[Wiki] [HOWTO] Ввод Ubuntu в домен Active Directory

[napilnik]

сурово...

[Charles Malaheenee]

Сурово, но зачем тогда сообщество? Решаем проблемы всем миром! Создавайте тогда, описав проблему и приложив логи (какие попросят) и будем думать:)

[dvman]

Приветствую , уважаемые. Таки получилось ввести Ubuntu в домен, но появилась проблема - без контроллера домена я не могу войти в систему. Кто-нибудь с такими чудесами сталкивался и как сие победить ?

[Charles Malaheenee]

Приветствую , уважаемые. Таки получилось ввести Ubuntu в домен, но появилась проблема - без контроллера домена я не могу войти в систему. Кто-нибудь с такими чудесами сталкивался и как сие победить ?

Bonjour.
Сталкивались, пока не решили. Что-то похожее на решение есть в openSUSE, работаем над переносом настроек в Ubuntu.

[zdp1978]

Имею lubuntu 10.04
Настроил все по статье, из консоли без проблем захожу под доменным юзером, вижу все соответ. правам ресурсы на win-серве, а вот из под иксов, точнее из под lxdm могу зайти только под локальным юзером пробовал ставить gdm, под доменным юзером пускает, но после этого вижу пустой экран....

По поводу входа из под GDM убедись что сесию зовешь LXDE или Lubuntu он по умолчанию просто ставить Gnom+openbox.
 и еще lxdm - нелюбит пароли с пробелами с паролями без них и тире все нормально меня пускает....

Приветствую , уважаемые. Таки получилось ввести Ubuntu в домен, но появилась проблема - без контроллера домена я не могу войти в систему. Кто-нибудь с такими чудесами сталкивался и как сие победить ?

К сожалению данный вариант пока доступен только в Likewise-open, но я так и не понял, где он держит "кеш" пользователей-паролей

[lohus]

Вопрос такой. Если из линукс-компа, вводённого в AD, открыть в расшаренной папке (папка лежит на сервере Win2003, тоже в домене) документ OpenOffic"ом, то с Windows компов этот документ нельзя открыть и вложить в почту (нет доступа). Это можно как-то побороть?

[polosaty]

Имеется 3 вопроса. Ввел ubuntu 10.04 в домен 2k3. Залогинился. Вопрос 1: При входе в систему стоит только локальная учетка, приходится выбирать другого пользователя и  набирать типа:  MYDOMAIN\USERNAME. как можно сделать так, чтобы при входе сотруднику просто надо было тупо выбрать пользователя и набить пароль???
2. Вопрос:  Где хранится учетка доменного пользователя
3.  При просмотре через сетевое окружение ubuntu находятся в рабочей группы WORKGROUP, а не  MYDOMAIN.LOCAL, как это можно изменить

Если кто сталикивался хелп, буду очень признателен

[Charles Malaheenee]

1. А хау-ту читали?

# Использовать домен по умолчанию для имён пользователей. Без этой опции имена пользователей и групп
# будут использоваться с доменом, т.е. вместо username - DOMAINusername.
# Возможно именно это вам и нужно, однако обычно проще этот параметр включить.
winbind use default domain = yes

А логины длиной больше 8 символов samba игнорирует - фича такая.
2. В каком смысле - хранится?
3. domainname что выдает? Должно быть (none)
Пользователь решил продолжить мысль 18 Февраля 2011, 04:40:50:

Вопрос такой. Если из линукс-компа, вводённого в AD, открыть в расшаренной папке (папка лежит на сервере Win2003, тоже в домене) документ OpenOffic"ом, то с Windows компов этот документ нельзя открыть и вложить в почту (нет доступа). Это можно как-то побороть?

Хм, сомневаемся.

[polosaty]

1. А хау-ту читали?
Цитата
# Использовать домен по умолчанию для имён пользователей. Без этой опции имена пользователей и групп
# будут использоваться с доменом, т.е. вместо username - DOMAINusername.
# Возможно именно это вам и нужно, однако обычно проще этот параметр включить.
winbind use default domain = yes
А логины длиной больше 8 символов samba игнорирует - фича такая.

Я не сосвсем это имел в виду. Если включить "winbind use default domain = yes" пользователи не будут вводить DOMAIN, а просто будут выбирать "другой пользоваетль", потом "имя пользователя" и "пароль", так вот хотелось бы избавить пользователей от необходимости вводить username, просто выбирать из списка доступных ползователей

2. В каком смысле - хранится?

  в прямом, на win2k3 учетки ubuntu пользователей не нашел, значит они хранятся где-то на машине ubuntu. Если так то наверняка кто-то переносил учетки пользователя с  ubuntu на win2k3
 

[zdp1978]

1. А хау-ту читали?
Цитата
# Использовать домен по умолчанию для имён пользователей. Без этой опции имена пользователей и групп
# будут использоваться с доменом, т.е. вместо username - DOMAINusername.
# Возможно именно это вам и нужно, однако обычно проще этот параметр включить.
winbind use default domain = yes
А логины длиной больше 8 символов samba игнорирует - фича такая.

Я не сосвсем это имел в виду. Если включить "winbind use default domain = yes" пользователи не будут вводить DOMAIN, а просто будут выбирать "другой пользоваетль", потом "имя пользователя" и "пароль", так вот хотелось бы избавить пользователей от необходимости вводить username, просто выбирать из списка доступных ползователей

2. В каком смысле - хранится?

 в прямом, на win2k3 учетки ubuntu пользователей не нашел, значит они хранятся где-то на машине ubuntu. Если так то наверняка кто-то переносил учетки пользователя с  ubuntu на win2k3
 

Открываешь терминал, sudo gedit /etc/samba/smb.conf
находишь строчку
workgroup = EXAMPLE
меняешь EXAMPLE - на NetBios Domain name (краткое название домена)
сохраняешь
ребутаешься и вот тебе счастье, наутилус при открытии "сетевого" окружения кидает твою машину сразу в нутрь MYDOMAIN.LOCAL

по поводу хранения, ДОМЕННЫЕ УЧЕТНЫЕ записи Хранятся на Контроллере домена!!!!!

[Charles Malaheenee]

так вот хотелось бы избавить пользователей от необходимости вводить username, просто выбирать из списка доступных ползователей

А логины длиной больше 8 символов samba игнорирует - фича такая.

[polosaty]

Открываешь терминал, sudo gedit /etc/samba/smb.conf
находишь строчку
workgroup = EXAMPLE
меняешь EXAMPLE - на NetBios Domain name (краткое название домена)
сохраняешь

Воистину так

по поводу хранения, ДОМЕННЫЕ УЧЕТНЫЕ записи Хранятся на Контроллере домена!!!!!

У меня на linux машине учетки хранятся в /home/likewise-open/domainname/domainuser, но ни как ни на сервере.

[zdp1978]

Учетные записи на контроллере домена хранятся,
То что ты указал это Домашняя директория (профиль твоего доменного пользователя(содержит настройки раб. стола, программ и т.д. данного пользователя на КОНКРЕТНОЙ машине)), а не Доменная учетная запись...

[lohus]

Вопрос такой. Если из линукс-компа, вводённого в AD, открыть в расшаренной папке (папка лежит на сервере Win2003, тоже в домене) документ OpenOffic"ом, то с Windows компов этот документ нельзя открыть и вложить в почту (нет доступа). Это можно как-то побороть?

Хм, сомневаемся.
[/quote]

Согласен. Вобщем, если в сетевую папку зайти через сетевое окружение (в ubuntu) , то проблем ни каких нет, открытые по сети в ubuntu файлы не блокируются и спокойно открываются также по сети в винде.
 Но у меня сетевая папка монтируется c помощью pam_mount.conf.xml:

(Нажмите, чтобы показать/скрыть)

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<!--
<------>See pam_mount.conf(5) for a description.
-->

<pam_mount>

<------><------><!-- debug should come before everything else,
<------><------>since this file is still processed in a single pass
<------><------>from top-to-bottom -->

<debug enable="0" />

<------><------><!-- Volume definitions -->

<volume user="*" fstype="cifs" server="fileserver" path="share" mountpoint="/home/DOMAIN/%(USER)/Share" options="iocharset=utf8" />

<------><------><!-- pam_mount parameters: General tunables -->

<!--
<luserconf name=".pam_mount.conf.xml" />
-->

<!-- Note that commenting out mntoptions will give you the defaults.
     You will need to explicitly initialize it with the empty string
     to reset the defaults to nothing. -->
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other" />
<!--
<mntoptions deny="suid,dev" />
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other,charset,iocharset,codepage,file_mode,dir_mode" />
<mntoptions deny="*" />
-->
<mntoptions require="nosuid,nodev" />


 

Сетеваz папка монтируется, но файлы открытые в ubuntu, оказываются заблокированными для других компов в сети. Решение проблемы пока не нашёл.

[Charles Malaheenee]

Анонс обновления мануала
1. Для возможности оффлайн-авторизации при недоступности доменконтроллера в /etc/samba/smb.conf необходимо вписать:

Код: [Выделить]

winbind offline logon = yes
# Необязательный параметр, по умолчанию равен 300 секунд
winbind cache time = 1440
2. Предлагаем добавить к следующим строкам в /etc/samba/smb.conf:

Код: [Выделить]

  # Если вы не хотите, чтобы самба пыталась при случае вылезти в лидеры в домене или рабочей группе,
   # или даже стать доменконтроллером, то всегда прописывайте эти четыре опции именно в таком виде
   domain master = no
   local master = no
   preferred master = no
   os level = 0
Еще одну:

Код: [Выделить]

domain logons = noЧтобы уж наверняка samba не пыталась стать кем-то больше, чем просто членом домена.

Уважаемые товарищи! Пожалуйста, протестируйте эти настройки для окончательного внесения их в мануал. В наших тестах все работает нормально.