Вход в домен в rc1-centaurus

[Salomatin]

Не могу войди в домен в rc1-centaurus. В мартовской версии все получалось.
Ставил по http://forum.altlinux.org/index.php/topic,29138.msg204188.html#msg204188
Привожу выводы команд мартовской и rc1 версии:

Удачный мартовский:

Код: [Выделить]

[root@mart-15 ~]# alterator-cmdline /net-domain action read

domain:mart.alt
resolver:ERROR: nameserver 127.0.0.1 not present in resolv.conf
access:OK
ldap:Error: connect to ldaps://mart-15.mart.alt failed
kdc:OK
smb:OK (MART.ALT)
dhcpd:OK
master:#t

Код: [Выделить]

[root@mart-15 ~]# net rpc group members 'Domain Admins' -Uad%333
MART.ALT\ad


Код: [Выделить]

[root@mart-15 ~]# net rpc rights list accounts -Uad
Enter ad's password:
BUILTIN\Print Operators
No privileges assigned

BUILTIN\Account Operators
No privileges assigned

BUILTIN\Backup Operators
No privileges assigned

BUILTIN\Server Operators
No privileges assigned

MART.ALT\Domain Admins
SeMachineAccountPrivilege
SeRemoteShutdownPrivilege                                                                                                                                                   
SePrintOperatorPrivilege                                                                                                                                                   
SeAddUsersPrivilege                                                                                                                                                         
SeDiskOperatorPrivilege                                                                                                                                                     
                                                                                                                                                                           
BUILTIN\Administrators
SeMachineAccountPrivilege
SeTakeOwnershipPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeRemoteShutdownPrivilege
SePrintOperatorPrivilege
SeAddUsersPrivilege
SeDiskOperatorPrivilege
SeSecurityPrivilege
SeSystemtimePrivilege
SeShutdownPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeSystemProfilePrivilege
SeProfileSingleProcessPrivilege
SeIncreaseBasePriorityPrivilege
SeLoadDriverPrivilege
SeCreatePagefilePrivilege
SeIncreaseQuotaPrivilege
SeChangeNotifyPrivilege
SeUndockPrivilege
SeManageVolumePrivilege
SeImpersonatePrivilege
SeCreateGlobalPrivilege
SeEnableDelegationPrivilege

Everyone
No privileges assigned

Код: [Выделить]

[root@mart-15 ~]# net join -Uad%333
Joined domain MART.ALT.
[root@mart-15 ~]# ldap-getent ws
comp$::5001
mart-15$::5003
Неудачной  rc1 версии:

Код: [Выделить]

[root@rc1-15 samba]# alterator-cmdline /net-domain action read

domain:rc.lin
resolver:OK
access:OK
ldap:OK
kdc:OK
smb:OK (RC.LIN)                                                                                                                                                             
dhcpd:OK                                                                                                                                                                   
master:#t     
Время проверил, совпадает

Код: [Выделить]

[root@rc1-15 samba]# net rpc group members 'Domain Admins' -Uad%333                                                                                                         
RC.LIN\ad

Код: [Выделить]

[root@rc1-15 samba]# net rpc group members 'Domain Admins' -Uad%333                                                                                                         
RC.LIN\ad


Код: [Выделить]

[root@rc1-15 samba]# net rpc rights list accounts -Uad
Enter ad's password:
BUILTIN\Print Operators
No privileges assigned

BUILTIN\Account Operators
No privileges assigned

BUILTIN\Backup Operators
No privileges assigned

BUILTIN\Server Operators
No privileges assigned

BUILTIN\Administrators
SeMachineAccountPrivilege
SeTakeOwnershipPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeRemoteShutdownPrivilege
SePrintOperatorPrivilege
SeAddUsersPrivilege
SeDiskOperatorPrivilege
SeSecurityPrivilege
SeSystemtimePrivilege
SeShutdownPrivilege
SeDebugPrivilege
SeSystemEnvironmentPrivilege
SeSystemProfilePrivilege
SeProfileSingleProcessPrivilege
SeIncreaseBasePriorityPrivilege
SeLoadDriverPrivilege
SeCreatePagefilePrivilege
SeIncreaseQuotaPrivilege
SeChangeNotifyPrivilege
SeUndockPrivilege
SeManageVolumePrivilege
SeImpersonatePrivilege
SeCreateGlobalPrivilege
SeEnableDelegationPrivilege

Everyone
No privileges assigned

RC.LIN\Domain Admins
SeMachineAccountPrivilege
SeRemoteShutdownPrivilege
SePrintOperatorPrivilege
SeAddUsersPrivilege
SeDiskOperatorPrivilege

Код: [Выделить]

[root@rc1-15 samba]# net join -Uad%333
Creation of workstation account failed
Unable to join domain RC.LIN.

Код: [Выделить]

[root@rc1-15 samba]# ldap-getent ws
[root@rc1-15 samba]#

Говорит: "Не найдено имя пользователя"
т.е. клиент сервер видит, время совпадает, на другое имя и пароль ругается нормально, но не видит администратора домена "ad"

[Skull]

Надо смотреть в /etc/samba/smb.conf и попробовать вручную через ldap-useradd -w -i добавить машину.

[Salomatin]

Код: [Выделить]

[root@rc1-15 samba]# ldap-useradd -w -i
ldap-useradd: only small latin letters, digits, dot, '-' and '_' are allowed in username
а на мартовской:

Код: [Выделить]

[root@mart-15 sbin]# ldap-useradd -w -i
[root@mart-15 sbin]#

[Salomatin]

поправил 105 строчку в скрипте /usr/sbin/ldap-useradd

перед egrep поставил #
 

Код: [Выделить]

# Check for username has only lowercase latin letters, digits, dot and '_'
echo "$user" | #egrep '^[a-z][\.a-z0-9_-]*$' >/dev/null || fatal "only small latin letters, digits, dot, '-' and '_' are allowed in username"
чтобы не ругалась и прошла команда

Код: [Выделить]

[root@rc1-15 sbin]# ldap-useradd -w -i ad

после чего все заработало.

Но хорошо это или плохо не знаю.

ad появился

Код: [Выделить]

[root@rc1-15 sbin]# net join -Uad%333
Joined domain RC.LIN.
а вновь зарегистрированный aad  автоматически не подключился через ЦУС

Код: [Выделить]

[root@rc1-15 sbin]# net join -Uaad%333
could not open domain: NT_STATUS_ACCESS_DENIED
Unable to join domain RC.LIN.

[Skull]

Ага, понятно. Я сделал проверку на валидность имени пользователя, а на имя машины (а там обязательно встречается $) не сделал. Спасибо за замечание, сегодня исправлю.

[Skull]

Исправил в ldap-user-tools-0.8.4-alt1

[Skull]

Выяснилась новые проблемы:
* появляется диалог Невозможно установить INF. Причина: нет прав доступа
* Не выполняется скрипт netlogon.bat

Буду признателен, если поможете найти и устранить причины.

[Salomatin]

Выяснилась новые проблемы:
* появляется диалог Невозможно установить INF. Причина: нет прав доступа
* Не выполняется скрипт netlogon.bat

Не знаю, не знаю. Не увидел никаких проблем. Слету все получилось из коробки.
Еще по тестирую.
Заменил на ldap-user-tools-0.8.4-alt1 и все работает.

Может напрасны ваши опасения и связаны с неаккуратным тестированием.
Завтра упадет в репозиторий и посмотрю еще.
О результатах и своем мнении сообщу.
 

[Skull]

Тестировал на Windows XP. Может из-за версии ОС.

[Salomatin]

Проверю на других еще.

[Salomatin]

Не нашел ошибок.
У меня все штатно.
Поставил все на чистую.
Вновь установленный сервер и рабочие станции Windows XP
Все работает.

[Skull]

Не нашел ошибок.
У меня все штатно.
Поставил все на чистую.
Вновь установленный сервер и рабочие станции Windows XP
Все работает.

Ну и славно. Возможно, какая-то кривая сборка у меня.

P.S. Пожелания приветствуются. В частности, теперь в alterator-ldap-groups появилась вклдака, где можно привязать группу к системной Unix или к группе Samba (как раз для Windows-машин). Буду признателен за тестирование в живой эксплуатации.

[ApB]

Ну и славно. Возможно, какая-то кривая сборка у меня.

Оську накатил, попробовал авторизоваться и если netlogon - фиксированное имя файла, то всё ОК. Если logon script = %G, то возникает проблема с тем, чтобы выставить правильную primary group. Создал я пользователя usr и хоть ввёл в группу для samba - всё одно он для системы входит в группу usr с точки зрения системы. ИМХО тут-бы галку для выполнения установки приоритетной группы.

Вот только вопрос - по что привязка к системной группе? Как пригодится может?

[Skull]

Ну и славно. Возможно, какая-то кривая сборка у меня.

Оську накатил, попробовал авторизоваться и если netlogon - фиксированное имя файла, то всё ОК. Если logon script = %G, то возникает проблема с тем, чтобы выставить правильную primary group. Создал я пользователя usr и хоть ввёл в группу для samba - всё одно он для системы входит в группу usr с точки зрения системы. ИМХО тут-бы галку для выполнения установки приоритетной группы.

Вот только вопрос - по что привязка к системной группе? Как пригодится может?

При использовании на Linux-машинах.

[ApB]

Бодрого времени суток!

Наблюдается следующие неприятности ... при эксплуатации домена:
 1. При авторизации сама samba интерпретирует пользователя как принадлежащего группе, но локальная система не знает о существовании группы созданной в ldap.

 Например:
через samba шарим папку share2 и вешаем на директорию ограничение 770 владельце=root, группе=пользовательской группе, куда был добавлен пользователь.  В smb.conf  в свойства директории добавляем аналогичную маску для доступа к шаре. В результате: доступ к шаре у пользователя есть, однако пользователь, являясь входящим в группу, не может создать чего-либо в директории. Вариант лечить это - пока только делать права на папку за пределами samba = 777. В этом случае, на созданный в директории файл, при просмотре на него прав через домен и пользователь и группа = имени пользователя.  При попытке попасть в директорию пользователем, не разрешённым в samba из windows - не пускает (пока найти способа не удалось) а при авторизации linux-систем доступ к директории полный ... что не очень хорошо в гетерогенной сети.

Вероятно "скапитаню", но варианты решения:
- доступный всем - создать системную группу и привязать не только к samba, но и к этой системной группе. Этой системной группе дать права на директорию. Например: лдап-группа=100, самба-группа=100, локальная группа=... тут получается ... в принципе любая ( отличная от созданной, ибо при попытке создать группу 100 - будет сказано "100 не может быть именем группы) осуществить привязку samba к системной группе и для этой системной группы задать права на папку.
- системный - сделать доступным вариант авторизации krb+ldap ... если я правильно понял механику процесса ... =)

2. netlogon вешать возможно либо общий, либо netlogon=%u. Однако это проблемно в виду "человеческого фактора".