[Wiki] [HOWTO] Ввод Ubuntu в домен Active Directory

[Charles Malaheenee]

разве при монтировании "через fstab" yне нужно прописывать логин и пароль в fstab или credentials-файл в каталоге пользователя?

Нужно, а как же. Мы подсказываем вариант.

З.Ы. А так, товарищи, переставайте быть потребителями. Разобрались - оставьте ссылку на решение или дополните хау-ту, а не молчите в тряпочку "я крут". ИМХО.

[klif]

Бился я бился с pam_mount и добил. Настраивается все на удивление просто.
В домен вводим по инструкции (Ubuntu 10.04).
добавляем в конец файла /etc/pam.d/common-session,:
session  optional  pam_mkhomedir.so skel=/etc/skel/ umask=0077
Устанвливаем дополнительные пакеты:
sudo apt-get install smbfs libpam-mount

после чего в /etc/security/pam_mount.conf.xml добавляем строку монтирования

Код: [Выделить]

<volume sgrp="пользователи домена" fstype="cifs" server="server" path="обмен" mountpoint="/home/DOMAIN/%(DOMAIN_USER)/Z" options="iocharset=utf8,file_mode=0600,dir_mode=0700" />

где sgrp -группа пользователя в домене
      server и  path - путь откуда монтируем
      DOMAIN - имя вашего домена

Монтируется нормально, кроме одного (из за чего столько и провозился). Логин дожен быть на английском. На русском получаем 
mount error(13): Permission denied

Причем в домен машина с этим логином заходит нормально, везде ходит, а монтировать отказывается!! А у меня все пользователи на русском.
Может кто нибудь знает как это вылечить? пробовал на 10.04, 10.10, 11.04

[ViTalityU]

klif
я чтото так и не понял что вы сделали прнципиально нового чтобы у вас pam-mount заработало с этим способом ввода в домен?
вроде все это есть в мануале

добавляем в конец файла /etc/pam.d/common-session,:
session  optional  pam_mkhomedir.so skel=/etc/skel/ umask=0077
Устанвливаем дополнительные пакеты:
sudo apt-get install smbfs libpam-mount

и эта строка тоже ничем особым не отличается

Код: [Выделить]

<volume sgrp="пользователи домена" fstype="cifs" server="server" path="обмен" mountpoint="/home/DOMAIN/%(DOMAIN_USER)/Z" options="iocharset=utf8,file_mode=0600,dir_mode=0700" />

[klif]

я тоже пытался прикрутить сюда pam-mount, но не вышло.

а у меня вышло, о чем я и написал. В выше указанном мануале нет ни слова о подключении сетевых дисков, а без этого работать не удобно.
Все что я нашел в инету по pam_mount относится в основном к Ubuntu от версии 9 и ниже, а там все делается намного сложнее.
Может быть кому-то это поможет, и он не наступит на теже грабли, что и я.

[Charles Malaheenee]

Ясное дело, поможет

[Rumbaster]

Уважаемые, подскажите. Сколько читаю эту ветку форума, так конкретно и не увидел ответ на вопросы:
1. при входе в систему под доменным пользователем возможно-ли организовать оповещение об истекающем сроке действия пароля в AD, кроме как ручками пробивать что-то?
2. если срок действия пароля в AD истек (истекает) - менять пароль только через консольную net?
3. отличается-ли чем-то вход в систему под доменным пользователем от обычного входа в систему? Т.е. при неудачном входе в систему под доменным пользователем какое-либо предупреждение выдается?
Т.е. мысль такая - насколько будет отличаться вход в домен от виндового.

[Charles Malaheenee]

Rumbaster,
2. На ту же net можно написать GUI с помощью zenity. Ручками, ессно. Это ж не Windows.
3. Ничем. Во всех случаях - "Сбой при проверке подлинности".

[mag_box2]

Внес некоторые мелкие изменения, в это руководство, думаю мои мелкие дополнения помогут исзбежать лишних граблей

[Darkdog]

Доброго времени суток.
Отличный HOWTO, Ubuntu 10.04.2 на данный момент все работает. Но возник вопрос  как у lohus'а (50тый пост этой темы): Как удалить лишних пользователей входа в систему?
Удаление из var/cache/gdm не помогло.

Естественно надо не deluser выполнять. Вы ж не можете удалить доменного пользователя. Надо просто в настройках GDM отключить показ пользователей с UUID больше 10000.

Если можно по подробней, в какую сторону копать?

[Tovbor]

Немного поправить:

socket options = TCP_NODELAY # Маожно не указывать, т.к. совпадает с значением по умолчанию

И небольшое замечание: если настроить winbind до ввода компьютера в домен не обязательно указывать имя домена в команде

Код: [Выделить]

sudo net ads join -U username -D DOMAIN
Т.к. умолчательный домен у нас настроен, и думаю более правильным будет такой порядок: 1. Настрока конфига krb5.conf, 2. Настройка конфига Samba с Winbind, 3. Рестарт служб smbd, winbind, 4. Ввод в домен

Но это мое ИМХО...

[mag_box2]

 там сноска есть от автора:  3) Иногда домен можно и не указывать, но лучше всё же это всегда делать - хуже не будет.

А почему сделано отдельно, вначале самба для входа в АД. а потом винбинд , тут все максимально просто

самба для входа в АД буквально 3 строки, и если она в домен не вошла, то в них легче разобратся и найти ошибку, чем во всем сразу, поэтому вначале в домен, а потом винбинд !

Сейчас немного подправил, чтобы небыло лишних вопросов переписал участок который затрагивает информацию о net ads join. Думаю автор не сильно обозлится на меня

[Charles Malaheenee]

mag_box2, окончательное решение все же за Маламутом, но "минимальные конфигурации" однозначно нужно убрать. Вы просто не представляете, как иначе будет завален форум вопросами.
Дальше. Зачем городить sudo init 6, когда можно написать более понятный sudo reboot? Попахивает "понтоколочением". Это Ubuntu, а не Gentoo.
Ваше примечание :

Решение данной проблемы на Ubuntu Server 10.10 amd64 (у 10.04 amd64 была похожая проблема) Последовательность моих исследований такая(тк сервера виртуальные с помощью Snapshot достаточно быстро докопался до истины): ...

вынести на форум, в эту тему. Там оно просто захламляет понятный хау-ту.

[mag_box2]

 sudo init 6

Тк приходится работать в разных Юникc системах, а это работает везде одинаково, поэтому рекомендую использовать  sudo init 6, если вы считаете что это понты, то используйте reboot я не заставляю


Я поделился своим опытом по данной проблеме, если это захламляет , удалите, мне побарабану

По мне, дак захламляют эти ужасные конфиги в которых куча лишних строк  и левого описания, нафига вписывать лишние строки и вводить новичков в заблуждение что они необходимы ?

[Charles Malaheenee]

mag_box2, Перенесите замечание в форум, это же Ваш опыт и он не должен быть по барабану.

а это работает везде одинаково

Не отрицаем, но вряд ли арчеводы или гентушники будут читать вики Ubuntu, не находите?
Пользователь решил продолжить мысль 13 Июля 2011, 07:17:38:

По мне дах захламляют эти ужасные конфиги в которых куча лишних строк  и левого описания, нафига вписывать лишние строки и вводить новичков в заблуждение что они необходимы ?

Ну и? Мы тоже будучи новичками вводили машины в домен вообще по незаконченному хау-ту, которое позже и дописали (авторизацию, в частности). Разобрались же. А "хомячкам" домен не нужен, им главное "вконтактик".

[mag_box2]

хочу сказать следующее
1) Я не очень хорошо пишу статьи и подобную информацию, просто данное руководство мне понравилось, я решил его дополнить.
2) На форум я переносить не буду, тк смысла думаю в этом нет, тк статья итак замечательная, и на 90% вопросов уже сама по себе отвечает, если ее читать внимательно
3) Статью будут читать люди, у которых есть возможность вносить изменения, вы или кто-то другой можете изменить ее к исходному состоянию или к лучшему, я буду только рад, если удалить те небольшие знания , которые я внес, знания как были , так и остануться только у меня