samba и авторизация пользователей из AD
интересует решение следующих задач, как через самбу сделать авторизацию пользователей из AD, то есть нужно чтобы в систему могли заходить только те пользователи учетки, которых существуют в AD а из локальных только root. Система в домен заведена, конфиги файлов следующие:
/etc/samba/smb.conf
realm = DOMAIN.RU
workgroup = DOMAIN
security = ADS
password server = pyx.domain.ru
encrypt passwords = yes
winbind separator = +
winbind use default domain = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
path = /sambapublic
user=@"DOMAIN+domain users"
==============================================================================
/etc/pam.d
auth required /lib/security/pam_winbind.so
account required /lib/security/pam_winbind.so
session include system-auth
password required pam_smbpass.so nodelay smbconf=/etc/samba/smb.conf
==============================================================================
/etc/nsswitch.cfg
passwd: compat winbind
shadow: compat
group: compat winbind
hosts: files dns
networks: files
services: db files
protocols: db files
rpc: db files
ethers: db files
netmasks: files
netgroup: files
bootparams: files
automount: files
aliases: files
Кто подскажет, что не довел до ума??? А и еще в fedore есть guiвая утилитка которая позволяет все манипуляции для данной задачки выполнить в интерактивном режиме, нет ли чего-нить подобного в дженту или быть может можно прикрутить ту вещицу из fedora??
- Для комментирования войдите или зарегистрируйтесь
Хороший мануал
Хороший мануал на самба.орг. Правда на англицком. Настраивался по нему.
В первую очередь в smb.conf
[global]
#Connetc to ADS
realm = KILICHKI.RU
security =ADS
encrypt passwords = yes
password server = 10.254.0.9
workGroup =KILICHKI
ldap admin dn = userhocanaccessldap
# Winbind
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
auth methods = winbind
username map = /etc/samba/smbusers
winbind use default domain = yes
#NetBios Name and comment
netbios name = wi
server string = My Linux
#Encoding
dos charset = 866
unix charset = koi8-r
# Home Dirs
template homedir = /home/%D/%U
template shell = /bin/bash
preexec = "/bin/mkdir --mode=0750 %H; rm -rf /h/%ome/D/*
#Other options
# log file = /var/log/samba/log.%m
log file = /var/log/samba/log.samba
socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192
[homes]
comment = Home Directories
browseable = no
read only = no
writable = yes
Здесь в хомедире в каталоге по имени домен будут валяться папки смбовых узверей. Сам каталог предварительно создать и назначить ему вразумительные права. Параметр лдападмин - любой доменный юзверь, желательно бесправный. Он должен иметь доступ к активдиректори и будет всякую байду спрашивать.
далее пароль этого юзверя пихаем в смб пассворд файл
smbpasswd -w parolbespravnogousveryaotkrytymtekstom
Ежели решил коннектится через винбинд надо демон winbindd запускать
Проще всего прописать его в /etc/conf.d/local.start
Дальше советуют настроить керберос и получить билет. Там могут быть вилы с рассинхронизацией времени.
Как только билет получен можно добавить себя в домен командой
net ads join....
и проверить винбинд
wbinfo -u
wbinfo -g
Новый пам имеет целую кучу модулей в /etc/pam.d, самба и винбинд прописаны, Руками не трогал.
А вот nsswitch.conf
passwd: files ldap winbind
shadow: files ldap wibnind
group: files ldap winbind
hosts: files dns
networks: files dns
services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files
bootparams: files
automount: files
aliases: files
Проблем нет.
kerberos я настроил
kerberos я настроил и билет и присоединение к домену все прошло успешно, смотрю на ваш ответ, и вижу что чуток не до разлбрал с ldap буду пробовать дальше. А еще такой вопрос, а если я хочу чтобы папки пользователей создавались на лету, что нужно сделать??