Автор Тема: Подружить Linux и Active Directory. Проблема с PAM  (Прочитано 26566 раз)

Оффлайн aus

  • Давно тут
  • **
  • Сообщений: 152
Требуется подключить клиентскую машину с altlinux 4.1 Desktop к windows серверу с Active Directory.
Хотелось бы полностью прозрачный простмотр сетевых ресурсов (SMB Browsing), пользователей хранить в Active Directory и управлять ими оттуда, вход на компьютер сделать для любого пользователя домена.
Что я сделал.
Настроил kerberos и samba. kinit и klist проходят успешно.
[root@mycomp pam.d]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@MYDOMAIN.LOCAL

Valid starting     Expires            Service principal
10/09/08 12:51:33  10/09/08 22:50:23  krbtgt/MYDOMAIN.LOCAL@MYDOMAIN.LOCAL
        renew until 10/10/08 12:51:33
Подключаю компьютер к домену
net ads join -U Administrator
Administrator's password:
Using short domain name -- MYDOMAIN
Joined 'MYCOMP' to realm 'MYDOMAIN.LOCAL'

wbinfo -u выдает список пользователей домена.
Подхожу к вопросу собственно авторизации, для этого нам нужно настроить PAM.
Во всех инструкциях, которые я встречал в интернете указано редактировать в папке /etc/pam.d/ файлы
common-account
common-auth
common-session
В altlinux я их не нашел, или их необходимо создать самому?


Оффлайн sysdba

  • Давно тут
  • **
  • Сообщений: 33
    • Email
Если настройка kerberos  и samba выполнены, то осталось внести необходимые изменения в процедуру аутентификации.
Пакет samba-common-3.X.X уже содержит шаблон конфигурационного файла PAM-модулей, для аутентификации через сервис winbind (system-auth-winbind).
Вносим изменения в этот файл (в системе он находится в /etc/pam.d/system-auth-winbind). Добавляем в строчку:
auth sufficient pam_winbind.soпараметры krb5_auth, krb5_ccache_type=FILE и cached_login. Указанная строка конфигурационного файла примет вид:
auth sufficient pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_loginЭто позволить производить аутентификацию с использованием Kerberos, а так же производить кэширование учетных записей пользователей, прошедших аутентификацию на данном компьютере. Кэширование позволит произвести аутентификацию в случае недоступности контроллера домена (сетевого окружения).
Дополнительно изменяем строку:
session  required       pam_mkhomedir.so skel=/etc/skel/ umask=0022на
session  required       pam_mkhomedir.so skel=/etc/skel/ umask=0077таким образом, в случае отсутствия домашнего каталога пользователя он будет создан с правами rwx------ (по умолчанию домашний каталог пользователя создавался бы с правами rwxr-xr-x).
Далее Вам необходимо определится каким образом пользователи будут проходить аутентификацию в системе, т.е. какое приложение будет отвечать за допуск пользователей из Active Directory к Linux-системе.
Пусть за процедуру аутентификации доменных пользователей отвечает KDE Desktop Manager (kdm).
Так же, в силу того, что предполагается использовать хранитель экрана KDE с блокировкой сеанса, необходимо чтобы это приложение тоже знало о пользователях из Active Directory.
Для решения этой задачи необходимо внести изменения в файлы:
/etc/pam.d/kde - отвечает за kdm
/etc/pam.d/kscreensaver - отвечает за хранитель экрана KDE
Файл /etc/pam.d/kde в нашем случае принимает вид:
#%PAM-1.0
auth     include        system-auth-winbind
auth     required       pam_nologin.so
account  include        system-auth-winbind
password include        system-auth-winbind
session  include        system-auth-winbind
session  optional       pam_console.so
т.е. мы все вхождения system-auth заменили на system-auth-winbind. Аналогично поступаем с файлом /etc/pam.d/kscreensaver, после чего он принимает вид:
#%PAM-1.0
auth     include        system-auth-winbind
password required       pam_deny.so
Последним этапом настройки необходимо добавить в файл /ets/nsswitch.conf слово winbind в следующих строках:
passwd:     files winbind nisplus nis
shadow:     tcb files winbind nisplus nis
group:      files winbind nisplus nis

Оффлайн ab

  • alt linux team
  • ***
  • Сообщений: 36
  • Непарный валенок
    • Email
Все именно так. Как тут помечать ответы, чтобы они сохранились хорошо доступными для других?

Оффлайн aus

  • Давно тут
  • **
  • Сообщений: 152
sysdba, вот это ответ. Большое спасибо.
ab, это надо просить администратора прикрепить тему.

Оффлайн astroill

  • Давно тут
  • **
  • Сообщений: 51
  • Астрономия и Линукс!
    • Кубанский Астроклуб 45
    • Email
Надо не тему прикреплять, а в FAQ заносить, а лучше в дистр как вариант подключения машины в AD.
Все, что я пишу - ИМХО и может не совпадать с реальностью.

Оффлайн bormant

  • Давно тут
  • **
  • Сообщений: 358
Надо не тему прикреплять, а в FAQ заносить, а лучше в дистр как вариант подключения машины в AD.
Надо и первое, и второе, и третье. Но первое уже сделано. И это лучше, чем ничего.

Оффлайн dvpartizan

  • Давно тут
  • **
  • Сообщений: 51
Вопрос по теме разработчикам: не планируется ли разработка модуля Альтератора для прозрачого гуёвого входа в AD, как это сделано, например, в Linux XP?

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 30 570
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Не планируется.

Оффлайн aus

  • Давно тут
  • **
  • Сообщений: 152
При kinit билет выдается на определённое время, приходиться запрашивать его снова. Как сделать автообновление билета?

Оффлайн agent_007

  • alt linux team
  • ***
  • Сообщений: 6
    • Email
При kinit билет выдается на определённое время, приходиться запрашивать его снова. Как сделать автообновление билета?

man kinit на тему '-l' и '-r'

Оффлайн aus

  • Давно тут
  • **
  • Сообщений: 152
Как вариант
Получаем билет сроком на один день
#kinit -r 24h aus@MYDOMAIN.LOCAL
Password for aus@MYDOMAIN:

Добавляем в крон задачу  kinit -R выполняться каждые 12 часов.
А что будет если компьютер будет выключен несколько суток? Придется kinit -r 24h aus@MYDOMAIN.LOCAL повторять снова? Нельзя ли сделать так чтобы пользователь вводил пароль только один раз на этапе входа в kde (KDE Desktop Manager)?

Оффлайн agent_007

  • alt linux team
  • ***
  • Сообщений: 6
    • Email
Как вариант
Получаем билет сроком на один день
#kinit -r 24h aus@MYDOMAIN.LOCAL
Password for aus@MYDOMAIN:

Добавляем в крон задачу  kinit -R выполняться каждые 12 часов.
А что будет если компьютер будет выключен несколько суток? Придется kinit -r 24h aus@MYDOMAIN.LOCAL повторять снова? Нельзя ли сделать так чтобы пользователь вводил пароль только один раз на этапе входа в kde (KDE Desktop Manager)?

http://www.linuxtopia.org/online_books/centos_linux_guides/centos_linux_reference_guide/s1-kerberos-server.html

"If a graphical user interface is required to administrate Kerberos, install the gnome-kerberos  package. It contains krb5, a GUI tool for managing tickets. "

ну и вызов "GUI tool for managing tickets" можно забросить либо в Autostart в KDE, либо в $HOME/.xsession.d

Оффлайн Sloth

  • Завсегдатай
  • *
  • Сообщений: 7
    • Email
Если настройка kerberos  и samba выполнены, то осталось внести необходимые изменения в процедуру аутентификации.
...
Ай-ай-ай ... А ссылочку на первоисточник все же стоит указывать ;)

http://everest.kaluga.ru/support/viewtopic.php?pid=12#p12

Оффлайн Pinguin

  • Начинающий
  • *
  • Сообщений: 4
Цитировать
etc/pam.d/kscreensaver, после чего он принимает вид:
Код:

#%PAM-1.0
auth     include        system-auth-winbind
password required       pam_deny.so

У меня не выходит из скринсейвера... пишет ошибка входа пользователя... в kdm нормально заходит.
Помогите!

Оффлайн eho

  • Начинающий
  • *
  • Сообщений: 1
    • Email
Вопрос по теме разработчикам: не планируется ли разработка модуля Альтератора для прозрачого гуёвого входа в AD, как это сделано, например, в Linux XP?
http://www.altlinux.org/ALT_Linux_5.0_Desktop/
ALT Linux 5.0 Desktop/Планы
Планируемая дата релиза: март-апрель 2009 года.
...
Графическая программа входа в домен Active Directory (как в SuSE и Linux XP)
...