HOWTO: Active Directory Member Workstation- (Версия Исаева Романа А.)

[booratino]

ребзя! ну подскажите в чем беда то! почему учетки блокируются в домене? логинятся нормально и тут же  лочатся .
т.к. я  хрен знает от чего это зависит, но думаю от pam модулей, но.... указанные на 1 стр у меня не работают... тока локального впускают...и еще... машину заджойнил по мануалу с 1 стр без керберосов всяких. и вот что мне дала команда wbinfo -u  все имена как имена, а есть еще имена типа workstation.domain.local$ вот теперь вопрос...какого рожна они в группе юзер светятся? это же имена машин... хотя в самом АД их не видно в домен юзер! они как и положено в машинах!
а это мои модули

Код: [Выделить]

#common-account
account sufficient pam_winbind.so
account required pam_unix.so
 


Код: [Выделить]

#common-auth
auth sufficient pam_winbind.so
auth required pam_unix.so nullok_secure use_first_pass

Код: [Выделить]

#common-password
password required pam_unix.so nullok obscure min=4 max=50 md5
password   sufficient   pam_unix.so nullok obscure md5
password   sufficient   pam_winbind.so

Код: [Выделить]

#common-session
session required pam_mkhomedir.so umask=0022 skel=/etc/skel
session required pam_unix.so
session optional pam_foreground.so


[chain]

так я смотрю у тебя в common-session winbind вобще не участвует.. естественно у тебя ненормально директории создаются

[booratino]

директории именно где? 
и почему на АД в дире "компы" если выбрать комп добавленный с убунты смотреть на вкладку  "общие" то видно его днс имя, хотя добавленных с мандривы имя днс не видно.
и еще вопрос...если добавлял с керберосом, нужно ли этот керберос потом обязательно убивать?

[chain]

я про домашние директории
не понял зачем убивать керберос)
а про мандриву.. я не знаю что там в настройках сети было прописано при подключении...

[booratino]

домашние директории???
так...давай по порядку...
домашняя дира с ярлыками и прочей дрянью создана локально в /home/DOMAIN/user
и как она может влиять на блокировку учетки в домене??

[chain]

руками создана? с ярлыками?? (может еще третий знак вопроса добавить))
тогда понятно почему ничего не работает
не надо ничего руками создавать
максимум можно создать ПУСТУЮ директорию /home/DOMAIN/
остальное создаст система, с правами того доменного юзера, который будет ей пользоваться

[booratino]

да нет же... руками создана тока дира /home/DOMAIN/   ... юзер создался от логина в домене, ну а потом добавились руками ярлыки на установленные программы типа цитрикса и прочее....
да вопрос то совсем не в этом! что все вокруг да около?
 все у меня работает! но не по этому мануалу, а по...короче вверху...
мне интересно почему лочатся учетки! что так часто посылает серверу  логин / и что то вместо пароля? и почему команда wbinfo -u отрабатывает в виде
login1
login2
login3
user-desktop.domain.local(вводился с убунты)
user2-desktop.domain.local(вводился с убунты)

и все что добавлялось с убунты, то и лочится в домене.
ПОЧЕМУ едрен-батон... ?

[chain]

тогда я не понял
что значит вводился с убунты?
после ввода в домен, ты завел локальных юзеров на убунте, работая под доменной учеткой, и они появились в webinfo -u ?
или все что были введены еще до этого там светятся?

[booratino]

нет.. учетки в домене существуют давно... из лоальных учеток тока а-ля админ. остальные на машине логинются под доменными учетками, которые никак не совпадают ни с одной локальной учеткой. т.е. есть машина vasya-desktop, единственный локальный профиль localadmin и доменные учетки вида number1, number2...под которыми и логинются люди. если совсем четко, то есть машина с убунтой и на нее несколько пользователей и каждый кто логинется на этой машине под доменным профилем, тот сразу лочится в домене и надо лезть в домен и разлочивать бедолаг  путем снятия чека в графе заблокировать пользователя....причем kjxfncz периодически во время сессии.... сессии... за сессию отвечает common-session может в нем что то? я в силу неграмотности не понимаю просто...

 вводился с убунты это значит заводил машину с убунтой в домен. вот и написал, что команда высвечивает мне и учетки созданные давно в АД и почему то имена рабочих станций с убунтой.

[chain]

в common-session точно не то, в нем pam_winbind как класс отсутствует
может по порядку? начиная с того как вводил и что прописывал?
 только я эти три четыре дня даже примерно глянуть не могу, максимум в воскресенье с работы
но скорее всего в понедельник

[booratino]

все вот так http://quizz.bhome.ru/22-ubuntu-active-directory-authentication/
плюс скрипт рестарта winbind плюс в dhclient.conf
добавил supersede domain-name-servers 192.168...
адрес который с DC

[konstantin81]

Сделал второй раз всё по документации от Исаева Романа, но ничего так и заработало

utils/net_ads.c:ads_startup_int(286)
  ads_connect: No logon servers

У кого такая проблемма была как решили?

[Fimir]

Обновление рабочего компа до 8.04 благополучно угробило 7.10 ))) Нормально. Сам дурак ))))

Но дело не в том. Снова лезу в домен. Влез.
Настраиваю PAM... и в первом же файле вижу совсем не то, что в образце. Похоже, аффтары 8.4 что-то меняли... ))

Может, кто-нть посмотрит умным взглядом на памы и скажет, менять описалово под новую версию или тупо перезаписать памами из 7.10?

[JohnRD]

добрый день

скажите пожалуйста, где что поправить чтобы пинговался DC по fqdn

john@radionov-eal:~$ ping msg-01.domain.local
ping: unknown host msg-01.domain.local
john@radionov-eal:~$

/etc/resolv.conf

Код: [Выделить]

# generated by NetworkManager, do not edit!

search domain.local
nameserver 192.168.52.5
спасибо

[chain]

booratino, попробуй подключаться по этому мануалу, я же как то сравнивал с тем, что использовал ты, там что-то по другому, не помню уже что, но тут тебе отвечал

konstantin81, это при входе после регистрации в домене? попробуй зайти под локальным пользоавтелем рестартовать виндбинд и потом зайти под доменным. если вход будет, значит проблема со стартовым скриптом для винбинд

Fimir, посомтри чуть выше, я писал что поменялось
https://forum.ubuntu.ru/index.php?topic=17941.msg180399#msg180399

JohnRD, по идее без правок должно пинговаться, если по DHCP получал IP.