Авторизация в AD

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
DeeN
проходил мимо
Сообщения: 7
Зарегистрирован: 2009-05-22 1:17:35

Авторизация в AD

Непрочитанное сообщение DeeN » 2009-08-27 12:50:36

Добрый день!
7.0-RELEASE FreeBSD
Samba version 3.0.35
Настроил SAMBA с авторизацией в AD. Всё вроде отлично, получил билет от кербероса, засунул машину в домен тоже без проблем, wbinfo -u выдаёт всех юзеров, wbinfo -g все группы, НО

Код: Выделить всё

# id admin
uid=2026(admin) gid=2002(пользователи домена) groups=2002(пользователи домена)
команда id мне явно показывает не всё, пользователь admin входит как минимум в 15 групп. :Search:
Что за трабл? Может кто нить подсказать?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Авторизация в AD

Непрочитанное сообщение arkan » 2009-08-27 13:44:52

поставь samba-3.3.7 или какая там последняя и не парься
я с версией 3.0 не то что запарился а [классический секс] просто - тем более говорят что ветка как таковая больше не будет поддерживаться

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35297
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Авторизация в AD

Непрочитанное сообщение Alex Keda » 2009-08-27 14:14:34

arkan писал(а):поставь samba-3.3.7 или какая там последняя и не парься
я с версией 3.0 не то что запарился а [классический секс] просто - тем более говорят что ветка как таковая больше не будет поддерживаться
да? а наследование в них уже починили во всех, кроме 3.0.25?
или русурсов они научились кушать меньше? а то у меня на полсотне юзеров не очень хорошо как-то одноголовой машине становиться с 3.3
пришлось отправить ф топку.
Убей их всех! Бог потом рассортирует...

snorlov
подполковник
Сообщения: 3849
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Авторизация в AD

Непрочитанное сообщение snorlov » 2009-08-27 14:44:51

DeeN писал(а):Добрый день!
7.0-RELEASE FreeBSD
Samba version 3.0.35
Настроил SAMBA с авторизацией в AD. Всё вроде отлично, получил билет от кербероса, засунул машину в домен тоже без проблем, wbinfo -u выдаёт всех юзеров, wbinfo -g все группы, НО

Код: Выделить всё

# id admin
uid=2026(admin) gid=2002(пользователи домена) groups=2002(пользователи домена)
команда id мне явно показывает не всё, пользователь admin входит как минимум в 15 групп. :Search:
Что за трабл? Может кто нить подсказать?
В установленной по умолчанию 7.0, как с более старшими версиями не знаю, стоит ограничение вхождения пользователя в более чем 16-ть групп...
$ cat /usr/src/sys/sys/syslimits.h |grep NGROUPS_MAX
#define NGROUPS_MAX 16 /* max supplemental group id's */
Нужно подправить NGROUPS_MAX в двух местах:
/usr/src/sys/sys/syslimits.h
/usr/include/sys/syslimits.h
Я у себя установил в 64...
Последний раз редактировалось snorlov 2009-08-27 14:49:07, всего редактировалось 1 раз.

snorlov
подполковник
Сообщения: 3849
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Авторизация в AD

Непрочитанное сообщение snorlov » 2009-08-27 14:48:19

lissyara писал(а):
arkan писал(а):поставь samba-3.3.7 или какая там последняя и не парься
я с версией 3.0 не то что запарился а [классический секс] просто - тем более говорят что ветка как таковая больше не будет поддерживаться
да? а наследование в них уже починили во всех, кроме 3.0.25?
или русурсов они научились кушать меньше? а то у меня на полсотне юзеров не очень хорошо как-то одноголовой машине становиться с 3.3
Лис, они перешли на 6-ти месячный релиз версий, более того, даже версию 3.2 не дорабатывают( не дополняют новыми возможностями ), а только правят баги, тоже самое и про 3.0

Гость
проходил мимо

Re: Авторизация в AD

Непрочитанное сообщение Гость » 2009-08-27 16:00:40

snorlov писал(а):
DeeN писал(а):Добрый день!
7.0-RELEASE FreeBSD
Samba version 3.0.35
Настроил SAMBA с авторизацией в AD. Всё вроде отлично, получил билет от кербероса, засунул машину в домен тоже без проблем, wbinfo -u выдаёт всех юзеров, wbinfo -g все группы, НО

Код: Выделить всё

# id admin
uid=2026(admin) gid=2002(пользователи домена) groups=2002(пользователи домена)
команда id мне явно показывает не всё, пользователь admin входит как минимум в 15 групп. :Search:
Что за трабл? Может кто нить подсказать?
В установленной по умолчанию 7.0, как с более старшими версиями не знаю, стоит ограничение вхождения пользователя в более чем 16-ть групп...
$ cat /usr/src/sys/sys/syslimits.h |grep NGROUPS_MAX
#define NGROUPS_MAX 16 /* max supplemental group id's */
Нужно подправить NGROUPS_MAX в двух местах:
/usr/src/sys/sys/syslimits.h
/usr/include/sys/syslimits.h
Я у себя установил в 64...
Поправил, результат тот-же
Нашёл ещё один глюк, установил МС, решил через него назначить владельца и группу для файлика (File - chown) как оказалось в столбце User name и Group name нет пользователей и групп с AD :cz2:

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Авторизация в AD

Непрочитанное сообщение arkan » 2009-08-27 16:15:55

Гость писал(а): установил МС, решил через него назначить владельца и группу для файлика (File - chown) как оказалось в столбце User name и Group name нет пользователей и групп с AD :cz2:
Значит так чудно в AD вогнал

snorlov
подполковник
Сообщения: 3849
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Авторизация в AD

Непрочитанное сообщение snorlov » 2009-08-27 22:14:38

Гость писал(а):
Поправил, результат тот-же
Нашёл ещё один глюк, установил МС, решил через него назначить владельца и группу для файлика (File - chown) как оказалось в столбце User name и Group name нет пользователей и групп с AD :cz2:
А ядро то пересобрал, ну и nsswitch.conf в студию

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Авторизация в AD

Непрочитанное сообщение arkan » 2009-08-28 9:53:37

snorlov писал(а):А ядро то пересобрал, ну и nsswitch.conf в студию
Нафига козе баян ???
это я про пересборку ядра бля самбы

snorlov
подполковник
Сообщения: 3849
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Авторизация в AD

Непрочитанное сообщение snorlov » 2009-08-28 10:03:45

arkan писал(а):
snorlov писал(а):А ядро то пересобрал, ну и nsswitch.conf в студию
Нафига козе баян ???
это я про пересборку ядра бля самбы
Дык ограничение на вхождения в группы, это ограничение не самбы, а системы... Самбе самой пофиг, сколько групп у пользователя...

Гость
проходил мимо

Re: Авторизация в AD

Непрочитанное сообщение Гость » 2009-08-28 10:43:09

snorlov писал(а):
arkan писал(а):
snorlov писал(а):А ядро то пересобрал, ну и nsswitch.conf в студию
Нафига козе баян ???
это я про пересборку ядра бля самбы
Дык ограничение на вхождения в группы, это ограничение не самбы, а системы... Самбе самой пофиг, сколько групп у пользователя...
Вот nsswitch.conf

Код: Выделить всё

group: files winbind
passwd: files winbind
group_compat: nis
passwd_compat: nis
hosts: files dns
networks: files
shells: files
Я так понимаю что дело не в количестве групп в которые входит admin. Тоже самое и для других юзеров, которые вродят в 2-3 группы, но id выводит только gid=2002(пользователи домена) groups=2002(пользователи домена)

snorlov
подполковник
Сообщения: 3849
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Авторизация в AD

Непрочитанное сообщение snorlov » 2009-08-28 10:58:26

Точно ввел в домен, а то похоже у тебя они просто в кеш попали вот и выдается,
а что говорят

Код: Выделить всё

wbinfo -t
getent passwd
getent group

DeeN
проходил мимо
Сообщения: 7
Зарегистрирован: 2009-05-22 1:17:35

Re: Авторизация в AD

Непрочитанное сообщение DeeN » 2009-08-28 11:46:42

snorlov писал(а):Точно ввел в домен, а то похоже у тебя они просто в кеш попали вот и выдается,
а что говорят

Код: Выделить всё

wbinfo -t
getent passwd
getent group

Код: Выделить всё

# wbinfo -t
checking the trust secret via RPC calls succeeded
Тут вроде всё норм, а вот
getent passwd
getent group
не юзеров не группы с AD не показывает. Похоже он всё же криво в домен впихнулся. :smile:

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Авторизация в AD

Непрочитанное сообщение arkan » 2009-08-28 12:33:32

arkan писал(а):Значит так чудно в AD вогнал

snorlov
подполковник
Сообщения: 3849
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Авторизация в AD

Непрочитанное сообщение snorlov » 2009-08-28 12:46:24

Время проверь...

reLax
лейтенант
Сообщения: 638
Зарегистрирован: 2007-04-08 5:50:16

Re: Авторизация в AD

Непрочитанное сообщение reLax » 2009-08-29 13:10:38

Код: Выделить всё

pw usershow -a
что говорит ?