HOWTO: Active Directory Member Server|Workstation (Ubuntu Based)

[Alex_ustasu]

всем спасибо! я разобрался. машина в домене

[naked.and.dead]

Хочу поделиться своим конфигом  для авторизации. Он поможет решить некоторые проблемы заодно хорошо бы поправить шапку.
Конфигурация спрашивает пароль только один раз и умеет автомонтировать homedir c сети на /home/$USER
К сожалению шапка далека от совершенства по части авторизации точно. А грабли с PAM  бьют очень больно. Тему надо осветить.

думаю никто против не будет Выкладывай конфиги.

[v0v04ka]

Хм... что-то 2 грабли пока нашел...
вроде всё кербеос работает, в домен ввел, пользователей/группы получил и, вообще, делал всё по инструкции, но!
по ssh админ домена, после ввода ограничений не заходит... и на шару на свежевведенном в домен сервере я зайти с винды не могу - просит пароль (хотя вроде и 2000 Windows и все сделал по инструкции) :idiot2, может конечно дело в русском названии групп домена, но в примерах тут где-то я видел такое, значит должно работать><

[redmol]

Всем привет!
Все сделал по данной статье: пользователи входят в домен и в систему, кербер выдает билет, все классно только
1. Если попробовать войти в расшаренные папки Windows компьютера, он просит постоянно пароль(если ввести пароль то он заходит).
2.Не могу попасть на ubuntu компьютера с Windows компа, также требует пароль, ввод пароля не помогает не пускает.
Система Ubuntu 7.04
Лазию по сети Windows с помощью Nautilus 2.18.1 

И вообще так можно???

[shared]
          valid users =  @"DOMAIN\Domain Users"
         

Заранее благодарен.

[naked.and.dead]

И вообще так можно???

[shared]
          valid users =  @"DOMAIN\Domain Users"

у меня именно так стоит, всё работает. username map случайно не указан?
         

[redmol]

naked.and.dead да теперь все domain users могут ходить в ubuntu, а ubuntu не может. Вторая проблема так и осталась, связанно ли это с тем, что я хожу с помощью Nautilus 2.18.1? ?

[global]
   workgroup = MYDOMAIN
   password server = 192.168.0.1
   realm = MYDOMAIN.RU
   server string = Ubuntu
;   wins support = no
;   wins server = w.x.y.z
   dns proxy = no
;   name resolve order = lmhosts host wins bcast
;   interfaces = 127.0.0.0/8 eth0
;   bind interfaces only = true
   log file = /var/log/samba/log.%m
   max log size = 100
;   syslog only = no
   syslog = 0
   panic action = /usr/share/samba/panic-action %d
   security = ads
 encrypt passwords = true
   passdb backend = tdbsam
   obey pam restrictions = yes
;   guest account = nobody
;   invalid users = root
;   unix password sync = no
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword
;   pam password change = no
;   domain logons = yes
;   logon path = \\%N\profiles\%U
;   logon path = \\%N\%U\profile
;   logon drive = H:
;   logon home = \\%N\%U
;   logon script = logon.cmd
; add user script = /usr/sbin/adduser --quiet --disabled-password --gecos "" %u
;   load printers = yes
;   printing = bsd
;   printcap name = /etc/printcap
;   printing = cups
;   printcap name = cups
;   printer admin = @lpadmin
;   include = /home/samba/etc/smb.conf.%m
   socket options = TCP_NODELAY
;   message command = /bin/sh -c '/usr/bin/linpopup "%f" "%m" %s; rm %s' &
;   domain master = auto
   idmap uid = 10000-20000
   idmap gid = 10000-20000
   template shell = /bin/bash
   winbind enum users = yes
   winbind enum groups = yes
   template homedir = /home/%D/%U
   client use spnego = no
   winbind use default domain = yes
   restrict anonymous = 2
;  username map = /etc/samba/smbusers

;[homes]
;   comment = Home Directories
;   browseable = no
;   valid users = %S
;   writable = no
;   create mask = 0600
;   directory = mask = 0777

;[netlogon]
;   comment = Network Logon Service
;   path = /home/samba/netlogon
;   guest ok = yes
;   writable = no
;   share modes = no

;[profiles]
;   comment = Users profiles
;   path = /home/samba/profiles
;   guest ok = no
;   browseable = no
;   create mask = 0600
;   directory mask = 0700

[printers]
   comment = All Printers
   browseable = no
   path = /var/spool/samba
   printable = yes
   public = no
   writable = no
   create mode = 0700

[print$]
   comment = Printer Drivers
   path = /var/lib/samba/printers
   browseable = yes
   read only = yes
   guest ok = no
;   write list = root, @ntadmin

;[cdrom]
;   comment = Samba server's CD-ROM
;   writable = no
;   locking = no
;   path = /cdrom
;   public = yes
;   preexec = /bin/mount /cdrom
;   postexec = /bin/umount /cdrom

[shared]
          valid users = @"MYDOMAIN\Domain Users"
          writable = yes
          path = /shared
          browseable = yes
          create mask = 0666
          directory mask = 0777

[naked.and.dead]

Наутилус тут не при чём. Я правильно понимаю, что виндовые юзеры нормально заходят на расшареные ресурсы убунты, а с убунты зайти на виндовые шары не удаётся? Если так, то проверь действительно ли выдаётся билет при входе в систему.

PS: кстати,

client use spnego = no

у меня работает с yes, с no как раз не работало

[redmol]

Наутилус тут не при чём. Я правильно понимаю, что виндовые юзеры нормально заходят на расшареные ресурсы убунты, а с убунты зайти на виндовые шары не удаётся? Если так, то проверь действительно ли выдаётся билет при входе в систему.

PS: кстати,

client use spnego = no

у меня работает с yes, с no как раз не работало

с убунты зайти на виндовые шары удаётся, только перед этим нужно вводить постоянно пароль юзера. Да и поле user и domain заполнены, а пароль, нет поэтому нужно его постоянно вводить. "Мастер паролей" тоже не выход нужно вводить пароль "мастера паролей".
Билет керберос выдается, но такое ощущение как будто он неиспользуется.
Насчет
client use spnego = no
его я тоже ставил в значении yes, эфект тот же.
У меня появились серьезные сомнения, что это вообще возможно, т.е. Компьютер Ubuntu 7.04 подключается к домену, входит под доменым юзером, без аутентификации использует виндовые ресурсы, пользуется инетом через прокси, также без лишниго ввода пароля. Общаясь с другими админами не первый год работающие а Linux'се, подстверждают мои сомнения.

[naked.and.dead]

без аутентификации использует виндовые ресурсы

если к ресурсам разрешён доступ только мемберам домена, то без аутентификации на них не зайдёшь. Поставь аудит доступа к этим ресурсам и посмотри потом в логах на серваке.

У меня появились серьезные сомнения, что это вообще возможно

у меня (и не только) работает

   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword

а это тут нафига?

[redmol]

"если к ресурсам разрешён доступ только мемберам домена, то без аутентификации на них не зайдёшь. Поставь аудит доступа к этим ресурсам и посмотри потом в логах на серваке."

Не я понимаю, что без аутентификации в домене никуда. Нужно чтобы небыло постоянного ввода пароля. Нафиг тогда домен вообще нужен если постоянно нужно вводить пароль Насчет аудита доступа это идея, спасибо. Но я думаю что и так ясно. При обращении к виндовым шарам, Ubuntu паказывает свой ключь керберос, а виндус (к которому обратились) должен проверить этот ключь с серверным ключем на сервере керберос. Но видимо он неможет его проверить.

   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword

насчет этих параметров они были по умолчанию, но я попробую их убрать...
Да получилось эти параметры мешали нормальной работе

   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword

Теперь осталось только настроить нормальную аутентификацию для firefox'а 
naked.and.dead тебе отдельное спасибо 

[xan]

Имею сеть на Win2003 и домен. Папки пользователей политикой редиректятся на файл-сервер под управлением w2k3. Имя сервера ATOM, на нем папка users.
В ней хранятся личные папки пользователей. То есть те папки вроде Мои документы, Рабочий стол, которые обычно хранятся на локальном ПК в профиле пользователя в папке c:\Documents and Settings\%USERNAME% у меня лежат на сервере по пути \\atom\users\%USERNAME%
Стал осуществлять переход на Ubuntu рабочие станции.
Я настроил рабочую станцию Ubuntu 7.04 в домене на работу с доменом
Возник вопрос "А как подцепить папку пользователя с файл сервера на /home/$USERS"


Домашняя папка монтируется с Windows сервера через pam_mount
pam_mount.conf содержит строку для монтирования
volume * cifs atom users  /home/DOMAIN uid=&,iocharset=utf8,codepage=cp866,dmask=0700 - -

Домашняя папка монтируется и названия файлов русские, НО ...
 

1. При втором и последущих заходах  доменного юзера на рабочую станцию Ubuntu 7.04 вылетает ошибка.

"Файл пользователя $HOME/.dmrc имеет некорректные права и игнорируется. Это препятствует сохранению сеанса и языка по умолчанию.  Владельцем этого файла должен быть пользователь и файл должен иметь права доступа 0644.
домашний каталог пользователя ($HOME) должен принадлежать
пользователю и не должен быть доступен для записи другим пользователям"
После чего интерфейс программ становится на английском так как с файла .dmrc исчезает заветная строка про русский язык.
исчезновение русского можно обойти если перед входом выбрать в параметрах Русский UTF8, но это плохо.

2. У доменного пользователя не запускается OpenOffice при запуске выдает диалоговое предупреждение "Внутренняя ошибка" на это загрузка обрывается.

ПРи исследовании проблемы я обнаружил:

что Ubuntu видит права на файл .dmrc как user RW, пользователи домена RW, остальные RW

ls -la дает
-rwxrwSrwrt                   .dmrc
для папок права идут
drwx------

аналогичные права показывает и для других файлов.
В MC права видны как на файл .dmrc 103767
+ Set Group Id on Execution
+ Sticky Bit
ну и U=rwx G=RW O=rwx

Сервер Windows видит права как SYSTEM полные права, Администраторы - ПОлные права, user(тот кто залогинился) Полные права

То есть в списке DACL никаких Пользователей домена нет.

ПРоблема решена. 

[Alex_ustasu]

могли бы и поделиться решением 

[Nniko]

Пытаюсь подключить runtu с обновленным SAMBA к домену win2003 AD. Все делал по инструкции, несколько раз проверял, но все равно не подключается к домену.
после команды net ads join выдается сообщение:
Failed to join domain!

подскажите что делаю не так?

krb5.conf

Код: [Выделить]

[libdefaults]
default_realm =MYDOMAIN.RU

# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
        ticket_lifetime = 24000
        clock_skew = 300
# The following encryption type specification will be used by MIT Kerberos
# if uncommented.  In general, the defaults in the MIT Kerberos code are
# correct and overriding these specifications only serves to disable new
# encryption types as they are added, creating interoperability problems.

# default_tgs_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
# default_tkt_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5
# permitted_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5

# The following libdefaults parameters are only for Heimdal Kerberos.
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true

[realms]
     MYDOMAIN.RU = {
      kdc = server.mydomain.ru:88           
      admin_server = server.mydomain.ru:464
      default_domain = MYDOMAIN.RU
                     }

[domain_realm]
        .mydomain.ru=MYDOMAIN.RU
mydomain.ru=MYDOMAIN.RU

[login]
krb4_convert = true
krb4_get_tickets = false

[logging]                   
       default = FILE:/var/log/krb5.log   
       

smb.conf

Код: [Выделить]

[global]
        workgroup = MYDOMAIN
        realm = MYDOMAIN.RU
        server string = Ubuntu
        security = ADS
        obey pam restrictions = Yes
        passdb backend = tdbsam
        passwd program = /usr/bin/passwd %u
        passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* .
        restrict anonymous = 2
        syslog = 0
        log file = /var/log/samba/log.%m
        max log size = 1000
        client use spnego = No
        dns proxy = No
        panic action = /usr/share/samba/panic-action %d
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        template shell = /bin/bash
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes

[printers]
        comment = All Printers
        path = /var/spool/samba
        create mask = 0700
        printable = Yes
        browseable = No

[print$]
        comment = Printer Drivers
        path = /var/lib/samba/printers

[OH]

UP!

Только сейчас обратил внимание, что не удается зайти по ssh доменным пользователем!
Получается только через локальную учетку убунты. Просто имена одинаковые у локальной и доменной записи.

Ситуация: вылаживается база 1с7, при запуске 1с все открывается только если запуск производится под доменной учетной записью, которая совпадает с локальной учетной записью убунты. В противном случае 1с просто не запускается. Появляется окошко выбора пользователя и тут же исчезает.

Вот такая штука
Что делать?

[naked.and.dead]

Nniko, если ещё актуально насчёт:

после команды net ads join выдается сообщение:
Failed to join domain!

,
что в /etc/hosts, что в логах на сервере сыпется?

PS: не уверен что в данном случае это критично, но

[domain_realm]
        .mydomain.ru=MYDOMAIN.RU
   mydomain.ru=MYDOMAIN.RU

может стоит пробелы вставить?
И

client use spnego = No

попробовать поставить Yes.

OH,

Что делать?

Поскольку мой телепатический модуль вышел из строя, то наверно всё-таки придётся выложить конфиги.