sshd авторизация в AD

squid · Непрочитанное сообщение **squid** » 2007-08-04 15:15:02

Привет
вопрос собственно тема - как сделать
зачем ? просто интересно сделать
настраивал самбу & АД вот встретил что можно и это настроить, но начало ошибки выдавать
авторизацию можно проводить через NIS и Winbind
может кто настраивал, интересны такие моменты, как будет создаваться юзер ему же home mail нужен ?

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Alex Keda

Код: Выделить всё

/usr/ports/security/pam_mkhomedir/>cd /usr/ports/security/pam_mkhomedir/
/usr/ports/security/pam_mkhomedir/>more pkg-descr
This is a PAM module which will create the $HOME for the user authenticated,
if it's not already there. It also copies over files from a skel directory
( default /usr/share/skel ) and can set the permission of the newly created
$HOME to a value of your choice

squid · Непрочитанное сообщение **squid** » 2007-08-04 19:01:02

спс, приеду с отпуска попробую

squid · Непрочитанное сообщение **squid** » 2007-08-29 22:43:04

попробовал через winbind, что то криво руки стоят
test# uname -a
FreeBSD test.stpp 5.5-RELEASE FreeBSD 5.5-RELEASE #3
если в системе юзер зарегин с таким же именнем как и на домене то входит нормально и под паролем домена и под локальным
если на фре нет такого юзера то в лог бросает
auth.log:

Код: Выделить всё

Aug 29 19:25:36 test sshd[9737]: User kurianov not allowed because shell /bin/false does not exist
Aug 29 19:25:43 test sshd[9737]: Failed unknown for illegal user kurianov from 10.12.0.5 port 1653 ssh2

при этом пользователи АД нормально могут получать доступ к ресурсам самбы

/etc/pam.d/login

Код: Выделить всё

test# cat login | grep -v ^# | grep -v ^$
auth            required        pam_nologin.so          no_warn
auth            sufficient      pam_self.so             no_warn
auth            include         system
account         requisite       pam_securetty.so
account         include         system
session         include         system
password        include         system

auth            required        pam_securetty.so
auth            sufficient      pam_winbind.so
auth            sufficient      pam_unix.so             use_first_pass
auth            required        pam_stack.so            service=system-auth
auth            required        pam_nologin.so
account         sufficient      pam_winbind.so
account         required        pam_stack.so            service=system-auth
password        required        pam_stack.so            service=system-auth
session         required        pam_stack.so            service=system-auth
session         optional        pam_console.so

/etc/pam.d/sshd

Код: Выделить всё

test# cat sshd | grep -v ^# | grep -v ^$
auth            required        pam_nologin.so          no_warn
auth            sufficient      pam_winbind.so
auth            sufficient      pam_opie.so             no_warn no_fake_prompts
auth            requisite       pam_opieaccess.so       no_warn allow_local
auth            required        pam_unix.so             no_warn try_first_pass
account         sufficient      pam_winbind.so
account         required        pam_login_access.so
account         required        pam_unix.so
session         required        pam_mkhomedir.so umask=0077 skel=/usr/share/skel
session         required        pam_permit.so
password        required        pam_unix.so             no_warn try_first_pass

/etc/nsswitch.conf

Код: Выделить всё

test# cat nsswitch.conf | grep -v ^# | grep -v ^$
group_compat: nis
hosts: files dns
networks: files
passwd_compat: nis
shells: files
passwd: files winbind
group: files winbind

Alex Keda

без шелла не залогинишься...

squid · Непрочитанное сообщение **squid** » 2007-08-29 23:03:54

да я, понял это только не пойму как его указать
копаю в сторону PAM может еще что то нужно указать в файле /etc/pam.d/sshd или login
пока ничего толкового, может кто подскажет куда рыть

Alex Keda

ну, грязный способ - сделать хардлинк

Код: Выделить всё

/bin/false -> /bin/sh

ду маю,можно как-то ещё

squid · Непрочитанное сообщение **squid** » 2007-08-29 23:55:39

спс, помогло
но нашел и другой способ
просто в smb.conf

Код: Выделить всё

[global]
template shell=/bin/false - заменить на свой шелл

squid · Непрочитанное сообщение **squid** » 2007-08-29 23:57:52

спс, помогло
и нашел другой способ
в smb.conf

Код: Выделить всё

[global]
template shell=/bin/false - заменить на свой шелл

squid · Непрочитанное сообщение **squid** » 2007-08-30 9:27:06

может наваять статью по настройке, только расскажите как оформить, вечером или завтра напишу

Alex Keda

в форуме про сайт тему сделай - там выложи.
мы тебя попинаем чё кому не нравитсья и чё добавить.

))
ну а потом сюда - http://www.lissyara.su/admin_level/

forum.lissyara.su

sshd авторизация в AD

sshd авторизация в AD

Услуги хостинговой компании Host-Food.ru

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD