HOWTO: Active Directory Member Workstation- (Версия Исаева Романа А.)

[chain]

здесь посмотри, немного поменялось на 8 версии, но суть та же
завтра с работы напишу

[Flegel]

здесь посмотри, немного поменялось на 8 версии, но суть та же
завтра с работы напишу

Спасибо. Разобрался с авторизацией, точнее так и не понял в чём была проблема. Бился, бился - в итоге после перезагрузки и последующего рестарта winbind заработала авторизация доменных юзеров на ubuntu.
Теперь проблем в слудующем - Видит сеть, но при открывании любого компа шара не отображается. В чём может быть косяк ?

[chain]

это баг
попробуй pyneighborhood вместо самбашаре

[Flegel]

это баг
попробуй pyneighborhood вместо самбашаре

cli_rpc_pipe_open: cli_nt_create failed on pipe \srvsvc to machine STORE.  Error was NT_STATUS_ACCESS_DENIED
Видимо не баг самбы...

[chain]

на форуме есть ветка про этот баг, и есть ссылка на ланчпад, где можно патчи взять и собрать свой вариант
а пинейборхудом с CIFS я пользуюсь, потому что быстро и удобно

[Flegel]

на форуме есть ветка про этот баг, и есть ссылка на ланчпад, где можно патчи взять и собрать свой вариант
а пинейборхудом с CIFS я пользуюсь, потому что быстро и удобно

Нашёл ветку об этом баге. Поставил gnome-commander - из него все шары видны, НО требует авторизации. Керберос настроен, тикет получен...
Ничего не понимаю.

[chain]

я в гном коммандере не копался, но видимо он не поддерживает сквозную авторизацию

[Flegel]

я в гном коммандере не копался, но видимо он не поддерживает сквозную авторизацию

Оказалось дело не в гноме, а в получении kerberos ticket и его сохранении. В инете на каждом шагу орут,что не отображается шара в Nautilus,не работает сквозная авторизация и т.д. Дело как я понял исключительно в механизме Kerberos
Привожу свой рабочий конфиг pam
/etc/pam.d/common-auth
auth    sufficient      pam_krb5.so ccache=/tmp/krb5cc_%u # Принудительно указываем,что тикет необходимо получить до входа в домен ! Поэтому строка на 1-м месте в конфиге.
auth    sufficient      pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE debug
auth    required        pam_mount.so debug
auth    optional        pam_group.so
auth    sufficient      pam_unix.so nullok_secure  use_first_pass
auth    required        pam_deny.so debug

Об этом уже было упомянуто тут https://forum.ubuntu.ru/index.php?topic=4776.120 , но для версии 7.04. Мною проверено на 8.04 и 8.10.
После этих манипуляций тикет получается автоматичеки, можно сёрфить по сетке без дополнительной авторизации,причём абсолютно не важно через что сёрфить - Nautilus, Gnome-commander и т.д.
p.s. Хочется сказать БОЛЬШОЕ спасибо Исаеву Роману за How-to !  Хоть я и протрахался с Kerberos, зато теперь всё в ажуре!

[man123]

Добрый день
ubuntu 8.04 сделал все по инструкции.
комп подключился к домену, пользователи домена авторизируются
вопрос, как доменному пользователю дать доступ через меню Система>Администрирование к Synaptic
через настройки главного меню выставляю галочку но она тут же исчезает,

[Heroin]

пользуюсь больше полугода убунтой в домене вин, и теперь назрел вопрос, каким образом можно управлять пользователем на Ubuntu?
т.е назначит права это возможно?
как на вин т.е пользователь может то то
администратор то то
в Ubuntu можно это или просто сам смысл войти в Ubuntu под учеткой 2003?

[Flegel]

Хех
Всё...сдаюсь. Достала Samba, Kerberos и вся эта бодяга. Отработал на 2-х виртуалках (8.04 и 8.10) - всё работает отлично
Стал ковырять на рабочей машинке - конфиги 1 в 1, версии, пакеты.
Завёл машину в домен, wbinfo отрабатывает, ticket получил...и бац - доменный юзер не хочет авторизовыватся на ubuntu машине. 

Лог pam-a

Dec 25 17:02:52 utp6 sshd[6186]: User testub from grig.comita.lan not allowed because none of user's groups are listed in AllowGroups
Dec 25 17:02:52 utp6 sshd[6186]: Failed none for invalid user testub from 192.168.165.105 port 3144 ssh2
Dec 25 17:02:52 utp6 sshd[6186]: pam_winbind(sshd:auth): [pamh: 0xb7fcd2a0] ENTER: pam_sm_authenticate (flags: 0x0001)
Dec 25 17:02:52 utp6 sshd[6186]: pam_winbind(sshd:auth): getting password (0x00000191)
Dec 25 17:02:52 utp6 sshd[6186]: pam_winbind(sshd:auth): pam_get_item returned a password
Dec 25 17:02:52 utp6 sshd[6186]: pam_winbind(sshd:auth): Verify user 'testub'
Dec 25 17:02:52 utp6 sshd[6186]: pam_winbind(sshd:auth): PAM config: krb5_ccache_type 'FILE'
Dec 25 17:02:52 utp6 sshd[6186]: pam_winbind(sshd:auth): enabling krb5 login flag
Dec 25 17:02:52 utp6 sshd[6186]: pam_winbind(sshd:auth): enabling request for a FILE krb5 ccache
Dec 25 17:02:52 utp6 sshd[6186]: pam_winbind(sshd:auth): request failed: Logon failure, PAM error was Authentication failure (7), NT error was NT_STATUS_LOGON_FAILURE
Dec 25 17:02:52 utp6 sshd[6186]: pam_winbind(sshd:auth): user 'testub' denied access (incorrect password or invalid membership)
Dec 25 17:02:52 utp6 sshd[6186]: pam_winbind(sshd:auth): [pamh: 0xb7fcd2a0] LEAVE: pam_sm_authenticate returning 7
Dec 25 17:02:52 utp6 sshd[6186]: pam_mount(pam_mount.c:100) bad pam_mount option
Dec 25 17:02:52 utp6 sshd[6186]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=grig.comita.lan  user=testub
Dec 25 17:02:54 utp6 sshd[6186]: Failed password for invalid user testub from 192.168.165.105 port 3144 ssh2

Особенно интересно,что за bad pam_mount option ?

[Flegel]

Help-аните кто-нибудь, может у кого головая свежая в пятницу вечер 
Всё никак не поправить логон доменных пользователей AD, на Ubuntu PC через winbind. Достали уже эксперименты...
Домучал Samba до того,что авторизует ТОЛЬКО группу доменных админов,всех остальных отказывается. Где чего надо в Samba подвинтить ?

Когда логин доменным пользователем:

Dec 26 16:28:05 utp6 sshd[6467]: User testub from grig.comita.lan not allowed because none of user's groups are listed in AllowGroups
Dec 26 16:28:05 utp6 sshd[6467]: Failed none for invalid user testub from 192.168.165.105 port 1041 ssh2
Dec 26 16:28:05 utp6 sshd[6467]: (pam_krb5): none: pam_sm_authenticate: entry (0x1)
Dec 26 16:28:05 utp6 sshd[6467]: (pam_krb5): testub: attempting authentication as testub@COMITA.LAN
Dec 26 16:28:05 utp6 sshd[6467]: (pam_krb5): testub: krb5_get_init_creds_password: Preauthentication failed
Dec 26 16:28:05 utp6 sshd[6467]: (pam_krb5): testub: pam_sm_authenticate: exit (failure)
Dec 26 16:28:05 utp6 sshd[6467]: pam_winbind(sshd:auth): [pamh: 0xb800c2a0] ENTER: pam_sm_authenticate (flags: 0x0001)
Dec 26 16:28:05 utp6 sshd[6467]: pam_winbind(sshd:auth): getting password (0x00000191)
Dec 26 16:28:05 utp6 sshd[6467]: pam_winbind(sshd:auth): pam_get_item returned a password
Dec 26 16:28:05 utp6 sshd[6467]: pam_winbind(sshd:auth): Verify user 'testub'
Dec 26 16:28:05 utp6 sshd[6467]: pam_winbind(sshd:auth): PAM config: krb5_ccache_type 'FILE'
Dec 26 16:28:05 utp6 sshd[6467]: pam_winbind(sshd:auth): enabling krb5 login flag
Dec 26 16:28:05 utp6 sshd[6467]: pam_winbind(sshd:auth): enabling request for a FILE krb5 ccache
Dec 26 16:28:05 utp6 sshd[6467]: pam_winbind(sshd:auth): request failed: Logon failure, PAM error was Authentication failure (7), NT error was NT_STATUS_LOGON_FAILURE
Dec 26 16:28:05 utp6 sshd[6467]: pam_winbind(sshd:auth): user 'testub' denied access (incorrect password or invalid membership)
Dec 26 16:28:05 utp6 sshd[6467]: pam_winbind(sshd:auth): [pamh: 0xb800c2a0] LEAVE: pam_sm_authenticate returning 7
Dec 26 16:28:05 utp6 sshd[6467]: pam_mount(pam_mount.c:100) bad pam_mount option
Dec 26 16:28:05 utp6 sshd[6467]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=grig.comita.lan  user=testub
Dec 26 16:28:07 utp6 sshd[6467]: Failed password for invalid user testub from 192.168.165.105 port 1041 ssh2

Когда админом:

Dec 26 15:20:08 utp6 sshd[6113]: (pam_krb5): none: pam_sm_authenticate: entry (0x1)
Dec 26 15:20:08 utp6 sshd[6113]: (pam_krb5): grigoryn: attempting authentication as grigoryn@COMITA.LAN
Dec 26 15:20:08 utp6 sshd[6113]: (pam_krb5): grigoryn: pam_sm_authenticate: exit (success)
Dec 26 15:20:08 utp6 sshd[6113]: pam_winbind(sshd:account): [pamh: 0xb7f3a190] ENTER: pam_sm_acct_mgmt (flags: 0x0000)
Dec 26 15:20:08 utp6 sshd[6113]: pam_winbind(sshd:account): user 'grigoryn' OK
Dec 26 15:20:08 utp6 sshd[6113]: pam_winbind(sshd:account): user 'grigoryn' granted access
Dec 26 15:20:08 utp6 sshd[6113]: pam_winbind(sshd:account): [pamh: 0xb7f3a190] LEAVE: pam_sm_acct_mgmt returning 0
Dec 26 15:20:08 utp6 sshd[6113]: Accepted password for grigoryn from 192.168.165.105 port 2397 ssh2
Dec 26 15:20:08 utp6 sshd[6115]: pam_winbind(sshd:session): [pamh: 0xb7f3a190] ENTER: pam_sm_open_session (flags: 0x0000)
Dec 26 15:20:08 utp6 sshd[6115]: pam_winbind(sshd:session): [pamh: 0xb7f3a190] LEAVE: pam_sm_open_session returning 0
Dec 26 15:20:08 utp6 sshd[6115]: pam_unix(sshd:session): session opened for user grigoryn by (uid=0)
Dec 26 15:20:08 utp6 sshd[6115]: (pam_krb5): grigoryn: pam_sm_setcred: entry (0x2)
Dec 26 15:20:08 utp6 sshd[6115]: (pam_krb5): grigoryn: initializing ticket cache /tmp/krb5cc_13625
Dec 26 15:20:08 utp6 sshd[6115]: (pam_krb5): grigoryn: pam_sm_setcred: exit (success)
Dec 26 15:21:14 utp6 sshd[6115]: (pam_krb5): grigoryn: pam_sm_setcred: entry (0x4)
Dec 26 15:21:14 utp6 sshd[6115]: (pam_krb5): none: pam_sm_setcred: exit (success)
Dec 26 15:21:14 utp6 sshd[6115]: pam_unix(sshd:session): session closed for user grigoryn

[MorBiD]

Здравствуйте.
Имею проблему следующего содержания:

при процессе подключения машини с Ubuntu 8.10 к домену на w2k3, следуя пунктам howto возникли сложности уже в самом начале. а именно: при попытке установки samba ( sudo apt-get install samba smbfs winbind libpam-mount ) получаю вот такой вот результат:

Код: [Выделить]

root@wks1133:~$ apt-get install samba smbfs winbind libpam-mount[sudo] password for dmikhaylichenko:
Чтение списков пакетов... Готово
Построение дерева зависимостей       
Чтение информации о состоянии... Готово
Пакет samba недоступен, но упомянут в списке зависимостей другого пакета.
Это может означать, что пакет отсутствует, устарел, или доступен из источников, не упомянутых в sources.list
Однако следующие пакеты могут его заменить:
  smbclient samba-common
E: Для пакета samba не найдены кандидаты на установку

Код: [Выделить]

root@wks1133:~$ apt-get install smbclient samba-common
Чтение списков пакетов... Готово
Построение дерева зависимостей       
Чтение информации о состоянии... Готово
Уже установлена самая новая версия smbclient.
Уже установлена самая новая версия samba-common.
обновлено 0, установлено 0 новых пакетов, для удаления отмечено 0 пакетов, и 0 пакетов не обновлено.

Откуда мне его взять? Потому что без этого все дальнеёшее согласно howto просто не работает.

Код: [Выделить]

root@wks1133:~$ testparm
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
ERROR: lock directory /var/run/samba does not exist
ERROR: pid directory /var/run/samba does not exist
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

Диск с образом есть. До тех пор пока не подключусь к домену - интернета не будет легко доступного, т.е. все что Ubuntu хочет скачать она не сможет сделать это сама.

Подскажите пожалуйста как я могу решить данную проблему.

[chain]

а все репозитории подключены?

[joakim]

Мое почтение, господа. Сделал всё, согласно How2. Всё прошло нормально, тикет получает, информацию о любом пользователе AD выдает. Но при попытке входа в систему под доменным пользователем GDM, после ввода правильного имени и пароля сообщает, что типа "системный администратор заблокировал ваш аккаунт". Реально аккаунт не заблокирован в AD. Так происходит с любым пользователем. В .xsession-errors
gdm[6539]: WARNING: session_child_run: User not allowed to log in
В auth.log

Код: [Выделить]

Jan 23 11:43:20 testtable gdm[4780]: pam_unix(gdm:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost=  user=смолякова
Jan 23 11:43:20 testtable gdm[4780]: pam_winbind(gdm:auth): [pamh: 0x84b5d28] ENTER: pam_sm_authenticate (flags: 0x0000)
Jan 23 11:43:20 testtable gdm[4780]: pam_winbind(gdm:auth): getting password (0x00000191)
Jan 23 11:43:20 testtable gdm[4780]: pam_winbind(gdm:auth): pam_get_item returned a password
Jan 23 11:43:20 testtable gdm[4780]: pam_winbind(gdm:auth): Verify user 'смолякова'
Jan 23 11:43:20 testtable gdm[4780]: pam_winbind(gdm:auth): PAM config: krb5_ccache_type 'FILE'
Jan 23 11:43:20 testtable gdm[4780]: pam_winbind(gdm:auth): enabling krb5 login flag
Jan 23 11:43:20 testtable gdm[4780]: pam_winbind(gdm:auth): enabling request for a FILE krb5 ccache
Jan 23 11:43:20 testtable gdm[4780]: pam_winbind(gdm:auth): user 'смолякова' granted access
Jan 23 11:43:20 testtable gdm[4780]: pam_winbind(gdm:auth): request returned KRB5CCNAME: FILE:/tmp/krb5cc_10027
Jan 23 11:43:20 testtable gdm[4780]: pam_winbind(gdm:auth): Returned user was 'смолякова'
Jan 23 11:43:20 testtable gdm[4780]: pam_winbind(gdm:auth): [pamh: 0x84b5d28] LEAVE: pam_sm_authenticate returning 0
Jan 23 11:43:21 testtable gdm[4780]: pam_winbind(gdm:account): user 'смолякова' OK
Jan 23 11:43:21 testtable gdm[4780]: pam_winbind(gdm:account): user 'смолякова' granted access
Jan 23 11:43:21 testtable gdm[4780]: pam_winbind(gdm:setcred): [pamh: 0x84b5d28] ENTER: pam_sm_setcred (flags: 0x0002)
Jan 23 11:43:21 testtable gdm[4780]: pam_winbind(gdm:setcred): PAM_ESTABLISH_CRED not implemented
Jan 23 11:43:21 testtable gdm[4780]: pam_winbind(gdm:setcred): [pamh: 0x84b5d28] LEAVE: pam_sm_setcred returning 0
Jan 23 11:43:21 testtable gdm[4780]: pam_unix(gdm:session): session opened for user смолякова by (uid=0)
Jan 23 11:43:25 testtable gdm[4780]: pam_unix(gdm:session): session closed for user смолякова
Jan 23 11:43:25 testtable gdm[4780]: pam_winbind(gdm:setcred): [pamh: 0x84b5d28] ENTER: pam_sm_setcred (flags: 0x0004)
Jan 23 11:43:25 testtable gdm[4780]: pam_winbind(gdm:setcred): [pamh: 0x84b5d28] ENTER: pam_sm_close_session (flags: 0x0004)
Jan 23 11:43:25 testtable gdm[4780]: pam_winbind(gdm:setcred): username [смолякова] obtained
Jan 23 11:43:25 testtable gdm[4780]: pam_winbind(gdm:setcred): user 'смолякова' OK
Jan 23 11:43:25 testtable gdm[4780]: pam_winbind(gdm:setcred): [pamh: 0x84b5d28] LEAVE: pam_sm_close_session returning 0
Jan 23 11:43:25 testtable gdm[4780]: pam_winbind(gdm:setcred): [pamh: 0x84b5d28] LEAVE: pam_sm_setcred returning 0