Нет доступа к локальным ресурсам при авторизации в домене (Нет доступа к локальным ресурсам () при авторизации в домене через Sam)

openSUSE, SUSE Linux Enterprise

Модератор: Модераторы разделов

Ответить
Pavel Ghost
Сообщения: 13
ОС: openSUSE 10.2

Нет доступа к локальным ресурсам при авторизации в домене

Сообщение Pavel Ghost »

День добрый

Есть виндовый домен с AD под Win2003
Есть несколько рабочих компов с openSUSE 10.2
в них сделана авторизация в домене через Samba (стандартная настройка через Yast - Сетевые службы - Членство Windows домена и там тупо поставлена галка для использования при атунтификации в линухе).

Пользователи прекрасно логинятся в домене, НО НЕ получают никакого доступа к локальным ресурсам своих компов - нет звука, нет возможности писать на DVD-R, даже флешки не монтируются.

Насколько я понимаю и по результатам поисков по форумам эти пользователи просто не включаются в соответсвующие локальные группы - audio, disk и т.п.

Как включить этих юзеров в локальные группы по-умолчанию?

Я уже описывал свою проблему на разных форумах - а вот ответ тишина, неужели у всех всё прекрасно работает? или в лом помочь? :((((

С уважением....
Oracle DBA
GeneGO
Спасибо сказали:
John Lynx
Сообщения: 52
ОС: OpenSUSE 11.1

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение John Lynx »

Та же проблема, та же тишина :(
Спасибо сказали:
7biohazard7
Сообщения: 618
Статус: Любитель SUSE
ОС: Suse 11.2

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение 7biohazard7 »

Проблема и тишина скорее всего связана с тем что мало кто так делает. Да и в принципе, никс пользователей в AD не хранят - есть более приятные места ;)

А что в логах есть что-то? Или ошибки при логоне/предупреждения какие-то выскакивают?
Спасибо сказали:
Pavel Ghost
Сообщения: 13
ОС: openSUSE 10.2

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение Pavel Ghost »

7biohazard7 писал(а):
26.02.2007 19:28
Проблема и тишина скорее всего связана с тем что мало кто так делает. Да и в принципе, никс пользователей в AD не хранят - есть более приятные места ;)


Честно говоря, мне кажется, это - сомнительное утверждение.
Что может быть более приятным того, чтобы использовать наработанный ресурс, а не лечить траблы в течение пары недели, заводя домен под самбой. При переезде на линух рабочих станций проще пути по-моему и придумать нельзя, если бы не эти "особенности". да и возможность такая есть, причём СТАНДАРТНАЯ КОРОБОЧНАЯ. Возможность такой авторизации ещё в процессе инсталляции предусмотрена, так что ... давайте не будем.

7biohazard7 писал(а):
26.02.2007 19:28
А что в логах есть что-то? Или ошибки при логоне/предупреждения какие-то выскакивают?

В каких именно логах? Никаких ошибок и т.п. при логоне не возникает - просто при попытке, например, запустить amarok - валится, что мол xine не может запустить аудио-дрова (от того, что нет юзера в группе audio), k3b не видит пишуший девайс опять-таки потому как не может получить доступ к cdrecord и чему-то ещё, при монтировании флешки - большое сообщение со словами про permission, даже иконка NetworkManager-а показывает, что мол находимся "Connection in progress", хотя сетка работает без проблем.
Если заходить под локальным непривилегированным пользователем, то без проблем всё работает, но неудобно работать с сетевыми ресурсами.
:(
Oracle DBA
GeneGO
Спасибо сказали:
7biohazard7
Сообщения: 618
Статус: Любитель SUSE
ОС: Suse 11.2

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение 7biohazard7 »

>В каких именно логах?
Так как у вас самба и АД думаю логи надо смотреть Самбы, Кербероса заодно.
Да и вообще что проходит в messages при логоне.
Насчет групп сильно сомневаюсь что дело именно в этом, есть опыт хранения пользователей для НИКС в обычном LDAP-каталоге, так там все нормально проходит, только ругается на дом-й каталог. Насколько понимаю проблема в том что схемы LDAP для ВИН и НИКС сильно отличаются. К сожалению я не имею возможности у себя проверять авторизацию, AD домена у меня в принципе нет.

Вот еще нагуглил взгляните - http://reverendted.wordpress.com/2006/09/12/linux-goes-mad/
Спасибо сказали:
Pavel Ghost
Сообщения: 13
ОС: openSUSE 10.2

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение Pavel Ghost »

7biohazard7 писал(а):
28.02.2007 10:27
>В каких именно логах?
Так как у вас самба и АД думаю логи надо смотреть Самбы, Кербероса заодно.
Да и вообще что проходит в messages при логоне.


Никаких проблем в логах я не выявил, приводить тучу строк смысла не вижу - видимо это штатная абсолютно процедура, которая и не пытается включать вновь создаваемого пользователя из AD включать в какие-либо локальные группы :(

7biohazard7 писал(а):
28.02.2007 10:27
Насчет групп сильно сомневаюсь что дело именно в этом

А зря. Повторюсь ещё раз - НЕТ НИКАКИХ проблем с логином и авторизацией, юзеры прекрасно получают тикеты kerberos и всё, что полагается. Но не видят они локальных устройств - audio, dvd и пр. и не могут с ними работать, потому как проги, их использующие (k3b, amarok, kmix и др. проверяются права на основе локальной групповой безопасности.
Чтобы эти проги работали достаточно запускать их через sudo с любым локальным пользователем, но это "криворукий подход", мне кажется.

7biohazard7 писал(а):
28.02.2007 10:27
Вот еще нагуглил взгляните - http://reverendted.wordpress.com/2006/09/12/linux-goes-mad/

Спасибо, почитал, первые пункты собственно и отражают ту процедуру, что проделал и я. Но и здесь ни слова про то, как побороть проблемы, возникшие у меня.

вот, например, привожу скриншотик ошибки, которая возникает при попытке открыть воткнутый DVD под юзером из AD.
Oracle DBA
GeneGO
Спасибо сказали:
Аватара пользователя
VPF
Сообщения: 1042
Статус: форум покинул
ОС: Mandriva,ClarkConnect,Windows
Контактная информация:

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение VPF »

А вот здесь говорят, что всё настраивается легко и работает нормально.
Вот и задай вопрос.

здесь
Think different www.vorko.info
Спасибо сказали:
Pavel Ghost
Сообщения: 13
ОС: openSUSE 10.2

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение Pavel Ghost »

VPF писал(а):
01.03.2007 22:02
А вот здесь говорят, что всё настраивается легко и работает нормально.
Вот и задай вопрос.

здесь


и они совершенно правы (в части интергации с AD)
но такое впечатление, что тестировали по принципу: "О! подключился, виндовые ресурсы видит, всё работает, ура!" :(
Oracle DBA
GeneGO
Спасибо сказали:
Аватара пользователя
woodlion
Сообщения: 3
ОС: OpenSuse

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение woodlion »

У меня работает. Вот только пользователи заведены в сусе. То есть одновременно с регистрацией в системе происходит авторизация в домене. В этом случае все нормально. Даже личные папки видны в виндовом домене.
Спасибо сказали:
Аватара пользователя
sarutobi
Сообщения: 676
Статус: Добрость и скромнота
ОС: Debian 5, FreeBSD 6.2/8.0
Контактная информация:

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение sarutobi »

Pavel Ghost
не тестировали а интегрировали. А насчет виндовые ресурсы увидели - так для этого заморачиваться не надо, большинство ресурсов через smbclient доступно и без интеграции :)
Я пострюсь - когда интегрровал Suse в домен, то налетел на такие же проблемы как у Вас. Но при интеграции ASP в домен все прекрасно работает. Так что надо копать, как мне кажется, в направлении hal + пользователи домена + локальные группы доступа.
Fire and water, earth and sky - mistery surrounds us, legends never die!
Спасибо сказали:
Pavel Ghost
Сообщения: 13
ОС: openSUSE 10.2

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение Pavel Ghost »

sarutobi писал(а):
04.03.2007 17:43
Pavel Ghost
не тестировали а интегрировали.

Ну как ни назови...
sarutobi писал(а):
04.03.2007 17:43
А насчет виндовые ресурсы увидели - так для этого заморачиваться не надо, большинство ресурсов через smbclient доступно и без интеграции :)

каждая секретарша это делает элементарно :))))
для меня лично такая интеграция особо не нужна, мне и так неплохо под suse, мне самба не нужна, но столько разговоров о простоте и готовности линуха к применению в качестве рядового десктопа на рабочем месте, что и боссы на это повелись... но к сожалению желаемое не всегда соответствует реальности (в полном объёме).
sarutobi писал(а):
04.03.2007 17:43
... при интеграции ASP в домен все прекрасно работает. Так что надо копать, как мне кажется, в направлении hal + пользователи домена + локальные группы доступа.

попробую копать, как пойму в какую сторону Вы меня "мягко направили" :)

woodlion писал(а):
04.03.2007 15:55
У меня работает. Вот только пользователи заведены в сусе. То есть одновременно с регистрацией в системе происходит авторизация в домене. В этом случае все нормально. Даже личные папки видны в виндовом домене.

т.е. пользователи заходят под локальными учётными записями? а синхронизация паролей с доменом как осуществляется - например, если юзер поменял пароль в сусе - изменится ли он в AD и наоборот? это одна из заморочек.
Oracle DBA
GeneGO
Спасибо сказали:
Аватара пользователя
woodlion
Сообщения: 3
ОС: OpenSuse

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение woodlion »

Pavel Ghost писал(а):
04.03.2007 23:23
woodlion писал(а):
04.03.2007 15:55

У меня работает. Вот только пользователи заведены в сусе. То есть одновременно с регистрацией в системе происходит авторизация в домене. В этом случае все нормально. Даже личные папки видны в виндовом домене.

т.е. пользователи заходят под локальными учётными записями? а синхронизация паролей с доменом как осуществляется - например, если юзер поменял пароль в сусе - изменится ли он в AD и наоборот? это одна из заморочек.


Пользователи заходят в сусе под локальными аккаунтами и одновременно цепляются в домен. При настройке самба сервера такая же фигня. Юзеры должны иметь аккаунты и в никсе, пусть даже пустые. Со сменой пароля не пробовал, но вряд ли они будут меняться одновремено. Тут я пас. Сколько лет мы всячески избегаем виндового домена, у нас дерево новеловское.

Pavel Ghost писал(а):
04.03.2007 23:23
каждая секретарша это делает элементарно :))))
для меня лично такая интеграция особо не нужна, мне и так неплохо под suse, мне самба не нужна, но столько разговоров о простоте и готовности линуха к применению в качестве рядового десктопа на рабочем месте, что и боссы на это повелись... но к сожалению желаемое не всегда соответствует реальности (в полном объёме).


А вот здесь надо подходить с другой стороны. По моему мнению, если уж переходить на suse, то надо уходить и от виндовых доменов. На едиректори тот же. То есть на дерево новеловское. На SLES вместо MS Server.
Спасибо сказали:
Аватара пользователя
elide
Бывший модератор
Сообщения: 2421
Статус: Übermensch
ОС: лялих

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение elide »

а просто ради интереса, покажи вывод id от какого-нибудь пользователя из AD...
слава роботам!
Спасибо сказали:
Pavel Ghost
Сообщения: 13
ОС: openSUSE 10.2

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение Pavel Ghost »

elide писал(а):
05.03.2007 22:07
а просто ради интереса, покажи вывод id от какого-нибудь пользователя из AD...


> id
uid=10000(DOMEN\username) gid=10000(DOMEN\пользователи домена) group=10000(DOMEN\пользователи домена),10001(DOMEN\в том же духе все группы пользователя в AD),...,10010=(BUILTIN\users)


woodlion писал(а):
05.03.2007 22:00
Пользователи заходят в сусе под локальными аккаунтами и одновременно цепляются в домен. При настройке самба сервера такая же фигня. Юзеры должны иметь аккаунты и в никсе, пусть даже пустые. Со сменой пароля не пробовал, но вряд ли они будут меняться одновремено. Тут я пас. Сколько лет мы всячески избегаем виндового домена, у нас дерево новеловское.


то и оно :-/

woodlion писал(а):
05.03.2007 22:00
А вот здесь надо подходить с другой стороны. По моему мнению, если уж переходить на suse, то надо уходить и от виндовых доменов. На едиректори тот же. То есть на дерево новеловское. На SLES вместо MS Server.

хочется всё-таки без шоковой терапии и не бросать всё то, что уже наработано, это вопрос денег, времени и дополнительной болезни, которую и "самому не посмотреть и другим не показать"
Oracle DBA
GeneGO
Спасибо сказали:
Аватара пользователя
elide
Бывший модератор
Сообщения: 2421
Статус: Übermensch
ОС: лялих

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение elide »

ну так может просто дописать в AD нужные gid'ы?
если из AD раздаются группы 10000, 10001.... то почему бы не раздавать всякие 3, 4, 9 и проч?
слава роботам!
Спасибо сказали:
Pavel Ghost
Сообщения: 13
ОС: openSUSE 10.2

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение Pavel Ghost »

elide писал(а):
05.03.2007 23:46
ну так может просто дописать в AD нужные gid'ы?
если из AD раздаются группы 10000, 10001.... то почему бы не раздавать всякие 3, 4, 9 и проч?


интересно, это как? в AD нет такого понятия как gid - тем более 10001 и т.д. - там есть SID, что совсем другая песня, а при логине в suse, видимо, тупо берутся все группы из AD и им присваиваются свободные номера групп в диапазоне, указаном в smb.conf.
Oracle DBA
GeneGO
Спасибо сказали:
Аватара пользователя
sash-kan
Администратор
Сообщения: 13939
Статус: oel ngati kameie
ОС: GNU
Контактная информация:

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение sash-kan »

(Pavel Ghost @ Feb 26 2007, в 16:24) писал(а):эти пользователи просто не включаются в соответсвующие локальные группы - audio, disk и т.п
я обошелся pam-ом. собственно, даже не для конкретных пользователей, а для всех. наверно, это не совсем правильно. но приходящий в голову альтернативный вариант - это перечислить всех пользователей домена...
делалось на debian-е. в других системах скорее всего пути/имена файлов могут отличаться.
1. для начала в /etc/security/group.conf добавил строчку

Код: Выделить всё

*; *; *; Al0000-2400; audio, cdrom
первая звездочка - «все сервисы», они же - пути авторизации (например, xdm, kdm, su, ssh и т.д. и т.п.)
вторая звездочка - «все tty».
третья звездочка - «все пользователи». вот тут можно сделать вышеупомянутое перечисление. через запятую.
четвертое поле - это время. у меня - «круглосуточно»
пятое поле - в какие, собственно группы надо включить пользователя.
2. чтобы содержимое /etc/security/group.conf было принято к сведению, добавил строку

Код: Выделить всё

auth optional pam_group.so
перед первой незакомментированой строкой в /etc/pam.d/common-auth

вот, собственно, и все.
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
Спасибо сказали:
ntfs2
Сообщения: 11

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение ntfs2 »

'PavelGhost, у меня такая же ерунда, хотя в SLED 10 все прекрасно работало
Спасибо сказали:
Pavel Ghost
Сообщения: 13
ОС: openSUSE 10.2

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение Pavel Ghost »

СПАСИБО ОГРОМНОЕ!!!
группы в списке появились!!!

насчёт работы приложений в новых условиях проверить не успел - перестала реагировать панель kicker-a и что-то как-то насовсем :(

на других компах, правда, после указанных действий группы не появились, но я уже видел результат, поэтому буду дальше разбираться.

мне ещё достаточно дельный совет от LinuxFormat прислали, но он в лоб не сработал, как будут стабильные результаты - напишу.

ещё раз СПАСИБО
Oracle DBA
GeneGO
Спасибо сказали:
Pavel Ghost
Сообщения: 13
ОС: openSUSE 10.2

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение Pavel Ghost »

ээххх, всё разобрался и с KDE и с другими компами - я ошибся в написании маски времени в /etc/security/group.conf

НО :(( ох уж это но :((( HAL не даёт монтировать CD/DVD и флешки - ругается как на картинке
Oracle DBA
GeneGO
Спасибо сказали:
UTiM
Сообщения: 180
ОС: OpenSuse

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение UTiM »

Блин, вторую неделю с этим бьемся.
Дописали в /etc/dbus-1/system.d/hal.conf

Код: Выделить всё


<policy group="users">
    <allow send_interface="org.freedesktop.Hal.Device.SystemPowerManagement"/>
    <allow send_interface="org.freedesktop.Hal.Device.VideoAdapterPM"/>
    <allow send_interface="org.freedesktop.Hal.Device.LaptopPanel"/>
    <allow send_interface="org.freedesktop.Hal.Device.Volume"/>
    <allow send_interface="org.freedesktop.Hal.Device.Volume.Crypto"/>
  </policy>

Прописали доменного пользователя в группу "users" плюс в те-же, что у локального ручками. Теперь ругается так:

Код: Выделить всё

hal-storage-removable-mount refused uid 10000

Видимо даже попадание доменного пользователя в локальную группу не помогоает.
Здесь народ тоже самое получил - и затык? Где копать дальше?
Спасибо сказали:
Аватара пользователя
Dr.Akula
Сообщения: 136
Статус: Мандрячнег
ОС: Mandriva 2009.0

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение Dr.Akula »

Я решил данную проблему добавив в файл /etc/dbus-1/system.d/hal.conf

<policy group="16777219">
<allow send_interface="org.freedesktop.Hal.Device.SystemPowerManagement"/>
<allow send_interface="org.freedesktop.Hal.Device.VideoAdapterPM"/>
<allow send_interface="org.freedesktop.Hal.Device.LaptopPanel"/>
<allow send_interface="org.freedesktop.Hal.Device.Volume"/>
<allow send_interface="org.freedesktop.Hal.Device.Volume.Crypto"/>
</policy>

Где 16777219 было id группы "Пользователи домена"


ЗДЕСЬ еще одно решение похожей проблемы
Стараюсь чтобы устройства /dev/head и /dev/hands работали без прокси /dev/ass
Спасибо сказали:
UTiM
Сообщения: 180
ОС: OpenSuse

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение UTiM »

Вот еще "рецепт". Взят с www.suseclub.ru , но сейчас их сайт недоступен. Привожу дословно:


1. /etc/security/group.conf
Добавить
*; *; *; Al0000-2400; audio, cdrom, dialout, floppy, video, users
2. В файл /etc/pam.d/common-auth до первой раскоментированной строки
auth optional pam_group.so
3.Поменять доменный сепаратор с \ еа какой-нибудь другой. (В /etc/samba/smb.conf дописать строку winbind separator = +) и
удалить все пакаджи zenwork(чтоб не ругался можно или через YAST2 или с пом-ю
комманд rczmd stop; rpm -e zmd libzypp-zmd-backend sqlite-zmd rug zen-upda


Первая строка позволяет автоматически включить доменного пользования в локальные группы, на счет необходимости последней - не уверен.

После включения доменного пользователя в локальные группы звук появился, однако флэшки и CD у меня все равно не цепляет (все то-же сообщение). Возможно из-за многочисленных попыток "подкрутить" или "не все обновления одинаково полезны" (после очередного обновления САМБЫ, например - стало невозможно подключится к домену). Однако многие пишут, что "все работает"....
Спасибо сказали:
ntfs2
Сообщения: 11

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение ntfs2 »

поставь resmgr-1.1.0_SVNr143-8.i586.rpm и вся проблема решится
Спасибо сказали:
UTiM
Сообщения: 180
ОС: OpenSuse

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение UTiM »

ntfs2 писал(а):
02.10.2007 10:04
поставь resmgr-1.1.0_SVNr143-8.i586.rpm и вся проблема решится


Спасибо, помогло!
Все заработало (не прошло и пол года или уже прошло?)
Спасибо сказали:
viliam
Сообщения: 2
ОС: Novell Suse Linux

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение viliam »

Привет всем!
Подскажите кто-нибудь как включить конкретного доменного пользователя, когда описываю его в файле /etc/security/group.conf - ругается на плохой синтаксис "pam_group(su:setcred): garbled syntax; expected & or | (rule #1)"

Пробовал описывать и так domain\user и так domain+user (когда в самбе включаю winbind separator = +)
Спасибо сказали:
UTiM
Сообщения: 180
ОС: OpenSuse

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение UTiM »

viliam писал(а):
12.11.2007 11:14
Привет всем!
Подскажите кто-нибудь как включить конкретного доменного пользователя, когда описываю его в файле /etc/security/group.conf - ругается на плохой синтаксис "pam_group(su:setcred): garbled syntax; expected & or | (rule #1)"

Пробовал описывать и так domain\user и так domain+user (когда в самбе включаю winbind separator = +)

Попробуй взять в кавычки "domain\user " или так: domain\\user , а еще можно по uid попробовать..
Спасибо сказали:
viliam
Сообщения: 2
ОС: Novell Suse Linux

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение viliam »

Пробовал в кавычках "domain\user " и так domain\\user , и по uid - НЕ РАБОТАЕТ....

Никто не сталкивался?
Спасибо сказали:
qqq1971
Сообщения: 157

Re: Нет доступа к локальным ресурсам при авторизации в домене

Сообщение qqq1971 »

Попробовал - аналогично, не работает. Но ни на что не ругается, просто не добавляет указанного пользователя в указанные группы.
Спасибо сказали:
Ответить