HOWTO: Active Directory Member Workstation- (Версия Исаева Романа А.)

[kilchar]

машина никак не хочет лесть в домен. выдает:

root@aes-marfin:/home/marfin# net ads join -U Администратор@AES.LOC
Администратор@AES.LOC's password:
Using short domain name -- AES
Failed to set servicePrincipalNames. Please ensure that
the DNS domain of this server matches the AD domain,
Or rejoin with using Domain Admin credentials.
Deleted account for 'AES-MARFIN' in realm 'AES.LOC'
Failed to join domain: Type or value exists

причем один раз в домен ее ввести всети удалось, но вполедствии поставили новый сервер и второй раз она подвиг не повторяет. Вот конфиги самба:

[global]

unix charset = UTF-8
dos charset = CP866
display charset = UTF-8
workgroup = AES
server string = %h server (Samba, Ubuntu)
; У кого есть wins можете включить   wins support = no
; и прописать wins сервер
; wins server = 192.168…

   dns proxy = no
   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   panic action = /usr/share/samba/panic-action %d
   security = ads
   password server = srv.aes.loc
 
   realm = AES.LOC
   encrypt passwords = true
   passdb backend = tdbsam
   obey pam restrictions = yes
   invalid users = root
   passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword                                                                              :* %n\n *passwd:*password\supdated\ssuccessfully* .


   idmap uid = 10000-20000
   idmap gid = 10000-20000
   template shell = /bin/bash
   winbind enum groups = yes
   winbind enum users = yes
#домашняя папку у пользователя будет в папке с именем домена. Лучше ее создать заранее вручную.
   template homedir = /home/marfin/domain
   client use spnego = yes
   winbind use default domain = yes
   winbind refresh tickets = yes
   restrict anonymous = 2
# строки ниже, чтобы рабочая станция не пыталась стать обозревателем в сети.
domain master = no
local master = no
preferred master = no
os level = 0

керберос:

[libdefaults]
   
 
 ticket_lifetime = 24000           
      clock_skew = 300             
      default_realm = AES.LOC

# The following krb5.conf variables are only for MIT Kerberos.
   krb4_config = /etc/krb.conf
   krb4_realms = /etc/krb.realms
   kdc_timesync = 1
   ccache_type = 4
   forwardable = true
   proxiable = true



# The following libdefaults parameters are only for Heimdal Kerberos.
   v4_instance_resolve = false
   v4_name_convert = {
      host = {
         rcmd = host
         ftp = ftp
      }
      plain = {
         something = something-else
      }
   }
   fcc-mit-ticketflags = true

[realms]
   AES.LOC = {
      kdc = srv.aes.loc
      admin_server = srv.aes.loc     
      default_domain = AES.LOC         
      }

[domain_realm]
    .aes.loc = AES.LOC   
      aes.loc = AES.LOC

[login]
   krb4_convert = true
   krb4_get_tickets = false
   default = FILE:/var/log/krb5.log

[nedrug]

прошу прощения, что пропал, образовался очередной внеплановый переезд ).

Мой эксперимент с SMB сервером на Ubuntu и хранение профиля там пока что провалился.

При монтировании профиля с Linux SMB наблюдаются разные вещи, то размонтирование не проходило нормально, то еще что то...
я пока эту затею убрал подальше и жду 8.04

Еще плюс может играть роль то что Ext3 это не NTFS, а рабочая станция на винде может проглючиться с правами.
Требуется грамотный перевод прав из одной ФС в другую. Я пока этим не занимался.
Может у кого опыт уже есть ?

Извини, я не понял, на сервере Ubuntu хранились профили пользователей WIndows или Linux?

[booratino]

всем еще раз здрасте! вообщем все настроил, но.. есть у нас конфиг resolv  в котором я прописал свой серверный dns, но вот беда, он после перезагрузки компа возвращает мне внешние днс прова... ну и после этого ,конечно, не логинется в директори никак..
как бы ему запретить это делать???

[booratino]

всем спасибо))) нашел здесь :
https://forum.ubuntu.ru/index.php?topic=9431.msg68472#msg68472

[ilyaswan]

Привет всем!
Хочу обратить внимание всех участников этого топика на проект: http://sadms.sourceforge.net/. Есть установочный скрипт под Ubuntu 7.10. Сначала установить пакеты winbind (по своему опыту).
В общем эта штука позволяет с помощью GUI произвести настройку всех необходимых служб (samba, winbind, kerberos, ...), есть даже диагностика, че не работает. Исследовал файлы конфигурации, правленные sadms, настраивает почти все как из хау-ту в этой теме, т.е. я думаю что корректно. Некоторые настройки пришлось руками добавлять, хотя еще сам не понял, надо ли. Аутентификация доменных пользователей работает, но не всегда (правда вот сегодня полдня работало, перезагружался, входил под разными учетками, профили создаются, не смог еще настроить sudo для доменных пользователей), иногда пишет acess denied. Думаю копать надо в PAM.
Еще нет ясности в голове, как и что и с чем взаимодействует.
ВОПРОС 1: имеет ли значение в файлах /etc/pam.d/*.* порядок указания pam-модулей, например pam_unix.so и  pam_winbind.so, кто должен стоять первее?
ВОПРОС 2: любая аутентификация в ubuntu идет через pam или есть еще какие службы?
ВОПРОС 3: что такое keyring?
ВОПРОС 4: как часто winbind вытягивает информацию c DC?
Пока хватит. Заранее приношу извинения, если не нашел выше ответы на поставленные вопросы. Просто голова пухнет уже от всех этих конфигов, манов, поисков в инете...
Вроде вот самый толковый по этой теме топик нашел.

[nedrug]

Мой эксперимент с SMB сервером на Ubuntu и хранение профиля там пока что провалился.

При монтировании профиля с Linux SMB наблюдаются разные вещи, то размонтирование не проходило нормально, то еще что то...
я пока эту затею убрал подальше и жду 8.04

Еще плюс может играть роль то что Ext3 это не NTFS, а рабочая станция на винде может проглючиться с правами.
Требуется грамотный перевод прав из одной ФС в другую. Я пока этим не занимался.
Может у кого опыт уже есть ?

Подключил NFS-раздел на Linuxe как /home/DOMAIN и... 
ВСЕ работает!! )))
профили хранятся на серваке, вот только....
если пользователей штук 100..  как это на сетке отразится?

[nedrug]

Подключил NFS-раздел на Linuxe как /home/DOMAIN и... 
ВСЕ работает!! )))

рано обрадовался, у двух первых пользователей все прошло нормально, а остальные не могут создать домашнюю папку с нужными правами.  (

[ilyaswan]

Кароче, плюнул на все графические примочки и настроил все по хау-ту из этого топика - все работает без проблем (пока, и будем надеятся всегда будет работать). Сейчас пишу скрипт, чтоб это дело как-то автоматизировать, а то править руками 15 конфигов для каждой станции...! Как напишу, обязательно выложу, а может уже есть у кого?

[Lerik-Co]

Сейчас пишу скрипт, чтоб это дело как-то автоматизировать, а то править руками 15 конфигов для каждой станции...! Как напишу, обязательно выложу, а может уже есть у кого?

Да что там писать-то? Несколько команд копирования файлов и присвоения прав. Вот и всё.
Например: http://up.spbland.ru/files/08042527/
Но не думаю, что этот файл кому-то сильно поможет, т.к. всё это довольно специфично...

[booratino]

Мужчины, у меня беда надоедливая! Настраивал по мануалу отсюда http://quizz.bhome.ru/22-ubuntu-active-directory-authentication/
(единственный мануал по которому я завел + скрипт поднятия winbind с 1 стр. и правка dhclient.conf)
но вот в чем беда... после логаута и последующем логине сервер блочит учетку напрочь...и надо лезть на сервер и руками разлочивать. Сначала грешил на citrix , ибо он тоже установлен (ну вдруг?)
Потом все это превратилось в рецидив...
Надоело сил нет...Выручайте

[zhenyok]

zhenyok, ты видимо читал невнимательно howto , посмотри, что у тебя с pam_mount, зачем дважды задано создавать домашнюю директорию?

Код: [Выделить]

debug 0
mkmountpoint 1
fsckloop /dev/loop7

options_allow nosuid,nodev,loop,encryption,fsck
options_require nosuid,nodev

lsof /usr/bin/lsof %(MNTPT)
fsck /sbin/fsck -p %(FSCKTARGET)
losetup /sbin/losetup -p0 "%(before=\"-e\" CIPHER)" "%(before=\"-k\" KEYBITS)" %(FSCKLOOP) %(VOLUME)
unlosetup /sbin/losetup -d %(FSCKLOOP)
cifsmount /bin/mount -t cifs //%(SERVER)/%(VOLUME) %(MNTPT) -o "user=%(USER),uid=%(USERUID),gid=%(USERGID)%(before=\",\" OPTIONS)"

smbmount /usr/bin/smbmount   //%(SERVER)/%(VOLUME) %(MNTPT) -o "username=%(USER),uid=%(USERUID),gid=%(USERGID)%(before=\",\" OPTIONS)"
ncpmount /usr/bin/ncpmount   %(SERVER)/%(USER) %(MNTPT) -o "pass-fd=0,volume=%(VOLUME)%(before=\",\" OPTIONS)"
smbumount /usr/bin/smbumount %(MNTPT)
ncpumount /usr/bin/ncpumount %(MNTPT)
fusemount  /sbin/mount.fuse    %(VOLUME) %(MNTPT) "%(before=\"-o\" OPTIONS)"
fuseumount /usr/bin/fusermount -u %(MNTPT)

umount /bin/umount %(MNTPT)

lclmount /bin/mount -p0 -t %(FSTYPE) %(VOLUME) %(MNTPT) "%(before=\"-o\" OPTIONS)"
cryptmount /bin/mount -t crypt "%(before=\"-o\" OPTIONS)" %(VOLUME) %(MNTPT)
nfsmount /bin/mount %(SERVER):%(VOLUME) %(MNTPT) "%(before=\"-o\" OPTIONS)"
mntagain /bin/mount --bind %(PREVMNTPT) %(MNTPT)
mntcheck /bin/mount # For BSDs (don't have /etc/mtab)
pmvarrun /usr/sbin/pmvarrun -u %(USER) -o %(OPERATION)
volume * cifs gateway setup /media/gateway/G/Setup uid=&,gid='domain users',dir_mode=0751,domain=LAN,iocharset=utf8,codepage=866 - -
volume * cifs gateway documents /media/gateway/G/Документы uid=&,gid='domain users',dir_mode=0751,domain=LAN,iocharset=utf8,codepage=866 - -
volume * cifs gateway other /media/gateway/G/Разное uid=&,gid='domain users',dir_mode=0751,domain=LAN,iocharset=utf8,codepage=866 - -
В какой строчке chain? что-то я home/LAN здесь не вижу

во вторых, попробуй сделать, как у меня для начала, сделай домашнюю директорию пользователя локально, закомментируй все подключения из /etc/security/pam_mount.conf   и попробуй авторизоваться

я пробовал вообще pam_mount.conf не трогать, оставлял оригинал. не помогает

[chain]

pam_mount - это посмотреть
а дважды - я неправильно написал, не создается, а в условиях проверяется
в common_session и в gdm
попробуй закоментировать строчки во всех  пам модулях, с пам маунт, чтобы не было проверки

[chain]

обновил до  систему до 8.04
некоторые изменения по pam модулям были
был конвертирован в xml конфиг pam_mount ( все корректно)
по мелочам изменения в gdm конфиге, были попытки вернуть keyring, с ним с ошибкой вылетала новая система разрешений, к примеру при настройке времени, убрал keyring - все работает на ура
так что схема остается вполне рабочей
надо будет посмотреть на чистой установке и с помощью likewise

[noprice]

не регистрируются машинки линуксовые в DNS,  в обратной зоне есть, в прямой нет, т.е. по IP резолвятся, по имени никак, вручную прописывать ломает, должны же автоматом.
в dhclient все прописал.
вот думаю может это как-то связано с тем что в hosts прописано 127.0.0.1 имя.машины, но задавая явно IP name ничего не получил, к сожалению.

[chain]

чтобы прописывались, надо еще поддержку юниксовых клиентов в настройках виндового dhcp сервера включить