HOWTO: Active Directory Member Workstation- (Версия Исаева Романа А.)

[ivanmara]

Добрый день. Подскажите по следующей конфигурации. Есть домен w2k3 ...  контроллер домена используется как файл сервер. возникла необходимость на linux машины подмонтировать шары w2k3 сервера, то бишь общую папку  и домашнюю папку. linux машины должны использовать локальные учетные записи а монтирование  домашней папки должно происходить после входа в систему. Как бы реализовать такую схему ? Куда копать ?

[Dmitriy.Dyadenko]

Опишите плиз установку этого манула тока на Ubuntu 9.04 

[xan]

У меня стоит задача попроще: необходимо сделать файловую помойку с возможностью разграничения прав доступа для учеток АД. Какие из пунктов ХАУТУ нужно выполнить? Побывал сделать все кроме синхронизации времени по этому мануалу(скорее всего мне все и не нужно), но почему-то без кербероса не пускает и через сутки в расшареную папку начинает спрашивать пароль а через 3 суток не пускает не под локальной ни под доменной учеткой.  АД работает без сбоев)))))

насчет времени ты очень ошибаешься. Время должно совпадать с временм на DC.
Билет керберос как раз  и выдает на какое время.

Опишите плиз установку этого манула тока на Ubuntu 9.04

не всё сразу... время нужно на переработку. Ждите.

Добрый день. Подскажите по следующей конфигурации. Есть домен w2k3 ...  контроллер домена используется как файл сервер. возникла необходимость на linux машины подмонтировать шары w2k3 сервера, то бишь общую папку  и домашнюю папку. linux машины должны использовать локальные учетные записи а монтирование  домашней папки должно происходить после входа в систему. Как бы реализовать такую схему ? Куда копать ?

Возьми эту конфигурацию с первой страницы и адаптируй под локальные учетные записи линуха  и всё будет работать.

[ilyaswan]

У меня стоит задача попроще: необходимо сделать файловую помойку с возможностью разграничения прав доступа для учеток АД. Какие из пунктов ХАУТУ нужно выполнить? Побывал сделать все кроме синхронизации времени по этому мануалу(скорее всего мне все и не нужно), но почему-то без кербероса не пускает и через сутки в расшареную папку начинает спрашивать пароль а через 3 суток не пускает не под локальной ни под доменной учеткой.  АД работает без сбоев)))))

Лично я сделал следующее (у меня Ubuntu Server 9.04, установленный как сервер Samba, SSH, т.е. пакеты Самбы, в т.ч. и Winbind, уже установлены):
Пункты 1 ,2 обязательно
в smb.conf правил только следующее строки (остальное оставил КАК ЕСТЬ):
workgroup = DOMAIN
security = ads
password server = FQDN PDC #я сделал так, потому что один DC у меня не совсем правильно работает, а так можно оставить символ *
realm = DOMAIN.RU  #Внимание realm пишется большими буквами !!!
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum groups = yes
winbind enum users = yes
domain master = no
local master = no
preferred master = no
os level = 0

Ну и в конце файла список шар с указанием доступа юзеров и групп из AD, например (как у меня)

[ALLUSERS]
   path = /mnt/SUPERRACK/allusers
   read only = yes
   valid users = @"AQS\пользователи домена"
     
[BACKUP]
   path = /mnt/SATADISK/Backup
   read only = no
   browseable = no
   valid users = @"AQS\администраторы предприятия", AQS\ivanov

Далее пункты 4, 5 и
9 (обязательно)!

Для проверки юзать wbinfo -u (-g -t)

Аутентификация к шарам Самбы осуществляется через Winbind. По крайней мере у меня все работает.

[Dmitriy.Dyadenko]

Вопрос почему тогда у меня аторизация пользователей из АД проходит тока админ всем остальным выдает пароль просрочен ?

[ChiCha]

Опишите плиз установку этого манула тока на Ubuntu 9.04

Поддерживаю! Даже очень....

Уж очень много тут всего понаписано.... так с налету и не разберешься.... Данный мануал не подходит... это точно....

1) Спотыкаюсь уже на пингах по полному доменному имени.... не пингует ни в какую. По IP - нет проблем. Пинги проходят тока тогда когда в nsswitch.conf подправляешь строчку с "host: ", но его редактирование по мануалу только на 9-й позиции...  

2) Однажды получилось-таки пропихать машину в домен, но почему-то логиниться на машине нужно было только заглавными буквами   как админу так и домен-юзеру... (это случилось наверное на третьей переустановке)  

3) Как-то собрав последние силы еще раз попробовал все по-новой... что-то получилось, но естетсвенно с отступлениями от манула.... пропихнул-таки машину в домен, но после перегруза она никого не хотела пускать, ни домен-пользователей, локального админа, никого... (это уже была пятая или шестая переустановка)  

Домен AD на win2003(англ),

Поможите ПЛИЗ!


Пользователь решил продолжить мысль 23 Июня 2009, 20:04:27:Не понимаю.... Почему при вводе ubunt-ы в домен W2003 (net ads join –U administrator) запрашивается пароль root-а?

Код: [Выделить]

root@ubun:~# net ads join –U administrator
Enter root's password:

вроде до этого момента все делал правильно

[Michail1958]

 Я создал в AD админа с именем "root" и с этой учёткой ввёл свой linux-сервер в домен. Пробовал несколько раз, нормально срабатывает.
Но у меня всплыла другая проблема. Когда пользователь AD заходит на файловый сервер в директории /home/МОЙ_ДОМЕН/ помимо папки юзера, создаётся папка с именем компьютера с которого он зашел, если кто знает как это побороть, подскажите 

[jmur]

Не понимаю.... Почему при вводе ubunt-ы в домен W2003 (net ads join –U administrator) запрашивается пароль root-а?

Код: [Выделить]

root@ubun:~# net ads join –U administrator
Enter root's password:

вроде до этого момента все делал правильно

Перед "U" должен быть минус, а не тире. Набери руками без копипейста.

[ilyaswan]

Нашел хороший русскоязычный ресурс по SAMBA: http://smb-conf.ru/

[slech]

придумал такой вот скриптик - котрый:
1. копирует все необходимые настроенные файлы
2. ставит софт необходимый для ввода в домен
3. вводит в домен
4. добавляет в судоеры и пользователей принтера - админа домена и пользователя который будет работать за компом

перед использованием правим:
PCname=имя компьютера
Domainname=имя домена
source=источник настроеных файлов
administrator=админ который может ввести компьютер в домен
user=имя пользователя который будет работать за компопм и должен получать рута и пользоваться принтером

#!/bin/bash
#
PCname=PC1
Domainname=Domain.com
source=.
administrator=avolohov
user=igorg
#
cp /etc/default/rcS /etc/default/rcS.bk
cp /etc/default/ntpdate /etc/default/ntpdate.bk
#
cp $source/rcS /etc/default/rcS
cp $source/ntpdate /etc/default/ntpdate
#
/etc/network/if-up.d/ntpdate
#
echo 127.0.1.1 $PCname.$Domainname localhost $PCname >>/etc/hosts
#
cp /etc/hostname /etc/hostname.bk
echo $PCname >/etc/hostname
#hostname $PCname
#
apt-get install samba smbfs winbind libpam-mount
#
cp /etc/samba/smb.conf /etc/samba/smb.conf.bk
#
cp $source/smb.conf /etc/samba/smb.conf
#
/etc/init.d/winbind stop && /etc/init.d/samba restart && /etc/init.d/winbind start
#
net ads join -U $administrator
#
cp /etc/pam.d/common-auth /etc/pam.d/common-auth.bk
cp /etc/pam.d/common-account /etc/pam.d/common-account.bk
cp /etc/pam.d/common-password /etc/pam.d/common-password.bk
cp /etc/pam.d/common-session  /etc/pam.d/common-session.bk
cp /etc/pam.d/sudo /etc/pam.d/sudo.bk
cp /etc/pam.d/gdm /etc/pam.d/gdm.bk
cp /etc/nsswitch.conf /etc/nsswitch.conf.bk
#
cp $source/common-auth /etc/pam.d/common-auth
cp $source/common-account /etc/pam.d/common-account
cp $source/common-password /etc/pam.d/common-password
cp $source/common-session /etc/pam.d/common-session
cp $source/sudo /etc/pam.d/sudo
cp $source/gdm /etc/pam.d/gdm
cp $source/nsswitch.conf /etc/nsswitch.conf
#
/etc/init.d/winbind stop && /etc/init.d/samba restart && /etc/init.d/winbind start
#
addgroup $administrator admin
addgroup $administrator lpadmin
addgroup $user admin
addgroup $user lpadmin

пока не решил как точно поступить с файлом /etc/hosts - там сохраняется запись.


кто подскажет как удалить из него запись
127.0.0.1 ubuntu.desktop
что бы срабатывала коретно echo 127.0.1.1 $PCname.$Domainname localhost $PCname >>/etc/hosts, потому как работает первая, т.к. она выше.

спасибо

[yatross]

Помогите пожалуйста. Делаю все по инструкции но в домен не пускает выдает при рестарте демонов :
hohol@tenderchief:~$ gksudo /etc/init.d/winbind stop && /etc/init.d/samba restart && /etc/init.d/winbind start
 * Stopping the Winbind daemon winbind                                   [ OK ]
 * Stopping Samba daemons                                                       start-stop-daemon: warning: failed to kill 4717: Operation not permitted
start-stop-daemon: warning: failed to kill 4721: Operation not permitted
                                                                         [ OK ]
 * Starting Samba daemons                                                [fail]
 * Starting the Winbind daemon winbind                                          chgrp: изменение группы для `/var/run/samba/winbindd_privileged/': Operation not permitted

Ubuntu 9.04 Я до этого вводил ее в домен именно по этому мануалу. Что сейчас делаю не так? Помогите пожалуйста.

При попытке подключится к домену соответственно:

hohol@tenderchief:~$ Failed to join domain: failed to find DC for domain avp
net ads join –U avp
Enter hohol's password:
[2009/07/22 19:31:21,  0] passdb/secrets.c:secrets_init(71)
  Failed to open /var/lib/samba/secrets.tdb
Failed to join domain: Unable to open secrets database

[ilyaswan]

Помогите пожалуйста. Делаю все по инструкции но в домен не пускает выдает при рестарте демонов :
hohol@tenderchief:~$ gksudo /etc/init.d/winbind stop && /etc/init.d/samba restart && /etc/init.d/winbind start

Почему gksudo а не sudo? gksudo используется для гном-приложений, а не для сервисов.

И еще раз проверь пункт 2 мануала. У тебя машина DC не находит.

[yatros]

снес систему. Сделал все заново и заработало)))) только теперь не могу добиться монтирования сетевых папок при загрузке. И еще форум не пускает под учеткой которой регился первый раз ))

[.kkursor]

А скажите, русские пароли описанная схема принимает? Просто я щас играюсь с Likewise-open, там всё хорошо, но у нас по некоторым причинам у всех пользователей имена и пароли русскоязычные, и Likewise не принимает авторизацию с русскоязычным паролем (с англоязычным всё работает нормально). А так он мне очень понравлися.

[mazzo]

ух тема какая большая блин,фиг прочитаешь за один присест.....пробовал на 7.04 давненько этот мануал - все работает, на 9.04 недавно - тоже все работает, только я себе грабли сам сделал,поторопился......пользователь в линуксе и в Windowsе - одинаковые, т.е я захожу под учеткой виндовой (пароль виндовый принимает), но при попытке залесть на какой нить ресурс доменный - просит пароль учетки; пробовал под другой виндовой учеткой - пускает и разрешает сразу залесть на ресурс. Можно ли данный косяк исправить с одинаковыми учетками или удалять локальную учетку в линуксе чтоп не совпадали?