Страница 1 из 1

Авторизация в AD

Добавлено: 2009-08-27 12:50:36
DeeN
Добрый день!
7.0-RELEASE FreeBSD
Samba version 3.0.35
Настроил SAMBA с авторизацией в AD. Всё вроде отлично, получил билет от кербероса, засунул машину в домен тоже без проблем, wbinfo -u выдаёт всех юзеров, wbinfo -g все группы, НО

Код: Выделить всё

# id admin
uid=2026(admin) gid=2002(пользователи домена) groups=2002(пользователи домена)
команда id мне явно показывает не всё, пользователь admin входит как минимум в 15 групп. :Search:
Что за трабл? Может кто нить подсказать?

Re: Авторизация в AD

Добавлено: 2009-08-27 13:44:52
arkan
поставь samba-3.3.7 или какая там последняя и не парься
я с версией 3.0 не то что запарился а [классический секс] просто - тем более говорят что ветка как таковая больше не будет поддерживаться

Re: Авторизация в AD

Добавлено: 2009-08-27 14:14:34
Alex Keda
arkan писал(а):поставь samba-3.3.7 или какая там последняя и не парься
я с версией 3.0 не то что запарился а [классический секс] просто - тем более говорят что ветка как таковая больше не будет поддерживаться
да? а наследование в них уже починили во всех, кроме 3.0.25?
или русурсов они научились кушать меньше? а то у меня на полсотне юзеров не очень хорошо как-то одноголовой машине становиться с 3.3
пришлось отправить ф топку.

Re: Авторизация в AD

Добавлено: 2009-08-27 14:44:51
snorlov
DeeN писал(а):Добрый день!
7.0-RELEASE FreeBSD
Samba version 3.0.35
Настроил SAMBA с авторизацией в AD. Всё вроде отлично, получил билет от кербероса, засунул машину в домен тоже без проблем, wbinfo -u выдаёт всех юзеров, wbinfo -g все группы, НО

Код: Выделить всё

# id admin
uid=2026(admin) gid=2002(пользователи домена) groups=2002(пользователи домена)
команда id мне явно показывает не всё, пользователь admin входит как минимум в 15 групп. :Search:
Что за трабл? Может кто нить подсказать?
В установленной по умолчанию 7.0, как с более старшими версиями не знаю, стоит ограничение вхождения пользователя в более чем 16-ть групп...
$ cat /usr/src/sys/sys/syslimits.h |grep NGROUPS_MAX
#define NGROUPS_MAX 16 /* max supplemental group id's */
Нужно подправить NGROUPS_MAX в двух местах:
/usr/src/sys/sys/syslimits.h
/usr/include/sys/syslimits.h
Я у себя установил в 64...

Re: Авторизация в AD

Добавлено: 2009-08-27 14:48:19
snorlov
lissyara писал(а):
arkan писал(а):поставь samba-3.3.7 или какая там последняя и не парься
я с версией 3.0 не то что запарился а [классический секс] просто - тем более говорят что ветка как таковая больше не будет поддерживаться
да? а наследование в них уже починили во всех, кроме 3.0.25?
или русурсов они научились кушать меньше? а то у меня на полсотне юзеров не очень хорошо как-то одноголовой машине становиться с 3.3
Лис, они перешли на 6-ти месячный релиз версий, более того, даже версию 3.2 не дорабатывают( не дополняют новыми возможностями ), а только правят баги, тоже самое и про 3.0

Re: Авторизация в AD

Добавлено: 2009-08-27 16:00:40
Гость
snorlov писал(а):
DeeN писал(а):Добрый день!
7.0-RELEASE FreeBSD
Samba version 3.0.35
Настроил SAMBA с авторизацией в AD. Всё вроде отлично, получил билет от кербероса, засунул машину в домен тоже без проблем, wbinfo -u выдаёт всех юзеров, wbinfo -g все группы, НО

Код: Выделить всё

# id admin
uid=2026(admin) gid=2002(пользователи домена) groups=2002(пользователи домена)
команда id мне явно показывает не всё, пользователь admin входит как минимум в 15 групп. :Search:
Что за трабл? Может кто нить подсказать?
В установленной по умолчанию 7.0, как с более старшими версиями не знаю, стоит ограничение вхождения пользователя в более чем 16-ть групп...
$ cat /usr/src/sys/sys/syslimits.h |grep NGROUPS_MAX
#define NGROUPS_MAX 16 /* max supplemental group id's */
Нужно подправить NGROUPS_MAX в двух местах:
/usr/src/sys/sys/syslimits.h
/usr/include/sys/syslimits.h
Я у себя установил в 64...
Поправил, результат тот-же
Нашёл ещё один глюк, установил МС, решил через него назначить владельца и группу для файлика (File - chown) как оказалось в столбце User name и Group name нет пользователей и групп с AD :cz2:

Re: Авторизация в AD

Добавлено: 2009-08-27 16:15:55
arkan
Гость писал(а): установил МС, решил через него назначить владельца и группу для файлика (File - chown) как оказалось в столбце User name и Group name нет пользователей и групп с AD :cz2:
Значит так чудно в AD вогнал

Re: Авторизация в AD

Добавлено: 2009-08-27 22:14:38
snorlov
Гость писал(а):
Поправил, результат тот-же
Нашёл ещё один глюк, установил МС, решил через него назначить владельца и группу для файлика (File - chown) как оказалось в столбце User name и Group name нет пользователей и групп с AD :cz2:
А ядро то пересобрал, ну и nsswitch.conf в студию

Re: Авторизация в AD

Добавлено: 2009-08-28 9:53:37
arkan
snorlov писал(а):А ядро то пересобрал, ну и nsswitch.conf в студию
Нафига козе баян ???
это я про пересборку ядра бля самбы

Re: Авторизация в AD

Добавлено: 2009-08-28 10:03:45
snorlov
arkan писал(а):
snorlov писал(а):А ядро то пересобрал, ну и nsswitch.conf в студию
Нафига козе баян ???
это я про пересборку ядра бля самбы
Дык ограничение на вхождения в группы, это ограничение не самбы, а системы... Самбе самой пофиг, сколько групп у пользователя...

Re: Авторизация в AD

Добавлено: 2009-08-28 10:43:09
Гость
snorlov писал(а):
arkan писал(а):
snorlov писал(а):А ядро то пересобрал, ну и nsswitch.conf в студию
Нафига козе баян ???
это я про пересборку ядра бля самбы
Дык ограничение на вхождения в группы, это ограничение не самбы, а системы... Самбе самой пофиг, сколько групп у пользователя...
Вот nsswitch.conf

Код: Выделить всё

group: files winbind
passwd: files winbind
group_compat: nis
passwd_compat: nis
hosts: files dns
networks: files
shells: files
Я так понимаю что дело не в количестве групп в которые входит admin. Тоже самое и для других юзеров, которые вродят в 2-3 группы, но id выводит только gid=2002(пользователи домена) groups=2002(пользователи домена)

Re: Авторизация в AD

Добавлено: 2009-08-28 10:58:26
snorlov
Точно ввел в домен, а то похоже у тебя они просто в кеш попали вот и выдается,
а что говорят

Код: Выделить всё

wbinfo -t
getent passwd
getent group

Re: Авторизация в AD

Добавлено: 2009-08-28 11:46:42
DeeN
snorlov писал(а):Точно ввел в домен, а то похоже у тебя они просто в кеш попали вот и выдается,
а что говорят

Код: Выделить всё

wbinfo -t
getent passwd
getent group

Код: Выделить всё

# wbinfo -t
checking the trust secret via RPC calls succeeded
Тут вроде всё норм, а вот
getent passwd
getent group
не юзеров не группы с AD не показывает. Похоже он всё же криво в домен впихнулся. :smile:

Re: Авторизация в AD

Добавлено: 2009-08-28 12:33:32
arkan
arkan писал(а):Значит так чудно в AD вогнал

Re: Авторизация в AD

Добавлено: 2009-08-28 12:46:24
snorlov
Время проверь...

Re: Авторизация в AD

Добавлено: 2009-08-29 13:10:38
reLax

Код: Выделить всё

pw usershow -a
что говорит ?