HOWTO: Active Directory Member Workstation- (Версия Исаева Романа А.)

[Michail1958]

Со звуком разобрался.....Всё как написано  в описании

[chain]

доброго всем...спасибо за HOW-TO, все достаточно доходчиво изложено, не сразу, но получилось ввести комп в домен и авторизоваться  доменной учеткой.
но есть пара вопросов
  1. что нужно добавить и где, чтобы входить с данными доменной учетки вне локальной сети(Ubuntu стоит на ноуте)
  2. попытался создать локального юзера(правда не с консоли, а чере GUI) и войти под ним(машина не в сети) - вылезает NO LOGON SERVER

ай нид хелп...

1. вот тут я писал, как разрешить оффлайн логон
2. а под юзером, под которым установку ubuntu делал. можешь входить?

[fatrogue]

1. вот тут я писал, как разрешить оффлайн логон

да, я помню, что где-то читал про оффлайн логон, но сразу не смог найти где...щас нашел в ветке с первым HOW-TO

2. а под юзером, под которым установку ubuntu делал. можешь входить?

да, под ним вхожу без проблем

[chain]

упс, что писал упомянул, а ссылку не кинул) да, в первом howto
по 2 , я так думаю можно под рабочим локальным пользователем войти и создать нового локального нормально
и посмотри у тебя uid какой при создании получается

[fatrogue]

не вышло у меня с оффлайн логином - после изменения smb.conf(добавил winbind offline logon = yes) и common-auth
(изменена строка auth required pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login use_first_pass), вообще не смог зайти под доменным пользователем, только под  локальным.

по 2 , я так думаю можно под рабочим локальным пользователем войти и создать нового локального нормально
и посмотри у тебя uid какой при создании получается

так и делал, создавал под рабочим локальным пользователем(uid 1002)...
какие логи выложить или конфиги, может я чего-то накосячил? хотя не должен был - копировал все из how-to один в один...

[samoqle]

Вот что получается после всех манипуляций

Код: [Выделить]

root@Ubuntu1:~# net ads join –U Administrator
[2008/02/27 13:57:26, 0] utils/net_ads.c:ads_startup_int(286)
  ads_connect: No logon servers
Failed to join domain: No logon servers
root@Ubuntu1:~# wbinfo -u
Error looking up domain users
root@Ubuntu1:~# wbinfo -g
Error looking up domain groups
root@Ubuntu1:~#


Пропиcываем полное FQDN для настраиваемой машины workstation
   
# mcedit /etc/hosts
      127.0.0.1   workstation.domain.ru localhost workstation

Поясните пожалуйста что обозначает "FQDN для настраиваемой машины workstation" и что конкретно надо прописать в хостс, вот что прописано у меня

Код: [Выделить]

127.0.0.1 ubuntu1.vpm.local.ru localhost ubuntu1
И как узнать полное имя домена и не полное, совсем недогоняю ? На сервере (вин 2000) в администрировании => актив директори, домен обозначен как "vpm.local" , а при заходе в сеть домен назввается просто "vpm".
У меня в самбе:

Код: [Выделить]

workgroup = VPM
realm = VPM.LOCAL.RU

Код: [Выделить]

# если стоит * то samba сама будет искать домен контроллер через dc, или же можно перечислить их IP адреса через пробел в явном виде. Или указать один #IP для того dc на котором хотите авторизоваться. Для отказоустойчивости лучше указать несколько dc или *
   password server = *пытался ставить просто айпи сервера (т.к. он всего один), тоже не получается, помогите..

[fatrogue]

И как узнать полное имя домена и не полное, совсем недогоняю Embarrassed? На сервере (вин 2000) в администрировании => актив директори, домен обозначен как "vpm.local" , а при заходе в сеть домен назввается просто "vpm".

в самбе должно быть

workgroup = VPM
realm = VPM.LOCAL

соответственно и FQDN должен быть без всяких ".ru"

[chain]

не вышло у меня с оффлайн логином - после изменения smb.conf(добавил winbind offline logon = yes) и common-auth
(изменена строка auth required pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login use_first_pass), вообще не смог зайти под доменным пользователем, только под  локальным.

по 2 , я так думаю можно под рабочим локальным пользователем войти и создать нового локального нормально
и посмотри у тебя uid какой при создании получается

так и делал, создавал под рабочим локальным пользователем(uid 1002)...
какие логи выложить или конфиги, может я чего-то накосячил? хотя не должен был - копировал все из how-to один в один...

я так по памяти не соображу, главное на работе завтра не забыть, я погляжу как полностью выглядит с оффлайн логоном, у меня все работает, если сетку выдернуть, то логинится с предупреждением, что используется кэшированная информация, но сервер в данный момент не доступен

а по ID я имел ввиду того юзера, которого создаешь, посмотри, что ему присваивается

[fatrogue]

вечером перебил еще раз smb.conf и common-auth, и смог зайти без сети(с предупреждением, как ты и написал).
а щас опять не хочет...непонятно

[chain]

угу.. странно, а скрипт с рестартом winbind используешь?

[Slayeruga]

Здравствуйте.
1. Имееться выделенный Windows 2003 server, на котором крутиться AD, DNS
2. 200+ машин (Windows XP & Windows 2000), авторизующихся в домене
3. 1 машинка Ubuntu 7.10

Получил от админа задание ввести линуксовую машинку в домен. Пурхаюсь уже 2 недели.
У меня есть права "Администратор домена", т.е. я виндовые машинки втыкаю в домен без проблем.

Машинку ввел в домен без проблем. По сети на линуксовые шары доменные пользователи заходят без пароля. Время с DC синхронизируеться без проблем. Зарегистрироваться на линусксовой машинке локльным пользователем тоже могу без проблем. Команда wbinfo показывает пользователей и группы домена. По ssh на машинку хожу как под локальным админом, так и под доменным (sudo у доменного админа тоже проходит нормально - прописал его в /etc/sudoers).
Но при графической регистрации любого доменного пользователя пароль принимаеться и через несколько секунд вываливается такая ошибка:

"Ваш сеанс продолжался менее 10 секунд .... бла бла... смотрите файл /.xsession-errors"

Смотрю этот файл в домашней папке доменного пользователя (домашняя папка находиться не на сервере, а локально) и вижу такое:

"(process:6736): Gtk-WARNING **: This process is currently running setuid or setgid.
This is not a supported use of GTK+. You must create a helper
program instead. For further details, see:

    http://www.gtk.org/setuid.html

Refusing to initialize GTK+.

(process:6740): Gtk-WARNING **: This process is currently running setuid or setgid.
This is not a supported use of GTK+. You must create a helper
program instead. For further details, see:

    http://www.gtk.org/setuid.html

Refusing to initialize GTK+.
/etc/gdm/Xsession: Beginning session setup...
Setting IM through im-switch for locale=ru_RU.
Start IM through /etc/X11/xinit/xinput.d/all_ALL linked to /etc/X11/xinit/xinput.d/default.

(process:6733): GLib-WARNING **: getpwuid_r(): failed due to unknown user id (10000)

(gconf-sanity-check-2:6773): GLib-WARNING **: getpwuid_r(): failed due to unknown user id (10000)
SESSION_MANAGER=local/13-pc063:/tmp/.ICE-unix/6733

(process:6774): GLib-WARNING **: getpwuid_r(): failed due to unknown user id (10000)
Could not get password database information for UID of current process: User "" unknown or no memory to allocate password entry

Failed to start message bus: Memory allocation failure in message bus
dbus-daemon exited unexpectedly

** ERROR **: file gsm-dbus.c: line 118 (gsm_dbus_daemon_start): assertion failed: (dbus_daemon_pid != 0)
aborting...  "

Из этого следует что линукс не может определиться пользователя и выделить ему место для сохранения пароля, хотя пароль подходит по ssh.

Далее захожу под локальным админом, открываю терминал и пишу su shulakov     (shulakov - доменная учетка админа), ввожу пароль и выдает мне следующее:

"user@13-pc063:~$ su shulakov
password:
id: невозможно определить имя группы для ID 10004
id: невозможно определить имя группы для ID 10000
id: невозможно определить имя группы для ID 10001
id: невозможно определить имя группы для ID 10002
id: невозможно определить имя группы для ID 10003
id: невозможно определить имя группы для ID 10005
id: невозможно определить имя группы для ID 10006
id: невозможно определить имя группы для ID 10007
id: невозможно определить имя группы для ID 10008
bash: /home/UPP/shulakov/.bashrc: Permission denied
У меня нет имени!@13-pc063:/home/user$

и после этого в терминале все запускается норм, даже через sudo.
Права на .bashrc выставлял разные, даже 777. Владелец этого файла также являеться "shulakov".

команда getent passwd и getent group тоже отрабатывают нормально, показывая линуксовых пользователей и группы, а также доменных пользователей и группы.

Права уже на домашнюю папку смотрел, владельцем является тоже shulakov
на команду id по этим же пользователем выдает следующее:

uid=10000 gid=10004 группы=4(adm),108(lpadmin),10000,10001,10002,10003,10004,10005,10006,10007,10008

по команде getent group доменный админ shulakov состоит во всех выше перечисленных группах.

Уже не знаю где копать.  Вот конфиги

smb.conf

[Slayeruga]

smb.conf

[global]
unix charset = UTF-8
dos charset = CP866
display charset = UTF-8
Workgroup = Upp
server string = DIR
dns proxy = no
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
security = ads
password server = 192.168.40.12
realm = UPP.LOCAL
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
invalid users = root shulakov
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
idmap uid = 10001-20000
idmap gid = 10001-20000
template shell = /bin/bash
winbind enum groups = yes
winbind enum users = yes
template homedir = /home/%D/%U
client use spnego = yes
winbind use default domain = yes
winbind refresh tickets = yes
restrict anonymous = 2
domain master = no
local master = no
preferred master = no
os level = 0

[OBMEN]
valid users = @"UPP\Администраторы домена"
writable = yes
path = /home/obmen
browseable = yes
------------------------------------
common-account

#
# /etc/pam.d/common-account - authorization settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authorization modules that define
# the central access policy for use on the system.  The default is to
# only deny service to users whose accounts are expired in /etc/shadow.
#
#
#account required   pam_access.so

account   sufficient   pam_winbind.so
account   required   pam_unix.so
-------------------------------------------------
common-auth

auth   required   pam_mount.so
auth   optional   pam_group.so
auth   sufficient   pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE debug
auth   sufficient   pam_unix.so nullok_secure use_first_pass
auth   required   pam_deny.so
-----------------------------------
common-password

password   sufficient   pam_unix.so nullok obscure md5
password   sufficient   pam_winbind.so
----------------------------------
common-session

session   required   pam_winbind.so
session   required   pam_unix.so
session required   pam_mkhomedir.so umask=0022 skel=/etc/skel
session optional   pam_foreground.so
----------------------------------
gdm

#%PAM-1.0
auth    requisite       pam_nologin.so
auth    required        pam_env.so
@include common-auth
@include common-account
session   required   pam_limits.so
@include common-session
#session   required   pam_mount.so use_first_pass
#@include common-pammount
#session   required   pam_mkhomedir.so umask=0022 skel=/etc/skel
@include common-password
------------------------------------------
group.conf

*;*;*;Wk0900-2200;adm,lpadmin
*;*;user,shulakov,;Al0000-2400;adm,cdrom,plugdev,admin,dip,video,netdev,lpadmin,powerdev
-----------------------------------------

Не просидел бы >2 недель, не стал бы сдесь отписываться. Сидел до последнего, но тут ступор..
Гляньте плз..

[Slayeruga]

траблу с   "bash: /home/UPP/shulakov/.bashrc: Permission denied" решил снеся локальную домашнюю папку пользователя.

Но это осталось:
id: невозможно определить имя группы для ID 10004
id: невозможно определить имя группы для ID 10000
id: невозможно определить имя группы для ID 10001
id: невозможно определить имя группы для ID 10002
id: невозможно определить имя группы для ID 10003
id: невозможно определить имя группы для ID 10005
id: невозможно определить имя группы для ID 10006
id: невозможно определить имя группы для ID 10007
id: невозможно определить имя группы для ID 10008

[fatrogue]

угу.. странно, а скрипт с рестартом winbind используешь?

да, использую

[zhenyok]

Если ты хочешь иметь дело с 7.04 там есть свои моменты.
У меня 7.04 работает тоже без кербероса. на winbind одном.

Разобрался, и правда дело было не в керберосе, а в файле nsswitch.conf
Итак поставил я систему заново, ввожу в домен, получаю это:

Код: [Выделить]

root@dd:~# net ads join -U ivanov_ii@LAN.LOCAL
ivanov_ii@LAN.LOCAL's password:
[2008/02/27 15:21:37, 0] libads/kerberos.c:ads_kinit_password(208)
  kerberos_kinit_password ivanov_ii@LAN.LOCAL failed: Cannot resolve network address for KDC in requested realm
[2008/02/27 15:21:37, 0] utils/net_ads.c:ads_startup(289)
  ads_connect: Cannot resolve network address for KDC in requested realmОткрываю файл nsswitch.conf и прописываю вместо hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4    -    hosts: files dns
И комп в домене:

Код: [Выделить]

root@dd:~# net ads join -U ivanov_ii@LAN.LOCAL
ivanov_ii@LAN.LOCAL's password:
Using short domain name -- LAN
Joined 'DD' to realm 'LAN.LOCAL'То есть получается что в 7.04 файл nsswitch.conf надо редактировать до ввода компа в домен?

Далее следую в точности по howto, перезагружаюсь, пробую войти под доменным пользователем и получаю вот такое сообщение:

Ваш сеанс продолжался менее 10 секунд. Если Вы не завершили сеанс сами, это может означать, что существует проблема в установке или что не хватает дискового пространства. Попробуйте войти в один из сеансов защиты от сбоев, чтобы определить, как исправить эту проблему.

Просмотреть подробности (файл ~/.xsession-errors)

Оказалось что проблема опять в злополучном nsswitch.conf. Заменил netgroup: files winbind на netgroup: nis, как и было по умолчанию, и нормально вхожу под любым доменным пользователем.
Потом решил я удостоверится в правильности моих выводов и опять поменял на netgroup: files winbind. Убедился что верно. Ставлю опять netgroup: nis, вхожу под доменным пользователем и... не тут-то было — опять вылетело окно "Ваш сеанс продолжался менее 10 секунд..."
Поставил runtu 2.0(ubuntu 7.10) и повторил туже самую операцию. Эффект тот же. Почему не получается войти при обратном откате на netgroup: nis?