15.04.08, Fedorenko Ruslan написал(а): > Доброго времени суток! > 14.04.08, Ruslan написал(а): > > Доброго времени суток! > > Подскажите пожалуйста. Пытаюсь самбу прикрутить к конторллеру домена под > > Win2000. Все вроде бы настроил. Список пользователей видит, группы тоже > > (доменные). В сетевом окружении захожу на сервак, в папки. Перезагрузился > ? > > не пускает локально на сервер с самбой ?ни под доменными юзерами, ни под > > root. > > При попытке залогиниться пишет: > > /Home/dom.local/User/ > > /Home/dom.local/User/Dokuments/ > > /Home/dom.local/User/tmp/ > > /Home/dom.local/User/.xsession.d/ > > /Home/dom.local/User/.mutt > > /Home/dom.local/User/color.default > Не понятно где эти строчки у вас выводятся, да и вероятно не > доконца(или не сначала) их нам показываете. Предположу что эти строчки > означают что прошла аутентификация доменным пользователем User, но > домашней директории у него нет, вот и обламывается. Ещё проедположу, > что с конфигами всё-же где-то накосячил. > Показывате все конфиги, что правили (smb.conf, pam.d/login и > остальные, nsswitch.conf ) > > а дальше выбрасывает в консоль и просит опять ввести логин: > Спасибо за ответ, я уже понял в какую сторону копать �C все дело в pam. > Только я не понял как их настроить правильно? > Вот например так > http://www.linux-online.ru/desktop/users/documentation/detail.php?ID=1514. > Но, там что-то не �Cто …. > А вообще пересмотрел кучу материалов и все равно не выходит. Если есть > возможность подскажите как правильно сделать (рабочий конфиг pam?)? > Залогиниться нужно в консоли, никакой графики нет…. > В рассылку не стал спамить �C в принципе вопрос �C то пустяковый…. > Заранее благодарю за ответ…. > С уважением, > Федоренко Руслан На самом деле зря в рассылку не пишите. Такое надо оставлять для истории. Месяцев пятьт назад тоже искал готовые рекомендации(как всегда надо было сделать быстро - заново перечитывать документацию некогда), но в рассылке нашёл только "делайте по аналогии с ldap". Для аутентификации через ldap есть готовый control (control system-auth ldap). В общем правильный способ - это для нужных сервисов заменить system-auth на system-auth-winbind и как будто всё. В system-auth-winbind есть включения и system-auth, так что должна работать и аутентификация в локальной "базе паролей". На практике у меня это сразу не заработало, а разбиратся было некогда. Поэтому вот мой пример для login(это просто пример, не претендующий на звание "правильный"):
#%PAM-1.0 #auth required pam_securetty.so #auth include system-auth-winbind #auth required pam_nologin.so #account include system-auth-winbind #password include system-auth-winbind #session include system-auth-winbind #session optional pam_lastlog.so nowtmp #session optional pam_motd.so #session optional pam_mail.so #session optional pam_console.so auth required pam_securetty.so debug auth required pam_nologin.so auth sufficient pam_winbind.so debug auth required pam_tcb.so debug shadow fork prefix=$2a$ count=8 nullok use_first_pass account sufficient pam_winbind.so debug account required pam_tcb.so debug shadow fork password sufficient pam_winbind.so debug password required pam_tcb.so debug use_authtok shadow fork prefix=$2a$ count=8 nullok write_to=tcb # We use pam_mkhomedir to create home dirs for incoming domain users # Note used umask, it will result in rwxr-x--x access rights session required pam_mkhomedir.so skel=/etc/skel/ umask=0026 #session required pam_tcb.so debug #session required pam_mktemp.so debug session required pam_limits.so debug В нём я пробовал использовать и system-auth-winbind - сейчас они закоментированы, и почти без изменений system-auth-winbind скопирован в сам /etc/pam.d/login Так же точно выглядит, например, gdm. Это старые заначки конфигов, которыми я сейчас не пользуюсь. Вот рабочие для openvpn, dovecot: #%PAM-1.0 # auth required pam_nologin.so auth include system-auth-winbind account include system-auth-winbind # session include system-auth-winbind password include system-auth-winbind Резимируя: очень хочется иметь простой рычажёк и для winbind (control system-auth winbind), кто же наконец соберётся и сделает его? :) PS: Я вот распинался писал, а вам действительно надо логинится доменным пользователем в консоль? Какая у вас задача стоит? если сделать файловый сервер, то совсем не нужно править что-либо в pam. -- Alexey Shabalin
_______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
