HELP!ubuntu 9.04 NT4domain member: как сделать прозрачный доступ к smb ресурсам?

[MarvinFS]

Коллеги,

Я так понимаю эта штука работает у людей с убунтой < 9.04?! усиленно курил маны и отечественные и импортные (к слову - отечественные в большей степени более профессиональные) так вот никак не могу сделать:

есть mintlinux7 (ubuntu 9.04) член NT4 domain
добавлен в домен как net rpc join ...
пользователи входят под своими доменными учетными записями в Gnome и под них всё автоматом создается домашний каталог и прочее... могут открыть в Nautilus сетевое окружение и видят все домены и могут заходить на все серверы (NT4, Win2000) и видят все шары (это я так понимаю anonymous smb browsing). но когда тыкаются к любую шару куда и них ЕСТЬ доступ выдается окошко введите имя пользователя и пароль. (там кстати уже прописан текущий пользователь и прописан текущий домен сразу)  После ввода пароля сессно всё работает на ура, но хочется чтобы пользователю не нужно было вводить пароль при подключении к любому ресурсу в домене куда у него есть доступ. (как в винде) как этого добиться? Хочется прозрачной авторизации при хождении по SMB ресурсам, ведь я уже залогировался в систему ДОМЕННЫМ пользователем...


есть подозрение что это как то связано с новомодным gvfs которым наутилус маунтит smb ресурсы,но немогу вкурить где я ламо и как тогда передавать пароль текущего пользователя для прозрачной авторизации.

версия системы:

mint7-test samba # uname -a
Linux mint7-test 2.6.28-11-generic #42-Ubuntu SMP Fri Apr 17 01:57:59 UTC 2009 i686 GNU/Linux
UBUNTU 9.04!!!

все проверки на членство в домене и заход по ssh и в GNOME доменными пользователями работает успешно в том числе getent.

Проверки:

mint7-test samba # wbinfo -t
checking the trust secret via RPC calls succeeded

mint7-test samba # wbinfo -D RAIL
Name              : RAIL
Alt_Name          :
SID               : S-1-5-21-433347482-382690077-1637365974
Active Directory  : No
Native            : No
Primary           : Yes

mint7-test samba # wbinfo -g
domain admins
domain guests
domain users
exchange admins

mint7-test samba # wbinfo -u
administrator
exchangesrv
guest


getent paswd
administrator:*:10706:10003::/home/RAIL/administrator:/bin/bash
exchangesrv:*:10710:10003:Exchange Server account:/home/RAIL/exchangesrv:/bin/bash
guest:*:10711:10003::/home/RAIL/guest:/bin/bash
test:*:10789:10003::/home/RAIL/test:/bin/bash
vk:*:10785:10003:Красильников Валерий Александрович:/home/RAIL/vk:/bin/bash

PAM модули:

(Нажмите, чтобы показать/скрыть)

# /etc/pam.d/common-auth - authentication settings common to all services

#добавил руками
-----------
auth sufficient pam_unix.so nullok_secure
-----------

auth sufficient pam_winbind.so use_first_pass use_authtok

auth    requisite                       pam_deny.so
auth    required                        pam_permit.so
auth    optional        pam_ecryptfs.so unwrap

# /etc/pam.d/common-session - session-related modules common to all services
session [default=1]                     pam_permit.so
session requisite                       pam_deny.so
session required                        pam_permit.so
session required        pam_unix.so

#добавил руками
-----------
session required  pam_mkhomedir.so umask=0022 skel=/etc/skel/
session sufficient      pam_winbind.so  use_first_pass use_authtok
------------
session optional        pam_ecryptfs.so unwrap
session optional                        pam_ck_connector.so nox11

# /etc/pam.d/common-account - authorization settings common to all services
account sufficient      pam_unix.so

#добавил руками
-----------
account sufficient      pam_winbind.so user_first_pass use_authtok
-----------

account requisite                       pam_deny.so
account required                        pam_permit.so


# /etc/pam.d/common-password - password-related modules common to all services

#добавил руками
-----------
password sufficient     pam_unix.so obscure sha512
password sufficient pam_winbind.so  use_first_pass use_authtok
-----------

password        requisite                       pam_deny.so
password        required                        pam_permit.so
password        optional        pam_ecryptfs.so

mint7-test samba # cat /etc/pam.d/gdm
#%PAM-1.0
auth    requisite       pam_nologin.so
auth    required        pam_env.so readenv=1
auth    required        pam_env.so readenv=1 envfile=/etc/default/locale
@include common-auth
auth    optional        pam_gnome_keyring.so
@include common-account
session required        pam_limits.so
@include common-session
session optional        pam_gnome_keyring.so auto_start
@include common-password

mint7-test samba # cat /etc/samba/smb.conf

(Нажмите, чтобы показать/скрыть)

[global]

        workgroup = RAIL
        server string = %h server (Samba, mintLinux7)
  wins support = no
  wins server = 10.0.16.200
  dns proxy = no
  name resolve order = lmhosts host wins bcast

;   bind interfaces only = yes
        log file = /var/log/samba/log.%m
        max log size = 1000
#   syslog only = no
        syslog = 0
        panic action = /usr/share/samba/panic-action %d
   security = domain
   encrypt passwords = true
   passdb backend = tdbsam
   obey pam restrictions = yes
   unix password sync = yes
#       passwd program = /usr/bin/passwd %u
#       passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
    pam password change = yes
    map to guest = bad user
    domain logons = no
;   logon path = \\%N\profiles\%U
#   logon path = \\%N\%U\profile
;   logon drive = H:
#   logon home = \\%N\%U
;   logon script = logon.cmd
; add user script = /usr/sbin/adduser --quiet --disabled-password --gecos "" %u
; add machine script  = /usr/sbin/useradd -g machines -c "%u machine account" -d /var/lib/samba -s /bin/false %u
; add group script = /usr/sbin/addgroup --force-badname %g
#   load printers = yes
;       printing = cups
;   printcap name = cups
;   include = /home/samba/etc/smb.conf.%m
   socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
domain master = no
local master = no
preferred master = no
   idmap uid = 10000-20000
   idmap gid = 10000-20000
   template shell = /bin/bash
   winbind enum groups = yes
   winbind enum users = yes
template homedir = /home/%D/%U
winbind cache time = 15
winbind offline logon = yes

 # winbind separator = +

password server = *
winbind use default domain = yes
client lanman auth = yes
        usershare allow guests = yes
#        username map = /etc/samba/smbusers

[printers]
        comment = All Printers
        browseable = no
        path = /var/spool/samba
        printable = yes
;       guest ok = no
;       read only = yes
        create mask = 0700

[print$]
        comment = Printer Drivers
        path = /var/lib/samba/printers
;       browseable = yes
;       read only = yes
;       guest ok = no


[obmen]
        path = /home/user/obmen
        comment = папка для обмена документами
;       available = yes
;       browsable = yes
        public = yes
        writable = yes

# /etc/nsswitch.conf

passwd:         files winbind
group:          files winbind
shadow:         files winbind

hosts:          files wins mdns4_minimal [NOTFOUND=return] dns mdns4
networks:       files dns

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

[AnrDaemon]

http://www.rrcomputerconsulting.com/view.php?article_id=3
Читать относящиеся к делу части.

[MarvinFS]

прочитал!
К сожалению статья не подходит - там описывается как сделать NFS и авторизацию через LDAP
никаким образом это не связано с samba NT4 domain member и доступом к smb шарам в домене
да и описание SERVER 7.10, а у меня проблема с 9.04

[AnrDaemon]

Читать ОТНОСЯЩИЕСЯ К ДЕЛУ ЧАСТИ.
Там всё есть, у меня всё прозрачно работает.

[AnrDaemon]

Что домен NT4, было не очень ясно. Я всё-таки надеялся, что таких динозавров не осталось.
Попробуй копнуть в сторону likewise-open тогда.

[MarvinFS]

я и сам думал... а они есть... причем в самых что ни на есть серьезных правительственных организациях!

likewise сцуко для AD сразу, NT4 он не умеет...
Пользователь решил продолжить мысль 28 Октября 2009, 16:21:17:могу подтвердить что в той же самой конфигурации но при подключении к AD (w2k3 домен) всё работает на ура, прозрачная авторизация есть... сейчас попробовал через likewise тоже - в AD домен цепляется на раз и всё открывается без всяких паролей!!! даже сетевые документы с русскими именами на видновых серверах открываются в опенофисе по сети прямо!!!! что за гребаная хрень с NT4 как победить... я не могу для всего управления таможни по региону менять NT4... факин щит!!!! (((

сейчас попробовал ubuntu 9.10rc, mintlinux7 и opensuse11.2rc1 в NT4 домене все спрашивают пароль, а если входишь в AD домен то всё нормально - авторизация прозрачная. сцуко...

кстати в opensuse есть встроенные их коробки инструменты для добавление в домен как NT4 так и AD, а так же для создания PDC на хосте.
так что ничего нигде в конфигах прописывать ненужно (хотя я всегда пишу руками! )