Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: [Wiki] [HOWTO] Ввод Ubuntu в домен Active Directory  (Прочитано 205483 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн A.i.D.

  • Новичок
  • *
  • Сообщений: 24
    • Просмотр профиля
Re: [Wiki] [HOWTO] Ввод Ubuntu в домен Active Directory
« Ответ #165 : 17 Ноября 2011, 08:25:59 »
как устроить авторизацию по локальным пользователям?
В смысле? "Из коробки" же все есть?
Есть пользователь Вася, прописанный в контроллере домена с паролем 111, а ПК с локальным пользователем Вася и паролем 111, не введенный в домен. Я хочу чтобы локальный пользователь по сети мог входить в шары на файловом сервере с привелегиями доменного пользователя. На 2008 виндовом R2 это возможно.
Просто очень хочется на люнакс перейти.
Ubuntu 12.04, Centos 6.2, SAMS, SQUID, VuurMuur, ISPConfig.

Оффлайн Charles Malaheenee

  • Активист
  • *
  • Сообщений: 756
  • Учтите, мы можем дать и вредный совет.
    • Просмотр профиля
Re: [Wiki] [HOWTO] Ввод Ubuntu в домен Active Directory
« Ответ #166 : 17 Ноября 2011, 08:32:25 »
(почесывая в затылке) Извращение какое-то. Не проще ли оставить только доменного пользователя? По идее самба может такое позволить, но это надо серьезно курить ман: http://smb-conf.ru/, http://samba.org/samba/docs/man/manpages-3/
Все мы где-то, когда-то и в чем-то были новичками.

Оффлайн A.i.D.

  • Новичок
  • *
  • Сообщений: 24
    • Просмотр профиля
Re: [Wiki] [HOWTO] Ввод Ubuntu в домен Active Directory
« Ответ #167 : 17 Ноября 2011, 11:11:48 »
Я имею в виду, что у меня есть пользователи, не введенные в домен. Вводить эти машины в домен нежелательно. Хочется чтобы сервер пускал на шару, опознавая локальную учетную запись.
Ubuntu 12.04, Centos 6.2, SAMS, SQUID, VuurMuur, ISPConfig.

Оффлайн abr_ubuntu

  • Участник
  • *
  • Сообщений: 102
    • Просмотр профиля
Re: [Wiki] [HOWTO] Ввод Ubuntu в домен Active Directory
« Ответ #168 : 07 Декабря 2011, 15:32:21 »
Вот такая вот у меня smb.conf:
(Нажмите, чтобы показать/скрыть)

В AD подключился, пользователи заходят в клиентскую машину под своими AD-именами. Только проблема одна есть. Протокол samba в сторону клиентской машины не работает. То есть, расшаришь - не расшаришь папку, всё равно, если по сети обратиться к клиентскому компу, он будет недоступен.
Методом проб и ошибок я вычислил, что всё дело в строчке "security = ADS". Если она есть, комп из сети становится невидим. Если строчку убрать, ресурсы видны, но тогда не срабатывает "net ads join -U user", пишет "host is not configured as a member server". Как быть?

Оффлайн Charles Malaheenee

  • Активист
  • *
  • Сообщений: 756
  • Учтите, мы можем дать и вредный совет.
    • Просмотр профиля
Re: [Wiki] [HOWTO] Ввод Ubuntu в домен Active Directory
« Ответ #169 : 08 Декабря 2011, 05:43:15 »
УМВР с этими параметрами. У Вас же:
1) realm указан неправильно (OKGROUP вместо OKGROUP.COM или что у Вас там).
2) password server = * - это что такое? Или убирайте параметр или пишите IP сервера.
3) И главное: hosts allow = 0 127 и hosts deny = 0.0.0.0/0.0.0.0 - уберите эти параметры, они Вам всю картину и портят.
Все мы где-то, когда-то и в чем-то были новичками.

Оффлайн abr_ubuntu

  • Участник
  • *
  • Сообщений: 102
    • Просмотр профиля
Re: [Wiki] [HOWTO] Ввод Ubuntu в домен Active Directory
« Ответ #170 : 08 Декабря 2011, 13:26:09 »
УМВР с этими параметрами. У Вас же:
1) realm указан неправильно (OKGROUP вместо OKGROUP.COM или что у Вас там).
Домен AD. Откуда там .COM взяться? Может, я что-то не понимаю, но везде фигурирует просто OKGROUP.

2) password server = * - это что такое? Или убирайте параметр или пишите IP сервера.
3) И главное: hosts allow = 0 127 и hosts deny = 0.0.0.0/0.0.0.0 - уберите эти параметры, они Вам всю картину и портят.
Счас попробую убрать. Но меня смущает тот факт, что даже если в дефолтном чистом smb.conf прописать строку "security = ads", то комп уже не увидит ни одна из машин домена. Стоит убрать строку, как все ресурсы становятся видны.

Оффлайн Charles Malaheenee

  • Активист
  • *
  • Сообщений: 756
  • Учтите, мы можем дать и вредный совет.
    • Просмотр профиля
Re: [Wiki] [HOWTO] Ввод Ubuntu в домен Active Directory
« Ответ #171 : 08 Декабря 2011, 13:29:25 »
А здесь что?
Цитировать
Далее вам потребуется настроить все вышеперечисленные инструменты для работы с вашим доменом. Допустим, вы хотите войти в домен DOMAIN.COM, доменконтроллером которого является сервер dc.domain.com с IP адресом 192.168.0.1. Этот же сервер является и первичным DNS сервером домена. Кроме того допустим у вас есть второй доменконтроллер1), он же DNS - dc2.domain.com с IP 192.168.0.2. Ваш же компьютер будет называться smbsrv01.

Версия Ubuntu у Вас?

Пользователь решил продолжить мысль 08 Декабря 2011, 13:35:13:
И еще здесь непонятно:
valid users = @\"0/Domain Users\"Это что? Здесь так не пишут. @"Domain Users" нужно. Либо перечислить конкретных DOMAIN\user1 DOMAIN\user2
« Последнее редактирование: 08 Декабря 2011, 13:35:13 от Charles Malaheenee »
Все мы где-то, когда-то и в чем-то были новичками.

Оффлайн abr_ubuntu

  • Участник
  • *
  • Сообщений: 102
    • Просмотр профиля
Re: [Wiki] [HOWTO] Ввод Ubuntu в домен Active Directory
« Ответ #172 : 08 Декабря 2011, 16:32:20 »

Пользователь решил продолжить мысль 08 Декабря 2011, 13:35:13:
И еще здесь непонятно:
valid users = @\"0/Domain Users\"Это что? Здесь так не пишут. @"Domain Users" нужно. Либо перечислить конкретных DOMAIN\user1 DOMAIN\user2
Слеши появились, потому что я скопировал текст из скрипта, который копирует этот текст в файл (типа скрипта автонастройки).
В оригинале слешей перед кавычками нету.
Тем не менее, проблема остаётся. Мне кажется, надо прописать какую-ту дополнительную строку, разрешающую обзор ресурсов у расшаренного компа, который узнаёт настройки безопасности из ADS. Вот только не могу никак понять, что это за строка/строки...

Пользователь решил продолжить мысль 08 Декабря 2011, 16:44:49:
Опп! Получилось.
Что сделал:
- убрал те строки, что Charles Malaheenee подсказал
- заменил экранированные слеши (я их когда-то давно зачем-то делал, обратно вернуть забыл)
- сделал sudo net ads join -U user
- перезапустил samba и winbind в той последовательности, как описано в статье
- проверил getent password, чтобы отобразились пользователи из AD

ну и заработало...

А щё косяк в том, что если бракованный smb.conf заменить на оргинальный, то проблема уже не уходит. Поэтому пришлось счас вычислять последовательность действий по системе, установленной с нуля на виртуалке, чтобы можно было откаты делать.
« Последнее редактирование: 08 Декабря 2011, 16:44:49 от abr_ubuntu »

Оффлайн Orche

  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
    • edc - вещи, которые мы носим с собой
Re: [Wiki] [HOWTO] Ввод Ubuntu в домен Active Directory
« Ответ #173 : 16 Декабря 2011, 13:48:34 »
Доброго дня.
На 3-ей странице данной темы пользователь писал о проблеме "вылетает ssh при попытке логина под доменной учеткой". Получил такую же ситуацию.
Сделал все по статье, все работает, домен отзывается, при логине под доменным юзером создается его учетка ( /home/domain/username ).
НО при логине через Putty - она просто захлопывается.

 gate init: ssh main process (327) terminated with status 255
 gate init: ssh main process (892) killed by TERM signal

 Если логиниться локально на сервере - логин/пароль принимаются, но сразу же снова появляется запрос логина.
В логах видим :

gate init: tty1 main process ended, respawning

Т.е. не запускаются tty под доменными учетками (tty c любым номером) . С локальными юзерами ,естественно, все ОК. Сам в nix-ах новичок,поэтому спрашиваю,куда копать? :)

Оффлайн Charles Malaheenee

  • Активист
  • *
  • Сообщений: 756
  • Учтите, мы можем дать и вредный совет.
    • Просмотр профиля
Re: [Wiki] [HOWTO] Ввод Ubuntu в домен Active Directory
« Ответ #174 : 16 Декабря 2011, 17:24:44 »
Версия Ubuntu? Настраивали по мануалу? Конфигурацию ssh сюда тоже бы неудрно. ПО идее все работает из коробки, у нас и под доменным пользователем пускает "хде хошь".
Все мы где-то, когда-то и в чем-то были новичками.

Оффлайн Orche

  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
    • edc - вещи, которые мы носим с собой
Re: [Wiki] [HOWTO] Ввод Ubuntu в домен Active Directory
« Ответ #175 : 18 Декабря 2011, 15:54:50 »
Ubuntu server 10.04.Делал по мануалу. Дело явно не в ssh, т.к. глюк возникает и когда пытаешься залогиниться напрямую с клавиатуры на сервере. Просто у данного пользователя (администратора домена) при логине вылетает демон tty и опять появляется запрос на логин-пароль .

Оффлайн Charles Malaheenee

  • Активист
  • *
  • Сообщений: 756
  • Учтите, мы можем дать и вредный совет.
    • Просмотр профиля
Re: [Wiki] [HOWTO] Ввод Ubuntu в домен Active Directory
« Ответ #176 : 19 Декабря 2011, 04:51:01 »
А первый раз логинился нормально? Если да, то попробуйте "прихлопнуть" домашний каталог. Также дело может быть в группах Domain admins и Domain users.
Все мы где-то, когда-то и в чем-то были новичками.

Оффлайн Orche

  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
    • edc - вещи, которые мы носим с собой
Re: [Wiki] [HOWTO] Ввод Ubuntu в домен Active Directory
« Ответ #177 : 20 Декабря 2011, 12:55:14 »
Прошу прощения,версия убунты - 11,04.
Нет,ни разу нормально под доменной учеткой в Ubuntu не логинился. Кажется , нашел,в чем проблема, в auth.log видны ошибки (пользователь friend - это администратор домена):


Dec 20 12:35:20 gate login[30039]: PAM unable to dlopen(pam_ck_connector.so): /lib/security/pam_ck_connector.so: cannot open shared object file: No such file or directory
Dec 20 12:35:20 gate login[30039]: PAM adding faulty module: pam_ck_connector.so
Dec 20 12:35:26 gate login[30039]: pam_unix(login:auth): authentication failure; logname=friend uid=0 euid=0 tty=/dev/tty1 ruser= rhost=  user=friend
Dec 20 12:35:26 gate login[30039]: pam_winbind(login:auth): getting password (0x00000388)
Dec 20 12:35:26 gate login[30039]: pam_winbind(login:auth): pam_get_item returned a password
Dec 20 12:35:27 gate login[30039]: pam_winbind(login:auth): user 'friend' granted access
Dec 20 12:35:27 gate login[30039]: pam_winbind(login:auth): getting password (0x00000190)
Dec 20 12:35:27 gate login[30039]: pam_winbind(login:auth): pam_get_item returned a password
Dec 20 12:35:27 gate login[30039]: pam_winbind(login:auth): user 'friend' granted access
Dec 20 12:35:27 gate login[30039]: pam_winbind(login:account): user 'friend' granted access
Dec 20 12:35:27 gate login[30039]: pam_unix(login:session): session opened for user friend by friend(uid=0)
Dec 20 12:35:27 gate login[30039]: pam_unix(login:session): session opened for user friend by friend(uid=0)
Dec 20 12:35:27 gate login[30039]: pam_unix(login:session): session closed for user friend
Dec 20 12:35:27 gate login[30039]: pam_unix(login:session): session closed for user friend
Dec 20 12:35:27 gate login[30039]: PAM 1 more authentication failure; logname=friend uid=0 euid=0 tty=/dev/tty1 ruser= rhost=  user=friend

Что с этим делать, пока не представляю.


Оффлайн Charles Malaheenee

  • Активист
  • *
  • Сообщений: 756
  • Учтите, мы можем дать и вредный совет.
    • Просмотр профиля
Re: [Wiki] [HOWTO] Ввод Ubuntu в домен Active Directory
« Ответ #178 : 20 Декабря 2011, 13:07:10 »
aptitude show libpam-ck-connector (если не установлен - установите)
ls -l /etc/pam.d/
cat /etc/pam.d/common-* (может там чего перемудрено)
Все мы где-то, когда-то и в чем-то были новичками.

Оффлайн Orche

  • Новичок
  • *
  • Сообщений: 17
    • Просмотр профиля
    • edc - вещи, которые мы носим с собой
Re: [Wiki] [HOWTO] Ввод Ubuntu в домен Active Directory
« Ответ #179 : 20 Декабря 2011, 13:39:03 »
Пакета libpam-ck-connector не было, установил.

ls -l /etc/pam.d/
(Нажмите, чтобы показать/скрыть)

common-session-noninteractive
(Нажмите, чтобы показать/скрыть)

common-session
(Нажмите, чтобы показать/скрыть)

common-password
(Нажмите, чтобы показать/скрыть)

common-auth
(Нажмите, чтобы показать/скрыть)

common-account

(Нажмите, чтобы показать/скрыть)


 

Страница сгенерирована за 0.025 секунд. Запросов: 21.