HOWTO: Active Directory Member Server|Workstation (Ubuntu Based)

[neperpbl3]

ща, дайте до работы доехать)
fimir. ты же в домене, он не как guest должен ломиться а под тем пользователем, под которым в систему входил

О чём и речь.
А ломится похоже как guest потому как если на запрос гном-коммандера ввожу логин-домен-пароль -- всё получается.

Неудржимо крепнет желание сделать что-то нехорошее с релизерами 8.04 ((

Такая же фигня. в 8.04 компы видет а шары нет. Теже конфиги тупо скопировал на 7.10 - все пашет. Линукс заведен в домен.

[tazhate]

на 2007 кто бы сделал

[Heroin]

Люди добрыя, а подскажите как обойти вот такие грабли: По данному руководству все настроно и вогнано в домен. все видится, все работает, все заходит. НО! Если я пытаюсь зайти на сервак в какую нибуть шару, запрашивается пароль, причем его можно проигнорить, нажать "отмена" или "подключить" с пустым полем "пароль" и нормально заходит. где копать?

П.С дистриб Ubuntu 8,04,1 х64 домен на вин 2к3 sp2

ввожу пароль 1 раз, разрешаю навсегда и сохраняю в брелке.
при каждой новой сессии при подключение к шаре юзер вводит свой пароль, все прилично работает!

[JohnRD]

день добрый
подскажите пожалуйста почему происходит следующее

root@radionov-eal:~# net ads join -U radionov-ea
radionov-ea's password:
[2008/11/01 16:42:37, 0] libsmb/smb_signing.c:signing_good(253)
  signing_good: BAD SIG: seq 1
Failed to join domain: Logon failure

логин - domain admin

еще такое есть:
root@radionov-eal:~# testparm
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions


заранее благодарен за ответ
 

[Flegel]

Если шары видно,но без авторизации не пускает.


Проверяйте:
1. Конфиг krb5.conf
2. Получает ли юзер при входе kerberos ticket
3. Конфиг pam-auth

Мои рабочие конфиги

[libdefaults]
        default_realm = DOMAIN

# The following krb5.conf variables are only for MIT Kerberos.
        krb4_config = /etc/krb.conf
        krb4_realms = /etc/krb.realms
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true

# The following encryption type specification will be used by MIT Kerberos
# if uncommented.  In general, the defaults in the MIT Kerberos code are
# correct and overriding these specifications only serves to disable new
# encryption types as they are added, creating interoperability problems.

#       default_tgs_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
#       default_tkt_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
#       permitted_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5

# The following libdefaults parameters are only for Heimdal Kerberos.
        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }
        fcc-mit-ticketflags = true

[realms]
        COMITA.LAN = {
                kdc = DOMAIN CONTROLLER 1
                kdc = DOMAIN CONTROLLER 2
                admin_server = DOMAIN CONTROLLER 1
                default_domain = DOMAIN
        }

[domain_realm]
        .DOMAIN = DOMAIN
        DOMAIN = DOMAIN
[login]
        krb4_convert = true
        krb4_get_tickets = false

auth    sufficient      pam_krb5.so ccache=/tmp/krb5cc_%u # Строка обязательно должна быть первой,условие получение тикета перед логином
auth    sufficient      pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE debug
auth    required        pam_mount.so debug
auth    optional        pam_group.so
auth    sufficient      pam_unix.so nullok_secure  use_first_pass
auth    required        pam_deny.so debug

После логина проверяйте klist на наличие тикета. Kinit должен вызыватся из pam-a, благодаря строке

auth    sufficient      pam_krb5.so ccache=/tmp/krb5cc_%u

в /etc/pam.d/common-auth

[sura]

Уважаемые, а не подскажет ли кто как запретить автомонтирование флешек, поик пробовал, но толи руки кривые, толи просто нитам искал нинашол в общем.

[tazhate]

Уважаемые, а не подскажет ли кто как запретить автомонтирование флешек, поик пробовал, но толи руки кривые, толи просто нитам искал нинашол в общем.

в винде или под линем? =) под линем достаточно юзверя убрать из группы storage

[sura]

под линем естественно ubuntu 7.10, машинки в домене id выдает следующее:
uid=10000(roman) gid=10004(пользователи домена) группы=10004(пользователи домена),10005(bux)
ево в storage и нет... как быть?

[tazhate]

под линем естественно ubuntu 7.10, машинки в домене id выдает следующее:
uid=10000(roman) gid=10004(пользователи домена) группы=10004(пользователи домена),10005(bux)
ево в storage и нет... как быть?

на локальной машине группы какие? =)

[sura]

Сильно не пинайте. Не совсем понял вопрос, но группы стандартные ни в одной группе доменный пользователь соответственно не прописан. В /etc/security/group.conf юзерам не даны права в енту группу (storage) только админу
#для пользователей.
*;*;*;Al0000-2400;adm,audio,scanner,lpadmin

и при этом сидиром также работает бес проблем, што не есть харашо...

И еще, даже если в "система"-"параметры"-"сменные устройства" снять галки то мало помогает... да и снять и поставить может любой

[FiSh]

Доброго времени суток уважаемые форумчане этого топика. Все у меня работает благодоря вашим постам в 21 страницу .... есть только один вопросик которого я не нашел на предыдущих страницах обсуждения.
Вопрос в следующем: когда я пытаюсь через nautilus (правой кнопкой -> общий доступ) сделать шару  выдает мне след. "Ошибка 255 при запуске 'net usershare': net usershare add: cannot convert name "Everyone" to a SID. Access denied."
Это и под локальной админской учеткой и под доменными. Такого не было до плясок с бубном по введению убунты в домен.
Переводить не надо, но ссылку дайте пожалуйста на ответ или раздел мана ......а лучше решение . Сам пока ищу .....если будут результаты отпишусь

Уважаемые герои и гуру этого топика и темыi. Кланиюсь вам за мега мануалы и наиподробнейшие ответы.  Просветите какими мануалами и источниками пользовались.

[igor_gk]

Мож кто сможет схему действий описать для такого: Я хочу при входе в Ubuntu сразу входить в домен (желательно с одноименным пользователем/паролем).
Интересует именно схема, а то когда приводят примеры кода, по ходу текста ("...только это!", "..только в таком порядке!"), то теряется нить, а потом еще и не работет...
Читать стока много страниц... Мож ссылка где есть на рабочий мануал, чтоб уже без "ой а я тут еще забыл..."
Плиз.

[FiSh]

Мож кто сможет схему действий описать для такого: Я хочу при входе в Ubuntu сразу входить в домен (желательно с одноименным пользователем/паролем).
Интересует именно схема, а то когда приводят примеры кода, по ходу текста ("...только это!", "..только в таком порядке!"), то теряется нить, а потом еще и не работет...
Читать стока много страниц... Мож ссылка где есть на рабочий мануал, чтоб уже без "ой а я тут еще забыл..."
Плиз.

на 12 странице рабочий ман.... а с одноименным пользователем лучше не надо .....

[igor_gk]

Вобщем победил вот этим http://developer.novell.com/wiki/index.php/HOWTO:_Configure_Ubuntu_for_Active_Directory_Authentication
Хотя здесь как раз не схема а подробный мануал. 
Хотя это и LDAP, но мне потянет.
Уж не знаю помогло только это или еще и все мои предварительные потуги свою лепту внесли, но работает.
Попробую еще на чистую Ubuntu поставить, проверю.

[AvolonL]

настроил по мануалу
но умну вопрос у меня в ад группы на русском тобиш есть группа Админы
в smb
   socket options = TCP_NODELAY
   workgroup = RCS

   dns proxy = no

##Avolon###

 password server = 192.168.233.7
      realm = RCS
      idmap uid = 10000-20000
      idmap gid = 10000-20000
      template shell = /bin/bash
      winbind enum users = yes
      winbind enum groups = yes
      template homedir = /home/%D/%U
      client use spnego = yes
      winbind use default domain = yes
      restrict anonymous = 2


   log file = /var/log/samba/log.%m

   max log size = 1000

   syslog = 0

# Do something sensible when Samba crashes: mail the admin a backtrace
   panic action = /usr/share/samba/panic-action %d


   security = ads

# You may wish to use password encryption.  See the section on
# 'encrypt passwords' in the smb.conf(5) manpage before enabling.
   encrypt passwords = true

# If you are using encrypted passwords, Samba will need to know what
# password database type you are using.
   passdb backend = tdbsam

   obey pam restrictions = yes

;   guest account = nobody
   invalid users = root



[12]
valid users =@RCS\Админы
writable = yes
patch = /mnt/file
browseable = yes

когда
с виндовой машинки смотрю то не вижу ресурса вообще ((((
но вижу внофь создавшуюся папку как при логоне (user)
но невпускает в нее просит пароль и имя ввожу как в домене нефига ((( непускает