sshd авторизация в AD

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
squid
лейтенант
Сообщения: 683
Зарегистрирован: 2007-05-25 11:32:23
Откуда: Украина, Киев
Контактная информация:

sshd авторизация в AD

Непрочитанное сообщение squid » 2007-08-30 11:40:52

Возникла проблема открыть доступ юзерам к shell’у, но поскольку юзерам тяжело запомнить два имени под которыми куда заходить (домен win2003 или FreeBSD), пришлось думать как сделать одно имя для входа на всех компах.
Все настраивалось на FreeBSD 5.5-RELEASE, samba-3.0.23d,1.
Решил сделать авторизацию через winbind.
Настраиваем все по статье http://www.lissyara.su/?id=1180

Далее, чтобы создавались home - устанавливаем pam_mkhomedir:

Код: Выделить всё

samba# cd /usr/ports/security/pam_mkhomedir
samba# make install clean
Далее настраиваем sshd для авторизации через winbind и делаем копию на всякий случай:

Код: Выделить всё

samba# cd /etc/pam.d
samba# cp sshd sshd.orig
файл /etc/pam.d/sshd

Код: Выделить всё

samba#  cat /etc/pam.d/sshd
auth            required        pam_nologin.so          no_warn
auth            sufficient      pam_opie.so             no_warn no_fake_prompts
auth            requisite       pam_opieaccess.so       no_warn allow_local
auth            required        pam_unix.so             no_warn try_first_pass
account         required        pam_login_access.so
account         required        pam_unix.so
session         required        pam_permit.so
password        required        pam_unix.so             no_warn try_first_pass
изменяем до такого вида:

Код: Выделить всё

samba#  ee /etc/pam.d/sshd
auth            required        pam_nologin.so          no_warn

# аутентификация акуанта через winbind
auth            sufficient      pam_winbind.so

auth            sufficient      pam_opie.so             no_warn no_fake_prompts
auth            requisite       pam_opieaccess.so       no_warn allow_local
auth            required        pam_unix.so             no_warn try_first_pass

# проверка доступночти акуанта
account         sufficient      pam_winbind.so

account         required        pam_login_access.so
account         required        pam_unix.so

# создание home
session         required        pam_mkhomedir.so skel=/usr/share/skel

session         required        pam_permit.so
password        required        pam_unix.so             no_warn try_first_pass
Проверяем shell юзеров, по умолчанию в samba стоит /bin/false.
Для изменения добавляем строчку в smb.conf:

Код: Выделить всё

samba# ee /usr/local/etc/smb.conf
template shell=/bin/csh
Перезапускаем samba:

Код: Выделить всё

samba# /usr/local/etc/rc.d/samba.sh restart
Performing sanity check on Samba configuration: OK
Stopping winbindd.
Waiting for PIDS: 2606.
Stopping smbd.
Stopping nmbd.
Removing stale Samba tdb files: ....... done
Starting nmbd.
Starting smbd.
Starting winbindd.
Создаем каталог, где будут храниться домашние папки юзеров, pam_mkhomedir его не создает:

Код: Выделить всё

samba# mkdir /usr/home/DOMAIN
DOMAIN – имя Вашего домена

Проверяем:

Код: Выделить всё

samba# tail -fn 30 /var/log/auth.log
Aug 30 11:03:47 samba pam_winbind[22417]: user 'user' granted access
Aug 30 11:03:47 samba pam_winbind[22417]: user 'user' OK
Aug 30 11:03:47 samba pam_winbind[22417]: user 'user' granted access
Примечание. User – пользователь домена
Последний раз редактировалось squid 2007-08-30 12:10:32, всего редактировалось 1 раз.
хех..

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: sshd авторизация в AD

Непрочитанное сообщение Alex Keda » 2007-08-30 11:45:26

приведи конфиг модуля пам целиком, и камменты сделай типа

Код: Выделить всё

# каммент было
# страя стркоа если есть
# каммент стало
строка  к которой относиться каммент
а то скопипастят вместе с твоими камментами и сами зайти не смогут...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
squid
лейтенант
Сообщения: 683
Зарегистрирован: 2007-05-25 11:32:23
Откуда: Украина, Киев
Контактная информация:

Re: sshd авторизация в AD

Непрочитанное сообщение squid » 2007-08-30 12:11:55

сделал

может если пост доживет до статьи цвет поменять того что нужно дописать
а то что то я раму не собрал как здесь его изменть, просто код дописывает и все :(
хех..

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: sshd авторизация в AD

Непрочитанное сообщение Alex Keda » 2007-08-30 12:15:11

а не поменяешь.
код - он на то и код чтобы вывести как есть..
Убей их всех! Бог потом рассортирует...

Andrey
рядовой
Сообщения: 19
Зарегистрирован: 2007-08-31 8:56:24

Re: sshd авторизация в AD

Непрочитанное сообщение Andrey » 2007-08-31 21:55:11

О, пригодилась инфа. Спасибо автору.
Я так, понимаю, вы хотите оформить это как статью?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: sshd авторизация в AD

Непрочитанное сообщение Alex Keda » 2007-08-31 22:04:56

есть альтернатива?
Убей их всех! Бог потом рассортирует...

Andrey
рядовой
Сообщения: 19
Зарегистрирован: 2007-08-31 8:56:24

Re: sshd авторизация в AD

Непрочитанное сообщение Andrey » 2007-08-31 22:11:06

lissyara писал(а):есть альтернатива?
Да нет, просто думаю, если бы была статья, может бы больше народу могло воспользоваться.
Я например, форум только недавно начал посещать, а на сайте давно живу :)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: sshd авторизация в AD

Непрочитанное сообщение Alex Keda » 2007-08-31 22:16:51

ну, раз начал - уже хорошо :)))
Убей их всех! Бог потом рассортирует...

Аватара пользователя
squid
лейтенант
Сообщения: 683
Зарегистрирован: 2007-05-25 11:32:23
Откуда: Украина, Киев
Контактная информация:

Re: sshd авторизация в AD

Непрочитанное сообщение squid » 2007-09-02 0:49:59

думал сильнее пинать будут :D
но вопрос не в этом
нашел статью по установке фри по сети
такой вопрос реально ли вместо стандартных packages внести определенный набор своих пакетов ?
Andrey писал(а):О, пригодилась инфа. Спасибо автору.
Я так, понимаю, вы хотите оформить это как статью?
оформлять статью или нет решать не мне
надеюсь если кто то столкнется с такой проблемой то найдет ссылку на форум и не будет шарится по нету и пробовать разные конфиги из которых не все рабочие (из-за одного даже консоль себе отрубил пришлось в однопользовательском режиме востанавливать все)
в итоге написал свой
хех..

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: sshd авторизация в AD

Непрочитанное сообщение dikens3 » 2007-09-02 1:05:01

Зря статью не пишешь, полезна будем многим, ибо актуальна.
Вот лис писал раньше не много, и не жалеет (А стоит ли? )
http://www.lissyara.su/?id=1313
Пять строк и нормально смотрится.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
squid
лейтенант
Сообщения: 683
Зарегистрирован: 2007-05-25 11:32:23
Откуда: Украина, Киев
Контактная информация:

Re: sshd авторизация в AD

Непрочитанное сообщение squid » 2007-09-02 1:14:12

dikens3 писал(а):Зря статью не пишешь, полезна будем многим, ибо актуальна.
Вот лис писал раньше не много, и не жалеет (А стоит ли? )
http://www.lissyara.su/?id=1313
Пять строк и нормально смотрится.
а в какой раздел ее писать ?
хех..

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: sshd авторизация в AD

Непрочитанное сообщение dikens3 » 2007-09-02 1:34:10

Мелочи или настройка. (Лучше у Лиса спросить)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: sshd авторизация в AD

Непрочитанное сообщение Alex Keda » 2007-09-02 3:19:28

а куда хошь.
затрудняюсь идентифицировать раздел...
=============
иногда можно и немного написать - если вешь нужная но короткая
==========
пошёл я спать.... халтуру доделал - можно отдыхать с чистой совестью.
правда, часов в 7-8 дочка подымет :))) не разгуляешься :)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: sshd авторизация в AD

Непрочитанное сообщение Alex Keda » 2007-09-02 11:31:50

Код: Выделить всё

auth            sufficient      pam_winbind.so          require_membership_of=MYDOMAIN\mygroup
account         sufficient      pam_winbind.so          require_membership_of=MYDOMAIN\mygroup
просьба сделать эту строку поуже - невлазиет в 610 пикселов
Убей их всех! Бог потом рассортирует...

Аватара пользователя
squid
лейтенант
Сообщения: 683
Зарегистрирован: 2007-05-25 11:32:23
Откуда: Украина, Киев
Контактная информация:

Re: sshd авторизация в AD

Непрочитанное сообщение squid » 2007-09-02 11:45:05

сделал или еще меньше ?
хех..

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: sshd авторизация в AD

Непрочитанное сообщение Alex Keda » 2007-09-02 13:08:02

намана
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: sshd авторизация в AD

Непрочитанное сообщение Alex Keda » 2007-09-02 21:07:28

будешь готов - свистни - опубликуем...
и спам разошлём :)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: sshd авторизация в AD

Непрочитанное сообщение Alex Keda » 2007-09-04 10:53:30

ну что?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
squid
лейтенант
Сообщения: 683
Зарегистрирован: 2007-05-25 11:32:23
Откуда: Украина, Киев
Контактная информация:

Re: sshd авторизация в AD

Непрочитанное сообщение squid » 2007-09-04 11:18:14

????
хех..

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: sshd авторизация в AD

Непрочитанное сообщение Alex Keda » 2007-09-04 11:18:55

ну, статья готова?
мона публиковать?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: sshd авторизация в AD

Непрочитанное сообщение Alex Keda » 2007-09-04 11:20:10

кстати - у следующей статьи будет красивый идентификатор - 1500
или у автора :)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
squid
лейтенант
Сообщения: 683
Зарегистрирован: 2007-05-25 11:32:23
Откуда: Украина, Киев
Контактная информация:

Re: sshd авторизация в AD

Непрочитанное сообщение squid » 2007-09-04 11:20:32

так я вроде бы сделал и она уже на сайте
хех..

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: sshd авторизация в AD

Непрочитанное сообщение Alex Keda » 2007-09-04 11:27:18

я уже заметил :)
надо было сказать - чоб в новсти засунул и спам разослал :)
=========
пробегись - я заголовок поправил, описание и линк на статью по которой самбу ставить.
Убей их всех! Бог потом рассортирует...

Аватара пользователя
squid
лейтенант
Сообщения: 683
Зарегистрирован: 2007-05-25 11:32:23
Откуда: Украина, Киев
Контактная информация:

Re: sshd авторизация в AD

Непрочитанное сообщение squid » 2007-09-04 12:11:20

так она и в новостях уже пришла на почту ;)
хех..

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: sshd авторизация в AD

Непрочитанное сообщение Alex Keda » 2007-09-04 12:13:58

squid писал(а):так она и в новостях уже пришла на почту ;)
ну так сделал тока что :)
Убей их всех! Бог потом рассортирует...