HOWTO: Active Directory Member Workstation- (Версия Исаева Романа А.)

[AlexShap]

я так понял что у вас руссифицированный w2k3 поэтому правильно сопостовлять надо было по другому, а именно:
"пользователи домена"->users
"администраторы домена"->adm
Встроенные группы на контролере домена маленько не то. У вас в первом случае вроде правильно было, только группа "пользователи домена" не была связана с юниксовой группой.

сделал и так:

 ls -la
итого 15
drwxr-xr-x 1 marina пользователи домена    0 2008-12-03 17:09 .
drwx--x--x 3 marina пользователи домена 4096 2008-12-03 17:04 ..
drwxr-xr-x 3 marina пользователи домена    0 2008-12-03 17:09 .cache
drwxr-xr-x 1 marina пользователи домена    0 2008-12-03 17:09 .config
drwxr-xr-x 3 marina пользователи домена    0 2008-12-03 17:09 .dbus
-rwxrwSrwx 1 marina пользователи домена   28 2008-12-03 17:09 .dmrc
-rwxrwSrwx 1 marina пользователи домена   16 2008-12-03 17:09 .esd_auth
drwxr-xr-x 1 marina пользователи домена    0 2008-12-03 17:09 .gconf
drwxr-xr-x 1 marina пользователи домена    0 2008-12-03 17:10 .gconfd
drwxr-xr-x 1 marina пользователи домена    0 2008-12-03 17:10 .gnome2
drwxr-xr-x 1 marina пользователи домена    0 2008-12-03 17:09 .gnome2_private
drwxr-xr-x 2 marina пользователи домена    0 2008-12-03 17:09 .gnupg
drwxr-xr-x 1 marina пользователи домена    0 2008-12-03 17:09 .gstreamer-0.10
-rwxrwSrwx 1 marina пользователи домена  280 2008-

net groupmap list
пользователи домена (S-1-5-21-893812710-613816653-2757553637-1002) -> users
Administrators (S-1-5-32-544) -> BUILTIN\administrators
Users (S-1-5-32-545) -> BUILTIN\users
администраторы домена (S-1-5-21-893812710-613816653-2757553637-1003) -> adm

все равно при запуске openoffice ругается и не работают другие приложения? Какие еще предложения

[chain]

Замечание, при создании домашней папки пользователя назначаются не верные права на папку.
В место того пользователя для кого создана папка владелец указывается другой.
Пока не нашёл в чём проблема. Но если сменить владельца на правильного то всё работает отлично.
Компиз только для двоих пользователей не работает одновременно.

это проверяли?

[AlexShap]

Замечание, при создании домашней папки пользователя назначаются не верные права на папку.
В место того пользователя для кого создана папка владелец указывается другой.
Пока не нашёл в чём проблема. Но если сменить владельца на правильного то всё работает отлично.
Компиз только для двоих пользователей не работает одновременно.

это проверяли?

Выше постом идет листинг прав на папку:

Пытаюсь зайти пользователем marina у присоединенной директории ls -la показывает такие права...

В винде владелец является marina@markiz.mz Права: пользователи домена и администраторы домена  - полные права.

Что может еще быть?

[vadim-nsk]

dir_mask=0755,fdisk=755
а с этими параметрами не пробовали менять? ну перед тем, как пользователь создастся, а потом допустим обратно их установить? я что-то запутался без логов, может их приведете ?

[AlexShap]

dir_mask=0755,fdisk=755
а с этими параметрами не пробовали менять? ну перед тем, как пользователь создастся, а потом допустим обратно их установить? я что-то запутался без логов, может их приведете ?

Не понял что имеется ввиду.... убрать эти параметры вообще? Непробовал... завтра попробую. Какой лог нужен входа (auth.log)? Так он вроде входит нормально. А при запуске openoffice я не нашел лог где бы эта ошибка писалась.

[AlexShap]

Я тут подумал может в group.conf добавить группу "пользователи домена"? Поможет ли это?

[vadim-nsk]

офис для начала из консоли запусти и что туда валится будет дай посмотреть.

[AlexShap]

офис для начала из консоли запусти и что туда валится будет дай посмотреть.

 openoffice
javaldx: Could not find a Java Runtime Environment!

это что jave права дать?

Но если локальные директории создаются, то все работает....

[AlexShap]

Проблема осталась с приложениями. У меня на сетевом ресурсе при подключении pam_mount.conf не создается директория пользователя. Приходится ее создавать вручную и довать полные права.

В винде:
Создаю папку, устанавливаю владельца marina@markiz.mz Даю полные права для пользователей домена . Расшариваю linuxusers делаю владельцем пользователи домена. Даю полные права пользователям домена.

В Ubuntu:

Создал каталог home/MARKIZ  владелей и группа root права 0777. При подключении пользователя marina все монтируется профиль создается. Но программы не работают. На что ругается опеноффис написано постом выше.  Ну киньте кто-нибудь еще идею. Пожалуйста.

[AlexShap]

Народ. Ну скажите что делаю не так. Голова уже пухнет.

[Flegel]

Что не так с pam&winbind ? Никак не авторизоваться доменным юзерам 
Конфиги PAM один в один с How-to

testparm

[global]
        dos charset = CP1251
        unix charset = utf8
        display charset = CP1251
        workgroup = COMITA
        realm = COMITA.LAN
        server string = %h server
        security = ADS
        auth methods = winbind
        obey pam restrictions = Yes
        password server = top1.comita.lan, top2.comita.lan
        passdb backend = tdbsam
        passwd program = /usr/bin/passwd %u
        passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* .
        syslog = 0
        log file = /var/log/samba/log.%m
        max log size = 1000
        load printers = No
        dns proxy = No
        panic action = /usr/share/samba/panic-action %d
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        winbind separator = +
        winbind enum users = Yes
        winbind enum groups = Yes
        invalid users = root

[virtual]

        comment = share
        path = /share
        read only = No
        create mask = 0770
        directory mask = 0770
        inherit permissions = Yes
        inherit acls = Yes

krb5.conf

[libdefaults]
     
   default_realm = COMITA.LAN
        krb4_config = /etc/krb.conf
        krb4_realms = /etc/krb.realms
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
[realms]
        COMITA.LAN = {
                kdc = top1.comita.lan
                kdc = top2.comita.lan
                admin_server = top1.comita.lan
                default_domain = comita.lan
        }

[domain_realm]
        .comita.lan = COMITA.LAN
        comita.lan = COMITA.LAN
[login]
        krb4_convert = true
        krb4_get_tickets = false

nsswitch.conf

passwd:         compat winbind
group:          compat winbind
shadow:         compat
hosts:          files dns
networks:       files dns
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
netgroup:       files winbind

Логи PAM

ubad-pam gdm[5130]: pam_unix(gdm:auth): check pass; user unknown
ubad-pam gdm[5130]: pam_unix(gdm:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost=
ubad-pam gdm[5130]: pam_winbind(gdm:auth): [pamh: 0x93e7410] ENTER: pam_sm_authenticate (flags: 0x0000)
ubad-pam gdm[5130]: pam_winbind(gdm:auth): getting password (0x00000191)
ubad-pam gdm[5130]: pam_winbind(gdm:auth): pam_get_item returned a password
ubad-pam gdm[5130]: pam_winbind(gdm:auth): Verify user 'ubtest'
ubad-pam gdm[5130]: pam_winbind(gdm:auth): PAM config: krb5_ccache_type 'FILE'
ubad-pam gdm[5130]: pam_winbind(gdm:auth): [pamh: 0x93e7410] LEAVE: pam_sm_authenticate returning 10

                           

[chain]

а ты по какоуму хауту настраивал? зачем конфиги кербероса?

[Flegel]

По how-to Исаева Романа.

Выдержка из how-to

# /etc/pam.d/common-auth - authentication settings common to all services
auth    required        pam_mount.so
auth    optional        pam_group.so
auth    sufficient      pam_unix.so nullok_secure  use_first_pass
auth    sufficient      pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE debug
auth    required        pam_deny.so

Как без Kerberos ?

Ну снёс я его...толку ноль.

Dec 18 14:33:54 ubad-pam gdm[5130]: pam_unix(gdm:auth): check pass; user unknown
Dec 18 14:33:54 ubad-pam gdm[5130]: pam_unix(gdm:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost=
Dec 18 14:33:54 ubad-pam gdm[5130]: pam_winbind(gdm:auth): [pamh: 0x93ff838] ENTER: pam_sm_authenticate (flags: 0x0000)
Dec 18 14:33:54 ubad-pam gdm[5130]: pam_winbind(gdm:auth): getting password (0x00000191)
Dec 18 14:33:54 ubad-pam gdm[5130]: pam_winbind(gdm:auth): pam_get_item returned a password
Dec 18 14:33:54 ubad-pam gdm[5130]: pam_winbind(gdm:auth): Verify user 'ubad'
Dec 18 14:33:54 ubad-pam gdm[5130]: pam_winbind(gdm:auth): PAM config: krb5_ccache_type 'FILE'
Dec 18 14:33:54 ubad-pam gdm[5130]: pam_winbind(gdm:auth): [pamh: 0x93ff838] LEAVE: pam_sm_authenticate returning 10

[chain]

директории пользователей монтируешь с сетевого ресурса? или они локальные?

[Flegel]

директории пользователей монтируешь с сетевого ресурса? или они локальные?

Локальные. Хочу чтобы при каждом логоне нового пользователя домена директории пользователей создавались на компьютере локально

Делал и как в how-to

/etc/pam.d/gdm
#%PAM-1.0
auth    requisite       pam_nologin.so
auth    required        pam_env.so

@include common-auth
@include common-account
session required        pam_limits.so
@include common-session
#session required       pam_mount.so use_first_pass
@include common-pammount

#строка нужна для создания
#домашней папки после монтирования шары !!! создать папку в сетевой шаре до монтирования #не выйдет будет ошибка.
session required        pam_mkhomedir.so umask=0022 skel=/etc/skel
@include common-password

Строку коментил, раскомментировал...никакой реакции. Pam ведь сразу новую конфу подхватывает ?
Покажи свои конфиги pam и samba, может пригодятся