Sjednocení úc(tu* do AD

Jarda linux na vetrni.net
Pondělí Únor 11 19:27:48 CET 2008


Jarda Ille napsal(a):
> Michal Kašpar napsal(a):
>   
>> Tohle http://www.likewisesoftware.com/community/index.php/download
>>     
Tak nakonec toto je pouze implementace winbindu, a to ještě nějak 
podivná, nebo jsem něco nepochopil správně :-(. Ale dalo mi to indicie k 
vyřešení mnou uváděných nedostatků s implementací winbindu. Takže jsem 
se vrátil znovu ke zkoumání winbindu a nakonec se mi to celé podařilo 
rozchodit k plné spokojenosti.

Čeho jsem chtěl docílit:
Všichni uživatelé jen v AD
autorizace všech PC v AD
autorizace přístupů na samba servery v AD
nastavení všech práv a ACL listů na účty v AD
autorizace všech uživatelů a používaných služeb (ssh, x-win32 atd) v AD

Jak jsem slíbil zveřejním conf soubory (vše je z opensuse 10.2, ale mělo 
by to fungovat i jinde (ověřeno na MDV2007+2008)):

1. pam
Common-account
account requisite       pam_unix2.so
account sufficient      pam_localuser.so
account required        pam_winbind.so  use_first_pass

common-auth
auth    required        pam_env.so
auth    sufficient      pam_unix2.so
auth    required        pam_winbind.so  use_first_pass

common-password
password        sufficient      pam_winbind.so
password        requisite       pam_pwcheck.so  nullok cracklib remember=3
password        required        pam_unix2.so    nullok use_authtok

common-session
session required        pam_mkhomedir.so
session required        pam_limits.so
session required        pam_unix2.so
session required        pam_winbind.so
session optional        pam_umask.so

2. nsswitch.conf
passwd: compat winbind
group:  compat winbind
shadow: compat

hosts:  files dns
networks:       files dns

services:       files
protocols:      files
rpc:    files
ethers: files
netmasks:       files
netgroup:       files
publickey:      files

bootparams:     files
automount:      files nis
aliases:        files

3. samba (winbind)
[global]
        workgroup = NETBIOSOMENA
        realm = FQDN WINDOMENA
        server string = opensuse 10.2
        security = ADS
        map to guest = Bad User
        max disk size = 100
        printcap name = cups
        logon path = ""
        logon drive = ""
        logon home = ""
        preferred master = No
        local master = No
        domain master = No
        wins server = 192.168.1.2
        usershare max shares = 100
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        template homedir = /home/%U (zde je default /home/%D%U to dělalo 
do home onen nechtěný adresář podle domény)
        template shell = /bin/bash
        winbind use default domain = Yes (toto umožní přihlášení pomocí 
user + passwd místo původního DOMENA\user + passwd
        winbind refresh tickets = Yes
        cups options = raw

4. nutné komponenty:
    winbind
    samba
    kerberos
    další dle požadavků.

5. net ads join -U administrator

Toť asi tak vše. Pro úplnost jak bylo řečeno výše, běží to na OpenSuse 
10.2 +10.3 + Mandriva 2007CZ + Mandriva 2008, dále pod vmwarem jsem 
otestoval *buntu a s mírnými odlišnostmi to tam fungovalo také. Se 
SOLARISem byly potíže a nepovedlo se mi to uchodit do stabilní podoby 
(tím nechci říct že to nejde, jen to nebylo pro mě stěžejní).

S pozdravem

    Jarda




Další informace o konferenci Linux