всем добрый день.
я тут новичок.
виндовый админ со стажем, но линуксоид - начинающий (уровень НУБ, да ?
)
ввел UBUNTU 10.04 desktop в domain Win2k3 Active Directory
выполнил придерживаясь исходного мануала
(см. пост №1)но есть и отличия
ОТЛИЧИЯ:
1. установил дополнительный софт (пакеты
krb5-user libpam-krb5)
aptitude install krb5-user libpam-krb5 krb5-config libkrb5-3 krb5-doc samba winbind
!!! ИМХО, этот путь установки привел к ошибкам (Проблема 1 в конце поста)!!!
более правильный , ИМХО, способ установки по ссылке
https://forum.ubuntu.ru/index.php?topic=106391.msg822438#msg822438Керберос настраивал потом по рекомендациям из
http://ekrava.livejournal.com/477282.html2. ubuntu 10.04 присваивает хосту иную локальную адресацию (/etc/
hosts)
спорить не стал, оставил 127.0.1.1
127.0.0.1 localhost
127.0.1.1 ubuntu.mydomain.local ubuntu
дополнительно прописал туда же
dc он же dns он же kerberos он же wins
192.168.2.xxx serv2k3.mydomain.local
и вторичный dns он же шлюз
192.168.2.yyy gate.mydomain.local
3. включил дополнительные параметры в /etc/samba/
samba.conf[global]
dos charset = CP866
display charset = UTF-8
workgroup = MYDOMAIN
realm = MYDOMAIN.LOCAL
server string = %h server (Samba, Ubuntu)
interfaces = 127.0.0.0/8, eth0
bind interfaces only = Yes
security = ADS
map to guest = Bad User
obey pam restrictions = Yes
password server = serv2k3.mydomain.local
pam password change = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
unix password sync = Yes
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
name resolve order = hosts dns wins bcast
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
os level = 0
local master = No
domain master = No
dns proxy = No
# zamenite xxx adresom wins
# replace xxx with your wins-address
wins server = 192.168.2.xxx
panic action = /usr/share/samba/panic-action %d
# (0 - 999) - reserved for system
# (1 000 - 9 999) - for local users & groups
# (65 530 - 65 535) - for 'nobody' etc.
# Domain user id range
idmap uid = 10000-60000
# Domain group id range
idmap gid = 10000-60000
template shell = /bin/bash
winbind separator = /
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
# bez etogo ne sozdajotsja Domashnjaja_Papka_domennogo_polzovatelja
# can't create Home_Directory_of_domain_user w/o this
valid users = "@MYDOMAIN/domain users"
admin users = MYDOMAIN/administrator
hosts allow = 192.168.2.0/255.255.255.0, 127.
[homes]
comment = Home Directory
read only = No
browseable = No
browsable = No
[users]
comment = All Home Directories
path = /home/MYDOMAIN
# bez etogo ne sozdajotsja Domashnjaja_Papka_domennogo_polzovatelja
# can't create Home_Directory_of_domain_user w/o this
read list = "@MYDOMAIN/domain users"
write list = "@MYDOMAIN/domain users"
read only = No
[tmp]
comment = Temporary file space
path = /tmp
read only = No
guest ok = Yes
[printers]
comment = All Printers
path = /var/spool/samba
create mask = 0700
printable = Yes
browseable = No
browsable = No
[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
4. в ubuntu 10.04. (во всяком случае у меня
) некоторые строки
PAM имеют новый синтаксис (более сложный чем просто sufficient, required)
сначала пытался подогнать новый синтаксис под старый простой.
соответствие синтаксисов брал отсюда:
http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/sag-configuration-file.htmlрезультат - отрицательный.
потом пробовал менять порядок следования строк, чтоб шли как в мануале.
результат - работает.
окончательный вариант оставил все как сгенерилось.
только добавил в
common-session "session required pam_mkhomedir.so umask=0022 skel=/etc/skel"
результат - тоже работает.
4.1. /etc/pam.d/
common-account# here are the per-package modules (the "Primary" block)
# originalaccount [success=2 new_authtok_reqd=done default=ignore] pam_unix.so
account [success=1 new_authtok_reqd=done default=ignore] pam_winbind.so
# my_variant !!! TAK TOZHE RABOTAET !!! IT WORKS TO !!!account [success=2 new_authtok_reqd=done default=ignore] pam_winbind.so
account [success=1 new_authtok_reqd=done default=ignore] pam_unix.so
4.2. /etc/pam.d/
common-auth# here are the per-package modules (the "Primary" block)
# originalauth [success=3 default=ignore] pam_krb5.so minimum_uid=1000
auth [success=2 default=ignore] pam_unix.so nullok_secure try_first_pass
auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
# my_variant !!! TAK TOZHE RABOTAET !!! IT WORKS TO !!!auth [success=3 default=ignore] pam_krb5.so minimum_uid=1000
auth [success=2 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth [success=1 default=ignore] pam_unix.so nullok_secure try_first_pass
4.3. /etc/pam.d/
common-sessionа. оставил
session pam_winbind.so как
optional вместо рекомендованного в мануале
requiredб. добавил создание директорий
session optional pam_winbind.so
# added session required pam_mkhomedir.so umask=0022 skel=/etc/skel
4.4. /etc/pam.d/
common-session-noninteractiveсделал все так же как в common-session
4.5. /etc/pam.d/
common-passwordоставил как сгенерилось после установки. вроде бы оно соответствует мануалу.
5. /etc/
nsswitch.confстрока hosts теперь в оригинале более длинная.
переместил dns вперед и добавил wins
hosts: files dns wins mnds4_minimal [NOTFOUND=return] mdns4
строку netgroup оставил как в оригинале
netgroup: nis
на :~# getent netgroup
получаю в ответ
- Перечисление не поддерживается для netgroup
добавлял
netgroup: nis files winbind - ничего не изменилось
ОСТАВШИЕСЯ НЕРЕШЕННЫЕ ПРОБЛЕМКИ1. ubuntu не пускает в себя из виндовой сети без рестарта smbd.restart winbindd вообще ни на что не влияет.
после выполнения pkill smbd - все прекрасно.
по аналогии с файлом рестарта winbind (см. мануал)
создавал свой файл рестарта самбы после поднятия сети.
/etc/network/if-up.d/smbdr
#!/bin/sh
/etc/init.d/pkill smbd
И присваивал ему права запуска.
chmod +x /etc/network/if-up.d/smbdr
не помогло
удалил
П.С. вопрос решил сам несколько иным порядком установки пакетов. см. ссылкуhttps://forum.ubuntu.ru/index.php?topic=106391.msg822438#msg8224382. не смог внести права для 'domain admins' в /etc/sudoersпытался отредактировать через visudo, добавив пару строк
# User privilege specification
root ALL=(ALL) ALL
administrator ALL=(ALL) ALL# Members of the admin group may gain root privileges
(line 29) %admin ALL=(ALL) ALL
(line 30)
%domain admins ALL=(ALL) ALLрезультат:
>>> /etc/sudoers: syntax error near line 29 <<<
P.S. это вопрос я уже решил самдостаточно было вспомнить си-шный синтаксис записи пробела '\ '
правильно написать так:
%domain\ admins ALL=(ALL) ALL