HOWTO: Active Directory Member Server|Workstation (Ubuntu Based)

[xan]

UP!

Только сейчас обратил внимание, что не удается зайти по ssh доменным пользователем!
Получается только через локальную учетку убунты. Просто имена одинаковые у локальной и доменной записи.

Что делать?

Проверять конфигурацию PAM

[OH]

Все по инструкции. Один в один.

[xan]

Все по инструкции. Один в один.

какой инструкции ? ты конфиги кинул ? или в догадки играть будем ?

[waise]

Сделал все по инструкции. Но не могу побороть такую ситуацию. Логон доменного юзера происходит минут через 5 после приглашения. Подскажите где копать и чем 

[waise]

И еще в догонку. Сеть с доменом вин2003, машина с линуксом выключена, в сетевом окружении видны все компы. Включаю машину с линуксом - в сетевое окружение пропадает, невидно ни одного компа. Минут через пять в сетевом окружении начинают постепенно появлятья машины. И только после появления в сетевом окружнеии нескольких машин на линуксе можно залогиниться под доменным юзером. Что это может быть? Подозреваю на конфликт обозревателя сети между доменным обозревателем и линуксовым, но как почить не знаю. Помогите люди добрые...

[naked.and.dead]

Помогите люди добрые...

Блин, да что же это такое?
smb.conf сюда, на операционный стол.

[waise]

Простите. Вопрос по сетевому окружению отпал. Ответ https://forum.ubuntu.ru/index.php?topic=12885.msg91093

Но вопрос про пятиминутную паузу для логона доменного юзере остается открытым.

[global]
   workgroup = GLOBAL
os level = 0
   server string = %h server


   dns proxy = no

;   bind interfaces only = true



   log file = /var/log/samba/log.%m

   max log size = 1000

;   syslog only = no

   syslog = 0

   panic action = /usr/share/samba/panic-action %d

   security = ads
   password server = 192.168.100.110
   realm = GLOBAL.LOCAL
   

   encrypt passwords = true

   passdb backend = tdbsam

   obey pam restrictions = yes

;   guest account = nobody
   invalid users = root

;   unix password sync = no

   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* .

;   pam password change = no

;   domain logons = yes
;   logon path = \\%N\profiles\%U
;   logon path = \\%N\%U\profile

;   logon drive = H:
;   logon home = \\%N\%U

;   logon script = logon.cmd

; add user script = /usr/sbin/adduser --quiet --disabled-password --gecos "" %u

   load printers = yes

;   printing = bsd
;   printcap name = /etc/printcap

   printing = cups
   printcap name = cups

   printer admin = @ntadmin


;   include = /home/samba/etc/smb.conf.%m

   socket options = TCP_NODELAY

;   message command = /bin/sh -c '/usr/bin/linpopup "%f" "%m" %s; rm %s' &

;   domain master = auto

   idmap uid = 10000-20000
   idmap gid = 10000-20000
   template shell = /bin/bash
winbind enum users = yes
winbind enum groups = yes
template homedir =/home/%D/%U
client use spnego = yes
winbind use default domain = yes
restrict anonymous = 2

;
; The following was the default behaviour in sarge
; but samba upstream reverted the default because it might induce
; performance issues in large organizations
; See #368251 for some of the consequences of *not* having
; this setting and smb.conf(5) for all details
;
;   winbind enum groups = yes
;   winbind enum users = yes

#======================= Share Definitions =======================

wins support = no
[homes]
   comment = Home Directories
   browseable = no

   writable = no

   create mask = 0700

   directory mask = 0700

   valid users = %S

;[netlogon]
;   comment = Network Logon Service
;   path = /home/samba/netlogon
;   guest ok = yes
;   writable = no
;   share modes = no

;[profiles]
;   comment = Users profiles
;   path = /home/samba/profiles
;   guest ok = no
;   browseable = no
;   create mask = 0600
;   directory mask = 0700

[printers]
   comment = All Printers
   browseable = no
   path = /var/spool/samba
   printable = yes
   public = no
   writable = no
   create mode = 0700

[print$]
   comment = Printer Drivers
   path = /var/lib/samba/printers
   browseable = yes
   read only = yes
   guest ok = yes
;   write list = root, @ntadmin

;[cdrom]
;   comment = Samba server's CD-ROM
;   writable = no
;   locking = no
;   path = /cdrom
;   public = yes

;   preexec = /bin/mount /cdrom
;   postexec = /bin/umount /cdrom


[Share]
path = /home/Share
available = yes
browseable = yes
public = yes
writable = yes
guest ok= yes

[OH]

По ssh пущает только через локального пользователя. Доменных не пускает.

localhost sshd[4966]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=user.ns.domain  user=Administrator
localhost pam_winbind[4966]: user 'Administrator' granted access membership
localhost sshd[4966]: Failed password for Administrator from 192.168.1.1 port 2279 ssh2
localhost pam_winbind[4968]: request failed: Wrong Password, PAM error was Authentication failure (7), NT error was NT_STATUS_WRONG_PASSWORD

[waise]

После перезагрузки линукса, вхожу локальным юзером  и пытаюсь запустить $ssh orphan@debian
Где "orphan" доменный пользователь "debian" собственно линуксмашина и через пять минут безуспешных логонов она всетаки пускает доменного пользователя. Помогите! Какие логи выложить? Все отдам

Oct 29 14:32:38 debian sshd[3529]: Failed password for orphan from 127.0.0.1 port 45474 ssh2
Oct 29 14:32:44 debian pam_winbind[3529]: request failed: Wrong Password, PAM error was Authentication failure (7), NT
error was NT_STATUS_WRONG_PASSWORD
Oct 29 14:32:44 debian pam_winbind[3529]: user `orphan' denied access (incorrect password or invalid membership)
Oct 29 14:32:46 debian sshd[3529]: Failed password for orphan from 127.0.0.1 port 45474 ssh2
Oct 29 14:32:49 debian pam_winbind[3529]: user 'orphan' granted access
Oct 29 14:32:49 debian pam_access[3529]: /etc/security/access.conf: line 66: missing newline or line too long
Oct 29 14:32:49 debian pam_winbind[3529]: user 'orphan' OK
Oct 29 14:32:49 debian pam_winbind[3529]: user 'orphan' granted access
Oct 29 14:32:49 debian sshd[3529]: Accepted password for orphan from 127.0.0.1 port 45474 ssh2

[OH]

Что делать? У меня не пускает и все.
Куда смотреть-то?

[xan]

Oct 29 14:32:49 debian pam_access[3529]: /etc/security/access.conf: line 66: missing newline or line too long
Oct 29 14:32:49 debian pam_winbind[3529]: user 'orphan' OK
Oct 29 14:32:49 debian pam_winbind[3529]: user 'orphan' granted access
Oct 29 14:32:49 debian sshd[3529]: Accepted password for orphan from 127.0.0.1 port 45474 ssh2

Сочувствую...  у меня тоже было такое. Ща вылечился. Правда конфигурация у меня далека от той что на 1 странице.

[xan]

Что делать? У меня не пускает и все.
Куда смотреть-то?

опять 25. Ты полагаешь здесь есть телепаты способные угадать содержание твоих /etc/pam.d/ssh и  /etc/pam.d/common-auth
если да то тебе к ним.
три строчки лога говорят лишь о том, что логин Administrator послан потому, что пароль PAM системе не понравился.

А графический режим GDM пускает доменных ?

[waise]

Народ, по поводу моих мучений с пятиминутной задержкой регистрации доменных пользователей. Проблема переходит в другую плоскость. У меня в домене адреса раздает DHCP сервер. Так вот, линуксмашина получает адрес, адреса DNS серверов исправно, но в арендованных адресах DHCP сервер  пишет, что адрес занят, но название машины пустое (?!?!). В DNS линухмашина также не регистрируется (?!?!).Хотя с виндовых машин по имени пингуется на "УРА". Но стоило на линуксмашине адрес указать статически - так все побежало и поехало!!!!.
Автару респект и уважуха, низкий поклон и денег побольше
ЗЫ. как настроить DHCP ?!?!?!

[OH]

Вот, если это прольет свет.

etc/pam.d/common-auth

auth    required        pam_unix.so     nullok_secure
auth    sufficient      pam_winbind.so
auth    sufficient      pam_unix.so     nullok_secure   use_first_pass
auth    required        pam_deny.so
auth    sufficient      pam_krb5.so     ccache=/tmp/krb5cc_%u


/etc/pam.d/ssh

# PAM configuration for the Secure Shell service

# Read environment variables from /etc/environment and
# /etc/security/pam_env.conf.
auth       required     pam_env.so # [1]
# In Debian 4.0 (etch), locale-related environment variables were moved to
# /etc/default/locale, so read that as well.
auth       required     pam_env.so envfile=/etc/default/locale

# Standard Un*x authentication.
@include common-auth

# Disallow non-root logins when /etc/nologin exists.
account    required     pam_nologin.so

# Uncomment and edit /etc/security/access.conf if you need to set complex
# access limits that are hard to express in sshd_config.
# account  required     pam_access.so

# Standard Un*x authorization.
@include common-account

# Standard Un*x session setup and teardown.
@include common-session

# Print the message of the day upon successful login.
session    optional     pam_motd.so # [1]

# Print the status of the user's mailbox upon successful login.
session    optional     pam_mail.so standard noenv # [1]

# Set up user limits from /etc/security/limits.conf.
session    required     pam_limits.so

# Set up SELinux capabilities (need modified pam)
# session  required     pam_selinux.so multiple

# Standard Un*x password updating.
@include common-password



Графического ничего нет, ибо не ТРУ Голая концоль!

С локального места не пускает доменных пользователей.

[naked.and.dead]

OH, у меня такой common-auth:

Код: [Выделить]

auth sufficient pam_krb5.so ccache=/tmp/krb5cc_%u
auth sufficient pam_winbind.so
auth sufficient pam_unix.so nullok_secure use_first_pass
auth required  pam_deny.so Порядок строк важен. На 7.04 работает.

waise, имхо проблема в кривом негрософтовском DNS-сервере.