The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Samba 3 и DC win2003"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Samba, вопросы интеграции Unix и Windows (Public)
Изначальное сообщение [Проследить за развитием треда]

"Samba 3 и DC win2003" 
Сообщение от georgyip emailИскать по авторуВ закладки(??) on 16-Фев-05, 15:15  (MSK)
Привет всем!
FreeBSD 4.10, Samba 3.0.11, домен win2003 в native mode. Пытаюсь прикрутить самбу к домену, чтобы пускала на шары с доменными аккаунтами и паролями.

Samba:
./configure --with-winbind --with-winbind-auth-challenge --with-pam

/usr/local/samba/lib/smb.conf:
[global]
dos charset=CP866
unix charset=KOI8-R
workgroup=sigma
server string=Samba Server
security=domain
password server=gateway.sigma.net
hosts allow=192.168. 127.
netbios name=weasel
load printers=no
encrypt passwords=yes
obey pam restrictions=yes
pam password change=yes
winbind uid=10000-20000
winbind gid=10000-20000
winbind separator=+
winbind enum users=yes
winbind enum groups=yes
winbind use default domain=yes
nt acl support=yes
wins server=gateway.sigma.net
interfaces=fxp0
log file=/var/log/samba.log
max log size=100
socket options=TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

[Common]
comment=Test share
path=/usr/home/common
browseable=yes
public=yes
writable=yes
printable=no
create mask=0775
force create mode=0664
force directory mode=0755

в домен зашел:
net join sigma -U <имя домен админа>
wbinfo -t и -u ок, показывают не только "моих" юзеров, но всех доменов в трасте с моим.

в /etc/nsswitch.conf не было, создал:
passwd: files winbind
group:  files winbind
hosts: files dns winbind

При попытке зайти на сервер самбы в samba.log:
[2005/02/16 12:53:46, 0] nsswitch/winbindd_util.c:get_trust_pw(1034)
get_trust_pw: could not fetch trust account password for my domain SIGMA

ну да в принципе понятно, что я еще pam не крутил. Вот тут и проблема, во всех советах, что я уже начитался, все ссылаются, что pam в /etc/pam.d/, у меня такого в помине нет, есть только /etc/pam.conf, также нет ничего похожего на подобное:
pam_winbind.so
Подскажите что и как сделать, чтоб разрулить эту ситуацию. Спасибо.

  Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

 Оглавление

Индекс форумов | Темы | Пред. тема | След. тема
Сообщения по теме

1. "Samba 3 и DC win2003" 
Сообщение от enojado Искать по авторуВ закладки on 16-Фев-05, 17:08  (MSK)
попробуй так
./configure --with-winbind --with-winbind-auth-challenge --with-pam --with-pam_smbpass
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "Samba 3 и DC win2003" 
Сообщение от enojado Искать по авторуВ закладки on 16-Фев-05, 17:09  (MSK)
и кстати.. /etc/pam.d/ появилась только в 5-й ветке.. в 4-й надо юзать /etc/pam.conf
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "Samba 3 и DC win2003" 
Сообщение от georgyip emailИскать по авторуВ закладки(??) on 16-Фев-05, 18:04  (MSK)
>--with-pam_smbpass
значит ли это то, что пароли все таки придется в самбе назначать? мне б из домена б...

>и кстати.. /etc/pam.d/ появилась только в 5-й ветке.. в 4-й надо юзать
>/etc/pam.conf
нашел я недостающий модуль pam_winbind.so в исходниках, скопировал в /usr/local/lib.
/etc/pam.conf покрутил как советовали, неудачно:
кстати pam_nologin.so у меня нет, хотя я пробовал и с pam_skey.so и с pam_nologin.so
# auth
login auth sufficient pam_skey.so no_warn
#login auth required pam_nologin.so no_warn
login auth sufficient pam_winbind.so
login auth sufficient pam_opie.so no_warn no_fake_prompts
login auth requisite pam_opieaccess.so no_warn allow_local
login auth required pam_unix.so try_first_pass
# account
account sufficient pam_winbind.so
accpunt required pam_unix.so
# session
session required pam_permit.so

Еще советы pls.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "Samba 3 и DC win2003" 
Сообщение от 4tune Искать по авторуВ закладки on 17-Фев-05, 16:25  (MSK)
>>--with-pam_smbpass
>значит ли это то, что пароли все таки придется в самбе назначать?
>мне б из домена б...
>
>>и кстати.. /etc/pam.d/ появилась только в 5-й ветке.. в 4-й надо юзать
>>/etc/pam.conf
>нашел я недостающий модуль pam_winbind.so в исходниках, скопировал в /usr/local/lib.
>/etc/pam.conf покрутил как советовали, неудачно:
>кстати pam_nologin.so у меня нет, хотя я пробовал и с pam_skey.so и
>с pam_nologin.so
># auth
>login auth sufficient pam_skey.so  no_warn
>#login auth required pam_nologin.so  no_warn
>login auth sufficient pam_winbind.so
>login auth sufficient pam_opie.so no_warn no_fake_prompts
>login auth requisite pam_opieaccess.so no_warn allow_local
>login auth required pam_unix.so  try_first_pass
># account
>account  sufficient pam_winbind.so
>accpunt  required pam_unix.so
># session
>session  required pam_permit.so
>
>Еще советы pls.

Попробуйте http://www.wlug.org.nz/ActiveDirectoryKerberos, очень познавательно.

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "Samba 3 и DC win2003" 
Сообщение от georgyip emailИскать по авторуВ закладки(??) on 18-Фев-05, 16:36  (MSK)
>Попробуйте http://www.wlug.org.nz/ActiveDirectoryKerberos, очень познавательно.

Попробовал, поставил heimdal-0.6.1, создал файл /etc/krb5.conf:
[logging]
default = FILE:/var/log/krb5/libs.log
kdc = FILE:/var/log/krb5/kdc.log
admin_server = FILE:/var/log/krb5/admin.log

[libdefaults]
ticket_lifetime = 24000
default_realm = GATEWAY.SIGMA.NET
default_tgs_enctypes = des-cbc-crc des-cbc-md5
default_tkt_enctypes = des-cbc-crc des-cbc-md5
forwardable = true
proxiable = true
dns_lookup_realm = true
dns_lookup_kdc = true

[realms]
GATEWAY.SIGMA.NET = {
kdc = gateway.sigma.net:88
default_domain = gateway.sigma.net
}

[domain_realm]
.gateway.sigma.net = GATEWAY.SIGMA.NET
gateway.sigma.net = GATEWAY.SIGMA.NET

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf - такого у меня нет, шо делать?

[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false

ну и:
weasel# kinit georgy@GATEWAY.SIGMA.NET
FreeBSD Inc. (weasel.sigma.net)
Kerberos Initialization for "georgy@GATEWAY.SIGMA.NET"
Password:
kinit: Can't send request (send_to_kdc)
weasel#

делал как описано в:
https://www.opennet.ru/base/net/freebsd_win2k_auth.txt.html

все ок, wbinfo показывает все что должен, но:
weasel# id georgy
id: georgy: no such user
weasel#

Есть соображения?

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "Samba 3 и DC win2003" 
Сообщение от georgyip emailИскать по авторуВ закладки(??) on 18-Фев-05, 17:05  (MSK)
да, еще, самбу инсталлил
./configure  --with-winbind --with-winbind-auth-challenge
потом
make -DKRB5_HOME=/usr/local
make install
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "Samba 3 и DC win2003" 
Сообщение от 4tune emailИскать по авторуВ закладки on 20-Фев-05, 23:22  (MSK)
>да, еще, самбу инсталлил
>./configure  --with-winbind --with-winbind-auth-challenge
>потом
>make -DKRB5_HOME=/usr/local
>make install
Уберай эту строчку нафиг
winbind separator=+

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "Samba 3 и DC win2003" 
Сообщение от georgyip emailИскать по авторуВ закладки(??) on 23-Фев-05, 11:22  (MSK)
мдяяя, не получается, мои последние действия:
FreeBSD 4.10, Samba 3.0.11, DC - W2k3

поставил heimdal-0.6.3

/etc/krb5.conf:

[logging]
default = FILE:/var/log/krb5/libs.log
kdc = FILE:/var/log/krb5/kdc.log
admin_server = FILE:/var/log/krb5/admin.log

[libdefaults]
ticket_lifetime = 24000
default_realm = SIGMA.NET
default_tgs_enctypes = des-cbc-crc des-cbc-md5
default_tkt_enctypes = des-cbc-crc des-cbc-md5
forwardable = true
proxiable = true
dns_lookup_realm = true
dns_lookup_kdc = true

[realms]
SIGMA.NET = {
kdc = gateway.sigma.net:88
default_domain = sigma.net
}

[domain_realm]
.sigma.net = SIGMA.NET
sigma.net = SIGMA.NET

[kdc]
profile = /var/heimdal/kdc.conf

[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false

Непонятно что там должно быть:
[kdc]
profile = /var/heimdal/kdc.conf - ???


weasel# /usr/heimdal/bin/kinit
georgy@SIGMA.NET's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week
weasel#

Далее, поставил последний openldap, 2.2.23
./configure --enable-bdb=no

поставил самбу
./configure  --with-winbind --with-winbind-auth-challenge --with-krb5=/usr/heimdal --with-ads --with-ldap

/etc/local/samba/lib/smb.conf:

[global]
dos charset=CP866
unix charset=KOI8-R
workgroup=sigma
server string=Samba Server
security=ADS
realm=SIGMA.NET
password server=*
hosts allow=192.168. 127.
netbios name=weasel
load printers=no
encrypt passwords=yes
obey pam restrictions=yes
winbind uid=10000-20000
winbind gid=10000-20000
template shell=/bin/false
winbind enum users=yes
winbind enum groups=yes
winbind use default domain=yes
nt acl support=yes
wins server=gateway.sigma.net
interfaces=fxp0
log file=/var/log/samba.log
max log size=50
use spnego=yes
client use spnego=yes
local master=no
allow trusted domains=yes
username map=/usr/local/samba/lib/users.map

[Common]
comment=Test share
path=/usr/common
browseable=yes
public=yes
writable=yes
printable=no
create mask=0775
force create mode=0664
force directory mode=0755

Из чего не понятно, что должно быть в
/usr/local/samba/lib/users.map
и нужен он вообще???

winbindd запущен

weasel# /usr/local/samba/bin/net ads join
Using short domain name -- SIGMA
Joined 'WEASEL' to realm 'SIGMA.NET'
weasel#
Даже никакого пароля не хотело

weasel# ./wbinfo -t
checking the trust secret via RPC calls succeeded
weasel#

weasel# ./wbinfo -g
weasel# ./wbinfo -u

все как положено, доменных список групп и юзеров со всех доменов в трасте с моим.

/etc/nsswitch.conf:
passwd: files winbind
shadow: files winbind
group: files winbind

скопировал из ../source/nsswitch/libnss_winbind.so в /usr/lib
сделал по доке симлинки
ln -s /usr/lib/libnss_winbind.so /usr/lib/libnss_winbind.so.1
ln -s /usr/lib/libnss_winbind.so /usr/lib/nss_winbind.so.1
ln -s /usr/lib/libnss_winbind.so /usr/lib/nss_winbind.so.2


/usr/local/samba/sbin/nmbd -D
/usr/local/samba/sbin/smbd -D

и на этом все, при попытке зайти на шару просит логин/пароль, не пускает, в логах самбы:

[2005/02/23 08:47:15, 0] smbd/server.c:open_sockets_smbd(388)
  open_sockets_smbd: accept: Software caused connection abort
[2005/02/23 08:47:15, 1] smbd/sesssetup.c:reply_spnego_kerberos(250)
  Username SIGMA\Georgy is invalid on this system
[2005/02/23 08:47:15, 1] smbd/sesssetup.c:reply_spnego_kerberos(250)
  Username SIGMA\Georgy is invalid on this system
[2005/02/23 08:47:16, 1] smbd/sesssetup.c:reply_spnego_kerberos(250)
  Username SIGMA\Georgy is invalid on this system
[2005/02/23 08:47:16, 0] auth/auth_util.c:make_server_info_info3(1163)
  make_server_info_info3: pdb_init_sam failed!

Надо было компилить самбу с --with-pam???
Что нужно наковырять в /etc/pam.conf???
мой /etc/pam.conf:
# If the user can authenticate with S/Key, that's sufficient; allow clear
# password. Try kerberos, then try plain unix password.
login auth sufficient pam_skey.so
login auth sufficient pam_opie.so no_fake_prompts
#login auth requisite pam_opieaccess.so
login auth requisite pam_cleartext_pass_ok.so
#login auth sufficient pam_kerberosIV.s  try_first_pass
#login auth sufficient pam_krb5.so try_first_pass
login auth required pam_unix.so try_first_pass
login account required pam_unix.so
login password required pam_permit.so
login session required pam_permit.so

# Same requirement for ftpd as login
ftpd auth sufficient pam_skey.so
ftpd auth sufficient pam_opie.so no_fake_prompts
#ftpd auth requisite pam_opieaccess.so
ftpd auth requisite pam_cleartext_pass_ok.so
#ftpd auth sufficient pam_kerberosIV.so try_first_pass
#ftpd auth sufficient pam_krb5.so try_first_pass
ftpd auth required pam_unix.so try_first_pass

# OpenSSH with PAM support requires similar modules.  The session one is
# a bit strange, though...
sshd auth sufficient pam_skey.so
sshd auth sufficient pam_opie.so no_fake_prompts
#sshd auth requisite pam_opieaccess.so
#sshd auth sufficient pam_kerberosIV.so try_first_pass
#sshd auth sufficient pam_krb5.so try_first_pass
sshd auth required pam_unix.so try_first_pass
sshd account required pam_unix.so
sshd password required pam_permit.so
sshd session required pam_permit.so

# "telnetd" is for SRA authenticated telnet only. Non-SRA uses 'login'
telnetd auth required pam_unix.so try_first_pass

# Don't break startx
xserver auth required pam_permit.so

# XDM is difficult; it fails or moans unless there are modules for each
# of the four management groups; auth, account, session and password.
xdm auth required pam_unix.so
#xdm auth sufficient pam_kerberosIV.so try_first_pass
#xdm auth sufficient pam_krb5.so try_first_pass
xdm account required pam_unix.so try_first_pass
xdm session required pam_deny.so
xdm password required pam_deny.so

# GDM (GNOME Display Manager)
gdm auth required pam_unix.so
#gdm auth sufficient pam_kerberosIV.so try_first_pass
#gdm auth sufficient pam_krb5.so try_first_pass
gdm account required pam_unix.so try_first_pass
gdm session required pam_permit.so
gdm password required pam_deny.so

# Mail services
imap auth required pam_unix.so try_first_pass
pop3 auth required pam_unix.so try_first_pass

# If we don't match anything else, default to using getpwnam().
other auth sufficient pam_skey.so
other auth required pam_unix.so try_first_pass
other account required pam_unix.so try_first_pass


Подскажите в каком направлении копать??? HELP!!!

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "Samba 3 и DC win2003" 
Сообщение от georgyip emailИскать по авторуВ закладки(??) on 25-Фев-05, 13:26  (MSK)
Люди, не дайте умереть молодым...
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "Samba 3 и DC win2003" 
Сообщение от 4tune emailИскать по авторуВ закладки on 25-Фев-05, 23:34  (MSK)
Вот работающие конфиги.
smb.conf
[global]
workgroup = ***
netbios name = MAIN
server string = Server %v
security = ADS
realm = ***.***.RU
password server = ads.***.***.ru
encrypt passwords = yes
log file = /var/log/samba3/log.%m
max log size = 50
dns proxy = No
idmap uid = 10000-20000
idmap gid = 10000-20000
     winbind enum users = yes
      winbind enum groups = yes
case sensitive = yes
interfaces = eth0
hosts allow = 192.168.0.0/255.255.0.0
create mask = 0777
      directory mask = 0775
unix charset = UTF-8
template homedir = /home/%D/%U
template shell = /bin/bash
/etc/krb5.conf
kdc = FILE:/var/log/krb5/kdc.log
admin_server = FILE:/var/log/krb5/admin.log

[libdefaults]
    default_realm = ***.***.RU
    dns_lookup_realm = true
    dns_lookup_kdc = true
    ticket_lifetime = 24000

[realms]
    APPO.PU.RU = {
kdc = 192.168.0.5
admin_server = ***.***.***.ru:749
default_domain = ***.***.ru
    }

[domain_realm]
    .***.***.ru = ***.***.RU
    ***.***.ru = ***.***.RU
/etc/nsswitch.conf
passwd:        files
shadow:         files
group:         files

passwd:         winbind compat
group:          winbind compat
shadow:         winbind compat
/etc/pam.d/system-auth-winbind
auth        required      /lib/security/pam_env.so
auth        sufficient    /lib/security/pam_winbind.so
auth        sufficient    /lib/security/pam_unix.so likeauth nullok use_first_pass
auth        required      /lib/security/pam_deny.so

account     sufficient    /lib/security/pam_winbind.so
account     required      /lib/security/pam_unix.so

password    required      /lib/security/pam_cracklib.so retry=3
password    sufficient    /lib/security/pam_unix.so nullok use_authtok md5 shadow
password    required      /lib/security/pam_deny.so

session     required      /lib/security/pam_mkhomedir.so skel=/etc/skel/ umask=0022
session     required      /lib/security/pam_limits.so
session     required      /lib/security/pam_unix.so
/etc/pam.d/login
auth       required /lib/security/pam_securetty.so
auth        sufficient   /lib/security/pam_winbind.so
auth       required /lib/security/pam_stack.so service=system-auth
auth       required /lib/security/pam_nologin.so
account     sufficient   /lib/security/pam_winbind.so
account    required /lib/security/pam_stack.so service=system-auth
password   required /lib/security/pam_stack.so service=system-auth
session    required /lib/security/pam_stack.so service=system-auth
session    optional /lib/security/pam_console.so
/////
kinit Administrator@*** У вас работает?
Вообще посмотрите http://www.wlug.org.nz/ActiveDirectorySamba, там все примеры есть.....

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "Samba 3 и DC win2003" 
Сообщение от georgyip emailИскать по авторуВ закладки(??) on 01-Мрт-05, 09:23  (MSK)
>kinit Administrator@*** У вас работает?

да, работает:

weasel# /usr/heimdal/bin/kinit
georgy@SIGMA.NET's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week
weasel#

у меня проблем в том, что я никак не могу сообразить как покрутить /etc/pam.conf, у него структура отличается от /etc/pam.d/ и надо ли было инсталлить самбу с --with-pam???

  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "Samba 3 и DC win2003" 
Сообщение от georgyip emailИскать по авторуВ закладки(??) on 04-Мрт-05, 13:35  (MSK)
В общем все получилось, делал как описано в многочисленных руководствах и манах, но пришлось переставить фрю с 4.10 на 5.2.1. Напоминаю, что у меня DC - w2k3 native mode, фря - файловый сервак, авторизация с DC.
  Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх


Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру