Коллеги,Я так понимаю эта штука работает у людей с убунтой < 9.04?! усиленно курил маны и отечественные и импортные (к слову - отечественные в большей степени более профессиональные) так вот никак не могу сделать:
есть mintlinux7 (ubuntu 9.04) член WINDOWS !!!!! NT4 domain
добавлен в домен как net rpc join ...
пользователи входят под своими доменными учетными записями в Gnome и под них всё автоматом создается домашний каталог и прочее... могут открыть в Nautilus сетевое окружение и видят все домены и могут заходить на все серверы (NT4, Win2000) и видят все шары (это я так понимаю anonymous smb browsing). но когда тыкаются к любую шару куда и них ЕСТЬ доступ выдается окошко введите имя пользователя и пароль. (там кстати уже прописан текущий пользователь и прописан текущий домен сразу) После ввода пароля сессно всё работает на ура, но хочется чтобы пользователю не нужно было вводить пароль при подключении к любому ресурсу в домене куда у него есть доступ. (как в винде) как этого добиться???? Хочется прозрачной авторизации при хождении по SMB ресурсам, ведь я уже залогировался в систему ДОМЕННЫМ пользователем...в той же самой конфигурации но при подключении к AD (w2k3 домен) всё работает на ура, прозрачная авторизация есть... сейчас попробовал через likewise тоже - в AD домен цепляется на раз и всё открывается без всяких паролей!!! даже сетевые документы с русскими именами на видновых серверах открываются в опенофисе по сети прямо!!!! что за гребаная хрень с NT4 как победить... я не могу для всего управления таможни по региону менять NT4... факин щит!!!! Sad(((
сейчас попробовал ubuntu 9.10rc, mintlinux7 и opensuse11.2rc1 в NT4 домене все спрашивают пароль, а если входишь в AD домен то всё нормально - авторизация прозрачная. сцуко...
кстати в opensuse есть встроенные их коробки инструменты для добавление в домен как NT4 так и AD, а так же для создания PDC на хосте.
так что ничего нигде в конфигах прописывать ненужно (хотя я всегда пишу руками! Smiley )
версия системы:mint7-test samba # uname -a
Linux mint7-test 2.6.28-11-generic #42-Ubuntu SMP Fri Apr 17 01:57:59 UTC 2009 i686 GNU/Linux
UBUNTU 9.04!!!все проверки на членство в домене и заход по ssh и в GNOME доменными пользователями работает успешно в том числе getent.
Проверки:
mint7-test samba # wbinfo -t
checking the trust secret via RPC calls succeededmint7-test samba # wbinfo -D RAIL
Name : RAIL
Alt_Name :
SID : S-1-5-21-433347482-382690077-1637365974
Active Directory : No
Native : No
Primary : Yesmint7-test samba # wbinfo -g
domain admins
domain guests
domain users
exchange adminsmint7-test samba # wbinfo -u
administrator
exchangesrv
guest
getent paswd
administrator:*:10706:10003::/home/RAIL/administrator:/bin/bash
exchangesrv:*:10710:10003:Exchange Server account:/home/RAIL/exchangesrv:/bin/bash
guest:*:10711:10003::/home/RAIL/guest:/bin/bash
test:*:10789:10003::/home/RAIL/test:/bin/bash
vk:*:10785:10003:Красильников Валерий Александрович:/home/RAIL/vk:/bin/bashPAM модули:
# /etc/pam.d/common-auth - authentication settings common to all services#добавил руками
-----------
auth sufficient pam_unix.so nullok_secure
-----------auth sufficient pam_winbind.so use_first_pass use_authtok
auth requisite pam_deny.so
auth required pam_permit.so
auth optional pam_ecryptfs.so unwrap# /etc/pam.d/common-session - session-related modules common to all services
session [default=1] pam_permit.so
session requisite pam_deny.so
session required pam_permit.so
session required pam_unix.so#добавил руками
-----------
session required pam_mkhomedir.so umask=0022 skel=/etc/skel/
session sufficient pam_winbind.so use_first_pass use_authtok
------------
session optional pam_ecryptfs.so unwrap
session optional pam_ck_connector.so nox11# /etc/pam.d/common-account - authorization settings common to all services
account sufficient pam_unix.so#добавил руками
-----------
account sufficient pam_winbind.so user_first_pass use_authtok
-----------account requisite pam_deny.so
account required pam_permit.so
# /etc/pam.d/common-password - password-related modules common to all services#добавил руками
-----------
password sufficient pam_unix.so obscure sha512
password sufficient pam_winbind.so use_first_pass use_authtok
-----------password requisite pam_deny.so
password required pam_permit.so
password optional pam_ecryptfs.somint7-test samba # cat /etc/pam.d/gdm
#%PAM-1.0
auth requisite pam_nologin.so
auth required pam_env.so readenv=1
auth required pam_env.so readenv=1 envfile=/etc/default/locale
@include common-auth
auth optional pam_gnome_keyring.so
@include common-account
session required pam_limits.so
@include common-session
session optional pam_gnome_keyring.so auto_start
@include common-password
mint7-test samba # cat /etc/samba/smb.conf[global]
workgroup = RAIL
server string = %h server (Samba, mintLinux7)
wins support = no
wins server = 10.0.16.200
dns proxy = no
name resolve order = lmhosts host wins bcast; bind interfaces only = yes
log file = /var/log/samba/log.%m
max log size = 1000
# syslog only = no
syslog = 0
panic action = /usr/share/samba/panic-action %d
security = domain
encrypt passwords = true
passdb backend = tdbsam
obey pam restrictions = yes
unix password sync = yes
# passwd program = /usr/bin/passwd %u
# passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
pam password change = yes
map to guest = bad user
domain logons = no
; logon path = \\%N\profiles\%U
# logon path = \\%N\%U\profile
; logon drive = H:
# logon home = \\%N\%U
; logon script = logon.cmd
; add user script = /usr/sbin/adduser --quiet --disabled-password --gecos "" %u
; add machine script = /usr/sbin/useradd -g machines -c "%u machine account" -d /var/lib/samba -s /bin/false %u
; add group script = /usr/sbin/addgroup --force-badname %g
# load printers = yes
; printing = cups
; printcap name = cups
; include = /home/samba/etc/smb.conf.%m
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
domain master = no
local master = no
preferred master = no
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum groups = yes
winbind enum users = yes
template homedir = /home/%D/%U
winbind cache time = 15
winbind offline logon = yes# winbind separator = +
password server = *
winbind use default domain = yes
client lanman auth = yes
usershare allow guests = yes
# username map = /etc/samba/smbusers[printers]
comment = All Printers
browseable = no
path = /var/spool/samba
printable = yes
; guest ok = no
; read only = yes
create mask = 0700[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
; browseable = yes
; read only = yes
; guest ok = no
[obmen]
path = /home/user/obmen
comment = папка для обмена документами
; available = yes
; browsable = yes
public = yes
writable = yes
# /etc/nsswitch.confpasswd: files winbind
group: files winbind
shadow: files winbindhosts: files wins mdns4_minimal [NOTFOUND=return] dns mdns4
networks: files dnsprotocols: db files
services: db files
ethers: db files
rpc: db filesnetgroup: nis
>Коллеги,
>
>Я так понимаю эта штука работает у людей с убунтой < 9.04?!
>усиленно курил маны и отечественные и импортные (к слову - отечественные
>в большей степени более профессиональные) так вот никак не могу сделать:
>Может быть, в smb.conf
password server = ip.ad.re.ss
и в файл
lmhosts
ip.ad.re.ss RAIL
дописать?
Кроме того,
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
одиозно смотрятся...
socket options = TCP_NODELAY SO_RCVBUF=262144 SO_SNDBUF=262144
гораздо лучше...Но вообще-то, мне кажется, Линукс Самбовские пароли вообще не кеширует - для этого нечто вроде бумажника КДЕ существует - этакое специальное приложение в Бубунте... У меня в Мандриве 2009.1 приходится пароли набирать ручками в Dolfin, и только Konqueror их запоминает.
>Но вообще-то, мне кажется, Линукс Самбовские пароли вообще не кеширует - для
>этого нечто вроде бумажника КДЕ существует - этакое специальное приложение в
>Бубунте... У меня в Мандриве 2009.1 приходится пароли набирать ручками в
>Dolfin, и только Konqueror их запоминает.тут неправда, потому что пробовал в той же конфигурации только входить в домен AD (win2k3) и совершенно отлично работает прозрачная авторизация везде по шарам, как и должно в домене работать... а почему то в NT4 нифига... уже пробовал ubuntu 9.10, opensuse 11.2, mintlinux7
>>Но вообще-то, мне кажется, Линукс Самбовские пароли вообще не кеширует - для
>>этого нечто вроде бумажника КДЕ существует - этакое специальное приложение в
>>Бубунте... У меня в Мандриве 2009.1 приходится пароли набирать ручками в
>>Dolfin, и только Konqueror их запоминает.
>
>тут неправда, потому что пробовал в той же конфигурации только входить в
>домен AD (win2k3) и совершенно отлично работает прозрачная авторизация везде по
>шарам, как и должно в домене работать... а почему то в
>NT4 нифига... уже пробовал ubuntu 9.10, opensuse 11.2, mintlinux7В AD Вы, видимо по керберос аутентифицировались. В этом случае кеширование паролей не нужно. При доступе предъявляется билет.
>В AD Вы, видимо по керберос аутентифицировались. В этом случае кеширование паролей
>не нужно. При доступе предъявляется билет.да по керберос.... вот оно что...
а это точная информация что линух не умеет прозрачную авторизацию по credentials залогиненного доменного пользователя? мне почему то казалось что это совершенно стандартная фича, в противном случае ведь пропадает вообще смысл домена... ну разве что единое хранилище аккаунтов....
>да по керберос.... вот оно что...
>а это точная информация что линух не умеет прозрачную авторизацию по credentials
>залогиненного доменного пользователя? мне почему то казалось что это совершенно стандартная
>фича, в противном случае ведь пропадает вообще смысл домена... ну разве
>что единое хранилище аккаунтов....Насколько я знаю, pam_winbind (вы ведь через него авторизуетесь) при ntlm аутентификации не кеширует ни вендовые хэши, ни, тем более, пароли в открытом виде. Для более точной информации смотрите докумендацию на сайте самбы. Говорят, это кэширование могут делать некоторые проги, тот же кдешный файл-менеджер.
Вендовые домены большей частью используется для вендовых клиентов. Иногда туда вводят самба сервер, как файловый сервер для тех же вендовых клиентов, а линуксовых клиентов - думаю, что редко, во всяком случае я с этим в реальных сетях не встречался.