Коллеги,

Я так понимаю эта штука работает у людей с убунтой < 9.04?! усиленно курил маны и отечественные и импортные (к слову - отечественные в большей степени более профессиональные) так вот никак не могу сделать:

есть mintlinux7 (ubuntu 9.04) член WINDOWS !!!!! NT4 domain
добавлен в домен как net rpc join ...
пользователи входят под своими доменными учетными записями в Gnome и под них всё автоматом создается домашний каталог и прочее... могут открыть в Nautilus сетевое окружение и видят все домены и могут заходить на все серверы (NT4, Win2000) и видят все шары (это я так понимаю anonymous smb browsing). но когда тыкаются к любую шару куда и них ЕСТЬ доступ выдается окошко введите имя пользователя и пароль. (там кстати уже прописан текущий пользователь и прописан текущий домен сразу)  После ввода пароля сессно всё работает на ура, но хочется чтобы пользователю не нужно было вводить пароль при подключении к любому ресурсу в домене куда у него есть доступ. (как в винде) как этого добиться???? Хочется прозрачной авторизации при хождении по SMB ресурсам, ведь я уже залогировался в систему ДОМЕННЫМ пользователем...

в той же самой конфигурации но при подключении к AD (w2k3 домен) всё работает на ура, прозрачная авторизация есть... сейчас попробовал через likewise тоже - в AD домен цепляется на раз и всё открывается без всяких паролей!!! даже сетевые документы с русскими именами на видновых серверах открываются в опенофисе по сети прямо!!!! что за гребаная хрень с NT4 как победить... я не могу для всего управления таможни по региону менять NT4... факин щит!!!! Sad(((

сейчас попробовал ubuntu 9.10rc, mintlinux7 и opensuse11.2rc1 в NT4 домене все спрашивают пароль, а если входишь в AD домен то всё нормально - авторизация прозрачная. сцуко...

кстати в opensuse есть встроенные их коробки инструменты для добавление в домен как NT4 так и AD, а так же для создания PDC на хосте.
так что ничего нигде в конфигах прописывать ненужно (хотя я всегда пишу руками! Smiley )

версия системы:

mint7-test samba # uname -a
Linux mint7-test 2.6.28-11-generic #42-Ubuntu SMP Fri Apr 17 01:57:59 UTC 2009 i686 GNU/Linux
UBUNTU 9.04!!!

все проверки на членство в домене и заход по ssh и в GNOME доменными пользователями работает успешно в том числе getent.

Проверки:

mint7-test samba # wbinfo -t
checking the trust secret via RPC calls succeeded

mint7-test samba # wbinfo -D RAIL
Name              : RAIL
Alt_Name          :
SID               : S-1-5-21-433347482-382690077-1637365974
Active Directory  : No
Native            : No
Primary           : Yes

mint7-test samba # wbinfo -g
domain admins
domain guests
domain users
exchange admins

mint7-test samba # wbinfo -u
administrator
exchangesrv
guest

getent paswd
administrator:*:10706:10003::/home/RAIL/administrator:/bin/bash
exchangesrv:*:10710:10003:Exchange Server account:/home/RAIL/exchangesrv:/bin/bash
guest:*:10711:10003::/home/RAIL/guest:/bin/bash
test:*:10789:10003::/home/RAIL/test:/bin/bash
vk:*:10785:10003:Красильников Валерий Александрович:/home/RAIL/vk:/bin/bash

PAM модули:

# /etc/pam.d/common-auth - authentication settings common to all services
#добавил руками
-----------
auth sufficient pam_unix.so nullok_secure
-----------
auth sufficient pam_winbind.so use_first_pass use_authtok
auth    requisite                       pam_deny.so
auth    required                        pam_permit.so
auth    optional        pam_ecryptfs.so unwrap
# /etc/pam.d/common-session - session-related modules common to all services
session [default=1]                     pam_permit.so
session requisite                       pam_deny.so
session required                        pam_permit.so
session required        pam_unix.so
#добавил руками
-----------
session required  pam_mkhomedir.so umask=0022 skel=/etc/skel/
session sufficient      pam_winbind.so  use_first_pass use_authtok
------------
session optional        pam_ecryptfs.so unwrap
session optional                        pam_ck_connector.so nox11
# /etc/pam.d/common-account - authorization settings common to all services
account sufficient      pam_unix.so
#добавил руками
-----------
account sufficient      pam_winbind.so user_first_pass use_authtok
-----------
account requisite                       pam_deny.so
account required                        pam_permit.so

# /etc/pam.d/common-password - password-related modules common to all services
#добавил руками
-----------
password sufficient     pam_unix.so obscure sha512
password sufficient pam_winbind.so  use_first_pass use_authtok
-----------
password        requisite                       pam_deny.so
password        required                        pam_permit.so
password        optional        pam_ecryptfs.so
mint7-test samba # cat /etc/pam.d/gdm
#%PAM-1.0
auth    requisite       pam_nologin.so
auth    required        pam_env.so readenv=1
auth    required        pam_env.so readenv=1 envfile=/etc/default/locale
@include common-auth
auth    optional        pam_gnome_keyring.so
@include common-account
session required        pam_limits.so
@include common-session
session optional        pam_gnome_keyring.so auto_start
@include common-password

mint7-test samba # cat /etc/samba/smb.conf

[global]
        workgroup = RAIL
        server string = %h server (Samba, mintLinux7)
  wins support = no
  wins server = 10.0.16.200
  dns proxy = no
  name resolve order = lmhosts host wins bcast
;   bind interfaces only = yes
        log file = /var/log/samba/log.%m
        max log size = 1000
#   syslog only = no
        syslog = 0
        panic action = /usr/share/samba/panic-action %d
   security = domain
   encrypt passwords = true
   passdb backend = tdbsam
   obey pam restrictions = yes
   unix password sync = yes
#       passwd program = /usr/bin/passwd %u
#       passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
    pam password change = yes
    map to guest = bad user
    domain logons = no
;   logon path = \\%N\profiles\%U
#   logon path = \\%N\%U\profile
;   logon drive = H:
#   logon home = \\%N\%U
;   logon script = logon.cmd
; add user script = /usr/sbin/adduser --quiet --disabled-password --gecos "" %u
; add machine script  = /usr/sbin/useradd -g machines -c "%u machine account" -d /var/lib/samba -s /bin/false %u
; add group script = /usr/sbin/addgroup --force-badname %g
#   load printers = yes
;       printing = cups
;   printcap name = cups
;   include = /home/samba/etc/smb.conf.%m
   socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
domain master = no
local master = no
preferred master = no
   idmap uid = 10000-20000
   idmap gid = 10000-20000
   template shell = /bin/bash
   winbind enum groups = yes
   winbind enum users = yes
template homedir = /home/%D/%U
winbind cache time = 15
winbind offline logon = yes
 # winbind separator = +
password server = *
winbind use default domain = yes
client lanman auth = yes
        usershare allow guests = yes
#        username map = /etc/samba/smbusers
[printers]
        comment = All Printers
        browseable = no
        path = /var/spool/samba
        printable = yes
;       guest ok = no
;       read only = yes
        create mask = 0700
[print$]
        comment = Printer Drivers
        path = /var/lib/samba/printers
;       browseable = yes
;       read only = yes
;       guest ok = no

[obmen]
        path = /home/user/obmen
        comment = папка для обмена документами
;       available = yes
;       browsable = yes
        public = yes
        writable = yes

# /etc/nsswitch.conf

passwd:         files winbind
group:          files winbind
shadow:         files winbind

hosts:          files wins mdns4_minimal [NOTFOUND=return] dns mdns4
networks:       files dns

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

• ubuntu 9.04 NT4 domain member: как сделать прозрачный доступ...,anonimous, 19:34 , 01-Ноя-09
  • ubuntu 9.04 NT4 domain member: как сделать прозрачный доступ...,MarvinFS, 22:07 , 01-Ноя-09
    • ubuntu 9.04 NT4 domain member: как сделать прозрачный доступ...,начинающий, 18:42 , 02-Ноя-09
      • ubuntu 9.04 NT4 domain member: как сделать прозрачный доступ...,MarvinFS, 18:52 , 02-Ноя-09
        • ubuntu 9.04 NT4 domain member: как сделать прозрачный доступ...,начинающий, 23:19 , 02-Ноя-09

>Коллеги,
>
>Я так понимаю эта штука работает у людей с убунтой < 9.04?!
>усиленно курил маны и отечественные и импортные (к слову - отечественные
>в большей степени более профессиональные) так вот никак не могу сделать:
>

Может быть, в smb.conf
password server = ip.ad.re.ss
и в файл
lmhosts
ip.ad.re.ss       RAIL
дописать?
Кроме того,
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
одиозно смотрятся...
socket options = TCP_NODELAY SO_RCVBUF=262144 SO_SNDBUF=262144
гораздо лучше...

Но вообще-то, мне кажется, Линукс Самбовские пароли вообще не кеширует - для этого нечто вроде бумажника КДЕ существует - этакое специальное приложение в Бубунте... У меня в Мандриве 2009.1 приходится пароли набирать ручками в Dolfin, и только Konqueror их запоминает.  

>Но вообще-то, мне кажется, Линукс Самбовские пароли вообще не кеширует - для
>этого нечто вроде бумажника КДЕ существует - этакое специальное приложение в
>Бубунте... У меня в Мандриве 2009.1 приходится пароли набирать ручками в
>Dolfin, и только Konqueror их запоминает.

тут неправда, потому что пробовал в той же конфигурации только входить в домен AD (win2k3) и совершенно отлично работает прозрачная авторизация везде по шарам, как и должно в домене работать... а почему то в NT4 нифига... уже пробовал ubuntu 9.10, opensuse 11.2, mintlinux7

>>Но вообще-то, мне кажется, Линукс Самбовские пароли вообще не кеширует - для
>>этого нечто вроде бумажника КДЕ существует - этакое специальное приложение в
>>Бубунте... У меня в Мандриве 2009.1 приходится пароли набирать ручками в
>>Dolfin, и только Konqueror их запоминает.
>
>тут неправда, потому что пробовал в той же конфигурации только входить в
>домен AD (win2k3) и совершенно отлично работает прозрачная авторизация везде по
>шарам, как и должно в домене работать... а почему то в
>NT4 нифига... уже пробовал ubuntu 9.10, opensuse 11.2, mintlinux7

В AD Вы, видимо по керберос аутентифицировались. В этом случае кеширование паролей не нужно. При доступе предъявляется билет.

>В AD Вы, видимо по керберос аутентифицировались. В этом случае кеширование паролей
>не нужно. При доступе предъявляется билет.

да по керберос.... вот оно что...
а это точная информация что линух не умеет прозрачную авторизацию по credentials залогиненного доменного пользователя? мне почему то казалось что это совершенно стандартная фича, в противном случае ведь пропадает вообще смысл домена... ну разве что единое хранилище аккаунтов....

>да по керберос.... вот оно что...
>а это точная информация что линух не умеет прозрачную авторизацию по credentials
>залогиненного доменного пользователя? мне почему то казалось что это совершенно стандартная
>фича, в противном случае ведь пропадает вообще смысл домена... ну разве
>что единое хранилище аккаунтов....

Насколько я знаю, pam_winbind (вы ведь через него авторизуетесь) при ntlm аутентификации не кеширует ни вендовые хэши, ни, тем более, пароли в открытом виде. Для более точной информации смотрите докумендацию на сайте самбы. Говорят, это кэширование могут делать некоторые проги, тот же кдешный файл-менеджер.
Вендовые домены большей частью используется для вендовых клиентов. Иногда туда вводят самба сервер, как файловый сервер для тех же вендовых клиентов, а линуксовых клиентов - думаю, что редко, во всяком случае я с этим в реальных сетях не встречался.