forum.lissyara.su

Добавлено: **2007-08-30 11:40:52**

Возникла проблема открыть доступ юзерам к shell’у, но поскольку юзерам тяжело запомнить два имени под которыми куда заходить (домен win2003 или FreeBSD), пришлось думать как сделать одно имя для входа на всех компах.
Все настраивалось на FreeBSD 5.5-RELEASE, samba-3.0.23d,1.
Решил сделать авторизацию через winbind.
Настраиваем все по статье http://www.lissyara.su/?id=1180

Далее, чтобы создавались home - устанавливаем pam_mkhomedir:

Код: Выделить всё

samba# cd /usr/ports/security/pam_mkhomedir
samba# make install clean

Далее настраиваем sshd для авторизации через winbind и делаем копию на всякий случай:

Код: Выделить всё

samba# cd /etc/pam.d
samba# cp sshd sshd.orig

файл /etc/pam.d/sshd

Код: Выделить всё

samba#  cat /etc/pam.d/sshd
auth            required        pam_nologin.so          no_warn
auth            sufficient      pam_opie.so             no_warn no_fake_prompts
auth            requisite       pam_opieaccess.so       no_warn allow_local
auth            required        pam_unix.so             no_warn try_first_pass
account         required        pam_login_access.so
account         required        pam_unix.so
session         required        pam_permit.so
password        required        pam_unix.so             no_warn try_first_pass

изменяем до такого вида:

Код: Выделить всё

samba#  ee /etc/pam.d/sshd
auth            required        pam_nologin.so          no_warn

# аутентификация акуанта через winbind
auth            sufficient      pam_winbind.so

auth            sufficient      pam_opie.so             no_warn no_fake_prompts
auth            requisite       pam_opieaccess.so       no_warn allow_local
auth            required        pam_unix.so             no_warn try_first_pass

# проверка доступночти акуанта
account         sufficient      pam_winbind.so

account         required        pam_login_access.so
account         required        pam_unix.so

# создание home
session         required        pam_mkhomedir.so skel=/usr/share/skel

session         required        pam_permit.so
password        required        pam_unix.so             no_warn try_first_pass

Проверяем shell юзеров, по умолчанию в samba стоит /bin/false.
Для изменения добавляем строчку в smb.conf:

Код: Выделить всё

samba# ee /usr/local/etc/smb.conf
template shell=/bin/csh

Перезапускаем samba:

Код: Выделить всё

samba# /usr/local/etc/rc.d/samba.sh restart
Performing sanity check on Samba configuration: OK
Stopping winbindd.
Waiting for PIDS: 2606.
Stopping smbd.
Stopping nmbd.
Removing stale Samba tdb files: ....... done
Starting nmbd.
Starting smbd.
Starting winbindd.

Создаем каталог, где будут храниться домашние папки юзеров, pam_mkhomedir его не создает:

Код: Выделить всё

samba# mkdir /usr/home/DOMAIN

DOMAIN – имя Вашего домена

Проверяем:

Код: Выделить всё

samba# tail -fn 30 /var/log/auth.log
Aug 30 11:03:47 samba pam_winbind[22417]: user 'user' granted access
Aug 30 11:03:47 samba pam_winbind[22417]: user 'user' OK
Aug 30 11:03:47 samba pam_winbind[22417]: user 'user' granted access

Примечание. User – пользователь домена

Добавлено: **2007-08-30 11:45:26**

приведи конфиг модуля пам целиком, и камменты сделай типа

Код: Выделить всё

# каммент было
# страя стркоа если есть
# каммент стало
строка  к которой относиться каммент

а то скопипастят вместе с твоими камментами и сами зайти не смогут...

Добавлено: **2007-08-30 12:11:55**

сделал

может если пост доживет до статьи цвет поменять того что нужно дописать
а то что то я раму не собрал как здесь его изменть, просто код дописывает и все

Добавлено: **2007-08-30 12:15:11**

а не поменяешь.
код - он на то и код чтобы вывести как есть..

Добавлено: **2007-08-31 21:55:11**

О, пригодилась инфа. Спасибо автору.
Я так, понимаю, вы хотите оформить это как статью?

Добавлено: **2007-08-31 22:04:56**

есть альтернатива?

Добавлено: **2007-08-31 22:11:06**

lissyara писал(а):есть альтернатива?

Да нет, просто думаю, если бы была статья, может бы больше народу могло воспользоваться.
Я например, форум только недавно начал посещать, а на сайте давно живу

Добавлено: **2007-08-31 22:16:51**

ну, раз начал - уже хорошо

))

Добавлено: **2007-09-02 0:49:59**

думал сильнее пинать будут

но вопрос не в этом
нашел статью по установке фри по сети
такой вопрос реально ли вместо стандартных packages внести определенный набор своих пакетов ?

Andrey писал(а):О, пригодилась инфа. Спасибо автору.
Я так, понимаю, вы хотите оформить это как статью?

оформлять статью или нет решать не мне
надеюсь если кто то столкнется с такой проблемой то найдет ссылку на форум и не будет шарится по нету и пробовать разные конфиги из которых не все рабочие (из-за одного даже консоль себе отрубил пришлось в однопользовательском режиме востанавливать все)
в итоге написал свой

Добавлено: **2007-09-02 1:05:01**

Зря статью не пишешь, полезна будем многим, ибо актуальна.
Вот лис писал раньше не много, и не жалеет (А стоит ли? )
http://www.lissyara.su/?id=1313
Пять строк и нормально смотрится.

Добавлено: **2007-09-02 1:14:12**

dikens3 писал(а):Зря статью не пишешь, полезна будем многим, ибо актуальна.
Вот лис писал раньше не много, и не жалеет (А стоит ли? )
http://www.lissyara.su/?id=1313
Пять строк и нормально смотрится.

а в какой раздел ее писать ?

Добавлено: **2007-09-02 1:34:10**

Мелочи или настройка. (Лучше у Лиса спросить)

Добавлено: **2007-09-02 3:19:28**

а куда хошь.
затрудняюсь идентифицировать раздел...
=============
иногда можно и немного написать - если вешь нужная но короткая
==========
пошёл я спать.... халтуру доделал - можно отдыхать с чистой совестью.
правда, часов в 7-8 дочка подымет

)) не разгуляешься

Добавлено: **2007-09-02 11:31:50**

Код: Выделить всё

auth            sufficient      pam_winbind.so          require_membership_of=MYDOMAIN\mygroup
account         sufficient      pam_winbind.so          require_membership_of=MYDOMAIN\mygroup

просьба сделать эту строку поуже - невлазиет в 610 пикселов

Добавлено: **2007-09-02 11:45:05**

сделал или еще меньше ?

Добавлено: **2007-09-02 13:08:02**

намана

Добавлено: **2007-09-02 21:07:28**

будешь готов - свистни - опубликуем...
и спам разошлём

Добавлено: **2007-09-04 10:53:30**

ну что?

Добавлено: **2007-09-04 11:18:14**

Добавлено: **2007-09-04 11:18:55**

ну, статья готова?
мона публиковать?

Добавлено: **2007-09-04 11:20:10**

кстати - у следующей статьи будет красивый идентификатор - 1500
или у автора

Добавлено: **2007-09-04 11:20:32**

так я вроде бы сделал и она уже на сайте

Добавлено: **2007-09-04 11:27:18**

я уже заметил

надо было сказать - чоб в новсти засунул и спам разослал

=========
пробегись - я заголовок поправил, описание и линк на статью по которой самбу ставить.

Добавлено: **2007-09-04 12:11:20**

так она и в новостях уже пришла на почту

Добавлено: **2007-09-04 12:13:58**

squid писал(а):так она и в новостях уже пришла на почту

ну так сделал тока что

forum.lissyara.su

sshd авторизация в AD

sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD

Re: sshd авторизация в AD