| << Предыдущая | ИНДЕКС | Исправить | src / Печать | Следующая >> |
 | ||||
| ||||||||||
Ключевые слова: fedora, samba, windows, domain, auth, pam, (найти похожие документы)
From: Danil <danil@sunrise-ufa.ru.> Newsgroups: email Date: Mon, 24 Oct 2007 14:31:37 +0000 (UTC) Subject: Включение Fedora Core 7 в домен под управлением Windows 2003 1. Необходимо проапгрейдить сервер самба, поскольку по умолчанию стоит 3.025 и у меня возникли проблемы при подключении к домену, постоянно падал winbind - # yum update samba 2. Я использовал kerberos 5 поэтому , его необходимо установить # yum install krb5 я ставил вот эти пакеты krb5-devel-1.6.1-4.fc7.i386.rpm krb5-libs-1.6.1-4.fc7.i386.rpm krb5-server-1.6.1-4.fc7.i386.rpm krb5-workstation-1.6.1-4.fc7.i386.rpm krb5-workstation-clients-1.6.1-4.fc7.i386.rpm xinetd-2.3.14-12.fc7.i386.rpm 3. Настройка kerberos тривиальна но есть загвоздки. Реалм должен быть указан в ВЕРХНЕМ РЕГИСТРЕ [libdefaults] ticket_lifetime = 24000 clock_skew = 300 default_realm = DC.MYDOMAIN.LOCAL dns_lookup_realm = true dns_lookup_kdc = true [realms] DC.MYDOMAIN.LOCAL = { kdc = SERV1.DC.MYDOMAIN.LOCAL admin_server = SERV1.DC.MYDOMAIN.LOCAL default_domain = DC.MYDOMAIN.LOCAL } 10.10.0.105 = { kdc = 10.10.0.105 } [domain_realm] .NS.DOMAIN = DC.MYDOMAIN.LOCAL NS.DOMAIN = DC.MYDOMAIN.LOCAL dc.mydomain.local = DC.MYDOMAIN.LOCAL .dc.mydomain.local = DC.MYDOMAIN.LOCAL [logging] default = FILE:/var/log/krb5.log проверяем подключение # kinit Administrator@DC.MYDOMAIN.LOCAL # Password: пишем пароль администратора опять обращаю внимание что домен пишется в верхнем регистре, если все нормально проверяем # klist Ticket cache: FILE:/tmp/krb5cc_0 Default principal: Administrator@DC.MYDOMAIN.LOCAL Valid starting Expires Service principal 10/25/07 11:28:11 10/25/07 18:08:11 krbtgt/DC.MYDOMAIN.LOCAL@DC.MYDOMAIN.LOCAL Так c kerberos разобрались настраиваем samba и winbind. 4. Настраиваем сервер samba приводим файл lmhosts к след содержанию 127.0.0.1 localhost 10.10.0.105 serv1 # где serv1 - это PDC приводим smb.conf к след виду #smb.conf [global] log file = /var/log/samba/log.%m idmap gid = 10000-20000 socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 auth methods = winbind interfaces = 10.10.0.2/24 encrypt passwords = yes hosts allow = 10.10.0. 127. realm = SERV1.DC.MYDOMAIN.LOCAL winbind use default domain = yes case sensitive = no dns proxy = no netbios name = desktop server string = desktop.dc.mydomain.local idmap uid = 10000-20000 password server = 10.10.0.105 default = public dos charset = 866 local master = no workgroup = DC os level = 20 security = ads unix charset = KOI8-R max log size = 50 template shell = /bin/bash #обязательно укажем этот параметр template homedir = /home/%D/%U #и этот [public] guest ok = Yes writable = yes writeable = yes public = yes path = /file_share write list = nobody Остановим сервер samba и winbind # service smb stop # service winbind stop Добавим в файл /etc/hosts 10.10.0.105 serv1 #описание PDC Приведем файл /etc/nsswitch к след виду passwd: files winbind shadow: files winbind group: files winbind #hosts: db files nisplus nis dns hosts: files dns # Example - obey only what nisplus tells us... #services: nisplus [NOTFOUND=return] files #networks: nisplus [NOTFOUND=return] files #protocols: nisplus [NOTFOUND=return] files #rpc: nisplus [NOTFOUND=return] files #ethers: nisplus [NOTFOUND=return] files #netmasks: nisplus [NOTFOUND=return] files bootparams: nisplus [NOTFOUND=return] files ethers: files netmasks: files networks: files protocols: files rpc: files services: files netgroup: files publickey: nisplus automount: files aliases: files nisplus Далее идем в каталог /etc/pam.d добавляем файл common-account # touch common-account и прописываем там account sufficient pam_winbind.so Далее в этом же каталоге необходимо отредактировать файл system-auth-ac - его приводим к следующему виду: auth required /lib/security/$ISA/pam_env.so auth sufficient /lib/security/$ISA/pam_winbind.so auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok use_first_pass auth required /lib/security/$ISA/pam_deny.so account required /lib/security/$ISA/pam_unix.so account sufficient /lib/security/$ISA/pam_winbind.so account sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet account required /lib/security/$ISA/pam_permit.so password requisite /lib/security/$ISA/pam_cracklib.so retry=3 password sufficient /lib/security/$ISA/pam_winbind.so password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow password required /lib/security/$ISA/pam_deny.so session required /lib/security/$ISA/pam_mkhomedir.so skel=/etc/skel umask=0077 session required /lib/security/$ISA/pam_limits.so session required /lib/security/$ISA/pam_unix.so 5. Синхронизируем время на машине с PDC # net time set 6. Подключим машину к домену # net join ads -U Administartor 7. Запустим samba и winbind # service smb start # service winbind start 8. Проверим winbin # wbinfo -p ответ примерно такой - Ping to winbindd succeeded on fd 4 Далее необходимо установить авторизатора винбинда # wbinfo --set-auth-user=Administartorr%123456 проверим # wbinfo --get-auth-user ответ DC\Administartor%123456 Проверим доступность доменных пользователей и групп # wbinfo -u ответ - список пользователей домена # wbinfo -g ответ - список групп домена Проверяем вход под доменной учетной записью # ssh drock@localhost # drock@localhost's password: Creating directory '/home/DC/drock'. Creating directory '/home/DC/drock/.kde'. Creating directory '/home/DC/drock/.kde/Autostart'. Last login: Tue Oct 23 15:30:25 2007 from 10.10.0.2 [drock@fedora ~]$ Вроде ничего не забыл.
| ||||||||||
| Обсуждение | [ Линейный режим | Показать все | RSS ] |
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Добавить комментарий |
|
Закладки на сайте Проследить за страницей |
Created 1996-2024 by Maxim Chirkov Добавить, Поддержать, Вебмастеру |
