HOWTO: Active Directory Member Server|Workstation (Ubuntu Based)

[tazhate]

настроил по мануалу
но умну вопрос у меня в ад группы на русском тобиш есть группа Админы
в smb
   socket options = TCP_NODELAY
   workgroup = RCS

   dns proxy = no

##Avolon###

 password server = 192.168.233.7
      realm = RCS
      idmap uid = 10000-20000
      idmap gid = 10000-20000
      template shell = /bin/bash
      winbind enum users = yes
      winbind enum groups = yes
      template homedir = /home/%D/%U
      client use spnego = yes
      winbind use default domain = yes
      restrict anonymous = 2


   log file = /var/log/samba/log.%m

   max log size = 1000

   syslog = 0

# Do something sensible when Samba crashes: mail the admin a backtrace
   panic action = /usr/share/samba/panic-action %d


   security = ads

# You may wish to use password encryption.  See the section on
# 'encrypt passwords' in the smb.conf(5) manpage before enabling.
   encrypt passwords = true

# If you are using encrypted passwords, Samba will need to know what
# password database type you are using.
   passdb backend = tdbsam

   obey pam restrictions = yes

;   guest account = nobody
   invalid users = root



[12]
valid users =@RCS\Админы
writable = yes
patch = /mnt/file
browseable = yes

когда
с виндовой машинки смотрю то не вижу ресурса вообще ((((
но вижу внофь создавшуюся папку как при логоне (user)
но невпускает в нее просит пароль и имя ввожу как в домене нефига ((( непускает

смени с русского на фиг

[AvolonL]

вроди работает но вапрос
когда с виндовой машинки пытаюсь зайти на линуховую по сабе то вижу папку которую расшарил и папку под каким пользователем я зашол
на шару нормальна все захожу а вот папку пользователя немогу просит пароль  и имя ((((

[Ivan99999]

Для 8.04.2 эта статья актуальна?

[chain]

вобще этот хауту актуальнее
https://forum.ubuntu.ru/index.php?topic=17941.0
AvolonL, ну ты же ее не шарил, почему же ты в нее заходить должен?

[ostera]

Если у кого-то еще вылетает такая ошибка
 "Using short domain name -- DOMAIN.RU
Failed to set servicePrincipalNames. Please ensure that
the DNS domain of this server matches the AD domain,
Or rejoin with using Domain Admin credentials.
Deleted account for 'ИМЯ_КОМПА' in realm 'DOMAIN.RU'
Failed to join domain: Type or value exists", то решение в правке /etc/hosts 
Вот основная ссылка, по которой было все исправлено, и машина заведена, наконец, в домен http://xgu.ru/l3/users/clint/unix-win/fbsd1.cosmo.lan/root?filter=local_session_id::1833916417694031478-1171961516 . Если в smb.conf было явно указано netbios name = имя_компа, то его и указывать в /etc/hosts так, как указано в ссылке. Также посмотреть на то, что написано в файле hosts Windows Server'a напротив ip линукс-машины, если требуется, то откорректировать
(192.168.1.3 имя_компа имя_компа.domain.ru) <-- например так. После следования вот этой инструкции https://forum.ubuntu.ru/index.php?topic=17941.0 (правда после переустановки самбы и винбинда  ) + если надо, прописанию интерфейсов (interfaces = ), "принимаемых " (hosts allow =) и "отвергаемых" (hosts deny =) айпишников и вышеуказанных изменений появилась надпись  Joined 'имя_компа' to realm 'domen.ru'  Надеюсь, что это кому-нибудь поможет   

[testik777]

Настраивал Ubuntu 8.04 для сращиванием с AD Win2000 по этой иструкции https://forum.ubuntu.ru/index.php?topic=4776.msg119675#msg119675, отличаются немного только конфиги самбы и кербероса. Машина в домен вошла пользователей и группы домена вижу (через wbinfo). Но нужно смонтировать еще сетевые ресурсы. Они монтируются при входе под пользователем домена, но при выходе из этого сеанса ресурсы не размонтируются. Также когда я из под сеанса линукс пользователя через команду su захожу под доменным пользователем ситуация повторяется и при входе выдатеся ошибка "id: невозможно определить имя группы для ID 10000". Сильное подозрения, что не полностью срастаются группы линукса и домена, и у пользователя домена при выходе просто не хватает прав отмонтировать ресурсы. Файлик group.conf используется.

[Astalavista]

root@pr360:/var/log# net join ads -U administrator@ORGANIZATION.LOCAL
administrator@ORGANIZATION.LOCAL's password:
[2009/03/25 14:17:02, 0] libads/sasl.c:ads_sasl_spnego_bind(330)
  kinit succeeded but ads_sasl_spnego_krb5_bind failed: Strong(er) authentication required
Failed to join domain: Strong(er) authentication required

как побороть?

[Дмитрий Бо]

Простой пароль?..

[Astalavista]

Простой пароль?..

нет сложный из 16 символов с цифрами и спец.знаками.
заменил на простой (буквы и цифры) то же самое
Пользователь решил продолжить мысль: 27 Марта 2009, 16:46:52проблема решилась редактированием политик безопасности на контроллере домена
Контроллер домена: требования подписывания для LDAP сервера, по умолчанию на win2k8 параметр "Требуется цифровая подпись"
выставил в "нет"

Подробности:
http://support.microsoft.com/kb/823659

[DokaS]

еcли проблемы - настраиваем /etc/resolv.conf

У меня не пингуется ping dc.domain.ru. Подскажите как настроить /etc/resolv.conf? У меня там вот что:
# Generated by NetworkManager

[Дмитрий Бо]

Напиши туда адрес DNS-сервера в виде

Код: [Выделить]

nameserver 192.168.1.1

[DokaS]

Напиши туда адрес DNS-сервера в виде

Код: [Выделить]

nameserver 192.168.1.1

Огромное спасибо, получилось. Теперь пингуется.
Пользователь решил продолжить мысль [time]Thu Apr  2 08:13:47 2009[/time]:
Не пускает в домен.
(root@ubuntu:/home/ars#  net ads join
Enter root's password:
Failed to join domain: failed to lookup DC info for domain 'DOMAIN.RU' over rpc: Logon failure
root@ubuntu:/home/ars#

Пользователь решил продолжить мысль [time]Thu Apr  2 10:43:07 2009[/time]:root@ubuntu:/home/ars# net ads join -U admin@DOMAIN.RU
Enter admin@DOMAIN.RU's password:
[2009/04/02 11:40:19,  0] libads/kerberos.c:ads_kinit_password(356)
  kerberos_kinit_password admin@DOMAIN.RU@DOMAIN.RU failed: Malformed representation of principal
Failed to join domain: failed to connect to AD: Malformed representation of principal
root@ubuntu:/home/ars#

[Astalavista]

root@ubuntu:/home/ars# net ads join -U admin@DOMAIN.RU
Enter admin@DOMAIN.RU's password:
[2009/04/02 11:40:19,  0] libads/kerberos.c:ads_kinit_password(356)
  kerberos_kinit_password admin@DOMAIN.RU@DOMAIN.RU failed: Malformed representation of principal
Failed to join domain: failed to connect to AD: Malformed representation of principal
root@ubuntu:/home/ars#

попробуй сначала билет получить
sudo kinit admin

[kolob_vic]

Доброго времени суток!
Всё настроил по мануалу - работает!
Ребят, вот так и не смог разобраться с раздачей прав:
Вот есть владельцы:

chown root:DOMEN-GROUP /shared
То есть Владельцы: пользователь ROOT и доменная группа DOMEN-GROUP , так?
Выставляю права:
chmod 775 - владельцы(пользователь, группа) имеют полный доступ, а все остальные чтение и выполнение, так?
(кстати при установке 774 - всем остальным на чтение -расшаренная папка даже не открывается, почему?)

Далее, конфиг SAMBA на шару:

[ASU]
        browseable = yes
        path = /shared
        write list = @Group1, @Group2
        create mask = 0775
        directory mask = 0775

Вопросы:
1. Какой разделить должен быть в Write list? И может ли быть там перечисление нескольких доменных групп? Когда я попробовал прописать через запятую - реакции ноль, отрабатывает только группа-Владелец с Window-s машины, пытающейся получить доступ к шаре SAMBA!!
2. CREATE MASK и directory mask распространяются на Владельцев? То есть когда Владелец(член группы DOMAIN GROUP) создаёт файлы или папки внутри дирректории - то отрабатывает именно эта маска, так?

Итог такой, что я добился Только чтения для Всех и запись только владельцам, почему же Write list для нескольких Доменных групп не отрабатывает?

[maksgsm]

Доброй ночи!
Ввел Ubuntu 9.04 в домен Win 2003. Теперь необходимо сделать автомонтирование на сетевые шары, чтобы юзер зашел под своей учеткой и сразу был доступ к файлам на шарах. Настроил pam_mount.conf.xml, но ничего не монтируется при перезагрузке. Вручную, при указании логина и пароля все работает на ура.
Что заметил: когда вручную понтирую. потом разлогиниваюсь, и опять захожу под учеткой (без перезагрузки компа) шары работают, при чем, и та, которую я вручную примонтировал, и та, которая прописана в pam_mount.conf.xml. Может кто подскажет чего или приведет рабочие конфиг файлы (кто такую же работу проделывал).

Вот логи успешного монтирования через pam_mount.conf.xml (который без перезагрузки)

(Нажмите, чтобы показать/скрыть)

Aug 12 16:38:05 lin1 gdm[3409]: pam_mount(pam_mount.c:521): about to perform mount operations
Aug 12 16:38:05 lin1 gdm[3409]: pam_mount(mount.c:299): Mount info: globalconf, user=maks <volume server="192.168.0.22" path="inet$" mountpoint="/mnt/123" cipher="(null)" fskeypath="(null)" fskeycipher="(null)" fskeyhash="(null)" options="iocharset=utf8" /> fstab=0
Aug 12 16:38:05 lin1 gdm[3409]: pam_mount(mount.c:146): realpath of volume "/mnt/123" is "/mnt/123"
Aug 12 16:38:05 lin1 gdm[3409]: pam_mount(mount.c:150): checking to see if //192.168.0.22/inet$ is already mounted at /mnt/123
Aug 12 16:38:05 lin1 gdm[3409]: pam_mount(mount.c:644): checking for encrypted filesystem key configuration
Aug 12 16:38:05 lin1 gdm[3409]: pam_mount(mount.c:647): about to start building mount command
Aug 12 16:38:05 lin1 gdm[3409]: command: [mount] [-t] [cifs] [//192.168.0.22/inet$] [/mnt/123] [-o] [user=maks,uid=11010,gid=10000,iocharset=utf8] 
Aug 12 16:38:05 lin1 gdm[3430]: pam_mount(misc.c:48): set_myuid<pre>: (uid=0, euid=0, gid=10000, egid=10000)
Aug 12 16:38:05 lin1 gdm[3430]: pam_mount(misc.c:48): set_myuid<post>: (uid=0, euid=0, gid=10000, egid=10000)
Aug 12 16:38:05 lin1 gdm[3409]: pam_mount(mount.c:680): waiting for mount
Aug 12 16:38:05 lin1 gdm[3409]: command: [pmvarrun] [-u] [maks] [-o] [1]

и неудачного (после ребута)

(Нажмите, чтобы показать/скрыть)

Aug 12 16:35:20 lin1 gdm[2702]: pam_mount(pam_mount.c:521): about to perform mount operations
Aug 12 16:35:20 lin1 gdm[2702]: pam_mount(mount.c:299): Mount info: globalconf, user=maks <volume server="192.168.0.22" path="inet$" mountpoint="/mnt/123" cipher="(null)" fskeypath="(null)" fskeycipher="(null)" fskeyhash="(null)" options="iocharset=utf8" /> fstab=0
Aug 12 16:35:20 lin1 gdm[2702]: pam_mount(mount.c:146): realpath of volume "/mnt/123" is "/mnt/123"
Aug 12 16:35:20 lin1 gdm[2702]: pam_mount(mount.c:150): checking to see if //192.168.0.22/inet$ is already mounted at /mnt/123
Aug 12 16:35:20 lin1 gdm[2702]: pam_mount(mount.c:644): checking for encrypted filesystem key configuration
Aug 12 16:35:20 lin1 gdm[2702]: pam_mount(mount.c:647): about to start building mount command
Aug 12 16:35:20 lin1 gdm[2702]: command: [mount] [-t] [cifs] [//192.168.0.22/inet$] [/mnt/123] [-o] [user=maks,uid=11010,gid=10000,iocharset=utf8] 
Aug 12 16:35:20 lin1 gdm[3019]: pam_mount(misc.c:48): set_myuid<pre>: (uid=0, euid=0, gid=10000, egid=10000)
Aug 12 16:35:20 lin1 gdm[3019]: pam_mount(misc.c:48): set_myuid<post>: (uid=0, euid=0, gid=10000, egid=10000)
Aug 12 16:35:20 lin1 gdm[2702]: pam_mount(mount.c:80): mount errors:
Aug 12 16:35:20 lin1 gdm[2702]: pam_mount(mount.c:83): mount: блочное устройство //192.168.0.22/inet$ защищен от записи, монтируется только для чтения
Aug 12 16:35:20 lin1 gdm[2702]: pam_mount(mount.c:83): mount: невозможно примонтировать блочное устройство //192.168.0.22/inet$ только для чтения
Aug 12 16:35:20 lin1 gdm[2702]: pam_mount(mount.c:680): waiting for mount
Aug 12 16:35:20 lin1 gdm[2702]: pam_mount(pam_mount.c:524): mount of inet$ failed
Aug 12 16:35:20 lin1 gdm[2702]: command: [pmvarrun] [-u] [maks] [-o] [1] 

/etc/pam.d/common-auth
auth required pam_mount.so
auth optional pam_group.so
auth sufficient pam_unix.so nullok_secure use_first_pass
auth sufficient pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE debug
auth required pam_deny.so

/etc/pam.d/common-account
account sufficient pam_winbind.so
account required pam_unix.so

/etc/pam.d/common-password
password sufficient pam_unix.so nullok obscure md5
password sufficient pam_winbind.so

/etc/pam.d/common-session
session required pam_winbind.so
session required pam_unix.so
session required pam_mkhomedir.so umask=0022 skel=/etc/skel
session optional pam_foreground.so

etc/pam.d/sudo
#%PAM-1.0
auth sufficient pam_winbind.so
auth sufficient pam_unix.so use_first_pass
auth required pam_deny.so
@include common-account

/etc/pam.d/gdm
#%PAM-1.0
auth requisite pam_nologin.so
auth required pam_env.so

@include common-auth
@include common-account
session required pam_limits.so
@include common-session
#session required pam_mount.so use_first_pass
@include common-pammount
session required pam_mkhomedir.so umask=0022 skel=/etc/skel
@include common-password

/etc/nsswitch.conf
passwd: compat winbind
group: compat winbind
shadow: compat
hosts: files dns
networks: files dns
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: files winbind

быть может проблема в PAM модулях? не тот порядок или не то написал.
Пользователь решил продолжить мысль 12 Августа 2009, 21:03:58:Вот smb.conf

(Нажмите, чтобы показать/скрыть)

[global]
unix charset = UTF-8
dos charset = CP866
display charset = UTF-8
workgroup = FLO
server string = %h server (Samba, Ubuntu)

   dns proxy = no
   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   panic action = /usr/share/samba/panic-action %d
# вот тут мы показываем, что используем AD
   security = ads

# если стоит * то samba сама будет искать домен контроллер через dc, или же можно перечислить их IP адреса через пробел в явном виде. Или указать один #IP для того dc на котором хотите авторизоваться. Для отказоустойчивости лучше указать несколько dc или *
   password server = *

 
   realm = FIRMA.RU
   encrypt passwords = true
   passdb backend = tdbsam
   obey pam restrictions = yes
   invalid users = root
   passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword                                                                              :* %n\n *passwd:*password\supdated\ssuccessfully* .


   socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
   idmap uid = 10000-20000
   idmap gid = 10000-20000
   template shell = /bin/bash
   winbind enum groups = yes
   winbind enum users = yes
#домашняя папку у пользователя будет в папке с именем домена. Лучше ее создать заранее вручную.
   template homedir = /home/%D/%U
   client use spnego = yes
   winbind use default domain = yes
   winbind refresh tickets = yes
   restrict anonymous = 2
# строки ниже, чтобы рабочая станция не пыталась стать обозревателем в сети.
domain master = no
local master = no
preferred master = no
os level = 0

unix extensions = no
wide links = yes

follow symlinks = yes

####################################

[data]
browseable = yes
writeable = yes
write list = @”FLO\Domain Admins”
path = /home/data
create mask = 0664
comment = test share
directory mask = 0777
valid users = @”FLO\Domain Admins”
####################################


[printers]
comment = All Printers
browseable = no
path = /var/spool/samba
printable = yes
guest ok = no
read only = yes
create mask = 0700

[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
browseable = yes
read only = yes
guest ok = no

[cdrom]
comment = Samba server’s CD-ROM
read only = yes
locking = no
path = /cdrom
guest ok = yes

+ используется керберос

(Нажмите, чтобы показать/скрыть)

[libdefaults]
 default_realm = FIRMA.RU
 ticket_lifetime = 24000
 clock_skew = 300
 # The following krb5.conf variables are only for MIT Kerberos.
 krb4_config = /etc/krb.conf
 krb4_realms = /etc/krb.realms
 kdc_timesync = 1
 ccache_type = 4
 forwardable = true
 proxiable = true

 v4_instance_resolve = false
 v4_name_convert = {
 host = {
 rcmd = host
 ftp = ftp
 }
 plain = {
 something = something-else
 }
 }
 fcc-mit-ticketflags = true
[realms]
 FIRMA.RU = {
 kdc = office.firma.ru
 admin_server =  office.firma.ru
 }
[domain_realm]
 .firma.ru = FIRMA.RU
 firma.ru = FIRMA.RU
 [login]
 krb4_convert = true
 krb4_get_tickets = false
[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5dc.log
 admin_server = FILE:/var/log/ksadmind.log