Подружить Linux и Active Directory. Проблема с PAM

[aus]

Требуется подключить клиентскую машину с altlinux 4.1 Desktop к windows серверу с Active Directory.
Хотелось бы полностью прозрачный простмотр сетевых ресурсов (SMB Browsing), пользователей хранить в Active Directory и управлять ими оттуда, вход на компьютер сделать для любого пользователя домена.
Что я сделал.
Настроил kerberos и samba. kinit и klist проходят успешно.

Код: [Выделить]

[root@mycomp pam.d]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@MYDOMAIN.LOCAL

Valid starting     Expires            Service principal
10/09/08 12:51:33  10/09/08 22:50:23  krbtgt/MYDOMAIN.LOCAL@MYDOMAIN.LOCAL
        renew until 10/10/08 12:51:33
Подключаю компьютер к домену

Код: [Выделить]

net ads join -U Administrator
Administrator's password:
Using short domain name -- MYDOMAIN
Joined 'MYCOMP' to realm 'MYDOMAIN.LOCAL'
wbinfo -u выдает список пользователей домена.
Подхожу к вопросу собственно авторизации, для этого нам нужно настроить PAM.
Во всех инструкциях, которые я встречал в интернете указано редактировать в папке /etc/pam.d/ файлы
common-account
common-auth
common-session
В altlinux я их не нашел, или их необходимо создать самому?

[sysdba]

Если настройка kerberos  и samba выполнены, то осталось внести необходимые изменения в процедуру аутентификации.
Пакет samba-common-3.X.X уже содержит шаблон конфигурационного файла PAM-модулей, для аутентификации через сервис winbind (system-auth-winbind).
Вносим изменения в этот файл (в системе он находится в /etc/pam.d/system-auth-winbind). Добавляем в строчку:

Код: [Выделить]

auth sufficient pam_winbind.soпараметры krb5_auth, krb5_ccache_type=FILE и cached_login. Указанная строка конфигурационного файла примет вид:

Код: [Выделить]

auth sufficient pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_loginЭто позволить производить аутентификацию с использованием Kerberos, а так же производить кэширование учетных записей пользователей, прошедших аутентификацию на данном компьютере. Кэширование позволит произвести аутентификацию в случае недоступности контроллера домена (сетевого окружения).
Дополнительно изменяем строку:

Код: [Выделить]

session  required       pam_mkhomedir.so skel=/etc/skel/ umask=0022на

Код: [Выделить]

session  required       pam_mkhomedir.so skel=/etc/skel/ umask=0077таким образом, в случае отсутствия домашнего каталога пользователя он будет создан с правами rwx------ (по умолчанию домашний каталог пользователя создавался бы с правами rwxr-xr-x).
Далее Вам необходимо определится каким образом пользователи будут проходить аутентификацию в системе, т.е. какое приложение будет отвечать за допуск пользователей из Active Directory к Linux-системе.
Пусть за процедуру аутентификации доменных пользователей отвечает KDE Desktop Manager (kdm).
Так же, в силу того, что предполагается использовать хранитель экрана KDE с блокировкой сеанса, необходимо чтобы это приложение тоже знало о пользователях из Active Directory.
Для решения этой задачи необходимо внести изменения в файлы:
/etc/pam.d/kde - отвечает за kdm
/etc/pam.d/kscreensaver - отвечает за хранитель экрана KDE
Файл /etc/pam.d/kde в нашем случае принимает вид:

Код: [Выделить]

#%PAM-1.0
auth     include        system-auth-winbind
auth     required       pam_nologin.so
account  include        system-auth-winbind
password include        system-auth-winbind
session  include        system-auth-winbind
session  optional       pam_console.soт.е. мы все вхождения system-auth заменили на system-auth-winbind. Аналогично поступаем с файлом /etc/pam.d/kscreensaver, после чего он принимает вид:

Код: [Выделить]

#%PAM-1.0
auth     include        system-auth-winbind
password required       pam_deny.so
Последним этапом настройки необходимо добавить в файл /ets/nsswitch.conf слово winbind в следующих строках:

Код: [Выделить]

passwd:     files winbind nisplus nis
shadow:     tcb files winbind nisplus nis
group:      files winbind nisplus nis

[ab]

Все именно так. Как тут помечать ответы, чтобы они сохранились хорошо доступными для других?

[aus]

sysdba, вот это ответ. Большое спасибо.
ab, это надо просить администратора прикрепить тему.

[astroill]

Надо не тему прикреплять, а в FAQ заносить, а лучше в дистр как вариант подключения машины в AD.

[bormant]

Надо не тему прикреплять, а в FAQ заносить, а лучше в дистр как вариант подключения машины в AD.

Надо и первое, и второе, и третье. Но первое уже сделано. И это лучше, чем ничего.

[dvpartizan]

Вопрос по теме разработчикам: не планируется ли разработка модуля Альтератора для прозрачого гуёвого входа в AD, как это сделано, например, в Linux XP?

[ruslandh]

Не планируется.

[aus]

При kinit билет выдается на определённое время, приходиться запрашивать его снова. Как сделать автообновление билета?

[agent_007]

При kinit билет выдается на определённое время, приходиться запрашивать его снова. Как сделать автообновление билета?

man kinit на тему '-l' и '-r'

[aus]

Как вариант
Получаем билет сроком на один день
#kinit -r 24h aus@MYDOMAIN.LOCAL
Password for aus@MYDOMAIN:

Добавляем в крон задачу  kinit -R выполняться каждые 12 часов.
А что будет если компьютер будет выключен несколько суток? Придется kinit -r 24h aus@MYDOMAIN.LOCAL повторять снова? Нельзя ли сделать так чтобы пользователь вводил пароль только один раз на этапе входа в kde (KDE Desktop Manager)?

[agent_007]

Как вариант
Получаем билет сроком на один день
#kinit -r 24h aus@MYDOMAIN.LOCAL
Password for aus@MYDOMAIN:

Добавляем в крон задачу  kinit -R выполняться каждые 12 часов.
А что будет если компьютер будет выключен несколько суток? Придется kinit -r 24h aus@MYDOMAIN.LOCAL повторять снова? Нельзя ли сделать так чтобы пользователь вводил пароль только один раз на этапе входа в kde (KDE Desktop Manager)?

http://www.linuxtopia.org/online_books/centos_linux_guides/centos_linux_reference_guide/s1-kerberos-server.html

"If a graphical user interface is required to administrate Kerberos, install the gnome-kerberos  package. It contains krb5, a GUI tool for managing tickets. "

ну и вызов "GUI tool for managing tickets" можно забросить либо в Autostart в KDE, либо в $HOME/.xsession.d

[Sloth]

Если настройка kerberos  и samba выполнены, то осталось внести необходимые изменения в процедуру аутентификации.
...

Ай-ай-ай ... А ссылочку на первоисточник все же стоит указывать ;)

http://everest.kaluga.ru/support/viewtopic.php?pid=12#p12

[Pinguin]

etc/pam.d/kscreensaver, после чего он принимает вид:
Код:

#%PAM-1.0
auth     include        system-auth-winbind
password required       pam_deny.so

У меня не выходит из скринсейвера... пишет ошибка входа пользователя... в kdm нормально заходит.
Помогите!

[eho]

Вопрос по теме разработчикам: не планируется ли разработка модуля Альтератора для прозрачого гуёвого входа в AD, как это сделано, например, в Linux XP?

http://www.altlinux.org/ALT_Linux_5.0_Desktop/
ALT Linux 5.0 Desktop/Планы
Планируемая дата релиза: март-апрель 2009 года.
...
Графическая программа входа в домен Active Directory (как в SuSE и Linux XP)
...