[Wiki] [HOWTO] Ввод Ubuntu в домен Active Directory

[Charles Malaheenee]

Не, ну Вы даете!
Вот это что:

(Нажмите, чтобы показать/скрыть)

auth        required      pam_env.so
auth        sufficient    pam_unix.so likeauth nullok try_first_pass
auth        sufficient    pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE
auth        required      pam_deny.so

У Вас это уже все есть выше, зачем повторять?
И так во всех файлах. Удаляйте перечисленные в спойлерахстроки.

(Нажмите, чтобы показать/скрыть)

session     optional      pam_ck_connector.so nox11
session     required      pam_limits.so
session     required      pam_env.so
session     required      pam_unix.so

(Нажмите, чтобы показать/скрыть)

password    sufficient    pam_unix.so try_first_pass use_authtok nullok sha512 shadow
password    sufficient    pam_winbind.so
password    required      pam_deny.so

(Нажмите, чтобы показать/скрыть)

account     sufficient    pam_winbind.so
account     required      pam_unix.so

Надо заниматься не копипастом, а осознавать, что делаете.

[Orche]

Делал все по HowTo.
Файлы common-* вернул все в дефолт , сейчас у меня настроено так ,как в HowTo до строчки "Для Ubuntu 9.10 и ниже придется редактировать несколько файлов (но никто не запрещает использовать этот способ и в 10.04 - он тоже работает)".

Т.е. в /etc/pam.d/common-session добавлено
session  optional  pam_mkhomedir.so skel=/etc/skel/ umask=0077

Последний ваш спойлер с common-auth не понятен ,этих 2 строк там не было, их нужно вписать в дефолтный конфиг ?

[Charles Malaheenee]

Ой! Это опечатка, сейчас исправим на common-account. И как, работает теперь?

[Orche]

При попытке залогиниться:
-создался профиль это юзера в /home/domainname/username .
-так же вышибает обратно за запрос логина
В syslog:

Код: [Выделить]

Dec 21 10:53:57 gate init: tty1 main process ended, respawning

В auth.log

Код: [Выделить]

Dec 21 10:53:57 gate login[1046]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost=  user=friend
Dec 21 10:53:57 gate login[1046]: pam_winbind(login:auth): getting password (0x00000388)
Dec 21 10:53:57 gate login[1046]: pam_winbind(login:auth): pam_get_item returned a password
Dec 21 10:53:57 gate login[1046]: pam_winbind(login:auth): user 'friend' granted access
Dec 21 10:53:57 gate login[1046]: pam_unix(login:session): session opened for user friend by LOGIN(uid=0)
Dec 21 10:53:57 gate login[1046]: pam_unix(login:session): session closed for user friend


[Charles Malaheenee]

Winbind все проверки проходит? Пользователей и группы выдает? Время с доменконтроллером синхронизировано?

[Orche]

Wbinfo отрабатывает нормально, но насчет времени не все гладко, в логах обнаружил такое :

Код: [Выделить]

Dec 21 10:29:02 gate ntpdate[875]: step time server 192.168.0.100 offset -7.579935 sec
Dec 21 10:29:02 gate dovecot: Fatal: Time just moved backwards by 6 seconds. This might cause a lot of problems, so I'll just kill myself now. http://wiki.d$
Dec 21 10:29:02 gate init: dovecot main process (477) terminated with status 89
Dec 21 10:29:16 gate ntpdate[1052]: step time server 192.168.0.100 offset -0.008380 sec


[Charles Malaheenee]

ntpdate это, конечно, неплохо, а демон ntp не настроили по хау-ту? Из-за времени чаще всего логины и "сыплются", даже на Windows.

И еще полезная ссылка по настройкам: http://www.xakep.ru/magazine/xa/101/150/1.asp

[Vert01et]

Всем доброго времени суток! Настраиваю по статье всё. Вот что в конфигах:

(Нажмите, чтобы показать/скрыть)

[libdefaults]
        default_realm = DOMEN.LOCAL
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }
        fcc-mit-ticketflags = true

[realms]
        DOMEN.LOCAL = {
                kdc = pdcsrv
                admin_server = pdcsrv
                default_domain = DOMEN.LOCAL
        }

[domain_realm]
        .domen.local = DOMEN.LOCAL
        domen.local = DOMEN.LOCAL
[login]
        krb4_convert = false
        krb4_get_tickets = false

(Нажмите, чтобы показать/скрыть)

[global]
   # Эти две опции нужно писать именно в заглавном регистре, причём workgroup без
   # последней секции после точки, а realm - полное имя домена
   workgroup = DOMEN
   realm = DOMEN.LOCAL

   # Эти две опции отвечают как раз за авторизацию через AD
   security = ADS
   encrypt passwords = true
   # Просто важные
   dns proxy = no
   socket options = TCP_NODELAY

   # Если вы не хотите, чтобы самба пыталась при случае вылезти в лидеры в домене или рабочей группе,
   # или даже стать доменконтроллером, то всегда прописывайте эти пять опций именно в таком виде
   domain master = no
   local master = no
   preferred master = no
   os level = 0
   domain logons = no

   # Отключить поддержку принтеров
   load printers = no
   show add printer wizard = no
   printcap name = /dev/null
   disable spoolss = yes

(Нажмите, чтобы показать/скрыть)

# Generated by NetworkManager
domain domen.local
search domen.local
nameserver 192.168.1.1

sudo kinit user@DOMEN.LOCAL проходит молча и без проблем, klist выдаёт:

(Нажмите, чтобы показать/скрыть)

Ticket cache: FILE:/tmp/krb5cc_0
Default principal: user@DOMEN.LOCAL

Valid starting     Expires            Service principal
01/16/12 13:16:01  01/16/12 23:16:09  krbtgt/DOMEN.LOCAL@DOMEN.LOCAL
   renew until 01/17/12 13:16:01

КД pdcsrv

(Нажмите, чтобы показать/скрыть)

PING pdcsrv.domen.local (192.168.1.1) 56(84) bytes of data.
64 bytes from pdcsrv.domen.local (192.168.1.1): icmp_req=1 ttl=128 time=0.127 ms
64 bytes from pdcsrv.domen.local (192.168.1.1): icmp_req=2 ttl=128 time=0.209 ms
64 bytes from pdcsrv.domen.local (192.168.1.1): icmp_req=3 ttl=128 time=0.316 ms
64 bytes from pdcsrv.domen.local (192.168.1.1): icmp_req=4 ttl=128 time=0.175 ms
64 bytes from pdcsrv.domen.local (192.168.1.1): icmp_req=5 ttl=128 time=0.238 ms
64 bytes from pdcsrv.domen.local (192.168.1.1): icmp_req=6 ttl=128 time=0.301 ms
^C
--- pdcsrv.domen.local ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 4998ms
rtt min/avg/max/mdev = 0.127/0.227/0.316/0.068 ms

Также sudo net ads info:

(Нажмите, чтобы показать/скрыть)

Failed to get server's current time!
LDAP server: 192.168.1.1
LDAP server name: pdcsrv.domen.local
Realm: DOMEN.LOCAL
Bind Path: dc=DOMEN,dc=LOCAL
LDAP port: 389
Server time: Чт., 01 янв. 1970 03:00:00 MSK
KDC server: 192.168.1.1
Server time offset: 0

Почему-то ругается на время, хотя вроде получает его, руками тоже синхронизировал время, как в статье, дык kinit молчит же. А итог один - sudo net ads join -U user -D DOMEN:
Failed to join domain: failed to lookup DC info for domain 'DOMEN' over rpc: The network name cannot be found
ПОдскажите - где мой больной недосыпом мозг утратил нить и накосячил с настройками?
Пользователь решил продолжить мысль 16 Января 2012, 14:40:29:Сам спросил - сам ответил. Привязался я что-то к этому пингу по короткому имени и ушёл в дебри. Мол пингуется и ладно... вроде как приходят ответы от pdcsrv.domen.local, всё нормально. Но не тут то было. Это они при пинге короткого имени приходили, а вот если полностью указать - по нулям. Строка в hosts с полным написанием имени спасла ситуацию. Так что извиняюсь за ложную тревогу, теперь всё в норме.

[Dexel]

Не, ну Вы даете!
Вот это что:

(Нажмите, чтобы показать/скрыть)

auth        required      pam_env.so
auth        sufficient    pam_unix.so likeauth nullok try_first_pass
auth        sufficient    pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE
auth        required      pam_deny.so

У Вас это уже все есть выше, зачем повторять?
И так во всех файлах. Удаляйте перечисленные в спойлерахстроки.

(Нажмите, чтобы показать/скрыть)

session     optional      pam_ck_connector.so nox11
session     required      pam_limits.so
session     required      pam_env.so
session     required      pam_unix.so

(Нажмите, чтобы показать/скрыть)

password    sufficient    pam_unix.so try_first_pass use_authtok nullok sha512 shadow
password    sufficient    pam_winbind.so
password    required      pam_deny.so

(Нажмите, чтобы показать/скрыть)

account     sufficient    pam_winbind.so
account     required      pam_unix.so

Надо заниматься не копипастом, а осознавать, что делаете.

Простите, что чуть не в тему.
А где находится сам pam_limits.so ?
В директории /lib64/security его нет. Мне нужно прописать в файле /etc/pam.d/login строку:
session    required     /lib/security/pam_limits.so
Поскажите пожалуйста где сам pam_limits.so и что прописать вместо /lib/security...

[Charles Malaheenee]

Ну так поищите:

Код: [Выделить]

find / -name "pam_linits.so"А у Вас 64-битная система?

[abr_ubuntu]

Добрый день!
У Windows есть такая интересная функция - если зайти один раз под доменным пользователем, то под етим же пользователем можно будет заходить впоследствии всегда, даже если комп вобще будет отключен от сети.
Я настроил свою сеть по https://help.ubuntu.ru/wiki/%D0%B2%D0%B2%D0%BE%D0%B4_%D0%B2_%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD_windows мануалу, всё счас работает. Но иногда контроллер домена не в зоне действия при включении компьютера. Таким образом команда "net ads testjoin" выдаёт "No logon servers", команда "getent passwd" показывает только локальных пользователей. В общем, зайти под доменным именем не получается.
Так вот хотелось бы узнать, можно ли организовать вышеописанную функцию на Linux клиенте? В принципе, можно скрипт написать, который тупо создаёт в /etc/passwd пользователя, под которым осуществляется вход и удаляются дубликаты при запуске компа (чтобы запрос пароля отправлялся контроллеру домена, а не локальному /etc/shadow). Но интересуют стандартные методы решения, если таковые имеются.

[ViTalityU]

Добрый день!
У Windows есть такая интересная функция - если зайти один раз под доменным пользователем, то под етим же пользователем можно будет заходить впоследствии всегда, даже если комп вобще будет отключен от сети.

https://help.ubuntu.ru/wiki/%D0%B2%D0%B2%D0%BE%D0%B4_%D0%B2_%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD_windows#%D0%BE%D1%84%D1%84-%D0%BB%D0%B0%D0%B9%D0%BD_%D0%B0%D0%B2%D1%82%D0%BE%D1%80%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D1%8F

[LonelyBeast]

Здравствуйте,
подскажите, пожалуйста, почему может такое быть: я прописал машину под ubuntu 11.10 в домен Windwos 2008 (как написано в первом посте). Когда я захожу в компьютер (Linux) и пытаюсь запустить любой терминал - он на мгновение открывается и тут же закрывается ... Как такое может быть и что с этим делать???

P.S. если я захожу под локальными пользователями - все хорошо.

[Charles Malaheenee]

LonelyBeast, невнимательно читали:

Для настройки Winbind используется всё тот же файл /etc/samba/smb.conf. Добавьте в секцию [global] следующие строки:
   # Если вы хотите разрещить использовать командную строку для пользователей домена, то
   # добавьте следующую строку, иначе в качестве shell'а будет вызываться /bin/false
   template shell = /bin/bash

[LonelyBeast]

Большое спасибо - всё получилось

Только еще один вопрос возник - когда я запускаю терминал - в командной строке выводится "У меня нет имени!@....." когда я ввожу команду su - user - все становится нормально. Можно ли как то сделать чтобы терминал сразу запускался от пользователя домена ?