[Решено] Как включить доменного пользователя в локальные группы Линукс
Модератор: SLEDopit
-
- Сообщения: 24
- ОС: ALT Linux
[Решено] Как включить доменного пользователя в локальные группы Линукс
Подключил Лниукс-машину к AD, под доменной учёткой вхожу на Линукс-машину, доступ к виндовс-серверам есть, но при попытке ввести в терминале команду su выдает "Отказано в доступе". Как ввести доменного пользователя в локальные группы линукс-машины?
Re: [Решено] Как включить доменного пользователя в локальные группы Линукс
проблема не очень понятна; что мешает добавить доменного юзера в /etc/group?
-
- Сообщения: 24
- ОС: ALT Linux
Re: [Решено] Как включить доменного пользователя в локальные группы Линукс
Спасибо, проблема вроде как решилась, но не до конца:
Я вручную добавил доменного пользователя в файлы /etc/group, /etc/gshadow, /etc/gshadow. Вроде всё получилось: пользователь появился в списке окна входа в систему, я зашел под этим пользователем, доступ к папкам на сервере Windows остался, команда su в терминале стала выполняться, но это была уже другая учётная запись: домашний каталог у неё был /home/domain/domain-user, а у доменной учётной записи - /home/DOMAIN/domain-user.
Когда я вручную исправил domain на DOMAIN в /etc/passwd, то KDM меня не пустил, выдал ошибку.
Отсюда вопрос: как сделать, чтобы при первом входе под доменной учётной записью она автоматом прописывалась в /etc/group, /etc/gshadow, etc/gshadow в качестве локального юзера Linux-машины?
Re: [Решено] Как включить доменного пользователя в локальные группы Линукс
Equilibrium писал(а): ↑24.10.2008 03:35Когда я вручную исправил domain на DOMAIN в /etc/passwd, то KDM меня не пустил, выдал ошибку.
зачем править /etc/passwd? /etc/passwd трогать не надо
Отсюда вопрос: как сделать, чтобы при первом входе под доменной учётной записью она автоматом прописывалась в /etc/group, /etc/gshadow, etc/gshadow в качестве локального юзера Linux-машины?
а оно вам точно надо? -- если у тебя winbind назначает uid и gid доменным учёткам, то доменного юзера не нужно прописывать в /etc/group -- всё решается использованием pam_winbind, pam_mkhomedir и настройкой nsswitch.conf; если в выводе команды getent group присутствуют доменные группы, значит всё настроено верно, и вышеописанных проблем по идее быть не должно (добавление в /etc/group имеет смысл только с точки зрения дополнительных прав доменной учётки на линукс-машине, например для возможности выполнять команду su -> добавить доменную учётку в группу wheel хоть редактированием /etc/group, хоть командой gpasswd)
-
- Сообщения: 24
- ОС: ALT Linux
Re: [Решено] Как включить доменного пользователя в локальные группы Линукс
pam_winbind, pam_mkhomedir прописаны, домашняя директория создаётся, но getent group выводит только содержимое файла /etc/group, доменных групп в ней нет. Команды wbinfo -g и wbinfo -u выводят доменные группы и доменных пользователей соответственно.
Я в предыдущем посте немного ошибся, написал "Я вручную добавил доменного пользователя в файлы /etc/group, /etc/gshadow, /etc/gshadow", а надо было "Я вручную добавил доменного пользователя в файлы /etc/group, /etc/gshadow, /etc/passwd", т.е. я вручную прописал пользователя и в /etc/passwd.
Спасибо, вроде помогло! А в остальные группы типа cdrom, scanner, radio и им подобных тоже пользователя тоже надо вручную добавлять?
Удалил я внесённого вручную пользователя из /etc/group, /etc/gshadow, /etc/passwd, соответственно, в окне менеджера входа в систему (KDM) из списка он пропал. А можно ли сделать так, чтобы он там остался?
Re: [Решено] Как включить доменного пользователя в локальные группы Линукс
Equilibrium писал(а): ↑24.10.2008 13:11А в остальные группы типа cdrom, scanner, radio и им подобных тоже пользователя тоже надо вручную добавлять?
если в том есть необходимость; вобще говоря, такой необходимости не вижу
Удалил я внесённого вручную пользователя из /etc/group, /etc/gshadow, /etc/passwd, соответственно, в окне менеджера входа в систему (KDM) из списка он пропал. А можно ли сделать так, чтобы он там остался?
это связано с
getent group выводит только содержимое файла /etc/group, доменных групп в ней нет
каково содержание /etc/nsswitch.conf? -- в части учёток юзеров должно быть
passwd: compat winbind
shadow: compat winbind
group: compat winbind
либо
passwd: files winbind
shadow: files winbind
group: files winbind
-
- Сообщения: 24
- ОС: ALT Linux
Re: [Решено] Как включить доменного пользователя в локальные группы Линукс
Так и есть:
passwd: files winbind nisplus nis
shadow: tcb files winbind nisplus nis
group: files winbind nisplus nis
но getent выводит только /etc/group
Re: [Решено] Как включить доменного пользователя в локальные группы Линукс
Equilibrium писал(а): ↑25.10.2008 07:23passwd: files winbind nisplus nis
shadow: tcb files winbind nisplus nis
group: files winbind nisplus nis
но getent выводит только /etc/group
тогда остаётся, что winbind не назначает gid-ы доменным учёткам; чтобы он это делал, в конфиге самбы должны быть параметры типа
idmap uid = 2200-2500
idmap gid = 2200-2500
winbind enum users = yes
winbind enum groups = yes
(также не помешает winbind cache time = 30)
-
- Сообщения: 24
- ОС: ALT Linux
Re: [Решено] Как включить доменного пользователя в локальные группы Линукс
Ariasp писал(а): ↑25.10.2008 11:25тогда остаётся, что winbind не назначает gid-ы доменным учёткам; чтобы он это делал, в конфиге самбы должны быть параметры типа
idmap uid = 2200-2500
idmap gid = 2200-2500
winbind enum users = yes
winbind enum groups = yes
(также не помешает winbind cache time = 30)
idmap uid и idmap gid (точнее winbind uid и winbind gid, что суть одно и то же) были прописаны, а вот enum прописан не был, но стоило добавить winbind enum users = yes (спасибо, Ariasp), как во входном меню KDE появился список всех доменных пользователей Вот теперь сижу и думаю: а на кой мне это надо? А можно ли сделать так, чтобы в этом списке были только пользователи, заходившие на эту машину?
Re: [Решено] Как включить доменного пользователя в локальные группы Линукс
Equilibrium писал(а): ↑27.10.2008 09:55во входном меню KDE появился список всех доменных пользователей Вот теперь сижу и думаю: а на кой мне это надо? А можно ли сделать так, чтобы в этом списке были только пользователи, заходившие на эту машину?
если без изощрённых условий, то это достаточно просто решается;
KDE Control Centre->System Administration->Login Manager->Users->Show List
вроде там по умолчанию "отображать всех", что можно изменить - либо выбрать, какие учётки отображать, либо наоборот - какие не отображать никогда в login-форме
Re: [Решено] Как включить доменного пользователя в локальные группы Линукс
Керберос настраивали? Работает?
-
- Сообщения: 24
- ОС: ALT Linux
Re: [Решено] Как включить доменного пользователя в локальные группы Линукс
Ariasp писал(а): ↑27.10.2008 12:03если без изощрённых условий, то это достаточно просто решается;
KDE Control Centre->System Administration->Login Manager->Users->Show List
вроде там по умолчанию "отображать всех", что можно изменить - либо выбрать, какие учётки отображать, либо наоборот - какие не отображать никогда в login-форме
Спасибо большое, помогло!!!
Да, всё работает, спасибо Ariasp, он мне очень помог в этом плане. Вхожу под доменной учёткой, монтирую сетевые диски через pam_mount, подключил домен, с которым у нас доверительные отношения - всё нормально!
Единственно, добавление доменных пользователей в локальные группы реализовано не очень, буду ещё над этим работать.
-
- Сообщения: 24
- ОС: ALT Linux
Re: [Решено] Как включить доменного пользователя в локальные группы Линукс
Проблема решена!
Она уже обсуждалась в теме Нет доступа к локальным ресурсам при авторизации в домене... и решение было найдено (пост №17): через правку /etc/security/group.conf и /etc/system-auth-winbind (для ALT Linux)
Я ранее находил подобные решения, но реализовать не удалось (не добавлял строчку в /etc/system-auth-winbind и в smb.conf параметры winbind enum users и winbind enum groups включены не были)
Она уже обсуждалась в теме Нет доступа к локальным ресурсам при авторизации в домене... и решение было найдено (пост №17): через правку /etc/security/group.conf и /etc/system-auth-winbind (для ALT Linux)
Я ранее находил подобные решения, но реализовать не удалось (не добавлял строчку в /etc/system-auth-winbind и в smb.conf параметры winbind enum users и winbind enum groups включены не были)