. ).