HOWTO: Active Directory Member Server|Workstation (Ubuntu Based)

[chain]

wins - это для быстрого монтирования без pam_mount
а строка

Код: [Выделить]

session required   pam_mount.so use_first_pass отвечает за работу монтирования шар при доменной авторизации, если разработчикам конечно не вздумалось пошутить

When pam_mount is not used with "use_first_pass" or "try_first_pass" in
the PAM configuration files (/etc/pam.d/), it will have to ask for a
password.

[Fimir]

И что сие означает?
Как уже сказал, строка у меня была раскомментирована, но это ни к чему ни привело.

wins не было, но на 7.10 у меня и без этого параметра всё монтируется и работает нормально. Более того, может быть я не прав, но сильно сомневаюсь в том, что именно этот параметр был ответственен за полную неработоспособность приложений с настройками безопасности локальной сети.

[zloy_admin]

Вопрос такой. Загонять машину в домен нет надобности. просто хочу иметь с этой машины доступ к шарам AD (пусть даже с фиксированного пользователя AD). Как это реализовать? Через gnome-commander не совсем удобно каждый раз вводить логин/домен/пароль. А через Nautilus - после перехода на 8.04 произошла трабла: компы домена видит, а при открытии компа - не выводи шары и даже пароль не просит.
ОС: 8.04 (сервак/контроллер домена -  Windows2003 server)

[Fimir]

2 chain

Теперь ты видишь, что это не только у одного меня глюки с наутилусом на 8.04? )))

[chain]

я вижу, только у человека без ввода в домен, это я проверил у меня так тоже не работает, а вот машина, которая в домене прекрасно все видит
zloy_admin, вот тебе альтернативное решение, ты чуть выше по теме не посмотрел, имхо, гораздо удобнее наутилуса
https://forum.ubuntu.ru/index.php?topic=4776.msg185635#msg185635

[Jeque]

Подскажите, как можно посмотреть список активных в данный момент доменных пользователей, подключенных к серверу посредством winbind.
Что-то типа команды who.
Нигде не могу найти. Возможно не так искал.

[zhenyok]

2 chain

Покажи, если не сложно ))

И ещё нескромный вопрос, а как это py-соседство работает?
У меня оно что-то ничего не сканирует...

Не сканирует потому что самба не настроена. Делай все настройки pyNeighborhood как писал chain, а потом в /etc/samba/smb.conf вместо workgroup = WORKGROUP ставь workgroup = ТВОЙДОМЕН. Перезапусти самбу и работай.

Кстати вводить машину в домен совсем не обязательно, у меня на личном ноуте 8.04 стоит, приношу его на работу, запускаю pyNeighborhood и без проблем использую ресурсы сети.

[Heroin]

вот по этому мануалу

https://forum.ubuntu.ru/index.php?topic=4776.0

все заполнил, все вроде красиво

вот что происходит дальше

root@sub-test:/home/sub-test# testparm
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

[global]
   workgroup = SOBES24
   realm = SOBES24.LOCAL
   security = ADS
   password server = 200.1.80.104
   restrict anonymous = 2
   idmap uid = 500-10000000
   idmap gid = 500-10000000
   template shell = /bin/bash
   winbind enum users = Yes
   winbind enum groups = Yes
   winbind use default domain = Yes
root@sub-test:/home/sub-test# /etc/init.d/winbind stop && /etc/init.d/samba restart && /etc/init.d/winbind start
 * Stopping the Winbind daemon winbind                                                                                [ OK ]
 * Stopping Samba daemons                                                                                             [ OK ]
 * Starting Samba daemons                                                                                             [ OK ]
 * Starting the Winbind daemon winbind                                                                                [ OK ]
root@sub-test:/home/sub-test# kinit admin@SOBES24.LOCAL
Password for admin@SOBES24.LOCAL:
root@sub-test:/home/sub-test# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: admin@SOBES24.LOCAL

Valid starting     Expires            Service principal
06/27/08 13:28:11  06/27/08 20:08:11  krbtgt/SOBES24.LOCAL@SOBES24.LOCAL


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
root@sub-test:/home/sub-test# net ads join
Password:
Failed to join domain: Improperly formed account name
root@sub-test:/home/sub-test# net ads join -U admin
admin's password:
Failed to join domain: Logon failure
root@sub-test:/home/sub-test# net ads join -U admin@sobes24.local
admin@sobes24.local's password:
Failed to join domain: Undetermined error

еще до этого постоянно пишет вот это

root@sub-test:/home/sub-test# kinit admin@SOBES24.LOCAL
Password for admin@SOBES24.LOCAL:
root@sub-test:/home/sub-test# net ads join -U admin
admin's password:
Using short domain name -- SOBES24
Deleted account for 'SUB-TEST' in realm 'SOBES24.LOCAL'
Failed to join domain: Type or value exists

sub-test  пользователь под которым я вхожу
и имя компа которое указанно при установке.

в /etc/hostname пусто
в /etc/hosts

127.0.0.1 ubuntu
# The following lines are desirable for IPv6 capable hosts
::1 ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts

куда еще копнуть?

[Heroin]

up

[kmps]

https://wiki.ubuntu.com/HardyReleaseNotes
.....
GVFS and authenticated smb browsing:
The GVFS filesystem layer used in GNOME 2.22 does not support password authentication when browsing the list of shares on an SMB server, which can result in empty share lists in nautilus when connecting to Windows 2003 hosts in some configurations. Workarounds for this issue include:

- use Kerberos authentication with preconfigured Kerberos credentials (i.e., running 'kinit' in an Active Directory realm)
- connect directly to an individual share using smb://<server>/<share> as the target location
.....
т.е. неработающие шары в наутилусе - абсолютно нормальное явление для харди...
если нужны работающие шары в наутилусе, то либо 7.10, либо 8.10(должны доделать gvfs в 2.24).
Пробовал через kinit - решает проблему.
сам пользуюсь решением, которое предложил chain(через pyNeighborhood).

[Shoo]

Всех приветствую, есть проблемка.
По данному факу введена машина в домен, по ssh доменных юзеров из группы ubuntu(доменной) пускает отлично, локальную учетку пускает отлично, всё крутится и работает на ура. Затык при логине в Х через gdm.
Локальную учетку пускает, хоть и с табличкой "wrong password". Доменных же пользователей не пускает вообще в Х. Помогите решить проблему. Система ubuntu 8.04.1, домен win2k3. Конфиги привожу ниже, если ещё чего понадобится - отпишу. Заранее спасибо.

Код: [Выделить]

root@linuxtest:~# cat /etc/pam.d/common-account
account required        pam_access.so
account sufficient      pam_winbind.so
account required        pam_unix.so



Код: [Выделить]

root@linuxtest:~# cat /etc/pam.d/common-auth
auth sufficient pam_winbind.so
auth sufficient pam_unix.so nullok_secure use_first_pass
auth required  pam_deny.so
auth sufficient pam_krb5.so ccache=/tmp/krb5cc_%u



Код: [Выделить]

root@linuxtest:~# cat /etc/pam.d/common-password
password   requisite   pam_unix.so nullok obscure md5
password   optional   pam_smbpass.so nullok use_authtok use_first_pass missingok


Код: [Выделить]

root@linuxtest:~# cat /etc/pam.d/common-session

session required        pam_unix.so
session required pam_mkhomedir.so umask=0022 skel=/etc/skel



Код: [Выделить]

root@linuxtest:~# cat /etc/pam.d/gdm
#%PAM-1.0
auth    requisite       pam_nologin.so
auth    required        pam_env.so readenv=1
auth    required        pam_env.so readenv=1 envfile=/etc/default/locale
@include common-auth
auth    optional        pam_gnome_keyring.so
@include common-account
session required        pam_limits.so
@include common-session
session optional        pam_gnome_keyring.so auto_start
@include common-password
В smb.conf только изменения, которые даны в данном факе.

Код: [Выделить]

root@linuxtest:~# cat /etc/krb5.conf
[libdefaults]
        ticket_lifetime = 24000
        clock_skew = 300
        default_realm = INT.BIT.RU


        krb4_config = /etc/krb.conf
        krb4_realms = /etc/krb.realms
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true

        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }
        fcc-mit-ticketflags = true

[realms]
INT.BIT.RU = {
      kdc = backup.int.bit.ru
      admin_server = backup.int.bit.ru
      default_domain = INT.BIT.RU
      }
[domain_realm]
        .INT.BIT.RU = INT.BIT.RU
        INT.BIT.RU = INT.BIT.RU
[login]
        krb4_convert = true
        krb4_get_tickets = false
[logging]
      default = FILE:/var/log/krb5.log



[bmalkov]

Уфф, щас меня обругают и убьют Я всё ж спрошу...

Значит, машины с Ubuntu 8.04 включены в домен и прекрасно работают, но вот хочет начальство, чтобы профили (читай /home) пользователей хранились на сервере. Всё получается, но только _почти_. Проблема в том, что все файлы и папки в примонтированной cifs-шаре имеют те права, которые заданы при монтировании в параметрах file_mode и dir_mode (если не заданы явно - то 777). И CHMOD ИХ НЕ МЕНЯЕТ! Соответственно, при масках вроде 744 могу логиниться, домашняя папка создаётся, но постоянная ругать на "не те" права файлов, и глюки программ, пипшуших в /home.
Возможно ли менять права для отдельных файлов, находящихся в сетевой папке?

Монтирую в общем случае так (если вручную - тоже права потом не изменить):
mount -t cifs //server/share /mountpoint -o user=fedya,pass=password,iocharset=utf8

Вот как это выглядит:

Код: [Выделить]

root@ws165:/mnt/VBT# touch asd
root@ws165:/mnt/VBT# ls -l asd
-rwxrwxrwx 1 root root 0 2008-07-18 18:42 asd
root@ws165:/mnt/VBT# chmod 700 asd
root@ws165:/mnt/VBT# ls -l asd
-rwxrwxrwx 1 root root 0 2008-07-18 18:42 asd
root@ws165:/mnt/VBT#

ЗЫ Сдаётся мне, это из-за продукции etersoft, которую мы пользуем для работы в 1С... Без их злой штуковины по имени linux-cifs 1.53 смонтированные сетевые папки не видны из виндопрограмм, а с ней - не работает смена прав на файлы... 

Update:

Упс... Кажется, атрибуты вообще в шаре не сохраняются. Просто без Этерсофтовой приблуды права сохранялись на момент текущей сессии (будут звонить юзеры и жаловаться, что раньше не было ни одного разрыва  ), а с ней - воообще нигде.
Вот как это выглядит без Этерсофта:

Код: [Выделить]

root@nb-malkov:/mnt/Files# chmod 007 t007
root@nb-malkov:/mnt/Files# chmod 070 t070
root@nb-malkov:/mnt/Files# chmod 700 t700
root@nb-malkov:/mnt/Files# ls -l t???
-------rwx 1 root root 0 2008-07-18 22:57 t007
----rwx--- 1 root root 0 2008-07-18 22:57 t070
-rwx------ 1 root root 0 2008-07-18 22:57 t700
root@nb-malkov:/mnt/Files# cd ..
root@nb-malkov:/mnt# umount /mnt/Files
root@nb-malkov:/mnt# mount -t cifs //192.168.1.50/Files /mnt/Files -o user=username,pass=somepass,iocharset=utf8
root@nb-malkov:/mnt# cd Files
root@nb-malkov:/mnt/Files# ls -l t???
-rwxrwSrwx 1 root root 0 2008-07-18 22:57 t007
-rwxrwSrwx 1 root root 0 2008-07-18 22:57 t070
-rwxrwSrwx 1 root root 0 2008-07-18 22:57 t700
root@nb-malkov:/mnt/Files#

[CharliCheder]

Прошу совета...

Настроил krb5.conf в соответствии с прочитаным.

[libdefaults]
        default_realm = SPB.ITB.RU
        ticket_lifetime = 24000
        clock_skew = 300

[realms]
        SPB.ITB.RU = {
                kdc = dc1.spb.itb.ru:88
                admin_server = dc1.spb.itb.ru:749
                default_domain = SPB.ITB.RU

[domain_realm]

        .SPB.ITB.RU = SPB.ITB.RU
        SPB.ITB.RU = SPB.ITB.RU

[logging]
        default = file:/var/log/krb5.log

выполняю kinit kam@SPB.ITB.RU получаю следующие

root@runtu:/var/log/samba# kinit kam@SPB.ITB.RU
kinit(v5): Improper format of Kerberos configuration file while initializing Kerberos 5 library

Потом устанавливаю самбу и настраиваю как прочитал. Перезапускаю службу.

[global]
        dos charset = cp866
        display charset = UTF-8
        workgroup = SPB
        realm = SPB.ITB.RU
        server string = %h server (Samba3.0.26a, Runtu2.0.1)
        security = ADS
        obey pam restrictions = Yes
        password server = 192.168.12.3
        passdb backend = tdbsam
        passwd program = /usr/bin/passwd %u
        passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *passwd:*password\supdated\ssuccessfully* .
        restrict anonymous = 2
        syslog = 0
        log file = /var/log/samba/log.%m
        max log size = 1000
        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
        os level = 0
        preferred master = No
        local master = No
        domain master = No
        dns proxy = No
        panic action = /usr/share/samba/panic-action %d
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        template homedir = /home/D%/%U
        template shell = /bin/bash
        winbind enum users = Yes
        winbind enum groups = Yes
        winbind use default domain = Yes
        winbind refresh tickets = Yes
        invalid users = root

[printers]
        comment = All Printers
        path = /var/spool/samba
        create mask = 0700
        printable = Yes
        browseable = No

[print$]
        comment = Printer Drivers
        path = /var/lib/samba/printers

Захожу в лог самбы вижу это

[2008/07/24 17:26:23, 1] libsmb/clikrb5.c:cli_krb5_get_ticket(675)
  cli_krb5_get_ticket: krb5_init_context failed (Improper format of Kerberos configuration file)
[2008/07/24 17:26:23, 0] printing/nt_printing.c:nt_printing_init(650)
  nt_printing_init: error checking published printers: WERR_ACCESS_DENIED

Что это может значить? Ничего не понимаю    нужен совет.

[doc]

"какое слово перевести?" =)

"Improper format of Kerberos configuration file"

В частности пропущена закрывающая фигурная скобка в [realms]

[squiber]

Люди добрыя, а подскажите как обойти вот такие грабли: По данному руководству все настроно и вогнано в домен. все видится, все работает, все заходит. НО! Если я пытаюсь зайти на сервак в какую нибуть шару, запрашивается пароль, причем его можно проигнорить, нажать "отмена" или "подключить" с пустым полем "пароль" и нормально заходит. где копать?

П.С дистриб Ubuntu 8,04,1 х64 домен на вин 2к3 sp2