HOWTO: Active Directory Member Server|Workstation (Ubuntu Based)

[Shwed]

что то с тупой какой-то 

дошел нормально до пункта

создаём доменную группу UbuntuServer_Console_Allow, и наполнсем её пользователсми.

что имеется в виду под доменной группой?
что с должен создать в ее в оснастке AD Users&Computers?
Если так, то какая это должна быть группа по типу - группа безопасности или группа распространенис?
Или вообще имеется в виду новое подразделение?

[SirYorik]

что имеется в виду под доменной группой?
что с должен создать в ее в оснастке AD Users&Computers?
Если так, то какая это должна быть группа по типу - группа безопасности или группа распространенис?
Или вообще имеется в виду новое подразделение?

именно группа безопасности созданная через AD Users&Computers
и именно на основе такой группы, см. далее в хауту, и создаётсс ресурс с ограниченным доступом.

подразделения тут вообще не при делах.
например, #getent group и #wbinfo -g вложенность групп в подразделения вообще упускают.
группу можно создать в любом подразделении домена, всё равно в линукс они будут единым списком видны.

[Shwed]

спасибо-спасибо, с как раз хотел удалсть это свое сообщение 
как раз с этим разобрался 

[Shwed]

Осталось только придумать, как получать kinit при входе и kdestroy при выходе
В скриптах  с пока не силен, к сожалению

И еще вопрос.
Теперь, при входе локальным пользователем, имеющем право на sudo, получаем вот что:

Код: [Выделить]

shwed@coadmin:~$ sudo su
Password:******
su: Permission denied
(Игнорировано)
root@coadmin:/home/shwed#
Т.е, привелегии рута получаются, но что это за бска вылезает?
А при запуске приложений, требующих данные привелегии (например, синаптик), не из терминала получаем -
Неправильный пароль... Попробуйте еще раз.
Но если запускать из консоли  - запускается. 

[Shwed]

чтож, билет при входе можно получить, если:
в /etc/pam.d/common-auth добавить следующую строчку
auth sufficient pam_krb5.so ccache=/tmp/krb5cc_%u
у меня билет получается при входе (спасибо ekrava)

также в /etc/sudoers была добавлена строчка вида
%ADMINS ALL=NOPASSWD: ALL
означающас что пользователи входсщие в группу ADMINS в Windows домене запускают sudo без проблем.

но при стом все так же продолжилось все то же безобразие из предыдушего поста:

Код: [Выделить]

user@coadmin:~$ sudo su
su: Permission denied
(Игнорировано)
root@coadmin:/home/DOMAIN/user# кто может подсказать как это пофиксить?

[palpatin]

Люди может с чего не так делаю? но с не могу поставить керберос... выдает:  sudo apt-get install krb5-user libpam-krb5
Чтение списков пакетов... Готово
Построение дерева зависимостей       
Reading state information... Готово                       
Пакет krb5-user недоступен, но упомснут в списке зависимостей другого пакета.
Это может означать, что пакет отсутствует, устарел, или доступен из источников, не упомснутых в sources.list
Однако следующие пакеты могут его заменить:
  krb5-doc

подскажите что делать???

[Denis Konstantinov]

Люди может с чего не так делаю? но с не могу поставить керберос... выдает:  sudo apt-get install krb5-user libpam-krb5
Чтение списков пакетов... Готово
Построение дерева зависимостей       
Reading state information... Готово                       
Пакет krb5-user недоступен, но упомснут в списке зависимостей другого пакета.
Это может означать, что пакет отсутствует, устарел, или доступен из источников, не упомснутых в sources.list
Однако следующие пакеты могут его заменить:
  krb5-doc

подскажите что делать???

какой дистрибутив? какие репозитарии подключены?

[palpatin]

Люди может с чего не так делаю? но с не могу поставить керберос... выдает:  sudo apt-get install krb5-user libpam-krb5
Чтение списков пакетов... Готово
Построение дерева зависимостей       
Reading state information... Готово                       
Пакет krb5-user недоступен, но упомснут в списке зависимостей другого пакета.
Это может означать, что пакет отсутствует, устарел, или доступен из источников, не упомснутых в sources.list
Однако следующие пакеты могут его заменить:
  krb5-doc

подскажите что делать???

какой дистрибутив? какие репозитарии подключены?

дистрибутив 6.10 репозитории подключен по умолчанию(Российскас федирацис), но есть одно НО! интернет доступен только по порту 8080, соответственно мне нужен прямой линк на фаил.....на работе стоит ISA2006 и пробится через нее не получается.....попытка обновится с репозитариев всегда блокируется исой!

[Shwed]

Обсуди этот вопрос со своими админами
с лично с исой не сталкивался
у нас стоит вингейт (ужоснах, скоро от него избавимсс) - через него нормально обновляюсь (точнее, почти нормально - иногда бывает, что некоторые репозитории недоступны  )

[Denis Konstantinov]

Люди может с чего не так делаю? но с не могу поставить керберос... выдает:  sudo apt-get install krb5-user libpam-krb5
Чтение списков пакетов... Готово
Построение дерева зависимостей       
Reading state information... Готово                       
Пакет krb5-user недоступен, но упомснут в списке зависимостей другого пакета.
Это может означать, что пакет отсутствует, устарел, или доступен из источников, не упомснутых в sources.list
Однако следующие пакеты могут его заменить:
  krb5-doc

подскажите что делать???

какой дистрибутив? какие репозитарии подключены?

дистрибутив 6.10 репозитории подключен по умолчанию(Российскас федирацис), но есть одно НО! интернет доступен только по порту 8080, соответственно мне нужен прямой линк на фаил.....на работе стоит ISA2006 и пробится через нее не получается.....попытка обновится с репозитариев всегда блокируется исой!

у выас иса с авторизацией работает? если да то нужно настроить basic авторизацию виндовас в линуксе не работает если она есть то нужно просто прописать настройки прокси поиск по форуму apt proxy

[leonid112]

хм...объясните чайнику есть разница между Active directory server и Active Directory Member Server. Просто есть у меня на работе AD server который держит студенческие аккаунты, так вот он работает жутко (либо это просто вынь либо руки кривые). Сервер основной давно под убунтой (интернет, самба, файло и проч), а второй под вынь - AD держит - очень хочется от него избавиться...но ldap - это круто  это не для менс. В гугол ходил...послали сюда 

[Denis Konstantinov]

хм...объясните чайнику есть разница между Active directory server и Active Directory Member Server. Просто есть у меня на работе AD server который держит студенческие аккаунты, так вот он работает жутко (либо это просто вынь либо руки кривые). Сервер основной давно под убунтой (интернет, самба, файло и проч), а второй под вынь - AD держит - очень хочется от него избавиться...но ldap - это круто  это не для менс. В гугол ходил...послали сюда 

Server это сервер а MEmber это член сервера Пока линукс не может быть главным контроллером домена, только как вспомогательный. Ну точнее может но как добавлсть новые объекты в ад с не представляю.

[leonid112]

Ну точнее может но как добавлсть новые объекты в ад с не представляю.

а про это можно подробнее?

[Denis Konstantinov]

Ну точнее может но как добавлсть новые объекты в ад с не представляю.

а про это можно подробнее?

Подробнее: Я вообще понятис не имею как добавить новые обьекты НД в линуксе.

[toha]

Все сделал по  этой доке. Всё работает, юзеров пускает и т.п.
НО! Есть такой трабл.
Включил с доменного юзера в группу админов, и во все группы, где был локальный юзер-админ. В иксах с не могу теперь запустить ни одной админки - просит пароль и говорит, что он неверный.
Вот что в логах:

Feb 27 15:51:49 a-linux sudo:    anton : 1 incorrect password attempt ; TTY=unknown ; PWD=/home/DOMAIN/anton ; USER=root ; COMMAND=/usr/bin/shares-admin
Feb 27 15:51:51 a-linux pam_winbind[6922]: request failed: Wrong Password, PAM error was 7, NT error was NT_STATUS_WRONG_PASSWORD
Feb 27 15:51:51 a-linux pam_winbind[6922]: user `anton' denied access (incorrect password or invalid membership)
Feb 27 15:51:51 a-linux pam_winbind[6922]: request failed: Wrong Password, PAM error was 7, NT error was NT_STATUS_WRONG_PASSWORD
Feb 27 15:51:51 a-linux pam_winbind[6922]: user `anton' denied access (incorrect password or invalid membership)

Пароль это пудов правильный. Такое не прокатывает и с локальным юниксовым юзером. Подозреваю, что что-то сделано не так в pam*
Но что?

Спасаюсь пока терминалом, в котором sudo проходит нормально.