Автор Тема: Подружить Linux и Active Directory. Проблема с PAM  (Прочитано 30201 раз)

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Как я понял, в Схеме придется использовать bash... Попробую ченить нарисовать в эти выходные :)
Необязательно, бекенды могут быть на любом скриптовом языке (Bash, AWK, Python, Perl, PHP и т.п.) и на любом компилируемом языке.
Андрей Черепанов (cas@)

Оффлайн alehander

  • Завсегдатай
  • *
  • Сообщений: 321
    • Email
Господа я нашел сейчас хорошую инструкцию для убунту
http://techwork.ru/2008/08/09/join-linux-to-domain/
Будет ли в будущем создан такой пакет для альта?
Если нет то может сообща сделаем нормальный fag?

Оффлайн aus

  • Завсегдатай
  • *
  • Сообщений: 152
alehander, прочитай вторую страницу этой темы.

Оффлайн alehander

  • Завсегдатай
  • *
  • Сообщений: 321
    • Email
ссылку на скрипт увидел,
мне и надо вагонами :)
в понедельник отпишусь

Оффлайн alehander

  • Завсегдатай
  • *
  • Сообщений: 321
    • Email
скрипт останавливается  на установке пакетов. что посоветуйте?
Ручками изменил имя узла в /etc/sysconfig/network. Добавил узел в днс.
Что то пока скрипт не работает.
« Последнее редактирование: 06.04.2009 13:49:33 от alehander »

Оффлайн alehander

  • Завсегдатай
  • *
  • Сообщений: 321
    • Email
скрипт отработал на линукс лайт 4.0.

Оффлайн alehander

  • Завсегдатай
  • *
  • Сообщений: 321
    • Email
но убил cups.
После того какбыл сделан откат скрипта назад и  "гостевой доступ к принтерам" был закоментирован, потом я снова запустил скрипт.
cups появился.

Оффлайн alehander

  • Завсегдатай
  • *
  • Сообщений: 321
    • Email
Если настройка kerberos  и samba выполнены, то осталось внести необходимые изменения в процедуру аутентификации.
Пакет samba-common-3.X.X уже содержит шаблон конфигурационного файла PAM-модулей, для аутентификации через сервис winbind (system-auth-winbind).
Вносим изменения в этот файл (в системе он находится в /etc/pam.d/system-auth-winbind). Добавляем в строчку:
auth sufficient pam_winbind.soпараметры krb5_auth, krb5_ccache_type=FILE и cached_login. Указанная строка конфигурационного файла примет вид:
auth sufficient pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_loginЭто позволить производить аутентификацию с использованием Kerberos, а так же производить кэширование учетных записей пользователей, прошедших аутентификацию на данном компьютере. Кэширование позволит произвести аутентификацию в случае недоступности контроллера домена (сетевого окружения).
Дополнительно изменяем строку:
session  required       pam_mkhomedir.so skel=/etc/skel/ umask=0022на
session  required       pam_mkhomedir.so skel=/etc/skel/ umask=0077таким образом, в случае отсутствия домашнего каталога пользователя он будет создан с правами rwx------ (по умолчанию домашний каталог пользователя создавался бы с правами rwxr-xr-x).
Далее Вам необходимо определится каким образом пользователи будут проходить аутентификацию в системе, т.е. какое приложение будет отвечать за допуск пользователей из Active Directory к Linux-системе.
Пусть за процедуру аутентификации доменных пользователей отвечает KDE Desktop Manager (kdm).
Так же, в силу того, что предполагается использовать хранитель экрана KDE с блокировкой сеанса, необходимо чтобы это приложение тоже знало о пользователях из Active Directory.
Для решения этой задачи необходимо внести изменения в файлы:
/etc/pam.d/kde - отвечает за kdm
/etc/pam.d/kscreensaver - отвечает за хранитель экрана KDE
Файл /etc/pam.d/kde в нашем случае принимает вид:
#%PAM-1.0
auth     include        system-auth-winbind
auth     required       pam_nologin.so
account  include        system-auth-winbind
password include        system-auth-winbind
session  include        system-auth-winbind
session  optional       pam_console.so
т.е. мы все вхождения system-auth заменили на system-auth-winbind. Аналогично поступаем с файлом /etc/pam.d/kscreensaver, после чего он принимает вид:
#%PAM-1.0
auth     include        system-auth-winbind
password required       pam_deny.so
Последним этапом настройки необходимо добавить в файл /ets/nsswitch.conf слово winbind в следующих строках:
passwd:     files winbind nisplus nis
shadow:     tcb files winbind nisplus nis
group:      files winbind nisplus nis


У меня линукс лайт и там нет кде. 
/etc/pam.d/kde - отвечает за kdm
/etc/pam.d/kscreensaver - отвечает за хранитель экрана KDE
какие файлы изменить если стоит Xfce?

Оффлайн alehander

  • Завсегдатай
  • *
  • Сообщений: 321
    • Email
аналогом /etc/pam.d/kde является xdm
/etc/pam.d/kscreensaver -screensaver.jold

машина ушла в ребут и никого не узнаёт, даже рута.
Как добавить пользователя из AD?
« Последнее редактирование: 08.05.2009 11:36:35 от alehander »

Оффлайн Tonic

  • Начинающий
  • *
  • Сообщений: 2
А подскажите, пожалуйста с правами у доменных пользователей.Как написано тут в инструкции, я вогнал компьютер в домен, авторизация доменных пользователей проходит. Но как я понимаю, права этих пользователей, сильно ограничены. Как дать права этим доменным пользователям на каталоги, такие же как по умолчанию у локальных пользователей?

Оффлайн alehander

  • Завсегдатай
  • *
  • Сообщений: 321
    • Email
их надо добавлять в локальные группы.
Уважаемый Tonic , а у вас доменный юзер загрузился на альт?

Оффлайн Tonic

  • Начинающий
  • *
  • Сообщений: 2
Да, доменный пользователь загрузился без проблем.
Проблему с правами решил, может кому-то пригодится:
оказывается нужно было добавить в файл /etc/pam.d/system-auth-winbind перед первой недокументированной строкой, строку:
auth optional pam_group.so

Оффлайн smaharbA

  • Завсегдатай
  • *
  • Сообщений: 121
  • Здесь лежит М.С. Паниковский, человек без паспорта
    • Email
с каких пор доменных нужно добавлять в локальные ?

Tonic не "пагань" имеющиеся добавь какой нибудь common

и DOMAIN{тутразделитель}user как думает большинство - практически не нужно, достаточно только имя (если у вас конечно не сложная схема с доверием-недоверием и подчиненностью)
« Последнее редактирование: 31.05.2009 21:31:11 от smaharbA »
Я конечно далек от мысли...(с)

Оффлайн Lo$eR

  • Начинающий
  • *
  • Сообщений: 2
    • Email
Вопрос по теме разработчикам: не планируется ли разработка модуля Альтератора для прозрачого гуёвого входа в AD, как это сделано, например, в Linux XP?
http://www.altlinux.org/ALT_Linux_5.0_Desktop/
ALT Linux 5.0 Desktop/Планы
Планируемая дата релиза: март-апрель 2009 года.
...
Графическая программа входа в домен Active Directory (как в SuSE и Linux XP)
...

Моё мнение: эти вещи представляют собой основной хлеб линукс-разработчиков, внедрителей, интеграторов и прочих. И они все как угодно долго будут тянуть резину под разными соусами, как то "перевожу KDE4" и прочая бла-бла-бла. Нужный гуй для основного функционала появляется очень медленно в любом дистре, т.к. кормятся все незнанием и нежеланием копаться в коде, а кушать-то всем хочется. Он весь линукс вот такой, "бесплатный" типа

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Нужный гуй для основного функционала появляется очень медленно в любом дистре, т.к. кормятся все незнанием и нежеланием копаться в коде, а кушать-то всем хочется. Он весь линукс вот такой, "бесплатный" типа
Кому нужны костыли — могут или стимулировать своими деньгами решение своих проблем или не использовать костыли. Всё, как в любом человеческом обществе. СПО и Linux тут не исключение.

Так что не обобщайте — есть множество нормальных решений. Если вы не видели ничего другого, кроме AD, то это не проблемы разработчиков, не находите?
Андрей Черепанов (cas@)