HOWTO: Active Directory Member Server|Workstation (Ubuntu Based)

[xan]

Вот, если это прольет свет.

etc/pam.d/common-auth

auth    required        pam_unix.so     nullok_secure
auth    sufficient      pam_winbind.so
auth    sufficient      pam_unix.so     nullok_secure   use_first_pass
auth    required        pam_deny.so
auth    sufficient      pam_krb5.so     ccache=/tmp/krb5cc_%u

Вот тут то и ацтой...  я конечно понимаю что трудно разобраться с PAM, надо разбираться и писать FAQ

Первое, что я вижу. Значит последняя строка... чего она идет у тебя после pam_deny денай посылает всех нах. Значит если ни один из вышестоящий модулей не дал добро то тютю... едем дальше. Вообще то открою секрет что винбинд тоже умеет получать билет Кербероса поэтому krb5 вообще у меня отсутствует. Читай ман.
Зачем тебе два раза pam_unix ?? жадничать заканчивай. pam_winbind у тебя откуда пароль возмет ? получает его первый модуль. юзай use_first_pass
Вообщем common-auth кривой

и не только порядок строк а еще и контроль (второе слово в строке)

[OH]

xan

....надо разбираться и писать FAQ...

...Вообщем common-auth кривой...


Думаю, многие будут Вам благодарны, если Вы напишете faq.
А если поможете выровнять common-auth, то буду благодарен лично я

[OH]

naked.and.dead

OH, у меня такой common-auth:

Код: [Выделить]

auth sufficient pam_krb5.so ccache=/tmp/krb5cc_%u
auth sufficient pam_winbind.so
auth sufficient pam_unix.so nullok_secure use_first_pass
auth required  pam_deny.so Порядок строк важен. На 7.04 работает.

При таком раскладе пускает доменного пользователя (с доменным паролем), имя которого совпадает с локальным.
Остальных не пускает.
Когда делаешь судо су, если вводить пароль локальный, то нужно вводить его дважды, если вводить пароль доменный, то только один раз.

[S_Jay]

У одного из знакомых была схожая проблема. Он взял сусевые памы и у него заработало. Попробуйте с сусевыми памами:

common-account:

account  requisite  pam_unix2.so
account  requisite  pam_localuser.so
account  requisite pam_winbind.so use_first_pass

common-auth:

auth  required  pam_env.so
auth  sufficient  pam_unix2.so
auth  required  pam_winbind.so use_first_pass

common-session:

session  required  pam_mkhomedir.so
session  required  pam_limits.so
session  required  pam_unix2.so
session  required  pam_winbind.so
session  required  pam_umask.so

Ему помогло решить проблему, у меня заработало все как в конфиге без особых проблем.

[OH]

S_Jay

картина не меняется:)

[xan]

naked.and.dead

OH, у меня такой common-auth:

Код: [Выделить]

auth sufficient pam_krb5.so ccache=/tmp/krb5cc_%u
auth sufficient pam_winbind.so
auth sufficient pam_unix.so nullok_secure use_first_pass
auth required  pam_deny.so Порядок строк важен. На 7.04 работает.

При таком раскладе пускает доменного пользователя (с доменным паролем), имя которого совпадает с локальным.
Остальных не пускает.
Когда делаешь судо су, если вводить пароль локальный, то нужно вводить его дважды, если вводить пароль доменный, то только один раз.

все что тебе нужно для понимания я написал выше.
ты не понимаешь, что такое use_first_pass и не читаешь маны к модулям иначе бы ты кое что понял.
Сусевые памы могут быть построены на иных модулях.
Суть в том что пароль получает первый модуль, остальные его запросят если им его не дадут.

[naked.and.dead]

Вообще то открою секрет что винбинд тоже умеет получать билет Кербероса

Блин, и правда, нашёл такое:

Код: [Выделить]

file: /etc/pam.d/common-auth

auth sufficient pam_winbind.so krb5_auth krb5_ccache_type=FILE
auth sufficient pam_unix.so nullok_secure use_first_pass
auth required   pam_deny.so
правда опробовать не успел ещё.
В процессе поиска нашёл кое-что любопытное:

Код: [Выделить]

cached_login
    Winbind allows to logon using cached credentials when winbind offline logon is enabled. To use this feature from the PAM module this option must be set.Подробнее здесь: http://wiki.samba.org/index.php/PAM_Offline_Authentication
Я правильно понимаю что эта опция позволяет логиниться когда контроллер домена недоступен?

[hokum]

Еще одно решение проблемы запроса пользователя/пароля при входе на шару самбы при интеграции в win2k3 домен:
убрать строку в smb.conf "username map" - для тех у кого стояла
убрать или закомментировать строку в smb.conf "winbind use default domain = yes"

До этого в шару не пускал и wbinfo -u и wibinfo -g выдавали список пользователей и групп без указания домена. После того как убрал эти строки комнды начали показывать пользователей и группы в нормальном виде - т.е. ДОМЕН\пользователь

Да, и в конфиге шары "vald users = @ДОМЕН\группа"

[naked.and.dead]

Проверил,

Код: [Выделить]

auth sufficient pam_winbind.so krb5_auth krb5_ccache_type=FILE
auth sufficient pam_unix.so nullok_secure use_first_pass
auth required   pam_deny.soбилет не даёт

[xan]

Проверил,

Код: [Выделить]

auth sufficient pam_winbind.so krb5_auth krb5_ccache_type=FILE
auth sufficient pam_unix.so nullok_secure use_first_pass
auth required   pam_deny.soбилет не даёт

почему ты решил, что билет не дает ?
log в студию

[naked.and.dead]

Почему решил что билета не даёт? Да потому что klist говорит что билетов нету.

[-alex-]

После обновления до 7.10 начались проблемы с авторизацией доменных пользователей.
НА 7.04 все было нормально.
При попытке авторизоваться:
1. Ввод пароля -No logon servers. Тутже опять просит пароль , логониться материться на права дорступа к $home/.dmrc и все по новой.
2. Авторизуемся под линюксовым юзером,  ссх'ой начинает пускать под доменным пользователем.
3. После этого  пускает под доменным пользователем (п.1)

я так понимаю что проблема с pam.d/common-auth
auth  optional pam_group.so
auth  sufficient pam_winbind.so
auth  sufficient pam_unix.so nullok_secure use_first_pass
auth  sufficient pam_krb5.so ccach=/tmp/krb5cc_%u
auth  required pam_deny.so

ЗЫ.Пните меня чтобы я полетел в правельном направлении. 

[-alex-]

Кстати на снуля поставленной системе с теми же конфигами увсе ОК.
А на обновленной с alternate диска не пускает доменного пользователя.

[xan]

Кстати на снуля поставленной системе с теми же конфигами увсе ОК.
А на обновленной с alternate диска не пускает доменного пользователя.

1. у 710 ки в GDM новые строки.
2. после обновки проверь, что ты не перезаписал файлы новыми версиями, но без твоих настроек.

[vaygr]

делал всё по инструкции "Ubuntu_WKS.pdf" (нашёл в этой ветке). возник вопрос. к AD подключаеться, всё хорошо до перезапуска системы. При новой загрузке приходиться опять выполнять net join -S PDC -U administrator затем перезапуск winbind и только после этого можно подключаться ползьвателями домена AD, никто не сталкивался с такой проблемой? как решить её, а то не очень удобно каждый раз присоединять к домену вручную.
заранее спасибо
p.s.: Ubuntu 7.10 alternate i386