samba+active directory [не решено]
Есть винсервер с active directory. Задача стоит в том, чтобы можно было логиниться на локальном компьютере с gentoo linux с доменными именами из AD. Раньше, кстати, всё уже было настроено и работало (не мной настраивалось), но при обновлении что-то умудрился поломать...
Конфиги не трогал, etc-update делал аккуратно, потому не знаю, что могло поломаться.
В общем, решил настроить заново, по мануалу http://en.gentoo-wiki.com/wiki/Active_Directory_with_Samba_and_Winbind
kerberos и samba вроде бы работают как надо. Дошёл до шага с getent - это команда не выводит ни список юзверей, ни список групп из AD. Только локальных. Почему-то. В то время как wbinfo всё нормально выводит.
В чём может быть проблема?
Вот файл /etc/nsswitch.conf - вроде бы всё как надо...
passwd: compat winbind shadow: compat winbind group: compat winbind hosts: files dns networks: files dns services: db files protocols: db files rpc: db files ethers: db files netmasks: files netgroup: files bootparams: files automount: files aliases: files
Ведь на этом шаге запнулся, неправильно работает nsswitch?..
Если нужны тексты других конфигов, тоже могу написать.
- Для комментирования войдите или зарегистрируйтесь
Этого малою Надо еще
Этого малою Надо еще настроить керберос и добавить сервер в ад. Процедура расписана неоднократно, в т.ч в книгах по самба и на оффсайте проекта. Вот одна из возможных ссылок на русском http://gentoo.blog.ru/77378147.html.
Сразу пробуем получить ключик
:(((. Печально и очень грустно.
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
:)))
А что не так?!?
С виндовсом так и надо!!!
:wq
--
Live free or die
Печально и очень грустно IMHO
Печально и очень грустно IMHO избыточное требование админского (которого именно :) ) пароля.
П.С По теме есть что сказать ?
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
Ну, это не проблема,
Ну, это не проблема, админские права у меня есть. Сервер не совсем мой, он общий, нас там, админов, много :) ибо серверов тоже много.
Но за линуксы отвечаю я, и мне надо с этим разобраться, никто из других админов помочь не может. :( Потому здесь и спрашиваю.
Спасибо, что ответили. Я
Спасибо, что ответили.
Я по-моему кинул ссылку на руководство %) керберос я настроил, и вообще всё настроил. Просто напряжно все конфиги сюда кидать, могу кинуть именно то, в чём я прокололся, но пока не понял.
Кербрерос вроде бы работает, права одминские на винсервере у меня есть...
Про то, что процедура описана, я знаю, но у меня конкретная проблема, а не "я не знаю, что мне делать, помогите".
Ни в одном руководстве решения пока не нашёл.
А запнулся я именно на том месте, что wbinfo отрабатывает нормально, а вот в линуксе я залогиниться под этими именами не могу %) getent не перечисляет их, хотя, если я правильно понял, должен.
pam я ещё не настраивал по тому руководству, как понял, это потом делается, когда убеждаются, что getent работает. Или я не прав?
Есть винсервер с active
Ваш ? (логи бы с него получить)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
В принципе, не проблема, могу
В принципе, не проблема, могу их получить, только подскажите, если можно, как. :)
Да и, повторюсь, проблема точно не в виндовсе, wbinfo видит нормально список сетевых юзверей и групп, но getent их не видит, и залогиниться под ними нет возможности.
wbinfo это ntlm, getent это
wbinfo это ntlm, getent это АД :)
врубить политикой для контроллера логгирование доступа и посмотреть по secyurity access логу события отказа
Также проверить синхронизацию времени с контроллера
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
> Также проверить
> Также проверить синхронизацию времени с контроллера
Время синхронизировал, всё нормально с этим.
> врубить политикой для контроллера логгирование доступа и посмотреть по secyurity access логу события отказа
А тут вообще не понял, можно поподробнее? %) А то контроллер не я настраивал...
Да и, повторюсь, там всё работает. И на старых компах с линуксами тоже работает. Проблема локальная, на новой системе.
.
В этом случае для анализа ИМХО список изменённых в рамках
etc-updateконфигов (и diff'ы проблемных с рабочими) будет поинтереснее логов виндового сервера.:wq
--
Live free or die
В том и проблема, что не
В том и проблема, что не помню, чтобы что-то менял. Потом мне надоело разбираться, решил заново всю систему из третьей стадии собрать. :) И поочерёдно настроить.
Настраиваю по тому руководству, что в ссылке в первом посте, и затыкаюсь на том месте. :(
Конфиг самбы и кербероса:
[global] security = domain # realm = CS.VSU.RU password server = csfs.cs.vsu.ru workgroup = CS # winbind separator = + winbind refresh tickets = yes domain master = no server string = %h dns proxy = no log file = /var/log/samba/log.%m max log size = 1000 syslog = 0 panic action = /usr/share/samba/panic-action %d passdb backend = tdbsam obey pam restrictions = yes invalid users = root unix password sync = yes passwd program = /usr/bin/passwd %u passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* . pam password change = yes logon home = \\%N\home$\%U socket options = TCP_NODELAY idmap backend = rid:CS.VSU.RU=70000-170000 idmap uid = 70000-170000 idmap gid = 70000-170000 template homedir = /home/%D/%U template shell = /bin/bash winbind enum groups = no winbind enum users = no client use spnego = yes client ntlmv2 auth = yes winbind use default domain = yes restrict anonymous = 2А вот керберос:
[libdefaults] default_realm = CS.VSU.RU # The following krb5.conf variables are only for MIT Kerberos. # krb4_config = /etc/krb.conf # krb4_realms = /etc/krb.realms kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true # The following encryption type specification will be used by MIT Kerberos # if uncommented. In general, the defaults in the MIT Kerberos code are # correct and overriding these specifications only serves to disable new # encryption types as they are added, creating interoperability problems. # default_tgs_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5 # default_tkt_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5 # permitted_enctypes = aes256-cts arcfour-hmac-md5 des3-hmac-sha1 des-cbc-crc des-cbc-md5 # The following libdefaults parameters are only for Heimdal Kerberos. v4_instance_resolve = false v4_name_convert = { host = { rcmd = host ftp = ftp } plain = { something = something-else } } fcc-mit-ticketflags = true [realms] CS.VSU.RU = { kdc = csfs.cs.vsu.ru admin_server = csfs.cs.vsu.ru default_domain = CS.VSU.RU } ATHENA.MIT.EDU = { kdc = kerberos.mit.edu:88 kdc = kerberos-1.mit.edu:88 kdc = kerberos-2.mit.edu:88 admin_server = kerberos.mit.edu default_domain = mit.edu } MEDIA-LAB.MIT.EDU = { kdc = kerberos.media.mit.edu admin_server = kerberos.media.mit.edu } ZONE.MIT.EDU = { kdc = casio.mit.edu kdc = seiko.mit.edu admin_server = casio.mit.edu } MOOF.MIT.EDU = { kdc = three-headed-dogcow.mit.edu:88 kdc = three-headed-dogcow-1.mit.edu:88 admin_server = three-headed-dogcow.mit.edu } CSAIL.MIT.EDU = { kdc = kerberos-1.csail.mit.edu kdc = kerberos-2.csail.mit.edu admin_server = kerberos.csail.mit.edu default_domain = csail.mit.edu krb524_server = krb524.csail.mit.edu } IHTFP.ORG = { kdc = kerberos.ihtfp.org admin_server = kerberos.ihtfp.org } GNU.ORG = { kdc = kerberos.gnu.org kdc = kerberos-2.gnu.org kdc = kerberos-3.gnu.org admin_server = kerberos.gnu.org } 1TS.ORG = { kdc = kerberos.1ts.org admin_server = kerberos.1ts.org } GRATUITOUS.ORG = { kdc = kerberos.gratuitous.org admin_server = kerberos.gratuitous.org } DOOMCOM.ORG = { kdc = kerberos.doomcom.org admin_server = kerberos.doomcom.org } ANDREW.CMU.EDU = { kdc = vice28.fs.andrew.cmu.edu kdc = vice2.fs.andrew.cmu.edu kdc = vice11.fs.andrew.cmu.edu kdc = vice12.fs.andrew.cmu.edu admin_server = vice28.fs.andrew.cmu.edu default_domain = andrew.cmu.edu } CS.CMU.EDU = { kdc = kerberos.cs.cmu.edu kdc = kerberos-2.srv.cs.cmu.edu admin_server = kerberos.cs.cmu.edu } DEMENTIA.ORG = { kdc = kerberos.dementia.org kdc = kerberos2.dementia.org admin_server = kerberos.dementia.org } stanford.edu = { kdc = krb5auth1.stanford.edu kdc = krb5auth2.stanford.edu kdc = krb5auth3.stanford.edu admin_server = krb5-admin.stanford.edu default_domain = stanford.edu } [domain_realm] .cs.vsu.ru = CS.VSU.RU cs.vsu.ru = CS.VSU.RU .mit.edu = ATHENA.MIT.EDU mit.edu = ATHENA.MIT.EDU .media.mit.edu = MEDIA-LAB.MIT.EDU media.mit.edu = MEDIA-LAB.MIT.EDU .csail.mit.edu = CSAIL.MIT.EDU csail.mit.edu = CSAIL.MIT.EDU .whoi.edu = ATHENA.MIT.EDU whoi.edu = ATHENA.MIT.EDU .stanford.edu = stanford.edu [login] krb4_convert = true krb4_get_tickets = falseТакие конфиги и были раньше до меня, и всё работало, я через etc-update ничего не затирал. :)
С проблемой с логином
С проблемой с логином разобрался. getent продолжал молчать - он ничего не знает о новых юзверях. Но логинятся они нормально.
Столкнулся с новой проблемой.
Есть вендовая шара, на которой хранятся профили всех пользователей. Разумно там же хранить и их линуксовый домашний каталог с настройками. Чтобы не приходилось каждый раз что-то там перенастраивать.
Напрямую его монтировать в /home/DOMAIN/user нельзя. Потому что там то ли какая-то байда с симлинками, то ли с fifo-файлами, то ли не помню. В общем, ущербная файловая система, или что-то ещё.
В идеале - смонтировать куда-нить в /media/home_user этот каталог, и скопировать при логине в /home/DOMAIN/user его содержимое. И после логаута синкать его с содержимым /media...
Как можно такое реализовать? Готового решения нет?