forum.lissyara.su

Добавлено: **2009-07-04 10:29:51**

ОС: Gentoo.
Самба нормально ввелась в домен, пользователи видятся, всё нормально, билет от кербероса получаю. В процессе использования возникли такие проблемы:

1) При ребуте компа с самбой нужно заново получать билет, хотя время полученного ранее ещё не истекло. Можно ли как-то автоматизировать процесс, что бы каждый раз вручную не вводить пароль? Слышал, что ещё по истечению срока действия билета придётся заново его получать и вводить опять пароль. Как бы не очень удобно.

2) До ввода самбовского компа в домен, была одна учётка юзера (skeletor). После ввода в домен, соответственно, стали доступны доменные учётки. Но тут беда, при просмотре их через getenv passwd в качестве shell'a у них указан /bin/false и если пробовать ввойти по ssh на то не пускает: вот такое в логах

Код: Выделить всё

Jul  4 07:22:05 gentoo sshd[12748]: pam_winbind(sshd:auth): user 'jimmy' granted access
Jul  4 07:22:05 gentoo sshd[12748]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=skeletor.domain  user=jimmy
Jul  4 07:22:07 gentoo sshd[12746]: error: PAM: Authentication failure for jimmy from skeletor.domain
Jul  4 07:22:07 gentoo sshd[12749]: pam_winbind(sshd:auth): getting password (0x00000000)

хотя если сделать id jimmy, то получим нормальный ответ

Код: Выделить всё

gentoo ~ # id jimmy
uid=10004(jimmy) gid=10000(>;l7>20b5;8 4><5=0) groups=10000(>;l7>20b5;8 4><5=0),10006(4<8=8ab@0b>@k ae5<k),10007(4<8=8ab@0b>@k ?@54?@8ob8o),10009(4<8=8ab@0b>@k 4><5=0),10012(dnsadmins),10015(admins),10025(4<8=8ab@0b>@k wsus),10034(BUILTIN/administrators)

Как сделать возможным вход по ssh на самбовский комп?

Добавлено: **2009-07-04 11:49:02**

1.

Код: Выделить всё

kinit --renew

2. У тебя пользователь доменный, я так понимаю. Сделай локальную учетную запись с шеллом,
тогда будет пускать по ssh

Добавлено: **2009-07-04 13:25:24**

1) Выдаёт

Код: Выделить всё

kinit(v5): KDC can't fulfill requested option while renewing credentials

2) А по другому никак?

Добавлено: **2009-07-04 14:08:25**

По-другому - через модуль pam_winbindd. Он, кстати, еще умеет билеты кербероса обновлять.
Создаешь группу в AD ssh_users, например, и меняешь профиль в /etc/pam.d/sshd
http://www.freebsd.org.ua/doc/ru_RU.KOI ... index.html
man pam_winbindd
man smb.conf на предмет опции winbindd refresh tickets.

Добавлено: **2009-07-04 14:11:52**

[quote="skeletor"]1) Выдаёт

Код: Выделить всё

kinit(v5): KDC can't fulfill requested option while renewing credentials

вывод

Код: Выделить всё

klist

Если билет просрочен, то надо его заново получить.
Затем

Код: Выделить всё

kinit --renew

в кронтаб.

Добавлено: **2009-07-09 16:00:26**

Добавил в smb.conf такую строчку:

Код: Выделить всё

template shell = /bin/bash

перегрузился, (ибо после настройки pam-авторизации: заменой winbind-авторизациией не хотели применяться) и заработало.

Первый вопрос отпал сам собой: вырубил керберос, пару раз перегрузил тачку, всё отлично работает: юзеры доменные получают права, ходят только туда, куда нужно. Итог - не нужен мне керберос.

Добавлено: **2009-07-09 17:05:40**

skeletor писал(а):Первый вопрос отпал сам собой: вырубил керберос, пару раз перегрузил тачку, всё отлично работает: юзеры доменные получают права, ходят только туда, куда нужно. Итог - не нужен мне керберос.

Он нужен для ввода сервера с Самбой в домен.

Добавлено: **2009-07-10 11:28:57**

То есть, в дальнейшем можно и без него обходиться?

forum.lissyara.su

samba+ad+kerberos проблемы

samba+ad+kerberos проблемы

Re: samba+ad+kerberos проблемы

Re: samba+ad+kerberos проблемы

Re: samba+ad+kerberos проблемы

Re: samba+ad+kerberos проблемы

Re: samba+ad+kerberos проблемы

Re: samba+ad+kerberos проблемы

Re: samba+ad+kerberos проблемы