HOWTO: Active Directory Member Server|Workstation (Ubuntu Based)

[Fimir]

ща, дайте до работы доехать)
fimir. ты же в домене, он не как guest должен ломиться а под тем пользователем, под которым в систему входил

О чём и речь.
А ломится похоже как guest потому как если на запрос гном-коммандера ввожу логин-домен-пароль -- всё получается.

Неудржимо крепнет желание сделать что-то нехорошее с релизерами 8.04 ((

[chain]

пора самому стреляться)
я не знаю в чем траблы ребята, я только что на двух машинах на шаре со 160 объектами проверил -все работает, через nautilus
значит проблема не в релизерах, а в собственных чем? правильно)
я даж не знаю, что у тебя в конфигах не то, фимир, хочешь свои покажу сравнишь

по поводу pyneighborhood, ставим

Код: [Выделить]

sudo apt-get install pyneighborhoodзапускаем, лезем в настройки Edit- Параметры (такая странная руссификация)
в General - в верхней строке пишем точку монтирования, рекомендую монтировать в домашнюю директорию, ну и саму точку прячу, а ссылки на шары потом можно вывести:
/home/ваш_юзер/.lan
птичку на всегда использовать можно поставить, если все шары под одним пользователем подключаются
ну и собственно логин, пароль
вкладка Network:
у меня птичка на всегда использовать MsBrowse
Client command - smbclient
Lookup command - nmblookup

Следующая вкладка SMB - smbmount не пользуюсь, потому птичка снята

CIFS - enable, команда монтирования - mount.cifs, размонтирования - umount.cifs, параметры монтирования - noperm,iocharset=utf8

В последней вкладке File Managers, так как у меня Gnome, убрал то что было и добавил nautilus

все, монтируется мгновенно , работает с дикой скоростью

[chain]

ага, я чтот пропустил, что заработало)
на постоянное подключение, если без домена - надо fstab править
вот тут подробный мануал, если не выйдет - српашивай
http://ubuntuforums.org/showthread.php?t=288534

[Fimir]

2 chain

Покажи, если не сложно ))

И ещё нескромный вопрос, а как это py-соседство работает?
У меня оно что-то ничего не сканирует...

[chain]

по той же причине не сканирует, что и в наутилусе видимо

значит в домен ввод нормально прошел, как я понял?
krb5  у меня нет, я его не использую
считаем, что домен - domain.loc
машина, которую ввели ubuntu.domain.loc

smb.conf:

Код: [Выделить]

[global]
unix charset = UTF-8
dos charset = CP866
display charset = UTF-8
#короткое имя домена! меняем на свое
workgroup = DOMAIN
server string = %h server (Samba, Ubuntu)


   dns proxy = no
   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   panic action = /usr/share/samba/panic-action %d
   security = ads

   password server = *

 
   realm = DOMAIN.LOC
# полное имя домена! Меняем на свое
   encrypt passwords = true
   passdb backend = tdbsam
   obey pam restrictions = yes
   invalid users = root


   socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
   idmap uid = 10000-20000
   idmap gid = 10000-20000
   template shell = /bin/bash
   winbind enum groups = yes
   winbind enum users = yes
   template homedir = /home/%D/%U
   client use spnego = yes
   winbind use default domain = yes
   winbind refresh tickets = yes
   restrict anonymous = 2

domain master = no
local master = no
preferred master = no
os level = 0

wins support = no
/etc/nsswitch.conf:

Код: [Выделить]

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat winbind
group:          compat winbind
shadow:         compat
hosts:          files wins dns
networks:       files dns
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
netgroup:       files winbind
/etc/hosts:

Код: [Выделить]

127.0.0.1 ubuntu.domain.loc localhost ubuntu
127.0.1.1 ubuntu

/etc/pam.d/common-account:

Код: [Выделить]

#
# /etc/pam.d/common-account - authorization settings common to all services
#
account sufficient        pam_winbind.so
account required        pam_unix.so
/etc/pam.d/common-auth:

Код: [Выделить]

# /etc/pam.d/common-auth - authentication settings common to all services
auth    required        pam_mount.so
auth    optional        pam_group.so
auth    sufficient      pam_unix.so nullok_secure  use_first_pass
auth    sufficient      pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE debug
auth    required        pam_deny.so
/etc/pam.d/common-password:

Код: [Выделить]

# /etc/pam.d/common-password - password-related modules common to all services
password   sufficient   pam_unix.so nullok obscure md5
password   sufficient   pam_winbind.so


/etc/pam.d/common-session:

Код: [Выделить]

#
# /etc/pam.d/common-session - session-related modules common to all services
#
session required        pam_winbind.so
session required        pam_unix.so
session required        pam_mkhomedir.so umask=0022 skel=/etc/skel
session optional        pam_foreground.so
/etc/pam.d/gdm:

Код: [Выделить]

#%PAM-1.0
auth    requisite       pam_nologin.so
auth    required        pam_env.so readenv=1
auth    required        pam_env.so readenv=1 envfile=/etc/default/locale
@include common-auth
@include common-account
session required        pam_limits.so
@include common-session
session required       pam_mount.so use_first_pass
@include common-pammount
@include common-password
/etc/pam.d/sudo:

Код: [Выделить]

#%PAM-1.0

auth    sufficient      pam_winbind.so
auth    sufficient      pam_unix.so use_first_pass
auth    required        pam_deny.so
@include common-account
предупреждаю, это вариант, когда автоматом подключается сетевой диск, но домашняя директория находится локально

для монтирования теперь новый формат файла не просто /etc/pam_mount.conf, а /etc/pam_mount.conf.xml
по сути там практически ничего не поменялось, кроме формата
в предпоследней строке, как раз подключение шары, будем считать, что сервер зовется winserv, шара - winshare

Код: [Выделить]

<?xml version="1.0" encoding="UTF-8"?>
<pam_mount>

<debug enable="0" />

<mkmountpoint enable="1" />

<fsckloop device="/dev/loop7" />

<mntoptions allow="nosuid,nodev,loop,encryption,fsck" />

<mntoptions require="nosuid,nodev" />

<lsof>/usr/bin/lsof %(MNTPT)</lsof>

<fsck>/sbin/fsck -p %(FSCKTARGET)</fsck>

<losetup>/sbin/losetup -p0 "%(before=\"-e\" CIPHER)" "%(before=\"-k\" KEYBITS)" %(FSCKLOOP) %(VOLUME)</losetup>

<unlosetup>/sbin/losetup -d %(FSCKLOOP)</unlosetup>

<cifsmount>/bin/mount -t cifs //%(SERVER)/%(VOLUME) %(MNTPT) -o "user=%(USER),uid=%(USERUID),gid=%(USERGID)%(before=\",\" OPTIONS)"</cifsmount>

<smbmount>/usr/bin/smbmount //%(SERVER)/%(VOLUME) %(MNTPT) -o "username=%(USER),uid=%(USERUID),gid=%(USERGID)%(before=\",\" OPTIONS)"</smbmount>

<ncpmount>/usr/bin/ncpmount %(SERVER)/%(USER) %(MNTPT) -o "pass-fd=0,volume=%(VOLUME)%(before=\",\" OPTIONS)"</ncpmount>

<smbumount>/usr/bin/smbumount %(MNTPT)</smbumount>

<ncpumount>/usr/bin/ncpumount %(MNTPT)</ncpumount>

<fusemount>/sbin/mount.fuse %(VOLUME) %(MNTPT) "%(before=\"-o\" OPTIONS)"</fusemount>

<fuseumount>/usr/bin/fusermount -u %(MNTPT)</fuseumount>

<umount>/bin/umount %(MNTPT)</umount>

<lclmount>/bin/mount -p0 -t %(FSTYPE) %(VOLUME) %(MNTPT) "%(before=\"-o\" OPTIONS)"</lclmount>

<cryptmount>/bin/mount -t crypt "%(before=\"-o\" OPTIONS)" %(VOLUME) %(MNTPT)</cryptmount>

<nfsmount>/bin/mount %(SERVER):%(VOLUME) %(MNTPT) "%(before=\"-o\" OPTIONS)"</nfsmount>



<mntcheck>/bin/mount</mntcheck>

<pmvarrun>/usr/sbin/pmvarrun -u %(USER) -o %(OPERATION)</pmvarrun>

<volume options="noperm,iocharset=utf8,codepage=cp866" user="*" mountpoint="/media/winserv/winshare" path="winshare" server="winserv" fstype="cifs" />

</pam_mount>
c группами и судоерами точно ничего не менялось, так что можно не постить.

вроде ничего не забыл...

[Fimir]

Гм...  исправил кое-что у себя согласно образу и подобию... теперь в систему вообще не пускает ссылаясь на сбой авторизации )))
Основные исправления коснулись .xml как вижу там для мониторвания все пути явно прописаны... у меня было без них.

В любом случае придётся вренуться к первоначальному .xml

UPD: в систему таки вошёл: не стоило удалять строку <msg-authpw>pam_mount password</msg-authpw>
Хотя у тебя её нет.
Ничего не понимаю... (

[chain]

не понял, что значит явно прописаны? они так в pam_mount  и были, только несколько позиций местами поменялось
а вообще этот пам маунт  автоматически конертировался из старого pam_mount
а вот что по поводу msg-authpw написано

When pam_mount is not used with "use_first_pass" or "try_first_pass" in
the PAM configuration files (/etc/pam.d/), it will have to ask for a
password. This is also the case if pam_mount is the first auth module
in the block.

у меня используется use_first_pass в gdm  и pam_auth и в sudo, значит мне этот параметр не нужен, у тебя следовательно он не используется, значит конфиги у тебя с моими не совпадают
ищи различия

[Fimir]

Не нашёл.
Снёс 8.04, поставил 7.10 -- наутилус как положено стал показывать сеть.

В качестве небольшого оффтопа-прикола: как и планировал, подключил сидюк с цаплей как репозиторий, апдейтер выдал 409 обновлений, стал обновляться... потом ещё 100 пакетов... потом ещё 129... В результате успешно обновил гнома до 2.22, лису, наутилус, опенофис, самбу, пересел на ядро 2.6.24-16 и стал отображаться как Hardy Heron )))))))
Причём всё это обновлялось по желанию и частями, т.е. при желании можно было остановиться в любом месте обновления и жить так )))
Не знал, если честно, что линукс -- это тупо набор пакетов, связанных между собой зависимостями ))) Всё равно что поставить видоуз 95, началь обновлять отдельные части и стать ХР )))

А если по теме, то как только обновилась сетевая часть, не успел заметить конкретно что именно, то шары из сети тут же пропали.
Т.е. конфии оно всё-таки ещё где-то поменяло.

[chain]

ну так же не бывает, почему у меня работает и не в одном месте, а у тебя нет
показывай свои конфиги

[alec]

Всем привет!
Появился вопрос: все делал по инструкции, ввел машинку в домен, все хорошо могу залогиниться как любой пользователь домена, НО вот как локального пользователя (у которого sudo, с которым ставилась ubantu) меня система не пускает, пишит что не верное имя или пароль, с ssh таже история... где рыть?

[chain]

в пам модулях, где то под запрет локальная авторизация попадает.

[Fimir]

В общем ситуация такая.
Снёс 8.04, стал тех же своих конфигах (сохранены) настраиваться на 7.10 -- запустилось как по маслу. И принтер, и шары, и работает заметно быстрее.
Не знаю, где там существует ещё какой конфиг, который не даёт мне лазить по сети и приложениям в ней авторизовываться, но 8.04 в своей чистой установке на моих конфигах с настройками нашего сервера несовместима.

Две чистые установки с одинаковыми симптомами позволяют достаточно уверенно заявлять, что это не у меня кривые руки, а я просто чего-то не знаю в новой версии системы. Как говорится, старый глюк лучше новых двух.

По крайней мере пока не появилось описание, в котором местный умный народ опишет в чём тут загвоздка, ставить на работе 8.04 не буду, ибо оно кривое.

[Fimir]

Отвечая на вопрос о конфигах:

Самба лежит то ли в этой теме, то ли в соседней, поэтому,  дабы не тратить место форума, не привожу. Конфиг цербера там же. (кстати, может слить темы? А то в глазах двоится немного )))

common-account

Код: [Выделить]

account     sufficient     pam_winbind.so
account     required pam_unix.so
common-auth

Код: [Выделить]

auth required pam_mount.so
auth optional pam_group.so
auth sufficient pam_unix.so nullok_secure use_first_pass
auth sufficient pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE debug
auth required pam_deny.so
common-session

Код: [Выделить]

password sufficient pam_unix.so nullok obscure md5
password sufficient pam_winbind.so
gdm

Код: [Выделить]

#%PAM-1.0
auth requisite pam_nologin.so
auth required pam_env.so

@include common-auth
@include common-account
session required pam_limits.so
@include common-session
#session required pam_mount.so use_first_pass
@include common-pammount
session required pam_mkhomedir.so umask=0022 skel=/etc/skel
@include common-password
nsswitch.conf

Код: [Выделить]

passwd:         compat winbind
group:          compat winbind
shadow:         compat
hosts:          files dns
networks:       files dns
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
netgroup:       files winbind
sudo

Код: [Выделить]

#%PAM-1.0

auth    sufficient      pam_winbind.so
auth    sufficient      pam_unix.so use_first_pass
auth    required        pam_deny.so
#@include common-auth
@include common-account


[chain]

ну вот же!
ты сравнивал конфиги ваще или нет?
я подробно еще не глядел, но первое что в глаза бросается в твоих - это gdm

#session required   pam_mount.so use_first_pass

строка же заремлена, потому и требует доп строки в .xml
и для кратковременного монтирования в nsswitch надо так
hosts:          files wins dns

кароч, сравнивай, смотри в чем разница, тогда уловишь что и почему не работает

[Fimir]

Рано радуешься, была у меня включена и эта строка -- ноль эмоций 

wins не было, да. Но у меня и в самбе винс не обозначен, посему считаю, что в нём нет необходимости.