Pls Помогите зарегистрироваться в домене Active Directory

Аватар пользователя Shadow_X

Здравствуйте! Суть проблемы такова
Установил ASP Linux, настроил сеть (пингуется всё нормально).
Установил пакет SAMBA, прописал конфигурационные файлы,
прописал запуск smb и winbind на 3,4,5 уровнях, зарегистрировался на pdc ( net ads join -u admin)
Всё вроде как работает - wbinfo -u пользователей показывает - с сети на свой комп заходить могу (запрашивает авторизацию и впускает).
Проблема в том что я не могу зайти на свой комп под доменовскими учётками (хотя wbinfo их показывал).
Может кто-нибуть сталкивался с такой проблемой? Pls помогите....
smb.conf

[global]
log file = /var/log/samba/log.%m
socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192
null passwords = yes
interfaces = eth0
hosts allow = 192.10.1. 127.0.0.1

winbind uid = 15000-30000
winbind gid = 15000-30000
auth methods = winbind
winbind use default domain = yes
winbind enum groups = yes
winbind enum users = yes

name resolve order = hosts wins bcast lmhosts
case sensitive = no
dns proxy = no
netbios name = WS-UIT-BK4
server string = My Linux
password server = servpdc01.domain01.kpk.ru
realm = DOMAIN01.KPK.RU
#client signing = yes
local master = no
domain master = no
preferred master = no
workgroup = DOMAIN01
debug level = 2
security = ads
#

dos charset = cp866
unix charset = UTF8
display charset = cp1251
#LOCALE

#
max log size = 50
os level = 32
wins server = 192.10.1.1

#
template homedir = /home/DOMAIN01/%U
template shell = /bin/sh
#
#winbind enable local accaunts = yes
winbind nested groups = yes

#unix password sync = yes
#passwd program = /usr/bin/passwd %u
#passwd chat = *New*Unix*password* %n\n *Retype*new*Unix*password* %n\n *passwd:*all*authentication*tokens*updated*successfully*

[Post]
comment = Net Share
path = /var/tmp/OlegM
guest ok = yes
read only = no
directory mask = 0777
create mask = 0777
force directory mode = 0755
force create mode = 0777
display charset = 1251
msdfs proxy = no

-----------------------
krb5.conf

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = DOMAIN01.KPK.RU
#dns_lookup_realm = false
#dns_lookup_kdc = false
ticket_lifetime = 24h
#forwardable = yes

[realms]
DOMAIN01.KPK.RU = {
kdc = servpdc01.domain01.kpk.ru:88
admin_server = servpdc01.domain01.kpk.ru:749
default_domain = domain01.kpk.ru
}

[domain_realm]
#.example.com
.domain01.kpk.ru= DOMAIN01.KPK.RU
#example.com
domain01.kpk.ru= DOMAIN01.KPK.RU

#[kdc]
# profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}

-----------------

Аватар пользователя DRVTiny

Re: Pls Помогите зарегистрироваться в домене Active Director

>Проблема в том что я не могу зайти на свой комп под доменовскими учётками (хотя wbinfo их показывал).
Доменные учётки (т.е. собственно пользователи домена и группы, которым они принадлежат) должны быть видны в output'е команд getent passwd и getent group. Если Вы их не видите, копайте в сторону настройки файла /etc/nsswitch.conf Улыбка

Аватар пользователя Shadow_X

Re: Pls Помогите зарегистрироваться в домене Active Director

Проверил...Пользователей и группы показывает - в систему всё равно не входит...

Аватар пользователя DRVTiny

Pls Помогите зарегистрироваться в домене Active Directory

OK, но я всё-таки не понимаю, что в конечном итоге Вам нужно? Вы хотите делать логин на своём компьютере под учётками из домена? Если так, то во-первых Вам нужно проверить /etc/pam.d/system-auth (он во многих статьях и руководствах применительно к случаю использования доменных учётных записей через winbind), а во-вторых - убедиться в том, что тому доменному пользователю, под которыми Вы собираетесь заходить на сервер, назначена полноценная оболочка, а не /bin/false (за назначение дефолтной оболочки отвечает параметр winbind template shell в файле /etc/samba/smb.conf)

Аватар пользователя Shadow_X

Re: Pls Помогите зарегистрироваться в домене Active Director

Вы меня правильно поняли - я логин сделать на своём компе под доменовскими учётками не могу
Файл /etc/pam.d/system-auth я поправил - вроде правильно :
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth sufficient pam_winbind.so
auth sufficient pam_unix.so likeauth nullok use_first_pass
auth required pam_deny.so

account required pam_unix.so
account sufficient pam_winbind.so
account sufficient pam_succeed_if.so uid < 100 quiet
account required pam_permit.so

password required pam_cracklib.so retry=3
password sufficient pam_winbind.so
password sufficient pam_unix.so nullok use_authtok md5
password required pam_deny.so

session required pam_mkhomedir.so skel=/etc/skel umask=0077
session required pam_limits.so
session required pam_unix.so
--------------------------
и /etc/pam.d/samba тоже (не знаю влияет он или нет....):

#%PAM-1.0
auth required pam_nologin.so
auth required pam_stack.so service=system-auth
auth sufficient pam_winbind.so
account required pam_stack.so service=system-auth
account sufficient pam_winbind.so
session required pam_stack.so service=system-auth
password required pam_stack.so service=system-auth
password sufficient pam_winbind.so

---------------------------------------------
Теперь при авторизации новый глюк - теперь он вроде пытается даже создать каталог /home/domain01/OlegM но происходит сбой в авторизации (где-то видимо ошибся)

/var/log/messages

Dec 18 10:59:21 WS-UIT-bk4 pam_winbind[2687]: user 'OlegM' granted access
Dec 18 10:59:21 WS-UIT-bk4 pam_winbind[2687]: user 'OlegM' granted access
Dec 18 10:59:21 WS-UIT-bk4 gdm(pam_unix)[2687]: session opened for user OlegM by (uid=0)
Dec 18 10:59:21 WS-UIT-bk4 ainit: Memory: Failed to release semaphore
Dec 18 10:59:21 WS-UIT-bk4 ainit: Error: No such file or directory
Dec 18 10:59:21 WS-UIT-bk4 ainit: Memory: Failed to release SHM segment
Dec 18 10:59:21 WS-UIT-bk4 ainit: Error: No such file or directory
Dec 18 10:59:21 WS-UIT-bk4 ainit: Memory: Failed to release SHM segment
Dec 18 10:59:21 WS-UIT-bk4 ainit: Error: No such file or directory
Dec 18 10:59:21 WS-UIT-bk4 ainit: No such file or directory
Dec 18 10:59:21 WS-UIT-bk4 ainit: Memory: Failed to release semaphore
Dec 18 10:59:21 WS-UIT-bk4 ainit: Error: No such file or directory
Dec 18 10:59:21 WS-UIT-bk4 ainit: Memory: Failed to release SHM segment
Dec 18 10:59:21 WS-UIT-bk4 ainit: Error: No such file or directory
Dec 18 10:59:21 WS-UIT-bk4 ainit: Memory: Failed to release SHM segment
Dec 18 10:59:21 WS-UIT-bk4 ainit: Error: No such file or directory
Dec 18 10:59:21 WS-UIT-bk4 ainit: No such file or directory
Dec 18 10:59:21 WS-UIT-bk4 gdm-binary[2687]: Не удалась открыть сеанс для пользователя OlegM

Не пойму какой файл не находит...То что я прописал что-ли....И то что UID=0 это ничего?
Буду рад любому совету...
Заранее спасибо!

Аватар пользователя DRVTiny

Pls Помогите зарегистрироваться в домене Active Directory

Цитата:
Dec 18 10:59:21 WS-UIT-bk4 gdm(pam_unix)[2687]: session opened for user OlegM by (uid=0)

GDM запущен под root'ом, поэтому Вы и видите сообщение о том, что сессия пользователя OlegM была открыта пользователем root с UID=0, так что здесь всё вполне логично Улыбка

Цитата:
ainit: Memory: Failed to release semaphore

А вот это уже плохо... IMHO (и судя по запросу Google'я) это какой-то баг, проявляющийся на SMP и многопроцессорных конфигурациях. Посмотрите следующее сообщение о пробюлемах с ядром 2.6.15: http://lkml.org/lkml/2006/1/12/282 Мне кажется, у Вас что-то аналогичное имеет место быть. Как с этим бороться, я не знаю, к сожалению, поскольку сам ни разу с подобными явлениями не сталкивался. Могу только посоветовать собрать какое-нибудь наисвежайшее ванильное ядро (хотя бы 2.6.18.2) - авось проблема и рассосётся...

Цитата:
и /etc/pam.d/samba тоже (не знаю влияет он или нет....):

Нет, не влияет. Для gdm есть файл /etc/pam.d/gdm, директивой include подключающий общий для большинства программ аутентификации файл /etc/pam.d/system-auth

Цитата:
Dec 18 10:59:21 WS-UIT-bk4 ainit: Memory: Failed to release SHM segment

М-да... Выглядит жутковато Грустный

RSS-материал