>Я делал вот по этой статье: >http://www.altlinux.org/Участник:Alexandr/altinlan >все работает, хотя включить доменного пользователя в локальные группы >автоматом так и не удалось. >Проверь, включен ли автозапуск winbind и правильно ли сделал записи в >system-auth-winbind.
я запустил скрипт который написан на основе этого мана http://www.altlinux.org/%D0%A3%D1%87%D0%B0%D1%81%D1%82%D0%BD%D0%B8%D0%BA:Alexandr/altinlan.script не думаю что там есть разница >хотя включить доменного пользователя в локальные группы автоматом так и не >удалось как его можно ручками прописать? >включен ли автозапуск winbind скорее всего нет как это сделать? >правильно ли сделал записи в system-auth-winbind я пользовался этим маном http://forum.altlinux.org/index.php/topic,376.30.html Если настройка kerberos и samba выполнены, то осталось внести необходимые изменения в процедуру аутентификации. Пакет samba-common-3.X.X уже содержит шаблон конфигурационного файла PAM-модулей, для аутентификации через сервис winbind (system-auth-winbind). Вносим изменения в этот файл (в системе он находится в /etc/pam.d/system-auth-winbind). Добавляем в строчку: Код: auth sufficient pam_winbind.so параметры krb5_auth, krb5_ccache_type=FILE и cached_login. Указанная строка конфигурационного файла примет вид: Код: auth sufficient pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login Это позволить производить аутентификацию с использованием Kerberos, а так же производить кэширование учетных записей пользователей, прошедших аутентификацию на данном компьютере. Кэширование позволит произвести аутентификацию в случае недоступности контроллера домена (сетевого окружения). Дополнительно изменяем строку: Код: session required pam_mkhomedir.so skel=/etc/skel/ umask=0022 на Код: session required pam_mkhomedir.so skel=/etc/skel/ umask=0077 таким образом, в случае отсутствия домашнего каталога пользователя он будет создан с правами rwx------ (по умолчанию домашний каталог пользователя создавался бы с правами rwxr-xr-x). Далее Вам необходимо определится каким образом пользователи будут проходить аутентификацию в системе, т.е. какое приложение будет отвечать за допуск пользователей из Active Directory к Linux-системе. Пусть за процедуру аутентификации доменных пользователей отвечает KDE Desktop Manager (kdm). Так же, в силу того, что предполагается использовать хранитель экрана KDE с блокировкой сеанса, необходимо чтобы это приложение тоже знало о пользователях из Active Directory. Для решения этой задачи необходимо внести изменения в файлы: /etc/pam.d/kde - отвечает за kdm /etc/pam.d/kscreensaver - отвечает за хранитель экрана KDE Файл /etc/pam.d/kde в нашем случае принимает вид: Код: #%PAM-1.0 auth include system-auth-winbind auth required pam_nologin.so account include system-auth-winbind password include system-auth-winbind session include system-auth-winbind session optional pam_console.so т.е. мы все вхождения system-auth заменили на system-auth-winbind. Аналогично поступаем с файлом /etc/pam.d/kscreensaver, после чего он принимает вид: Код: #%PAM-1.0 auth include system-auth-winbind password required pam_deny.so Последним этапом настройки необходимо добавить в файл /ets/nsswitch.conf слово winbind в следующих строках: Код: passwd: files winbind nisplus nis shadow: tcb files winbind nisplus nis group: files winbind nisplus nis зы: я новичок в линукс _______________________________________________ Sysadmins mailing list [email protected] https://lists.altlinux.org/mailman/listinfo/sysadmins
