| Вопросы тов. Lyx-у |
| Forest_Ugly_Beast | Дата: Четверг, 2009-04-09, 09:02:33 | Сообщение # 1 |
 Самый главный админ
Группа: Администраторы
Сообщений: 175
Репутация: 5
Статус: Offline
| 1. Как сделать авторизацию в домене AD 2003. Дистриб использую Mandriva 2009. Только, если можно попроще. Все что смог сам - пересмотрел, не вышло.
2. Как этот самый дистриб нормально понимать русские названия файлов и каталогов виндузячих?
Don't worry about him. He is a survivor
|
| |
|
|
|
| lyx | Дата: Четверг, 2009-04-09, 09:58:31 | Сообщение # 2 |
|
Лейтенант
Группа: Модераторы
Сообщений: 77
Репутация: 4
Статус: Offline
| 1) что значить авторизацию ? т.е. пользователи должны моч на линуксовой машине, зайти под своим логином поролем доменным ?
или просто нужно подключить шару с сервера ?
2) по идее все с коробки должно хорошо работать, но если есть проблемы? опиши, все они очень просто решаеются.
|
| |
|
|
|
| Forest_Ugly_Beast | Дата: Четверг, 2009-04-09, 15:56:28 | Сообщение # 3 |
|
Самый главный админ
Группа: Администраторы
Сообщений: 175
Репутация: 5
Статус: Offline
| 1. надо чтоб аккаунты хранились в AD, а еще очень желательно чтоб и групповые политики брались оттуда же и применялись к линукс-пользователям
2. с локальными именами проблем пока не заметил, а вот если по сети, то на любой русской и даж на некоторых иностранных папках выдает сообщение, что каталог АБВГД не существует
Don't worry about him. He is a survivor
|
| |
|
|
|
| lyx | Дата: Четверг, 2009-04-09, 17:55:49 | Сообщение # 4 |
|
Лейтенант
Группа: Модераторы
Сообщений: 77
Репутация: 4
Статус: Offline
| 1) т.е. пользователи должны авторизироватся на линуксовой машине доменным логином/паролем ? груповые политики работают только для винды
хотя если ты под этим подразумеваетш группы то они тоже будут в линуксе
2) Папки сетевые по самбе примонтированные ?
Сообщение отредактировал lyx - Четверг, 2009-04-09, 17:56:30 |
| |
|
|
|
| Forest_Ugly_Beast | Дата: Пятница, 2009-04-10, 09:02:10 | Сообщение # 5 |
|
Самый главный админ
Группа: Администраторы
Сообщений: 175
Репутация: 5
Статус: Offline
| 1. группы, насколько я понял не так важны по безопасности как гр политики, я просто думал что есть какая-то утиль чтоб преобразовывать политики в линукс-настройки. В остальном все верно, именно под доменным логином
2. да, на самбе. хотя это было по умолчанию на мандриве, а тонкостей я не знаю ((
Don't worry about him. He is a survivor
|
| |
|
|
|
| lyx | Дата: Пятница, 2009-04-10, 11:05:04 | Сообщение # 6 |
|
Лейтенант
Группа: Модераторы
Сообщений: 77
Репутация: 4
Статус: Offline
| 2) в линуксе постоянная белибирда с кодировками поэтому они сделали очень хорошее решение.
У всех файловый систем есть опция в какой кодировке хранятся имена файлов и какая кодировка используется при отображении текста на дислей
покажи что у тебя команда выводит и Code zcat /proc/config.gz | grep CONFIG_SMB_NLS_REMOTE
должно быть
Code LANG=ru_RU.UTF-8
LC_CTYPE="ru_RU.UTF-8"
LC_NUMERIC="ru_RU.UTF-8"
LC_TIME="ru_RU.UTF-8"
LC_COLLATE="ru_RU.UTF-8"
LC_MONETARY="ru_RU.UTF- 8"
LC_MESSAGES="ru_RU.UTF-8"
LC_PAPER="ru_RU.UTF-8"
LC_NAME="ru_RU.UTF-8"
LC_ADDRESS="ru_RU.UTF-8"
LC_TELEPHONE="ru_RU.UTF-8"
LC_MEASU REMENT="ru_RU.UTF-8"
LC_IDENTIFICATION="ru_RU.UTF-8"
LC_ALL=
Code CONFIG_SMB_NLS_REMOTE="utf8"
Сообщение отредактировал lyx - Пятница, 2009-04-10, 11:15:27 |
| |
|
|
|
| Forest_Ugly_Beast | Дата: Пятница, 2009-04-10, 11:37:47 | Сообщение # 7 |
|
Самый главный админ
Группа: Администраторы
Сообщений: 175
Репутация: 5
Статус: Offline
| то есть получается все что с кодовыми таблицами связано должно использовать UTF?
Don't worry about him. He is a survivor
|
| |
|
|
|
| lyx | Дата: Пятница, 2009-04-10, 12:06:27 | Сообщение # 8 |
|
Лейтенант
Группа: Модераторы
Сообщений: 77
Репутация: 4
Статус: Offline
| 1) нужно поставить kerberos пакеты krb5
далее пусть у нас домен будет иметь имя DOMAIN.LOCAL сервер SERVER.DOMAIN.LOCAL - ip 192.168.0.1
рабочая станция с линуксом называется station1 ip 192.168.0.10
Внимание РЕГИСТР букв имеет очень большое значение, домен пишится всегда БОЛЬШИМИ БУКВАМИ !!!
научим линукс самоопределятся и находить домен по имени
в файл /etc/hosts добавим строчки
Code
192.168.0.10 STATION1.DOMAIN.LOCAL STATION1
192.168.0.1 server.domain.local server
теперь настроим аутентификацию в керберосе файл /etc/krb5.conf
Code
[libdefaults]
default_realm = DOMAIN.LOCAL
[realms]
DOMAIN.LOCAL = {
kdc = server.domain.local
admin_server = server.domain.local
default_domain = server.local
}
[domain_realms]
.domain.local = DOMAIN.LOCAL
[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
Проверяем, пробуем получить билетик вводим пароль администратора домена, можно пробовать под любым пользователем имеющим права администратора.
если все прошло без ошибок посмотрим на билетик должно вывести чтото вроде
Code station53 etc # klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: Administrator@UNIQ.LOCAL Valid starting Expires Service principal 04/10/09 11:39:06 04/10/09 21:39:11 krbtgt/UNIQ.LOCAL@UNIQ.LOCAL renew until 04/11/09 11:39:06
Аутентификация готова(наш линукс умеет проверять логин пароль в домене), далее настраиваем логин в систему. Это делается через демон winbind в самбе. файл /etc/samba/smb.conf
Code
[global]
workgroup = DOMAIN
netbios name = station1
log file = /var/log/samba/log.%m
max log size = 50
security = ADS
use spnego = yes
password server = 192.168.0.1
encrypt passwords = yes
realm = DOMAIN.LOCAL
allow trusted domains = no
auth methods = winbind
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = yes
winbind separator = +
winbind enum users = yes
winbind enum groups = yes
winbind refresh tickets = yes
template homedir = /home/%D/%U
template shell = /bin/bash
dos charset = CP866
unix charset = UTF-8
display charset = UTF-8
обращаем внимание на строчку template homedir = /home/%D/%U она означает что домашние папки пользователей будут располагатся в /home/<имя домена>/<имя пользователя> например /home/DOMAIN/user1/, о домашних папках раскажу позже. запускаем самбу и винбинд от рута
Code /etc/init.d/smb start
/etc/init.d/winbind start
нужно сделать чтобы ти службы стартавали автоматически непомню как в мандриве это делается добавляем линуксовую машину в домен
не обязательно, но на всякий случай рестартуем winbind Code /etc/init.d/winbind restart
проверяем id user1
должно быть чтото вроде этого
Code station53 # id vikam
uid=10024(vikam) gid=10000(domain users) группы=10000(domain users),10016(security отдел предоставления контента и услуг),10005(все сотрудники компании),10038(BUILTIN+users)
все, наш линукс получает группы и польователей с домена. и последний штрих аутентификация, файл /etc/pam.d/system-auth
нужно добавить/поправить 3 строчки (возможно они там уже есть) auth sufficient pam_winbind.so try_first_pass
account sufficient pam_winbind.so
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022 silent
Последняя строчка обеспечивает создание профиля для новых пользователей из скелета который лежит в /etc/skel/
в эту папку можно кинуть например свой настроенный профиль, чтобы новым пользователям не пришлось чтото настраивать.
|
| |
|
|
|
| lyx | Дата: Пятница, 2009-04-10, 12:08:27 | Сообщение # 9 |
|
Лейтенант
Группа: Модераторы
Сообщений: 77
Репутация: 4
Статус: Offline
| Quote (Forest_Ugly_Beast)
то есть получается все что с кодовыми таблицами связано должно использовать UTF?
Сообщение отредактировал lyx - Пятница, 2009-04-10, 12:08:50 |
| |
|
|
|
| Forest_Ugly_Beast | Дата: Пятница, 2009-04-10, 12:21:27 | Сообщение # 10 |
|
Самый главный админ
Группа: Администраторы
Сообщений: 175
Репутация: 5
Статус: Offline
| Огромаднейшее спасибо!
Сейчас не могу, но как перегружусь в линукс все проделаю.
Don't worry about him. He is a survivor
|
| |
|
|
|
| Forest_Ugly_Beast | Дата: Понедельник, 2009-04-13, 11:56:47 | Сообщение # 11 |
|
Самый главный админ
Группа: Администраторы
Сообщений: 175
Репутация: 5
Статус: Offline
| Пока что ничего не получается.
Видимо разница в синтаксисе используемых нами линуксов, к примеру в мандриве самба сервис запускается командой SAMBA START
конфигурационные файлы вроде поправил так как надо. Были проблемы с сохранением файлов. В разрешениях все прописал, но во-первых не уверен что разрешение прописываемое на папку распространяется и на файлы, во-вторых разрешения вступали в силу как минимум через минуту после прописывания и предупреждающее окошко что у меня нет прав на запись все равно вылазило.
В общем в результате я получил след сообщение при попытке ввести машину в домен:
Code Failed to join domain: Invalid configuration and configuration modification wasnot requested
Вот. Попробовал видоизменить команду:
Code [root@localhost init.d]# net ads join admin3 FUB@KIEP
Enter admin's password:
Failed to join domain: failed to find DC for domain FUB@KIEP
Don't worry about him. He is a survivor
|
| |
|
|
|
| lyx | Дата: Вторник, 2009-04-14, 09:26:51 | Сообщение # 12 |
|
Лейтенант
Группа: Модераторы
Сообщений: 77
Репутация: 4
Статус: Offline
| к домену .LOCAL везде добавь, он домен не видит
проверь файл /etc/hosts
права в линуксе не наследуются от папки, права применяются мгновенно, выполняй все команды от рута
но расшареные по сети линуксовые папки, будут иметь такую же систему прав как и обычные диски в винде, т.е. полностью нормальные POSIX ACL как все привыкли с множественными группами и рекурсивным наследовнием.
Сообщение отредактировал lyx - Вторник, 2009-04-14, 09:30:00 |
| |
|
|
|
| Forest_Ugly_Beast | Дата: Вторник, 2009-04-14, 10:26:12 | Сообщение # 13 |
|
Самый главный админ
Группа: Администраторы
Сообщений: 175
Репутация: 5
Статус: Offline
| Домен попробую добавить LOCAL при след запуске линукса.
В контрольный центр мандривы вход только по паролю рута, следовательно думаю что все разрешения и настройки производятся от его имени, но разрешения не мгновенно вступают в силу (
Как таковым рутом в систему зайти невозможно.
Hosts перепроверю.
Что касается папок, то линуксовые пока не расшаривал, а вот с виндусовскими проблема осталась. Папки видит нормально, то есть не в кодировке дело, а вот при попытке войти в ту что по-рксски все равно выдает что папка АБВГД не существует ( Кстати по команде
Code [root@localhost init.d]# net rpc join admin3 FUB@KIEP
в домене регистрируется.
И еще вопрос. Если удастся войти в домен, как это отразится на работе системы? Я хотя бы увижу что я в домен вхожу?
Пока что логин FUB@KIEP с соотв паролем или вызывал ошибку или очень изредка сообщение что логин-пароль неправильные
Don't worry about him. He is a survivor
|
| |
|
|
|
| lyx | Дата: Вторник, 2009-04-14, 21:47:08 | Сообщение # 14 |
|
Лейтенант
Группа: Модераторы
Сообщений: 77
Репутация: 4
Статус: Offline
| 1) подумаю
2) Домен просто будет теперь доверять твоей машине, соглано тем правам, которым тебе он дал в билетике. команда klist
|
| |
|
|
|
| lyx | Дата: Среда, 2009-04-15, 15:59:51 | Сообщение # 15 |
|
Лейтенант
Группа: Модераторы
Сообщений: 77
Репутация: 4
Статус: Offline
| 1) нужно мне глянуть что там и как
2) на чем теперь затык ?
|
| |
|
|
