[Wiki] [HOWTO] Ввод Ubuntu в домен Active Directory

[YOreG]

Код: [Выделить]

user@Obmen:~$ ls /etc/rc2.d/
README    S20screen-cleanup  S70dns-clean  S99grub-common  S99rc.local
S20rsync  S23ntp             S70pppd-dns   S99ondemand
user@Obmen:~$ ls /etc/rc3.d/
README    S20screen-cleanup  S70dns-clean  S99grub-common  S99rc.local
S20rsync  S23ntp             S70pppd-dns   S99ondemand
user@Obmen:~$ ls /etc/rc4.d/
README    S20screen-cleanup  S70dns-clean  S99grub-common  S99rc.local
S20rsync  S23ntp             S70pppd-dns   S99ondemand
user@Obmen:~$ ls /etc/rc5.d/
README    S20screen-cleanup  S70dns-clean  S99grub-common  S99rc.local
S20rsync  S23ntp             S70pppd-dns   S99ondemand

В этих папках даже похожих файлов нет. Как быть? Что то не до поставилось что ли?

Мой вывод подобных команд:

Код: [Выделить]

log-shared@shared:~$ ls /etc/rc2.d/
README      S23ntp    S70dns-clean  S75sudo         S99ondemand
S20winbind  S50rsync  S70pppd-dns   S99grub-common  S99rc.local
log-shared@shared:~$ ls /etc/rc3.d/
README      S23ntp    S70dns-clean  S75sudo         S99ondemand
S20winbind  S50rsync  S70pppd-dns   S99grub-common  S99rc.local
log-shared@shared:~$ ls /etc/rc4.d/
README      S23ntp    S70dns-clean  S75sudo         S99ondemand
S20winbind  S50rsync  S70pppd-dns   S99grub-common  S99rc.local
log-shared@shared:~$ ls /etc/rc5.d/
README      S23ntp    S70dns-clean  S75sudo         S99ondemand
S20winbind  S50rsync  S70pppd-dns   S99grub-common  S99rc.local
log-shared@shared:~$
S99ondemand  -  это значит по запросу?

[tekirinkaari]

S99ondemand  -  это значит по запросу?

не понимаю.

Можете мне скинуть файлик S20winbind, попробую его себе поставить, вдруг всё получится.
Пользователь решил продолжить мысль 15 Октября 2014, 09:53:03:не надо, всё нормально запускается при перезагрузки и могу без проблем зайти под доменным пользователем в систему.

[dream-hunter]

Хочу сделать несколько ремарок непосредственно по гайду. Гайд действительно хороший. Однако я столкнулся со следующим:

Также может понадобиться установить следующие библиотеки:

Код: [Выделить]

sudo aptitude install libpam-krb5 libpam-winbind libnss-winbind

Дак вот это не просто может понадобиться, а это именно понадобится. Иначе у вас не будет работать wbinfo. Т.е. вот этот пункт:

А так же, что Winbind увидел пользователей и группы из AD командами4):

Код: [Выделить]

wbinfo -u
wbinfo -g

Далее

Офф-лайн авторизация

Часто возникает ситуация, когда домен-контроллер недоступен по различным причинам — профилактика, отключение света или вы принесли ноутбук домой и хотите поработать. В этом случае для Winbind можно настроить кэширование учетных записей пользователей домена. Для этого необходимо сделать следующее. Добавьте в секцию [global] файла /etc/samba/smb.conf следующие строки:

Код: [Выделить]

   # Возможность оффлайн-авторизации при недоступности доменконтроллера
   winbind offline logon = yes
   # Период кэширования учетных записей, по умолчанию равен 300 секунд
   winbind cache time = 300
   # Необязательная настройка, но избавляет от нудных пауз, указываем контроллер домена dc,
   # можно указать и ip, но это является плохим тоном
   password server = dc

Если вы добавите строчку password server = dc, то testparm команда начнет на нее материться, что она конфликтует со строчкой security = ADS.

Ну и наконец касательно секции авторизации Winbind:

Код: [Выделить]

   # Эти опции не стоит выключать.
   winbind enum groups = yes
   winbind enum users = yes

Да, может и не стоит выключать, однако если у вас в АД зарегистрировано несколько тысяч человек, у вас начнутся дичайшие задержки при логине, т.к. winbind будет вытягивать полные базы пользователей и групп при каждом логине, в том числе локальных учеток. Задержки действительно долгие.
Если вы отключите эти функции, скорость дико возрастет, но вы можете потерять некоторый функционал. Подробнее об этом можно почитать на просторах интернет.

[Eos]

В статье в пункте "Добавление Winbind в качестве источника пользователей и групп" надо правильно поправить скорее всего при редактировании /etc/nsswitch.conf:

Код: [Выделить]

files:          dns mdns4_minimal[NotFoud=return] mdns4NOTFOUND, да?
Пользователь решил продолжить мысль [time]10 Декабрь 2014, 17:03:39[/time]:Не получается PAM настроить для авторизации в домен... Окно ввода пользователя и пароля не появляется. Как решить можно?

[A1ternativE]

Добрый день. По данной инструкции вводил в домен Linux Mint. Все получилось, заходит под доменной учеткой, но!
При открытии окна сеть под локальным пользователем, то сетка видна, когда авторизовываюсь под доменной учеткой, то в папке Сеть никого не видно, ну да ладно.
При открытии smb://192.168.1.XXX линукс спрашивает у меня пароль(логин и домен уже прописаны), разве он не должен использовать те данные, которые я ввел при входе? Билет kerberos получает. Что за это отвечает? Winbind, samba, kerberos и где копать? Спасибо!

[YOreG]

A1ternativE,
smb.conf покажите.

[A1ternativE]

A1ternativE,
smb.conf покажите.

A1ternativE,
smb.conf покажите.

пожалуйста:
[global]

   workgroup = DOMAIN
   realm = DOMAIN.LOCAL
security = ADS
dns proxy = 0
socket options = TCP_NODELAY
domain master = 0
local master = 0
preferred master = 0
os level = 0
domain logons = 0
   idmap config*:range = 10000-20000
   idmap config*:backend = tdb
   winbind enum groups = yes
   winbind enum users = yes
   winbind use default domain = yes
   template shell = /bin/bash
   winbind refresh tickets = yes
   winbind offline logon = yes
   winbind cache time = 300
   password server = ad1
kerberos method = system keytab


Пользователь решил продолжить мысль [time]21 Январь 2015, 14:56:30[/time]:Убрал  password server = ad1 и все заработало, спасибо))
Пользователь решил продолжить мысль 22 Января 2015, 08:31:10:Ребят подскажите, все настроенное, все работает, но!
Хочу добавить принтер, который расшарен на машине с windows xp.
Делаю необходимые действия, ввожу имя хоста, на котором принтер, а он просит пароль.
Можно что-то написать в samba/smb.conf чтобы при обращении использовал существующий пароль?

[AnrDaemon]

пожалуйста:
[global]

   workgroup = DOMAIN
   realm = DOMAIN.LOCAL

Нет, ну а что вы ожидали от убогой сети, настроенной криворуким админом?
Домен .local зарезервирован для бездоменных сетей.

Ребят подскажите, все настроенное, все работает, но!
Хочу добавить принтер, который расшарен на машине с windows xp.
Делаю необходимые действия, ввожу имя хоста, на котором принтер, а он просит пароль.
Можно что-то написать в samba/smb.conf чтобы при обращении использовал существующий пароль?

Ввести машину с XP в домен.

[A1ternativE]

А в самбе не надо ничего прописывать для принтеров? Windows XP в домене, пользователю нужно 1 раз ввести пароль и нажать сохранить.
В домене еще есть корп. портал, на котором авторизация происходит по nmtl. Так вот в Ubuntu она не проходит и пишет следующую ошибку:
Authorization Required

This server could not verify that you are authorized to access the document requested. Either you supplied the wrong credentials (e.g., bad password), or your browser doesn't understand how to supply the credentials required.
Apache/2.2.15 (CentOS) Server at intranet Port 8890

Где копать?

[AnrDaemon]

А, стоп. Вы с доменного клиента под Linux пытаетесь печатать на доменную WinXP? В самбе надо прописывать, если вы хотите РАСШАРИТЬ принтер.
А чтобы подключиться - тут не помогу. Я не знаю, умеет ли CUPS отправлять задания от имени текущего пользователя.

Для ntlm нужен прокси, если браузер не поддерживает этот тип аутентификации/авторизации сам.

[A1ternativE]

А, стоп. Вы с доменного клиента под Linux пытаетесь печатать на доменную WinXP? В самбе надо прописывать, если вы хотите РАСШАРИТЬ принтер.
А чтобы подключиться - тут не помогу. Я не знаю, умеет ли CUPS отправлять задания от имени текущего пользователя.

Для ntlm нужен прокси, если браузер не поддерживает этот тип аутентификации/авторизации сам.

Спасибо за ответы, над принтером буду думать, а по поводу ntlm авторизации. Пошаманил над firefox, теперь он запрашивает логин и пароль.
В винде, чтобы происходила автоматическая авторизация, необходимо поправить в about:config. Все это я сделал в firefox (linux) и он хоть начал спрашивать логин/пароль.
В интернете есть куча информации по firefox linux и ntml, все это сделано, но все равно не отправляет данные.

[A1ternativE]

Добрый вечер, появился вопрос. Машина настроена, работает, видит общие каталоги windows машин, но с Windows машины я не могу посмотреть ни общие папки не принтеры. Смотрю вводя команду в винде \\192.168.1.XXX. Windows думает секунд 30, а потом выдает, что не найден сетевой путь.
В убунте при вводе smbclient -L localhost, она показывает мои расширенные принтеры и папки. Что пошло не так?
Заранее спасибо.
Пользователь решил продолжить мысль [time]28 Январь 2015, 21:09:25[/time]:Если на линуксе ввести команду smb://192.168.1.XXX - адрес этой машины, то общие папки показывает.
Вопрос снят.

[goragor]

Доброго времени суток.
Установлена система Kubuntu 14.04 32bit
По инструкции машина введена в домен. С этим проблем нет.
Вопрос в чем. При логине АД польщователя создается домашняя папка /home/имя домена/имя пользователя
но туда ничего не копируется из /etc/skel , в частности папка "Рабочий стол" и .kde

В нете ничего не нашел на эту тему.
На xubuntu 12.04 и xubuntu 14.04 этой проблемы нет.

[A1ternativE]

Тоже столкнулся с этим. Помогло вот что:Для Ubuntu 10.04 и выше добавьте всего одну строку в файле /etc/pam.d/common-session, т.к. PAM и так неплохо справляется с авторизацией:
session  required  pam_mkhomedir.so skel=/etc/skel/ umask=0077

[goragor]

Тоже столкнулся с этим. Помогло вот что:Для Ubuntu 10.04 и выше добавьте всего одну строку в файле /etc/pam.d/common-session, т.к. PAM и так неплохо справляется с авторизацией:
session  required  pam_mkhomedir.so skel=/etc/skel/ umask=0077

так я же написал, что сделал по инструкции.
Эта строка добавлена.
Т.е. это только мой частный случай?
Или все таки проблема в кедах?