[Решено] Как включить доменного пользователя в локальные группы Линукс

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модератор: SLEDopit

Equilibrium
Сообщения: 24
ОС: ALT Linux

[Решено] Как включить доменного пользователя в локальные группы Линукс

Сообщение Equilibrium »

Подключил Лниукс-машину к AD, под доменной учёткой вхожу на Линукс-машину, доступ к виндовс-серверам есть, но при попытке ввести в терминале команду su выдает "Отказано в доступе". Как ввести доменного пользователя в локальные группы линукс-машины?
Спасибо сказали:

Аватара пользователя
Ariasp
Сообщения: 254
Статус: NixLander

Re: [Решено] Как включить доменного пользователя в локальные группы Линукс

Сообщение Ariasp »

Equilibrium писал(а):
23.10.2008 10:31
под доменной учёткой вхожу на Линукс-машину

проблема не очень понятна; что мешает добавить доменного юзера в /etc/group?
Спасибо сказали:

Equilibrium
Сообщения: 24
ОС: ALT Linux

Re: [Решено] Как включить доменного пользователя в локальные группы Линукс

Сообщение Equilibrium »

Ariasp писал(а):
23.10.2008 11:34
Equilibrium писал(а):
23.10.2008 10:31
под доменной учёткой вхожу на Линукс-машину

проблема не очень понятна; что мешает добавить доменного юзера в /etc/group?

Спасибо, проблема вроде как решилась, но не до конца:
Я вручную добавил доменного пользователя в файлы /etc/group, /etc/gshadow, /etc/gshadow. Вроде всё получилось: пользователь появился в списке окна входа в систему, я зашел под этим пользователем, доступ к папкам на сервере Windows остался, команда su в терминале стала выполняться, но это была уже другая учётная запись: домашний каталог у неё был /home/domain/domain-user, а у доменной учётной записи - /home/DOMAIN/domain-user.
Когда я вручную исправил domain на DOMAIN в /etc/passwd, то KDM меня не пустил, выдал ошибку.
Отсюда вопрос: как сделать, чтобы при первом входе под доменной учётной записью она автоматом прописывалась в /etc/group, /etc/gshadow, etc/gshadow в качестве локального юзера Linux-машины?
Спасибо сказали:

Аватара пользователя
Ariasp
Сообщения: 254
Статус: NixLander

Re: [Решено] Как включить доменного пользователя в локальные группы Линукс

Сообщение Ariasp »

Equilibrium писал(а):
24.10.2008 03:35
Когда я вручную исправил domain на DOMAIN в /etc/passwd, то KDM меня не пустил, выдал ошибку.

зачем править /etc/passwd? :wacko: /etc/passwd трогать не надо
Отсюда вопрос: как сделать, чтобы при первом входе под доменной учётной записью она автоматом прописывалась в /etc/group, /etc/gshadow, etc/gshadow в качестве локального юзера Linux-машины?

а оно вам точно надо? -- если у тебя winbind назначает uid и gid доменным учёткам, то доменного юзера не нужно прописывать в /etc/group -- всё решается использованием pam_winbind, pam_mkhomedir и настройкой nsswitch.conf; если в выводе команды getent group присутствуют доменные группы, значит всё настроено верно, и вышеописанных проблем по идее быть не должно (добавление в /etc/group имеет смысл только с точки зрения дополнительных прав доменной учётки на линукс-машине, например для возможности выполнять команду su -> добавить доменную учётку в группу wheel хоть редактированием /etc/group, хоть командой gpasswd)
Спасибо сказали:

Equilibrium
Сообщения: 24
ОС: ALT Linux

Re: [Решено] Как включить доменного пользователя в локальные группы Линукс

Сообщение Equilibrium »

Ariasp писал(а):
24.10.2008 12:30
всё решается использованием pam_winbind, pam_mkhomedir и настройкой nsswitch.conf; если в выводе команды getent group присутствуют доменные группы, значит всё настроено верно

pam_winbind, pam_mkhomedir прописаны, домашняя директория создаётся, но getent group выводит только содержимое файла /etc/group, доменных групп в ней нет. Команды wbinfo -g и wbinfo -u выводят доменные группы и доменных пользователей соответственно.

Ariasp писал(а):
24.10.2008 12:30
зачем править /etc/passwd? wacko.gif /etc/passwd трогать не надо

Я в предыдущем посте немного ошибся, написал "Я вручную добавил доменного пользователя в файлы /etc/group, /etc/gshadow, /etc/gshadow", а надо было "Я вручную добавил доменного пользователя в файлы /etc/group, /etc/gshadow, /etc/passwd", т.е. я вручную прописал пользователя и в /etc/passwd.

Ariasp писал(а):
24.10.2008 12:30
добавить доменную учётку в группу wheel хоть редактированием /etc/group

Спасибо, вроде помогло! А в остальные группы типа cdrom, scanner, radio и им подобных тоже пользователя тоже надо вручную добавлять?

Удалил я внесённого вручную пользователя из /etc/group, /etc/gshadow, /etc/passwd, соответственно, в окне менеджера входа в систему (KDM) из списка он пропал. А можно ли сделать так, чтобы он там остался?
Спасибо сказали:

Аватара пользователя
Ariasp
Сообщения: 254
Статус: NixLander

Re: [Решено] Как включить доменного пользователя в локальные группы Линукс

Сообщение Ariasp »

Equilibrium писал(а):
24.10.2008 13:11
А в остальные группы типа cdrom, scanner, radio и им подобных тоже пользователя тоже надо вручную добавлять?

если в том есть необходимость; вобще говоря, такой необходимости не вижу

Удалил я внесённого вручную пользователя из /etc/group, /etc/gshadow, /etc/passwd, соответственно, в окне менеджера входа в систему (KDM) из списка он пропал. А можно ли сделать так, чтобы он там остался?

это связано с
getent group выводит только содержимое файла /etc/group, доменных групп в ней нет

каково содержание /etc/nsswitch.conf? -- в части учёток юзеров должно быть
passwd: compat winbind
shadow: compat winbind
group: compat winbind
либо
passwd: files winbind
shadow: files winbind
group: files winbind
Спасибо сказали:

Equilibrium
Сообщения: 24
ОС: ALT Linux

Re: [Решено] Как включить доменного пользователя в локальные группы Линукс

Сообщение Equilibrium »

Ariasp писал(а):
24.10.2008 13:50
каково содержание /etc/nsswitch.conf? -- в части учёток юзеров должно быть
passwd: compat winbind
shadow: compat winbind
group: compat winbind
либо
passwd: files winbind
shadow: files winbind
group: files winbind


Так и есть:
passwd: files winbind nisplus nis
shadow: tcb files winbind nisplus nis
group: files winbind nisplus nis

но getent выводит только /etc/group :(
Спасибо сказали:

Аватара пользователя
Ariasp
Сообщения: 254
Статус: NixLander

Re: [Решено] Как включить доменного пользователя в локальные группы Линукс

Сообщение Ariasp »

Equilibrium писал(а):
25.10.2008 07:23
passwd: files winbind nisplus nis
shadow: tcb files winbind nisplus nis
group: files winbind nisplus nis

но getent выводит только /etc/group :(

тогда остаётся, что winbind не назначает gid-ы доменным учёткам; чтобы он это делал, в конфиге самбы должны быть параметры типа
idmap uid = 2200-2500
idmap gid = 2200-2500
winbind enum users = yes
winbind enum groups = yes
(также не помешает winbind cache time = 30)
Спасибо сказали:

Equilibrium
Сообщения: 24
ОС: ALT Linux

Re: [Решено] Как включить доменного пользователя в локальные группы Линукс

Сообщение Equilibrium »

Ariasp писал(а):
25.10.2008 11:25
тогда остаётся, что winbind не назначает gid-ы доменным учёткам; чтобы он это делал, в конфиге самбы должны быть параметры типа
idmap uid = 2200-2500
idmap gid = 2200-2500
winbind enum users = yes
winbind enum groups = yes
(также не помешает winbind cache time = 30)

idmap uid и idmap gid (точнее winbind uid и winbind gid, что суть одно и то же) были прописаны, а вот enum прописан не был, но стоило добавить winbind enum users = yes (спасибо, Ariasp), как во входном меню KDE появился список всех доменных пользователей :ohmy: Вот теперь сижу и думаю: а на кой мне это надо? А можно ли сделать так, чтобы в этом списке были только пользователи, заходившие на эту машину?
Спасибо сказали:

Аватара пользователя
Ariasp
Сообщения: 254
Статус: NixLander

Re: [Решено] Как включить доменного пользователя в локальные группы Линукс

Сообщение Ariasp »

Equilibrium писал(а):
27.10.2008 09:55
во входном меню KDE появился список всех доменных пользователей :ohmy: Вот теперь сижу и думаю: а на кой мне это надо? А можно ли сделать так, чтобы в этом списке были только пользователи, заходившие на эту машину?

если без изощрённых условий, то это достаточно просто решается;
KDE Control Centre->System Administration->Login Manager->Users->Show List
вроде там по умолчанию "отображать всех", что можно изменить - либо выбрать, какие учётки отображать, либо наоборот - какие не отображать никогда в login-форме
Спасибо сказали:

Аватара пользователя
guglez
Сообщения: 394
ОС: GNU/Linux

Re: [Решено] Как включить доменного пользователя в локальные группы Линукс

Сообщение guglez »

Керберос настраивали? Работает?
Спасибо сказали:

Equilibrium
Сообщения: 24
ОС: ALT Linux

Re: [Решено] Как включить доменного пользователя в локальные группы Линукс

Сообщение Equilibrium »

Ariasp писал(а):
27.10.2008 12:03
если без изощрённых условий, то это достаточно просто решается;
KDE Control Centre->System Administration->Login Manager->Users->Show List
вроде там по умолчанию "отображать всех", что можно изменить - либо выбрать, какие учётки отображать, либо наоборот - какие не отображать никогда в login-форме

Спасибо большое, помогло!!!

guglez писал(а):
29.10.2008 18:17
Керберос настраивали? Работает?

Да, всё работает, спасибо Ariasp, он мне очень помог в этом плане. Вхожу под доменной учёткой, монтирую сетевые диски через pam_mount, подключил домен, с которым у нас доверительные отношения - всё нормально!
Единственно, добавление доменных пользователей в локальные группы реализовано не очень, буду ещё над этим работать.
Спасибо сказали:

Equilibrium
Сообщения: 24
ОС: ALT Linux

Re: [Решено] Как включить доменного пользователя в локальные группы Линукс

Сообщение Equilibrium »

Проблема решена!

Она уже обсуждалась в теме Нет доступа к локальным ресурсам при авторизации в домене... и решение было найдено (пост №17): через правку /etc/security/group.conf и /etc/system-auth-winbind (для ALT Linux)
Я ранее находил подобные решения, но реализовать не удалось (не добавлял строчку в /etc/system-auth-winbind и в smb.conf параметры winbind enum users и winbind enum groups включены не были)
Спасибо сказали: