HOWTO: Active Directory Member Workstation- (Версия Исаева Романа А.)

[zhenyok]

в общем в итоге, даже если ты можешь авторизоавться, сеанс мгновенно прекращается, так?
самое вероятное, что проблема в создании профиля
как я понял, ты делал полностью по HOWTO
попробуй сделать без монтирования сетевых директорий
пусть домашний каталог создается в
/home/domain/user
посмотрим что изменится, если все ок, значит проблема с шарами, тогда попробуем подключить просто шару по cifs и проверить доступ к ней

пробовал и без монтирования шар - ничего

[zhenyok]

поправь в /etc/pam.d/common-password
не
password suffucient pam_winbind.so
а
password sufficient pam_winbind.so

кстати надо в howto поменять, чтобы копипастом не ошибались, у Дениса та же ошибка была

Ошибку исправил, но это не помогло.
auth.log:

Код: [Выделить]

Mar 17 08:28:50 ii gdm[5261]: pam_unix(gdm:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost=  user=ivanov_ii
Mar 17 08:28:50 ii gdm[5261]: pam_winbind(gdm:auth): [pamh: 0x080cfb18] ENTER: pam_sm_authenticate (flags: 0x0000)
Mar 17 08:29:08 ii gdm[5261]: pam_unix(gdm:session): session opened for user root by (uid=0)

отладку включи. и дай кусок от начала и до ошибки.

как её включить?

[Lerik-Co]

И еще, не пускает под доменным пользователем, если имя юзера в латинице. Это не лечится?

Методом перебора выяснил, что если имя пользователя и пароль в латинице, то пускает нормально. Если имя в кириллице, а пароль в латинице, то тоже пускает. Но стОит сменить пароль на кириллицу, так сразу перестает пускать...

Нет ни каких соображений на этот счет?

[Lerik-Co]

...если ты делал по этому хауту у тебя такого быть не должно...

Да, по этой инструкции. Ясно, спасибо.

Сейчас сходил, снес всё еще раз, поставил с нуля. Настроил. (Кажется, раньше был установлен Керберос...)
Сейчас симптомы такие:
И с Win на Ubuntu, и обратно требует имя/пароль. Ввожу имя/пароль - пропускает.
Можно от этого избавиться?

[Lerik-Co]

Сейчас симптомы такие:
И с Win на Ubuntu, и обратно требует имя/пароль. Ввожу имя/пароль - пропускает.

Хотя нет, обманул. С Windows на Ubuntu один раз спросил пароль, а теперь пускает без пароля с любых компов и с любых учеток.
А вот обратно по прежнему просит пароль.

[Lerik-Co]

как её включить?

Вот тут, кажись:

1.   Текст /etc/pam.d/common-auth

# /etc/pam.d/common-auth - authentication settings common to all services
auth    required        pam_mount.so
auth    optional        pam_group.so
auth    sufficient      pam_unix.so nullok_secure  use_first_pass
auth    sufficient      pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE debug
auth    required        pam_deny.so

Опция debug нужна для отладки. Сыплет лишними данными в /var/log/auth.log
Полезно при проблемах, а так можно ее не ставить.

[zhenyok]

как её включить?

Вот тут, кажись:

1.   Текст /etc/pam.d/common-auth

# /etc/pam.d/common-auth - authentication settings common to all services
auth    required        pam_mount.so
auth    optional        pam_group.so
auth    sufficient      pam_unix.so nullok_secure  use_first_pass
auth    sufficient      pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE debug
auth    required        pam_deny.so

Опция debug нужна для отладки. Сыплет лишними данными в /var/log/auth.log
Полезно при проблемах, а так можно ее не ставить.

Не, это у меня уже есть, я всё по howto делал.

[Shwed]

Занятно
Хочу ввести машину в домен с конроллером домена на базе win2k3 для того, чтобы использовать в squid ntlm авторизацию.

Точнее, скажем так - я уже вводил машину в домен по этой инструкции, но потом накосячил, надоело разгребать и решил переустановить систему.
Делаю все по инструкции
правлю smb.conf

wbinfo -p до поры до времени выдает все нормально:

Код: [Выделить]

wbinfo -p
Ping to winbindd succeeded on fd 3
после того, как изменяю security = user на security = ads получаем

Код: [Выделить]

wbinfo -p
Ping to winbindd failed on fd -1
could not ping winbindd!

вообще странно, в прошлый раз все нормально отработало... не понимаю...

мой smb.conf:

[global]
   unix charset = UTF-8
   dos charset = CP866
   display charset = UTF-8
   workgroup = DOMAIN
   server string = %h server (Samba, Ubuntu)
   dns proxy = no

#### Debugging/Accounting ####

   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   panic action = /usr/share/samba/panic-action %d

####### Authentication #######

   security = ADS

   password server = 192.168.3.5   
   realm = DOMAIN.RU

   encrypt passwords = true
   passdb backend = tdbsam
   obey pam restrictions = yes
   invalid users = root
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *passwd:*password\supdated\ssuccessfully* .

############ Misc ############

   socket options = TCP_NODELAY
   domain master = no

   local master = no
   preferred master = no
   os level = 0

   idmap uid = 10000-20000
   idmap gid = 10000-20000
   template shell = /bin/bash
   winbind enum groups = yes
   winbind enum users = yes

   template homedir = /home/%D/%U
   client use spnego = yes
   winbind use default domain = yes
   winbind refresh tickets = yes
   restrict anonymous = 2

[chain]

я вобще немного по другому в домен вводил, сегодня решил проверить все по мануалу, все работает, проблем нет
могу свои конфиги показать, сверитесь
пара исключений:
в домен вводил не из под рута, я вообще рут по умолчанию не включаю
то есть

Код: [Выделить]

sudo net ads join -U administrator@DOMAIN.LOCAL
мне удобно, когда машина в днс прописывается поэтому в /etc/dhcp3/dhclient.conf добавлял строчки (не забыть точку после имени машины)

Код: [Выделить]

       
send fqdn.fqdn "computer_name.domain.local.";
send fqdn.encoded off;
send fqdn.server-update off;директории пользователей лежат не в сети, но некоторые сетевые директории надо автомонтировать, соответственнно конфиги такие
/etc/pam.d/common-auth:

Код: [Выделить]

# /etc/pam.d/common-auth - authentication settings common to all services
auth    required        pam_mount.so
auth    optional        pam_group.so
auth    sufficient      pam_unix.so nullok_secure  use_first_pass
auth    sufficient      pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE debug
auth    required        pam_deny.so
/etc/pam.d/common-session

Код: [Выделить]

# /etc/pam.d/common-session - session-related modules common to all services

session required        pam_winbind.so
session required        pam_unix.so
session required        pam_mkhomedir.so umask=0022 skel=/etc/skel
session optional        pam_foreground.so
/etc/pam.d/gdm:

Код: [Выделить]

#%PAM-1.0

auth    requisite       pam_nologin.so
auth    required        pam_env.so readenv=1
auth    required        pam_env.so readenv=1 envfile=/etc/default/locale

@include common-auth
@include common-account
session required        pam_limits.so
@include common-session
session required       pam_mount.so use_first_pass
@include common-pammount
@include common-password

необходимые для автомонтирования сетевые директории монтирую так, в конец файла /etc/security/pam_mount.conf

Код: [Выделить]

volume * cifs server_name share_name /media/server_name/share_name noperm,iocharset=utf8,codepage=cp866 - -
для временного подключения использую pyNeighborhood c теми же параметрами, но подключаю в директорию текущего пользователя или придется с sudo запускать

да, чуть не забыл, пакеты стоят  те же, что в мануале, ubuntu 7.10, windows server 2003
 и /etc/nsswitch.conf немного другой, разница в строке hosts:

Код: [Выделить]

# /etc/nsswitch.conf

passwd:         compat winbind
group:          compat winbind
shadow:         compat
hosts:          files wins dns
networks:       files dns
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
netgroup:       files winbind
то есть принципиальной разницы с howto нет. Сетевые дериектории подключаются без дополнительного запроса логина-пароля под текущим пользователем, директории расшаренные с ubuntu подключаются без дополнительного запроса логина-пароля с текущим пользователем windows машины

[Shwed]

странно, если меняю в smb.conf
security = ADS на security = domain
wbinfo -p нормально отрабатывает 

правда

Код: [Выделить]

wbinfo -t
checking the trust secret via RPC calls failed
error code was NT_STATUS_CANT_ACCESS_DOMAIN_INFO (0xc00000da)
Could not check secret

chain, можешь привести свой конфиг?

не хочу ставить керберос, если и без него можно обойтись..
хотя год назад я с керберосом вводил в домен...

[chain]

пакеты

Код: [Выделить]

sudo apt-get install samba smbfs winbind libpam-mount

/etc/default/ntpdate

Код: [Выделить]

NTPSERVERS="IP_PDC"
/etc/hosts

Код: [Выделить]

127.0.0.1 computre_name.domain.local localhost computer_name
127.0.1.1 computer_name

# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhostsIPV6 мне не нужен, я просто показать, что работает и в таком варианте

самба

Код: [Выделить]

[global]
unix charset = UTF-8
dos charset = CP866
display charset = UTF-8
workgroup = DOMAIN
server string = %h server (Samba, Ubuntu)

   dns proxy = no
   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   panic action = /usr/share/samba/panic-action %d

   security = ads

   password server = *
   realm = DOMAIN.LOCAL
   encrypt passwords = true
   passdb backend = tdbsam
   obey pam restrictions = yes
   invalid users = root
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword     :* %n\n *passwd:*password\supdated\ssuccessfully* .


   socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
   idmap uid = 10000-20000
   idmap gid = 10000-20000
   template shell = /bin/bash
   winbind enum groups = yes
   winbind enum users = yes

   template homedir = /home/%D/%U
   client use spnego = yes
   winbind use default domain = yes
   winbind refresh tickets = yes
   restrict anonymous = 2

domain master = no
local master = no
preferred master = no
os level = 0

wins support = no
[Видео]
path = /home/DOMAIN/USER/Видео
available = yes
browsable = yes
public = yes
writable = no
различия в pam модулях и монтирование шар я уже описывал


а кстати ты как в домен машину вводил, если у тебя ads не работает?

[Shwed]

все дело оказалось в

Код: [Выделить]

socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

[Shwed]

если я не планирую того, что на эту машину нужно будет заходить под доменными учетками - мне незачем настраивать модули авторизации, правильно ведь?
машина введена в домен, только для того, чтобы использовать в сквиде авторизацию доменными пользователями

[chain]

по идее pam не нужен, инфу о пользователях ты и без этого получать будешь

[Shwed]

я, конечно, еще читаю, разбираюсь, но пока вопрос:
а /etc/nsswitch.conf править надо для этих целей?