HOWTO: Active Directory Member Workstation- (Версия Исаева Романа А.)

[zah_al]

товарищи, а у меня ubuntu 9.10, на ней шара, вогнана в домен, всё как тут описано, только пам не правил, ибо было не зачем. Так вот, всё работает норм, только раз в 3-4 дня теряется днс запись для неё. и приходится постоянно делать net ads dns register. С чем это может быть связано? Что на ДНС творить сказаться не могу ибо, доступа на него не имею

[ilyaswan]

На днях ввел в домен W2k3 машину с Ubuntu 10.04 с помощью Likewise Open 5.4 (начиная с релиза 10.04  в репозиториях Ubuntu). Правда не без напильника, а именно на DNS-сервере ручками надо добавить A-запись хоста. А так все пучком. В AD в свойствах компьютера даже версия системы отображается, т.е. Ubuntu 10.04
Вход с логином domain\domainuser, в консоли соответственно domain\\domainuser. В likewise правда можно какими-то утилитами из комплекта сделать так, чтобы domain не вводить, но не заморачивался, ибо на работе была короткая смена, не успел (руководство на английском).
Добавил себя в sudoers. Нужно только два слеша ставить, т.е. DOMAIN\\username ALL=(ALL) ALL. Все админские действия выполняются.

[grizzly]

Привет убунтяне!!! :-)
Есть у меня сервак с убунтой 9.04
Пытаюсь настроить на нём сквид с поддержкой АД
Вобщем всё как обычно, использую проверенный мануал - http://ru.gentoo-wiki.com/wiki/Настройка_Squid_с_поддержкой_ntlm
Всё работает до момента когда пользователь лезет в интернет, выскакивает табличка с запросом пароля, и сквид при любом раскладе не пускает юзера в инет.
В логах сквида валится -
[2010/06/23 18:22:56,  0] utils/ntlm_auth.c:winbind_pw_check(556)
  Login for user [domen]\[user]@[VK-DC] failed due to [winbind client not authorized to use winbindd_pam_auth_crap. Ensure permissions on /var/run/samba/winbindd_privileged are set correctly.]
[2010/06/23 18:22:56,  0] utils/ntlm_auth.c:manage_squid_ntlmssp_request(831)
  NTLMSSP BH: NT_STATUS_ACCESS_DENIED
Т.е. понятно что сквид не может скентоваться с винбиндом(не могут поделить права на папку с привилегиями) Выставляю права на эту папку для сквида и вуаля всё работает, НО, до первого рестарта винбинда, который возвращает обратно права только для себя.
ситуация с правами на эту папку такая:
#ls -la /var/run/samba
drwxr-x---  2 root winbindd_priv    60 2010-06-23 23:21 winbindd_privileged
#chown -R root:proxy /var/run/samba/winbindd_privileged/
#ls -la /var/run/samba
drwxr-x---  2 root proxy    60 2010-06-23 23:21 winbindd_privileged
#/etc/init.d/winbind restart
#ls -la /var/run/samba
drwxr-x---  2 root winbindd_priv    60 2010-06-23 23:21 winbindd_privileged
До этого много раз такое настраивал на других системах(Gentoo, CentOS), такой произвол со стороны пакетов не наблюдал. Это нормальное поведение винбинда, или это можно где-то настроить?


Ха, нашел строчку которая это мутит.
#cat /etc/init.d/winbind
.......
start)
                log_daemon_msg "Starting the Winbind daemon" "winbind"

                mkdir -p /var/run/samba/winbindd_privileged || return 1
                chgrp winbindd_priv $PIDDIR/winbindd_privileged/ || return 1
                chmod 0750 $PIDDIR/winbindd_privileged/ || return 1
                start-stop-daemon --start --quiet --oknodo --exec $DAEMON -- $WINBINDD_OPTS

                log_end_msg $?
                ;;
.......

подправил чтобы не менял группу - всё заработало.
Терь другая трабла, нигде не могу найти как отключить автоматическое создание файла /etc/resolv.conf
каждый раз как сессия создаётся он перезаписывается и остаются только провайдерские ДНС
Убирал в конфиге сессии параметр usepeerdns, почему-то ничего не поменялось.
Есть какой-нить правильный способ решить этот вопрос не изменяя атрибутов файла /etc/resolv.conf ?

[zhenyok]

Всем привет!
Помогите, пожалуйста, присоединить ubuntu 9.04 к доменту win2003.
Перелопатил здесь на сайте много чего, вроде все вокруг до около, и не пускает. Ошибки все время разные, типо:
kinit(v5): Preauthentication failed while getting initial credentials
kinit(v5): Cannot resolve network address for KDC in realm SSP.tver.ru while getting initial credentials

Выложил свои конфиги, в них наверное такая каша, подскажите, что где поправить?

[smb.conf]
[global]
security = ads
netbios name = UBUNTU
REALM = SSP.tver
password server = 192.168.0.2
workgroup = SSP
idmap uid = 500-10000000
idmap gid = 500-10000000
winbind separator = +
winbind enum users = no
winbind enum groups = no
winbind use default domain = yes
template shell = /bin/bash

ересь какая-то. для начала используй конфиги из мануала на первой странице, а уж потом эксперименты ставь. Делай всё по шагам как там написано, что не получится спрашивай.

[zet_green]

всем добрый день.
я тут новичок.
виндовый админ со стажем, но линуксоид - начинающий (уровень НУБ, да ?   )

ввел UBUNTU 10.04 desktop в domain Win2k3 Active Directory

выполнил придерживаясь исходного мануала  (см. пост №1)

но есть и отличия

ОТЛИЧИЯ:

1. установил дополнительный софт (пакеты krb5-user libpam-krb5)

aptitude install krb5-user libpam-krb5 krb5-config libkrb5-3 krb5-doc samba winbind

!!! ИМХО, этот путь установки привел к ошибкам (Проблема 1 в конце поста)!!!
более правильный , ИМХО, способ установки по ссылке
https://forum.ubuntu.ru/index.php?topic=106391.msg822438#msg822438

Керберос настраивал потом по рекомендациям из
http://ekrava.livejournal.com/477282.html



2. ubuntu 10.04 присваивает хосту иную локальную адресацию (/etc/hosts)

спорить не стал, оставил 127.0.1.1

127.0.0.1            localhost
127.0.1.1          ubuntu.mydomain.local ubuntu

дополнительно прописал туда же
dc он же dns он же kerberos он же wins
192.168.2.xxx      serv2k3.mydomain.local

и вторичный dns он же шлюз
192.168.2.yyy      gate.mydomain.local



3. включил дополнительные параметры в /etc/samba/samba.conf

[global]
   dos charset = CP866
   display charset = UTF-8
   workgroup = MYDOMAIN
   realm = MYDOMAIN.LOCAL
   server string = %h server (Samba, Ubuntu)
   interfaces = 127.0.0.0/8, eth0
   bind interfaces only = Yes
   security = ADS
   map to guest = Bad User
   obey pam restrictions = Yes
   password server = serv2k3.mydomain.local
   pam password change = Yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
   unix password sync = Yes
   syslog = 0
   log file = /var/log/samba/log.%m
   max log size = 1000
   name resolve order = hosts dns wins bcast
   socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
   os level = 0
   local master = No
   domain master = No
   dns proxy = No
   
# zamenite xxx adresom wins   
# replace xxx with your wins-address   
   wins server = 192.168.2.xxx
   
   panic action = /usr/share/samba/panic-action %d
   
# (0 - 999) - reserved for system
# (1 000 - 9 999) - for local users & groups
# (65 530 - 65 535) - for 'nobody' etc.
# Domain user id range
   idmap uid = 10000-60000
# Domain group id range
   idmap gid = 10000-60000
   
   template shell = /bin/bash
   winbind separator = /
   winbind enum users = Yes
   winbind enum groups = Yes
   winbind use default domain = Yes
   
# bez etogo ne sozdajotsja Domashnjaja_Papka_domennogo_polzovatelja
# can't create Home_Directory_of_domain_user w/o this   
   valid users = "@MYDOMAIN/domain users"
   admin users = MYDOMAIN/administrator
   
   hosts allow = 192.168.2.0/255.255.255.0, 127.

[homes]
   comment = Home Directory
   read only = No
   browseable = No
   browsable = No

[users]
   comment = All Home Directories
   path = /home/MYDOMAIN
   
# bez etogo ne sozdajotsja Domashnjaja_Papka_domennogo_polzovatelja
# can't create Home_Directory_of_domain_user w/o this   
   read list = "@MYDOMAIN/domain users"
   write list = "@MYDOMAIN/domain users"
   
   read only = No

[tmp]
   comment = Temporary file space
   path = /tmp
   read only = No
   guest ok = Yes

[printers]
   comment = All Printers
   path = /var/spool/samba
   create mask = 0700
   printable = Yes
   browseable = No
   browsable = No

[print$]
   comment = Printer Drivers
   path = /var/lib/samba/printers



4. в ubuntu 10.04. (во всяком случае у меня )  некоторые строки PAM имеют новый синтаксис (более сложный чем просто sufficient, required)

сначала
 пытался подогнать новый синтаксис под старый простой.
соответствие синтаксисов брал отсюда:
http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/sag-configuration-file.html
результат - отрицательный.

потом
 пробовал менять порядок следования строк, чтоб шли как в мануале.
результат - работает.

окончательный вариант
 оставил все как сгенерилось.
только добавил в common-session "session required   pam_mkhomedir.so umask=0022 skel=/etc/skel"
результат - тоже работает.

4.1. /etc/pam.d/common-account

# here are the per-package modules (the "Primary" block)
# original
account   [success=2 new_authtok_reqd=done default=ignore]   pam_unix.so
account   [success=1 new_authtok_reqd=done default=ignore]   pam_winbind.so

# my_variant !!! TAK TOZHE RABOTAET !!! IT WORKS TO !!!
account   [success=2 new_authtok_reqd=done default=ignore]   pam_winbind.so
account   [success=1 new_authtok_reqd=done default=ignore]   pam_unix.so


4.2. /etc/pam.d/common-auth

# here are the per-package modules (the "Primary" block)
# original
auth   [success=3 default=ignore]   pam_krb5.so minimum_uid=1000
auth   [success=2 default=ignore]   pam_unix.so nullok_secure try_first_pass
auth   [success=1 default=ignore]   pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass

# my_variant !!! TAK TOZHE RABOTAET !!! IT WORKS TO !!!
auth   [success=3 default=ignore]   pam_krb5.so minimum_uid=1000
auth   [success=2 default=ignore]   pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
auth   [success=1 default=ignore]   pam_unix.so nullok_secure try_first_pass


4.3. /etc/pam.d/common-session

а. оставил session pam_winbind.so как optional вместо рекомендованного в мануале required
б. добавил создание директорий

session   optional         pam_winbind.so
# added
session required   pam_mkhomedir.so umask=0022 skel=/etc/skel

 
4.4. /etc/pam.d/common-session-noninteractive

сделал все так же как в common-session

4.5. /etc/pam.d/common-password

оставил как сгенерилось после установки. вроде бы оно соответствует мануалу.



5. /etc/nsswitch.conf

строка hosts теперь в оригинале более длинная.
переместил dns вперед и добавил wins

hosts:  files dns wins mnds4_minimal [NOTFOUND=return] mdns4

строку netgroup оставил как в оригинале

netgroup: nis

на   :~# getent netgroup
получаю в ответ
- Перечисление не поддерживается для netgroup

добавлял
netgroup: nis files winbind -  ничего не изменилось  


ОСТАВШИЕСЯ НЕРЕШЕННЫЕ ПРОБЛЕМКИ

1. ubuntu не пускает в себя из виндовой сети без рестарта smbd.

restart winbindd вообще ни на что не влияет.

после выполнения pkill smbd - все прекрасно.

по аналогии с файлом рестарта winbind (см. мануал)
 создавал свой файл рестарта самбы после поднятия сети.

/etc/network/if-up.d/smbdr
#!/bin/sh
/etc/init.d/pkill smbd

И присваивал ему права запуска.
chmod  +x /etc/network/if-up.d/smbdr

не помогло   удалил

П.С. вопрос решил сам несколько иным порядком установки пакетов. см. ссылку
https://forum.ubuntu.ru/index.php?topic=106391.msg822438#msg822438



2. не смог внести права для 'domain admins' в /etc/sudoers

пытался отредактировать через visudo, добавив пару строк

# User privilege specification
root    ALL=(ALL) ALL
administrator ALL=(ALL) ALL

# Members of the admin group may gain root privileges
(line 29) %admin ALL=(ALL) ALL
(line 30) %domain admins ALL=(ALL) ALL

результат:
>>> /etc/sudoers: syntax error near line 29 <<<

P.S. это вопрос я уже решил сам

достаточно было вспомнить си-шный синтаксис записи пробела '\ '
правильно написать так:
%domain\ admins ALL=(ALL) ALL

[kolyan_k]

Почему  при введение   в  домен   Windows 2003  с любых  учеток   выводит  ошибку   "The parametr is incorrect"
тоже  самое  если  Windows  руссифицирован ??

Что делать  немогу  понять!!

[StribogB]

Долго искал решение проблемы  "Failed to join domain: failed to find DC for domain" вот нашел, мне помогло. Хочу поделиться. У меня два контролера домена. Указав один из-них все заработало. Прочитал решение на help.ubuntu.com

If your Active Directory server is not running DDNS as well (eg. if you're running a separate DNS server) you may get the error:

sudo net ads join
Failed to join domain: failed to find DC for domain LAB.EXAMPLE.COM

To fix this, specify the AD server to the "net join" command:

sudo net ads join -S WIN2K3 -U <username>%<password>

You'll get a warning about not being able to update DNS, but you will successfully join the AD!

[evors]

Приветсвую всех присутсвующих. Есть проблема с ограниченим прав через PAM. Бьюсь с этим уже не первый день, много читал, много испробовал, но результата положительного не добился, может кто то сможет свежим взлядом посмотреть и дать совет.
Имеется Ubuntu 10.04 2 LTS, домен (2DC, win2003). Вводил в домен 2я вариантами, 1й из этой темы (на 1й странице) и отсюда (https://help.ubuntu.ru/wiki/%D0%B2%D0%B2%D0%BE%D0%B4_%D0%B2_%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD_windows). В домен машина вводится без проблем, логин под любым доменным или локальным пользователем тоже проблем не вызывает. Но нужно еще сделать ограничение для входа в систему некоторым доменным юзерам. Как я понял, делать это надо средствами PAM. Пробовал по старой инструкции, не получилось в силу синтаксиса. Пробовал варинат от zet_green
(https://forum.ubuntu.ru/index.php?topic=17941.msg820351#msg820351), тоже не помогло, несмотря на то, что в /etc/security/group.conf был прописан определенный юзер:

Код: [Выделить]

gdm; *; linuh; Al0000-2400; audio, video, cdrom, floppy
Пробовал и такой вариант: http://www.debian-administration.org/articles/308  результат аналогичен. Уважаемые знатоки, помогите с решением проблемы.

[Nayprom]

Кто в теме может подскажет? Сделал все по How-To в самом начале темы. Все классно, все работает. Но есть один минус, у меня учетки пользователей домена мигрирующие и находятся на сетевой шаре. Настроил автомонтирование /etc/security/pam_mount.conf
volume * cifs win2003 users /home/DOMAIN id=&,iocharset=utf8,codepage=cp866,dmask=0700,fmask=0700 - -
где win2003 мой сервер а папка users - каталог хранения профиля.
Но увы при входе в систему никакое автомонтирование не происходит. Кто может помочь дельным советом?

[romanpan2]

всем добрый день.
настраивал подключение ubuntu к домену win2008 r2. Все делал по HOWTO
после перезагрузки не могу войти в систему как только выбираю пользователя сразу пишит:
error initiating conversation with authentication system
три дня уже мучаюсь... Кто сталкивался с такой проблемой...подскажииите...спс.

[yurec_k]

Почему  при введение   в  домен   Windows 2003  с любых  учеток   выводит  ошибку   "The parametr is incorrect"
тоже  самое  если  Windows  руссифицирован ??

Что делать  немогу  понять!!

такая же фигня, ребзя помогайте!
один раз каким то чудом в понедельник с утра Ubuntu при загрузке аутенифицировала и доменных пользователей. И еще после указанных действий очень затягивается загрузка.
Пользователь решил продолжить мысль 14 Декабря 2011, 10:27:38:скачал опенсусе