Нет доступа к локальным ресурсам при авторизации в домене (Нет доступа к локальным ресурсам () при авторизации в домене через Sam)
Модератор: Модераторы разделов
-
- Сообщения: 13
- ОС: openSUSE 10.2
Нет доступа к локальным ресурсам при авторизации в домене
День добрый
Есть виндовый домен с AD под Win2003
Есть несколько рабочих компов с openSUSE 10.2
в них сделана авторизация в домене через Samba (стандартная настройка через Yast - Сетевые службы - Членство Windows домена и там тупо поставлена галка для использования при атунтификации в линухе).
Пользователи прекрасно логинятся в домене, НО НЕ получают никакого доступа к локальным ресурсам своих компов - нет звука, нет возможности писать на DVD-R, даже флешки не монтируются.
Насколько я понимаю и по результатам поисков по форумам эти пользователи просто не включаются в соответсвующие локальные группы - audio, disk и т.п.
Как включить этих юзеров в локальные группы по-умолчанию?
Я уже описывал свою проблему на разных форумах - а вот ответ тишина, неужели у всех всё прекрасно работает? или в лом помочь? (((
С уважением....
Есть виндовый домен с AD под Win2003
Есть несколько рабочих компов с openSUSE 10.2
в них сделана авторизация в домене через Samba (стандартная настройка через Yast - Сетевые службы - Членство Windows домена и там тупо поставлена галка для использования при атунтификации в линухе).
Пользователи прекрасно логинятся в домене, НО НЕ получают никакого доступа к локальным ресурсам своих компов - нет звука, нет возможности писать на DVD-R, даже флешки не монтируются.
Насколько я понимаю и по результатам поисков по форумам эти пользователи просто не включаются в соответсвующие локальные группы - audio, disk и т.п.
Как включить этих юзеров в локальные группы по-умолчанию?
Я уже описывал свою проблему на разных форумах - а вот ответ тишина, неужели у всех всё прекрасно работает? или в лом помочь? (((
С уважением....
Oracle DBA
GeneGO
GeneGO
Re: Нет доступа к локальным ресурсам при авторизации в домене
Та же проблема, та же тишина
-
- Сообщения: 618
- Статус: Любитель SUSE
- ОС: Suse 11.2
Re: Нет доступа к локальным ресурсам при авторизации в домене
Проблема и тишина скорее всего связана с тем что мало кто так делает. Да и в принципе, никс пользователей в AD не хранят - есть более приятные места
А что в логах есть что-то? Или ошибки при логоне/предупреждения какие-то выскакивают?
А что в логах есть что-то? Или ошибки при логоне/предупреждения какие-то выскакивают?
-
- Сообщения: 13
- ОС: openSUSE 10.2
Re: Нет доступа к локальным ресурсам при авторизации в домене
7biohazard7 писал(а): ↑26.02.2007 19:28Проблема и тишина скорее всего связана с тем что мало кто так делает. Да и в принципе, никс пользователей в AD не хранят - есть более приятные места
Честно говоря, мне кажется, это - сомнительное утверждение.
Что может быть более приятным того, чтобы использовать наработанный ресурс, а не лечить траблы в течение пары недели, заводя домен под самбой. При переезде на линух рабочих станций проще пути по-моему и придумать нельзя, если бы не эти "особенности". да и возможность такая есть, причём СТАНДАРТНАЯ КОРОБОЧНАЯ. Возможность такой авторизации ещё в процессе инсталляции предусмотрена, так что ... давайте не будем.
7biohazard7 писал(а): ↑26.02.2007 19:28А что в логах есть что-то? Или ошибки при логоне/предупреждения какие-то выскакивают?
В каких именно логах? Никаких ошибок и т.п. при логоне не возникает - просто при попытке, например, запустить amarok - валится, что мол xine не может запустить аудио-дрова (от того, что нет юзера в группе audio), k3b не видит пишуший девайс опять-таки потому как не может получить доступ к cdrecord и чему-то ещё, при монтировании флешки - большое сообщение со словами про permission, даже иконка NetworkManager-а показывает, что мол находимся "Connection in progress", хотя сетка работает без проблем.
Если заходить под локальным непривилегированным пользователем, то без проблем всё работает, но неудобно работать с сетевыми ресурсами.
Oracle DBA
GeneGO
GeneGO
-
- Сообщения: 618
- Статус: Любитель SUSE
- ОС: Suse 11.2
Re: Нет доступа к локальным ресурсам при авторизации в домене
>В каких именно логах?
Так как у вас самба и АД думаю логи надо смотреть Самбы, Кербероса заодно.
Да и вообще что проходит в messages при логоне.
Насчет групп сильно сомневаюсь что дело именно в этом, есть опыт хранения пользователей для НИКС в обычном LDAP-каталоге, так там все нормально проходит, только ругается на дом-й каталог. Насколько понимаю проблема в том что схемы LDAP для ВИН и НИКС сильно отличаются. К сожалению я не имею возможности у себя проверять авторизацию, AD домена у меня в принципе нет.
Вот еще нагуглил взгляните - http://reverendted.wordpress.com/2006/09/12/linux-goes-mad/
Так как у вас самба и АД думаю логи надо смотреть Самбы, Кербероса заодно.
Да и вообще что проходит в messages при логоне.
Насчет групп сильно сомневаюсь что дело именно в этом, есть опыт хранения пользователей для НИКС в обычном LDAP-каталоге, так там все нормально проходит, только ругается на дом-й каталог. Насколько понимаю проблема в том что схемы LDAP для ВИН и НИКС сильно отличаются. К сожалению я не имею возможности у себя проверять авторизацию, AD домена у меня в принципе нет.
Вот еще нагуглил взгляните - http://reverendted.wordpress.com/2006/09/12/linux-goes-mad/
-
- Сообщения: 13
- ОС: openSUSE 10.2
Re: Нет доступа к локальным ресурсам при авторизации в домене
7biohazard7 писал(а): ↑28.02.2007 10:27>В каких именно логах?
Так как у вас самба и АД думаю логи надо смотреть Самбы, Кербероса заодно.
Да и вообще что проходит в messages при логоне.
Никаких проблем в логах я не выявил, приводить тучу строк смысла не вижу - видимо это штатная абсолютно процедура, которая и не пытается включать вновь создаваемого пользователя из AD включать в какие-либо локальные группы
А зря. Повторюсь ещё раз - НЕТ НИКАКИХ проблем с логином и авторизацией, юзеры прекрасно получают тикеты kerberos и всё, что полагается. Но не видят они локальных устройств - audio, dvd и пр. и не могут с ними работать, потому как проги, их использующие (k3b, amarok, kmix и др. проверяются права на основе локальной групповой безопасности.
Чтобы эти проги работали достаточно запускать их через sudo с любым локальным пользователем, но это "криворукий подход", мне кажется.
7biohazard7 писал(а): ↑28.02.2007 10:27Вот еще нагуглил взгляните - http://reverendted.wordpress.com/2006/09/12/linux-goes-mad/
Спасибо, почитал, первые пункты собственно и отражают ту процедуру, что проделал и я. Но и здесь ни слова про то, как побороть проблемы, возникшие у меня.
вот, например, привожу скриншотик ошибки, которая возникает при попытке открыть воткнутый DVD под юзером из AD.
Oracle DBA
GeneGO
GeneGO
-
- Сообщения: 13
- ОС: openSUSE 10.2
Re: Нет доступа к локальным ресурсам при авторизации в домене
и они совершенно правы (в части интергации с AD)
но такое впечатление, что тестировали по принципу: "О! подключился, виндовые ресурсы видит, всё работает, ура!"
Oracle DBA
GeneGO
GeneGO
Re: Нет доступа к локальным ресурсам при авторизации в домене
У меня работает. Вот только пользователи заведены в сусе. То есть одновременно с регистрацией в системе происходит авторизация в домене. В этом случае все нормально. Даже личные папки видны в виндовом домене.
- sarutobi
- Сообщения: 676
- Статус: Добрость и скромнота
- ОС: Debian 5, FreeBSD 6.2/8.0
- Контактная информация:
Re: Нет доступа к локальным ресурсам при авторизации в домене
Pavel Ghost
не тестировали а интегрировали. А насчет виндовые ресурсы увидели - так для этого заморачиваться не надо, большинство ресурсов через smbclient доступно и без интеграции
Я пострюсь - когда интегрровал Suse в домен, то налетел на такие же проблемы как у Вас. Но при интеграции ASP в домен все прекрасно работает. Так что надо копать, как мне кажется, в направлении hal + пользователи домена + локальные группы доступа.
не тестировали а интегрировали. А насчет виндовые ресурсы увидели - так для этого заморачиваться не надо, большинство ресурсов через smbclient доступно и без интеграции
Я пострюсь - когда интегрровал Suse в домен, то налетел на такие же проблемы как у Вас. Но при интеграции ASP в домен все прекрасно работает. Так что надо копать, как мне кажется, в направлении hal + пользователи домена + локальные группы доступа.
Fire and water, earth and sky - mistery surrounds us, legends never die!
-
- Сообщения: 13
- ОС: openSUSE 10.2
Re: Нет доступа к локальным ресурсам при авторизации в домене
Ну как ни назови...
каждая секретарша это делает элементарно )))
для меня лично такая интеграция особо не нужна, мне и так неплохо под suse, мне самба не нужна, но столько разговоров о простоте и готовности линуха к применению в качестве рядового десктопа на рабочем месте, что и боссы на это повелись... но к сожалению желаемое не всегда соответствует реальности (в полном объёме).
попробую копать, как пойму в какую сторону Вы меня "мягко направили"
т.е. пользователи заходят под локальными учётными записями? а синхронизация паролей с доменом как осуществляется - например, если юзер поменял пароль в сусе - изменится ли он в AD и наоборот? это одна из заморочек.
Oracle DBA
GeneGO
GeneGO
Re: Нет доступа к локальным ресурсам при авторизации в домене
Pavel Ghost писал(а): ↑04.03.2007 23:23
т.е. пользователи заходят под локальными учётными записями? а синхронизация паролей с доменом как осуществляется - например, если юзер поменял пароль в сусе - изменится ли он в AD и наоборот? это одна из заморочек.
Пользователи заходят в сусе под локальными аккаунтами и одновременно цепляются в домен. При настройке самба сервера такая же фигня. Юзеры должны иметь аккаунты и в никсе, пусть даже пустые. Со сменой пароля не пробовал, но вряд ли они будут меняться одновремено. Тут я пас. Сколько лет мы всячески избегаем виндового домена, у нас дерево новеловское.
Pavel Ghost писал(а): ↑04.03.2007 23:23каждая секретарша это делает элементарно )))
для меня лично такая интеграция особо не нужна, мне и так неплохо под suse, мне самба не нужна, но столько разговоров о простоте и готовности линуха к применению в качестве рядового десктопа на рабочем месте, что и боссы на это повелись... но к сожалению желаемое не всегда соответствует реальности (в полном объёме).
А вот здесь надо подходить с другой стороны. По моему мнению, если уж переходить на suse, то надо уходить и от виндовых доменов. На едиректори тот же. То есть на дерево новеловское. На SLES вместо MS Server.
Re: Нет доступа к локальным ресурсам при авторизации в домене
а просто ради интереса, покажи вывод id от какого-нибудь пользователя из AD...
слава роботам!
-
- Сообщения: 13
- ОС: openSUSE 10.2
Re: Нет доступа к локальным ресурсам при авторизации в домене
> id
uid=10000(DOMEN\username) gid=10000(DOMEN\пользователи домена) group=10000(DOMEN\пользователи домена),10001(DOMEN\в том же духе все группы пользователя в AD),...,10010=(BUILTIN\users)
woodlion писал(а): ↑05.03.2007 22:00Пользователи заходят в сусе под локальными аккаунтами и одновременно цепляются в домен. При настройке самба сервера такая же фигня. Юзеры должны иметь аккаунты и в никсе, пусть даже пустые. Со сменой пароля не пробовал, но вряд ли они будут меняться одновремено. Тут я пас. Сколько лет мы всячески избегаем виндового домена, у нас дерево новеловское.
то и оно :-/
хочется всё-таки без шоковой терапии и не бросать всё то, что уже наработано, это вопрос денег, времени и дополнительной болезни, которую и "самому не посмотреть и другим не показать"
Oracle DBA
GeneGO
GeneGO
Re: Нет доступа к локальным ресурсам при авторизации в домене
ну так может просто дописать в AD нужные gid'ы?
если из AD раздаются группы 10000, 10001.... то почему бы не раздавать всякие 3, 4, 9 и проч?
если из AD раздаются группы 10000, 10001.... то почему бы не раздавать всякие 3, 4, 9 и проч?
слава роботам!
-
- Сообщения: 13
- ОС: openSUSE 10.2
Re: Нет доступа к локальным ресурсам при авторизации в домене
интересно, это как? в AD нет такого понятия как gid - тем более 10001 и т.д. - там есть SID, что совсем другая песня, а при логине в suse, видимо, тупо берутся все группы из AD и им присваиваются свободные номера групп в диапазоне, указаном в smb.conf.
Oracle DBA
GeneGO
GeneGO
Re: Нет доступа к локальным ресурсам при авторизации в домене
я обошелся pam-ом. собственно, даже не для конкретных пользователей, а для всех. наверно, это не совсем правильно. но приходящий в голову альтернативный вариант - это перечислить всех пользователей домена...(Pavel Ghost @ Feb 26 2007, в 16:24) писал(а):эти пользователи просто не включаются в соответсвующие локальные группы - audio, disk и т.п
делалось на debian-е. в других системах скорее всего пути/имена файлов могут отличаться.
1. для начала в /etc/security/group.conf добавил строчку
Код: Выделить всё
*; *; *; Al0000-2400; audio, cdrom
вторая звездочка - «все tty».
третья звездочка - «все пользователи». вот тут можно сделать вышеупомянутое перечисление. через запятую.
четвертое поле - это время. у меня - «круглосуточно»
пятое поле - в какие, собственно группы надо включить пользователя.
2. чтобы содержимое /etc/security/group.conf было принято к сведению, добавил строку
Код: Выделить всё
auth optional pam_group.so
вот, собственно, и все.
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
при сбоях форума см.блог
Re: Нет доступа к локальным ресурсам при авторизации в домене
'PavelGhost, у меня такая же ерунда, хотя в SLED 10 все прекрасно работало
-
- Сообщения: 13
- ОС: openSUSE 10.2
Re: Нет доступа к локальным ресурсам при авторизации в домене
СПАСИБО ОГРОМНОЕ!!!
группы в списке появились!!!
насчёт работы приложений в новых условиях проверить не успел - перестала реагировать панель kicker-a и что-то как-то насовсем
на других компах, правда, после указанных действий группы не появились, но я уже видел результат, поэтому буду дальше разбираться.
мне ещё достаточно дельный совет от LinuxFormat прислали, но он в лоб не сработал, как будут стабильные результаты - напишу.
ещё раз СПАСИБО
группы в списке появились!!!
насчёт работы приложений в новых условиях проверить не успел - перестала реагировать панель kicker-a и что-то как-то насовсем
на других компах, правда, после указанных действий группы не появились, но я уже видел результат, поэтому буду дальше разбираться.
мне ещё достаточно дельный совет от LinuxFormat прислали, но он в лоб не сработал, как будут стабильные результаты - напишу.
ещё раз СПАСИБО
Oracle DBA
GeneGO
GeneGO
-
- Сообщения: 13
- ОС: openSUSE 10.2
Re: Нет доступа к локальным ресурсам при авторизации в домене
ээххх, всё разобрался и с KDE и с другими компами - я ошибся в написании маски времени в /etc/security/group.conf
НО ( ох уж это но (( HAL не даёт монтировать CD/DVD и флешки - ругается как на картинке
НО ( ох уж это но (( HAL не даёт монтировать CD/DVD и флешки - ругается как на картинке
Oracle DBA
GeneGO
GeneGO
Re: Нет доступа к локальным ресурсам при авторизации в домене
Блин, вторую неделю с этим бьемся.
Дописали в /etc/dbus-1/system.d/hal.conf
Прописали доменного пользователя в группу "users" плюс в те-же, что у локального ручками. Теперь ругается так:
Видимо даже попадание доменного пользователя в локальную группу не помогоает.
Здесь народ тоже самое получил - и затык? Где копать дальше?
Дописали в /etc/dbus-1/system.d/hal.conf
Код: Выделить всё
<policy group="users">
<allow send_interface="org.freedesktop.Hal.Device.SystemPowerManagement"/>
<allow send_interface="org.freedesktop.Hal.Device.VideoAdapterPM"/>
<allow send_interface="org.freedesktop.Hal.Device.LaptopPanel"/>
<allow send_interface="org.freedesktop.Hal.Device.Volume"/>
<allow send_interface="org.freedesktop.Hal.Device.Volume.Crypto"/>
</policy>
Прописали доменного пользователя в группу "users" плюс в те-же, что у локального ручками. Теперь ругается так:
Код: Выделить всё
hal-storage-removable-mount refused uid 10000
Видимо даже попадание доменного пользователя в локальную группу не помогоает.
Здесь народ тоже самое получил - и затык? Где копать дальше?
Re: Нет доступа к локальным ресурсам при авторизации в домене
Я решил данную проблему добавив в файл /etc/dbus-1/system.d/hal.conf
<policy group="16777219">
<allow send_interface="org.freedesktop.Hal.Device.SystemPowerManagement"/>
<allow send_interface="org.freedesktop.Hal.Device.VideoAdapterPM"/>
<allow send_interface="org.freedesktop.Hal.Device.LaptopPanel"/>
<allow send_interface="org.freedesktop.Hal.Device.Volume"/>
<allow send_interface="org.freedesktop.Hal.Device.Volume.Crypto"/>
</policy>
Где 16777219 было id группы "Пользователи домена"
ЗДЕСЬ еще одно решение похожей проблемы
<policy group="16777219">
<allow send_interface="org.freedesktop.Hal.Device.SystemPowerManagement"/>
<allow send_interface="org.freedesktop.Hal.Device.VideoAdapterPM"/>
<allow send_interface="org.freedesktop.Hal.Device.LaptopPanel"/>
<allow send_interface="org.freedesktop.Hal.Device.Volume"/>
<allow send_interface="org.freedesktop.Hal.Device.Volume.Crypto"/>
</policy>
Где 16777219 было id группы "Пользователи домена"
ЗДЕСЬ еще одно решение похожей проблемы
Стараюсь чтобы устройства /dev/head и /dev/hands работали без прокси /dev/ass
Re: Нет доступа к локальным ресурсам при авторизации в домене
Вот еще "рецепт". Взят с www.suseclub.ru , но сейчас их сайт недоступен. Привожу дословно:
1. /etc/security/group.conf
Добавить
*; *; *; Al0000-2400; audio, cdrom, dialout, floppy, video, users
2. В файл /etc/pam.d/common-auth до первой раскоментированной строки
auth optional pam_group.so
3.Поменять доменный сепаратор с \ еа какой-нибудь другой. (В /etc/samba/smb.conf дописать строку winbind separator = +) и
удалить все пакаджи zenwork(чтоб не ругался можно или через YAST2 или с пом-ю
комманд rczmd stop; rpm -e zmd libzypp-zmd-backend sqlite-zmd rug zen-upda
Первая строка позволяет автоматически включить доменного пользования в локальные группы, на счет необходимости последней - не уверен.
После включения доменного пользователя в локальные группы звук появился, однако флэшки и CD у меня все равно не цепляет (все то-же сообщение). Возможно из-за многочисленных попыток "подкрутить" или "не все обновления одинаково полезны" (после очередного обновления САМБЫ, например - стало невозможно подключится к домену). Однако многие пишут, что "все работает"....
1. /etc/security/group.conf
Добавить
*; *; *; Al0000-2400; audio, cdrom, dialout, floppy, video, users
2. В файл /etc/pam.d/common-auth до первой раскоментированной строки
auth optional pam_group.so
3.Поменять доменный сепаратор с \ еа какой-нибудь другой. (В /etc/samba/smb.conf дописать строку winbind separator = +) и
удалить все пакаджи zenwork(чтоб не ругался можно или через YAST2 или с пом-ю
комманд rczmd stop; rpm -e zmd libzypp-zmd-backend sqlite-zmd rug zen-upda
Первая строка позволяет автоматически включить доменного пользования в локальные группы, на счет необходимости последней - не уверен.
После включения доменного пользователя в локальные группы звук появился, однако флэшки и CD у меня все равно не цепляет (все то-же сообщение). Возможно из-за многочисленных попыток "подкрутить" или "не все обновления одинаково полезны" (после очередного обновления САМБЫ, например - стало невозможно подключится к домену). Однако многие пишут, что "все работает"....
Re: Нет доступа к локальным ресурсам при авторизации в домене
поставь resmgr-1.1.0_SVNr143-8.i586.rpm и вся проблема решится
Re: Нет доступа к локальным ресурсам при авторизации в домене
Привет всем!
Подскажите кто-нибудь как включить конкретного доменного пользователя, когда описываю его в файле /etc/security/group.conf - ругается на плохой синтаксис "pam_group(su:setcred): garbled syntax; expected & or | (rule #1)"
Пробовал описывать и так domain\user и так domain+user (когда в самбе включаю winbind separator = +)
Подскажите кто-нибудь как включить конкретного доменного пользователя, когда описываю его в файле /etc/security/group.conf - ругается на плохой синтаксис "pam_group(su:setcred): garbled syntax; expected & or | (rule #1)"
Пробовал описывать и так domain\user и так domain+user (когда в самбе включаю winbind separator = +)
Re: Нет доступа к локальным ресурсам при авторизации в домене
viliam писал(а): ↑12.11.2007 11:14Привет всем!
Подскажите кто-нибудь как включить конкретного доменного пользователя, когда описываю его в файле /etc/security/group.conf - ругается на плохой синтаксис "pam_group(su:setcred): garbled syntax; expected & or | (rule #1)"
Пробовал описывать и так domain\user и так domain+user (когда в самбе включаю winbind separator = +)
Попробуй взять в кавычки "domain\user " или так: domain\\user , а еще можно по uid попробовать..
Re: Нет доступа к локальным ресурсам при авторизации в домене
Пробовал в кавычках "domain\user " и так domain\\user , и по uid - НЕ РАБОТАЕТ....
Никто не сталкивался?
Никто не сталкивался?
Re: Нет доступа к локальным ресурсам при авторизации в домене
Попробовал - аналогично, не работает. Но ни на что не ругается, просто не добавляет указанного пользователя в указанные группы.