Sjednocení úc(tu* do AD
Jarda
linux na vetrni.net
Pondělí Únor 11 19:27:48 CET 2008
Jarda Ille napsal(a):
> Michal Kašpar napsal(a):
>
>> Tohle http://www.likewisesoftware.com/community/index.php/download
>>
Tak nakonec toto je pouze implementace winbindu, a to ještě nějak
podivná, nebo jsem něco nepochopil správně :-(. Ale dalo mi to indicie k
vyřešení mnou uváděných nedostatků s implementací winbindu. Takže jsem
se vrátil znovu ke zkoumání winbindu a nakonec se mi to celé podařilo
rozchodit k plné spokojenosti.
Čeho jsem chtěl docílit:
Všichni uživatelé jen v AD
autorizace všech PC v AD
autorizace přístupů na samba servery v AD
nastavení všech práv a ACL listů na účty v AD
autorizace všech uživatelů a používaných služeb (ssh, x-win32 atd) v AD
Jak jsem slíbil zveřejním conf soubory (vše je z opensuse 10.2, ale mělo
by to fungovat i jinde (ověřeno na MDV2007+2008)):
1. pam
Common-account
account requisite pam_unix2.so
account sufficient pam_localuser.so
account required pam_winbind.so use_first_pass
common-auth
auth required pam_env.so
auth sufficient pam_unix2.so
auth required pam_winbind.so use_first_pass
common-password
password sufficient pam_winbind.so
password requisite pam_pwcheck.so nullok cracklib remember=3
password required pam_unix2.so nullok use_authtok
common-session
session required pam_mkhomedir.so
session required pam_limits.so
session required pam_unix2.so
session required pam_winbind.so
session optional pam_umask.so
2. nsswitch.conf
passwd: compat winbind
group: compat winbind
shadow: compat
hosts: files dns
networks: files dns
services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files
publickey: files
bootparams: files
automount: files nis
aliases: files
3. samba (winbind)
[global]
workgroup = NETBIOSOMENA
realm = FQDN WINDOMENA
server string = opensuse 10.2
security = ADS
map to guest = Bad User
max disk size = 100
printcap name = cups
logon path = ""
logon drive = ""
logon home = ""
preferred master = No
local master = No
domain master = No
wins server = 192.168.1.2
usershare max shares = 100
idmap uid = 10000-20000
idmap gid = 10000-20000
template homedir = /home/%U (zde je default /home/%D%U to dělalo
do home onen nechtěný adresář podle domény)
template shell = /bin/bash
winbind use default domain = Yes (toto umožní přihlášení pomocí
user + passwd místo původního DOMENA\user + passwd
winbind refresh tickets = Yes
cups options = raw
4. nutné komponenty:
winbind
samba
kerberos
další dle požadavků.
5. net ads join -U administrator
Toť asi tak vše. Pro úplnost jak bylo řečeno výše, běží to na OpenSuse
10.2 +10.3 + Mandriva 2007CZ + Mandriva 2008, dále pod vmwarem jsem
otestoval *buntu a s mírnými odlišnostmi to tam fungovalo také. Se
SOLARISem byly potíže a nepovedlo se mi to uchodit do stabilní podoby
(tím nechci říct že to nejde, jen to nebylo pro mě stěžejní).
S pozdravem
Jarda
Další informace o konferenci Linux