как члена актив директори win 2003. Многое сделано мной в этом
направлении и застрял я на настройке nsswitch.conf и файлов в /etc/pam.d
Конечная задача - залогиниться на машине с линукс пользователем Active
Directory
конфиги:
/etc/samba/smb.conf
Код:
[global]
workgroup = KPK
netbios name = IT04
server string = Samba server on %h (v. %v)
security = ads
password server = 192.168.0.206
realm = KPK.LOCAL
encrypt passwords = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind separator = @
allow trusted domains = no
template homedir = /home/%D/%U
template shell = /bin/bash
dos charset = CP866
unix charset = CP1251
display charset = CP1251
printcap name = cups
load printers = yes
printing = cups
log level = 1
syslog = 0
log file = /var/log/samba/log.%m
max log size = 500
socket options = TCP_NODELAY
------------------------------------------------
/etc/krb5.conf
Код:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
ticket_lifetime = 24000
default_realm = KPK.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = no
[realms]
KPK.LOCAL = {
kdc = xserver.kpk.local
}
[domain_realm]
.kpk.local = KPK.LOCAL
kpk.local = KPK.LOCAL
[kdc]
profile = /var/lib/kerberos/krb5kdc/kdc.conf
[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
Тикеты выдаются:
Код:
# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: kudashev@KPK.LOCAL
Valid starting Expires Service principal
10/23/07 12:35:58 10/23/07 19:15:58 krbtgt/KPK.LOCAL@KPK.LOCAL
------------------------------------------------
winbind настроен и, вроде, работает:
Код:
[root@IT04 etc]# wbinfo -p
Ping to winbindd succeeded on fd 6
[root@IT04 etc]# wbinfo -t
checking the trust secret via RPC calls succeeded
[root@IT04 etc]# wbinfo -u
administrator
guest
support_388945a0
krbtgt
kudashev
iserver
[root@IT04 etc]# wbinfo -g
BUILTIN@administrators
BUILTIN@users
helpservicesgroup
telnetclients
компьютеры домена
контроллеры домена
администраторы схемы
администраторы предприятия
издатели сертификатов
администраторы домена
пользователи домена
гости домена
владельцы-создатели групповой политики
серверы ras и ias
dnsadmins
dnsupdateproxy
Далее по мануалам надо править nswitch.conf
Код:
passwd: files winbind
#shadow: files winbind tcb nis nisplus
group: files winbind
hosts: files dns winbind
с nsswitch вопросов два:
1. надо ли править строчку shadow и hosts или достаточно passwd и group?
2. после исправления shadow на указанное выше пропадает возможность
логиниться под локальными пользователями+root (может, это от
ненастроенного PAM?).
-------------
PAM.
По данному поводу я вообще в ступоре. В некоторых статьях и how-to
говориться надо править только kde в /etc/pam.d, в некоторых только
login, в некоторых несколько файлов. Мне надо логиниться в графическом
режиме, посему нужен совет, какие файлы править (может, примерчик есть)?
Очень надеюсь на вашу помощь.
