kerberos - непонятный зверь
4orny 9 октября, 2006 - 13:33
зделал "net-fs/samba kerberos ldap" в /etc/portage/package.use потом #emerge -v samba
только krb4.conf нифига не скомпилился. Кто нибудь ставил? в чем трабла?
»
- Для комментирования войдите или зарегистрируйтесь
керберос
керберос поставил через бинарники. отконфигурировал krb.conf но что-то не работает kinit выводит сообщение о том, что невидит KDC кто-нибудь вообще ставил kerberos на gentoo 2006?
По поводу
По поводу сборки надо копать сообщения об отвале. У меня к примеру ругался на смену флагов во время компиляции. Эта трабла решается удалением лишних пробелов между флагами из /etc/make.conf
хм, кстати а
хм, кстати а heimdal kerberos вместо mit пойдет?
Теоретически
Теоретически да. Я пользую мит.
По настройкам вашим непонятно. Файлик лежит в /etc/ и называется krb5.conf (у вас писано krb.conf) Настройка достаточно тонка :) . Прописана в разных мануалах, в том числе по настройке самбы. РЕГИСТР текста файла конфигурации имеет значение. Лидирующие точки иногда пропускают. Кинит воспринимает риалм в ВВЕРХНЕМ регистре. Протокол krb4 считается устаревшим. Я его отключил при сборке (винда 2003 понимает krb5).
Вот что работает у меня (/etc/krb5.conf)
[libdefaults] ticket_lifetime = 600 default_realm = DOMEN.RU default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc [realms] DOMEN.RU = { kdc = pdc.domen.ru } [domain_realms] .domen.ru = DOMEN.RU [kdc] profile = /etc/krb5kdc/kdc.conf [logging] kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmin.log default = FILE:/var/log/krb5lib.logВсе ОК
Полное имя проверяющего сервера - pdc.domen.ru
krb5,conf i u menya,
krb5,conf i u menya, primerno takoi, no tolko odin fig. Esli mozno config smb.conf vilozi. Sorry za shrift, perestavil vse a rusifikac ne uspel poka :)
Дык вам самбу? А
Дык вам самбу? А то керберос ... керберос...
1) Поднимаем винбинд, для чего в /etc/conf.d/samba правим строчку
daemon_list="smbd nmbd winbind"
2) Правим smb.conf примерно так (ессно при сборке самбы фичи связаннные с керберосом, винбиндом, лдапом лучше включить)
[code]
[global]
#Connetc to ADS
realm = DOMAIN.RU
security =ADS
encrypt passwords = yes
password server = 100.0.1.1
workGroup =DOMAIN
ldap admin dn = ldapuser
# Winbind
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
auth methods = winbind
username map = /etc/samba/smbusers
winbind use default domain = yes
#NetBios Name and comment
netbios name = myserver
server string = My Linux
#Encoding
dos charset = 866
unix charset = koi8-r
# Home Dirs
template homedir = /home/%D/%U
template shell = /bin/bash
preexec = "/bin/mkdir --mode=0750 %H;"
#Other options
# log file = /var/log/samba/log.%m
log file = /var/log/samba/log.samba
socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192
......
[code]
Тут засада ldap admin dn = ldapuser , этот самый лдапюзер - заведенный в активдиректори бесправный логин, чисто для подключения к лдапсерверу. Его пароль нужно добавить в смбпассворд командой
smbpasswd -w ldapuser
Да и пропиши поумней преехес (это башевский скрипт делающий юзверю каталог при логине)
preexec = "/bin/mkdir --mode=0750 %H;"
Плюс к тому надо создат каталог домена где валяются пользовательские хомы и назначить ему права чтоб самба могла читать
Затем правим nssswithc.conf (только строки passwd и group)
passwd: compat winbind
.....
group: compat winbind
.....
Затем рестартуем самбу, пинаем керберос до просветления. Оно работает.
Добавляем себя в домен и проверяем
wbinfo -g
......
В общем то и все.
благодарю, пока
благодарю, пока сайт у вас висел сам настроил но несколько по другому, ваш вариант лучше, только по поводу каталога домена уточни, wbinfo и так работает, или он для других целей?
wbinfo это
wbinfo это консольная тузла для дергания winbindd на предмет корректной настройки (smb.conf). Ежели работает, значит ваша система в состоянии в нужный момент обратиться к серверу авторизации за подтверждением прав того или иного юзверя. Замечено что периодически отказывается работать. Лечится повторным добавлением себя в домен.
Каталог юзверя и его шелл прописывается в smb.conf по крайней мере тремя параметрами:
Это куда помещать директории, %D - имя домена %U - юзверя
template homedir = /home/%D/%U
Это шелл
template shell = /bin/bash
А это скрипт на баше, который выполняется при каждом входе юзверя
У меня скрипт тупой, потому что я ленивый. Он просто пытается создать директорию. В логах от него ошибки (типа директория уже есть), да и на виндовые машинки он тоже каталоги творит. По уму надо проверить есть ли такой каталог, есть ли такой юзер, создать директорию для юзера если таковой нет и вообще...Гдето в тырнете натыкался на нечто подобное но потерял.
preexec = "/bin/mkdir --mode=0750 %H;"
Так вот, директорию в данном случае
/home/ИМЯДОМЕНА/ (или куда вы хомы писать будете) надо руками создать, и назначит на них права чтобы самба доступ на запись имела.
Писать скрипт
Писать скрипт мне и самому лень, кстати kerberos работает без krb5.conf вообще типа сам ищет. И, если можно, еще хотел спросить где в гентухе PAM прописывать чтоб из под иксов грузиться с авторизацией на серваке (виндовозном).
http://www.opennet.ru/base/net/freebsd_win2k_auth.txt.html
Здесь расписано про фряху (самба она и ФОФРЯХЕ - самба :). Сам не юзал, както оно не надо было. Перед тем как курочить сделай таки копии изменяемых файликов и проверь ливсиди на работоспособность (есть риск не загрузиться вообще).
ок
ок
что за дела
кстати у тебя id с домена компы хватают? А то у меня wbinfo проходит, а id user нет.
вы можете
вы можете проверить у себя корректно ли с вашими настройками id юзверей хватаются?
Не понял сути
Не понял сути вопроса.
wbinfo -u
...виндовые юзеры
wbinfo -g
...виндовые группы
Есть еще утилита getent
#getent passwd
...список юзверей сначала системных потом виндовых
#getent group
...список групп
#id mydomain\\wi
uid=10006(wi) gid=10002(Domain Users) группы=10002(Domain Users)
(у меня разделитель домена \ соответсвенно в командной строке \\)
А уж корректно или нет - кто его знает. Все что мне нужно - чтоб юзер домена мог заломиться на смб шару. Вроде пока никто не жаловался - значит работает .
суть в том, что
суть в том, что getend не показывает группы домена и юзверей в нем, а id domain+user соответственно отвечает что такого нема :(
може мне в
може мне в nsswitch.conf что нидь добавить выглядит он так:
passwd: files winbind
shadow: files winbind nisplus
group: files winbind
netgroup: winbind nisplus
publickey: nisplus
automount: files winbind nisplus
aliases: files nisplus
Шадоу излишен,
Шадоу излишен, факт.
passwd: compat winbind
shadow: compat
group: compat winbind
hosts: files dns
networks: files dns
services: db files
protocols: db files
rpc: db files
ethers: db files
netmasks: files
netgroup: files
bootparams: files
automount: files
aliases: files
Ранше помнится надо было pam.conf править
Нынче (pam-0.78-r3) вроде как само при установке пакетов с поддержкой pam в /etc/pam.d/ складывается.
да сейчас все
да сейчас все путем, только каталог юзверя не делается.
На время
На время отладки лучше сваливать все в один лог (устанавливается в smb.conf). Самба достаточно внятно ругается.
говорит правов
говорит правов на создание папки нет. хотя каталог %D я открыл всем