Вход под доменным юзверем

0

0

Потерял весь день, и вконец запутался...
Есть Вынь2003(DOM) с АД,
есть станция с SlackWare-13.0 (MYST), хочу войти на станцию под доменным юзверем (admin)- получаю фигу (что в кедах, что в консоли)

Причем:
# klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: admin@DOM

Issued Expires Principal
Sep 16 17:24:50 Sep 17 03:24:50 krbtgt/DOM@DOM
Sep 16 17:24:50 Sep 17 03:24:50 MYST$@DOM

# wbinfo -u
все пользователи домена

# wbinfo -g
все группы домена

# wbinfo -K admin%mypass
plaintext kerberos password authentication for [admin] succeeded (requesting cctype: FILE)
credentials were put in: FILE:/tmp/krb5cc_0

# getent passwd | grep admin
admin:*:30112:30002:Админ Админович Админов:/home/DOM/admin:/bin/bash

# id admin
uid=30112(admin) gid=30002(пользователи домена) группы=30002(пользователи домена),30003(администраторы домена),30009(пользователи terminalservice),30001(BUILTIN\users),30000(BUILTIN\administrators)

# wbinfo --own-domain
DOM

И даже:
# ntlm_auth --domain=DOM --require-membership-of='DOM\Аминистраторы домена' --username=admin
password:
NT_STATUS_OK: Success (0x0)

и в окне логина в кедах видно всех юзверей домена - но залогониться ни под одним не можу.. :(
Поможите люди добрые - а то с ума сойду :)

зы:смущает запись в winbindd.log

[2009/09/16 18:29:13, 3] winbindd/winbindd_user.c:winbindd_getpwuid(466)
[ 6408]: getpwuid 0
[2009/09/16 18:29:13, 3] winbindd/winbindd_user.c:winbindd_getpwsid(207)
Could not find domain for sid S-1-22-1-0

но ведь wbinfo и сиды показывает и домен, и керберос пашет..
вообщем запуталси я....

Ссылка

←	Организация работы магазина

postfix не шлёт письма на gmail

→

А там pam'ы все дела, не?

vadv ★★
(16.09.09 22:27:20 MSD)

Ответ на: комментарий от vadv 16.09.09 22:27:20 MSD

> А там pam'ы все дела, не?

На сколько я знаю слака, по дефолту, pam'ы не юзает вообще, по крайней мере до 13.0. И как выяснил, методом "тыка", самбе krb5.conf по барабану то же (пытаюсь выяснить, а как вообще керберос пашет тогда).
Чуть погодя попробую настроить PAM может, на самом деле, оно ему и надо!

ATAMAH
(17.09.09 10:18:39 MSD) автор топика

Ссылка

а че тут nsswitch.conf?>

chocholl ★★
(17.09.09 11:47:48 MSD)

Ответ на: комментарий от chocholl 17.09.09 11:47:48 MSD

> а че тут nsswitch.conf?

passwd: winbind files
shadow: winbind files.
group: winbind files

hosts: files dns
networks: files

services: files winbind
protocols: files winbind
rpc: files
ethers: files
netmasks: files
netgroup: winbind files
bootparams: files

automount: files winbind
aliases: files nisplus

ATAMAH
(17.09.09 12:00:45 MSD) автор топика

Надо ставить PAM и пересобирать login с PAM. Конфигурацию для PAM найдёте в гугле.

~~tux2002~~ ★
(17.09.09 12:06:04 MSD)

Ссылка

Ответ на: комментарий от ATAMAH 17.09.09 12:00:45 MSD

а теперь проверьте наличие в паме модулей winbind и поправьте
/etc/pam.d/system-auth

chocholl ★★
(17.09.09 12:31:30 MSD)

Ответ на: комментарий от chocholl 17.09.09 12:31:30 MSD

> а теперь проверьте наличие в паме модулей winbind

Нету в слаке ПАМа, не-тю...
И чего-то ставить его не очень хочется...
Неужели нет выхода (вернее входа :) без него?
Как-то Патрик работает же в домене :)

ATAMAH
(18.09.09 10:17:32 MSD) автор топика

Ответ на: комментарий от ATAMAH 18.09.09 10:17:32 MSD

Kerberos тоже нет, но Вы же поставили. Насчёт работы в домене, можно прописать при входе kinit. Если например почтовый клиент типа kmail собран с gssapi (надо пересобрать cyrus-sasl) и сервер поддерживает gssapi, то обмен билетами для Вас будет незаметен.

~~tux2002~~ ★
(18.09.09 10:31:48 MSD)

Ответ на: комментарий от tux2002 18.09.09 10:31:48 MSD

Пр cyrus-sasl я погорячился, это для серверной части.

~~tux2002~~ ★
(18.09.09 11:08:16 MSD)

Ссылка

Ответ на: комментарий от ATAMAH 18.09.09 10:17:32 MSD

ну наверно в патриковской слаке всетаки пам присутствует ))))

chocholl ★★
(18.09.09 11:35:14 MSD)

Ответ на: комментарий от chocholl 18.09.09 11:35:14 MSD

> ну наверно в патриковской слаке всетаки пам присутствует ))))

Думаю можно без ПАМа обойтись, у самой самбы много чего есть..
Тем более:

--- цитата из man smb.conf -------

Когда Самба 3.0 сконфигурирована с поддержкой PAM (т.е. собрана с опцией –with-pam), этот параметр сообщает о том следует ли демону Самба подчиняться директивам учетных записей PAM и управлению сессиями. Поведение по умолчанию подразумевает использование PAM только для нешифрованой аутентификации и игнорирует директивы учетных записей и управление сессиями.
Заметьте, что Самба не использует PAM для аутентификации, если установлен параметр encrypt passwords = yes. Причина в том, что модули PAM не могут поддерживать механизмы аутентификации основанные на challenge/response, которые требуются для шифрования паролей SMB.

-------------------------------

ATAMAH
(18.09.09 15:02:31 MSD) автор топика

Ответ на: комментарий от ATAMAH 18.09.09 15:02:31 MSD

самбе пам не нужен.
а системе (если вы ориентируетесь на домен) нужен.

я не утверждаю, что иные пути совершенно отсутствуют.
как минимум через пам - наиболее прямой путь.

chocholl ★★
(18.09.09 16:08:27 MSD)

Ответ на: комментарий от chocholl 18.09.09 16:08:27 MSD

> самбе пам не нужен.а системе (если вы ориентируетесь на домен) нужен.

Извините, но я всегда думал, что система "общается" с Вынь доменом именно посредством самбы.
Я ошибался или чего-то недопонимаю?

ATAMAH
(18.09.09 16:28:50 MSD) автор топика

Ответ на: комментарий от ATAMAH 18.09.09 16:28:50 MSD

смотри...
самба и система никак не взаимодействуют, но принцип работы похож.

самба это просто демон, который может аутентифицировать в разных местах:
файл, керберос, ldap и т.д.

тоже самое с системой, подефолту она просто зырит в /etc за юзерами и группами.
кто-то умный придумал PAM (Pluggable Authentication Modules).
это унифицированный интерфейс, к которому обращается система. pam прячет реальный бекэнд, который занимается аутинтификацией (от кербероса до постгрискл).

chocholl ★★
(18.09.09 16:37:54 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Организация работы магазина

Admin

postfix не шлёт письма на gmail

→

Похожие темы