Автор Тема: Проблем с RHEL5 и Active Directory  (Прочетена 2153 пъти)

crushercpg

  • Участници
  • ***
  • Публикации: 6
    • Профил
Проблем с RHEL5 и Active Directory
« -: Nov 15, 2011, 16:30 »
Здравейте, имам проблем с RHEL 5 и съвместната му работа с Windows 2008R2 Active Directory. Идеята като цяло е Linux машината да се вкара в домейн-а и да се логват Windows AD потребители на нея. Използвам последна версия на Samba, както и Kerberos + Winbind за може ужким да се логват потребители от активната директория на линукската машина. Пробвах различни начини за конфигуриране които намерих из нета на /etc/samba/smb.conf , /etc/krb5.conf , /etc/nsswitch.conf и /etc/pam.d/system-auth. Последно успях да вкарам линукс машината в домейна до не мога да се логвам с потребителите от активната директория. Ако някой опит с подобно преживяване ще ви бъда благораден :).

Мерси предварително.

Krb5.conf
Код:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = WINDOWS.JARA23.CO.UK
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes

[realms]
WINDOWS.JARA23.CO.UK = {
   kdc = server.windows.jara23.co.uk
   admin_server = server.windows.jara23.co.uk
   default_domain = windows.jara23.co.uk
}

[domain_realm]
.kerberos.server = WINDOWS.JARA23.CO.UK
.windows.jara23.co.uk = WINDOWS.JARA23.CO.UK

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
}

smb.conf
Код:
#GLOBAL PARAMETERS
[global]
   workgroup = MIDGARD
   realm = WINDOWS.JARA23.CO.UK
   preferred master = no
   server string = Linux Test Machine
   security = ADS
   encrypt passwords = yes
   log level = 3
   log file = /var/log/samba/%m
   max log size = 50
   printcap name = cups
   printing = cups
   winbind enum users = Yes
   winbind enum groups = Yes
   winbind use default domain = Yes
   winbind nested groups = Yes
   winbind separator = +
   idmap uid = 600-20000
   idmap gid = 600-20000
   ;template primary group = "Domain Users"
   template shell = /bin/bash


nsswitch.conf
Код:
passwd: files winbind
shadow: files winbind
group: files winbind

#hosts: db files nisplus nis dns
hosts: files dns wins

# Example - obey only what nisplus tells us...
#services: nisplus [NOTFOUND=return] files
#networks: nisplus [NOTFOUND=return] files
#protocols: nisplus [NOTFOUND=return] files
#rpc: nisplus [NOTFOUND=return] files
#ethers: nisplus [NOTFOUND=return] files
#netmasks: nisplus [NOTFOUND=return] files

bootparams: nisplus [NOTFOUND=return] files

ethers: db files
netmasks: files
networks: files dns
protocols: db files
rpc: files
services: files

netgroup: files

publickey: nisplus

automount: files
aliases: files nisplus

/etc/pam.d/system-auth
Код:
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required /lib/security/$ISA/pam_env.so
auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
auth sufficient /lib/security/$ISA/pam_winbind.so use_first_pass
auth required /lib/security/$ISA/pam_deny.so

account required /lib/security/$ISA/pam_unix.so
account sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
account sufficient /lib/security/$ISA/pam_winbind.so use_first_pass
account required /lib/security/$ISA/pam_permit.so

password requisite /lib/security/$ISA/pam_cracklib.so retry=3 type=
password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password sufficient /lib/security/$ISA/pam_winbind.so use_first_pass
password required /lib/security/$ISA/pam_deny.so

session required /lib/security/$ISA/pam_limits.so
session required /lib/security/$ISA/pam_unix.so
session required /lib/security/$ISA/pam_winbind.so use_first_pass
Активен

Ali Nebi

  • Напреднали
  • *****
  • Публикации: 394
  • Distribution: Centos, Debian, Fedora, Ubuntu
  • Window Manager: Gnome
    • Профил
Re: Проблем с RHEL5 и Active Directory
« Отговор #1 -: Nov 15, 2011, 18:49 »
Здравей,

wbinfo -u
wbinfо -g

връщат ли ти потребителите и групите?

Може да пуснеш winbind със следните параметри -d 5, това ще го пусне в дебъг режим. Така ще може да видиш какво точно става. Ето един линк с малко описание:

http://nj180degree.net/2010/09/04/active-directory-integration-with-samba-for-rhelcentos5-5/

П.С.

Опитай се да се идентифицираш пред активната директория така:

wbinfo -a username%password

Убеди се, че всичко е наред с тази част и ако работи, то тогава продължи със следващата част да им дадеш достъп до системата през SSH.
« Последна редакция: Nov 15, 2011, 18:53 от Ali Nebi »
Активен

Не се задоволявай да бъдеш дим, когато можеш да бъдеш огън!

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Active Directory and Printers
Настройка на програми
flame 4 2824 Последна публикация Jul 28, 2004, 19:50
от zeleniq_40vek
active directory
Коментар
ddantgwyn 0 2266 Последна публикация Jun 08, 2004, 18:04
от ddantgwyn
Правене на boot/active дял
Настройка на хардуер
supervas 0 1507 Последна публикация Dec 03, 2005, 17:16
от supervas
Samba Domain или Active Directory върху 2003 сървър
Хардуерни и софтуерни проблеми
simmen 0 2067 Последна публикация Nov 05, 2008, 15:21
от simmen
DC++ active mode през рутер
Настройка на програми
Bagatur 13 4553 Последна публикация Jul 16, 2011, 22:51
от Evergreen