[Sarlug] Samba и Win2k3

Evgeny Sinelnikov sin на info.sgu.ru
Чт Мар 29 23:32:38 MSD 2007


Здравствуйте,

On 3/29/07, Яков Попов <j.a.popov на mail.ru> wrote:
>
> | > пальцем в небо:
> | > 1) попробуйте
> | > net ads join member -U Administrator на CHAOS.RU
> | > или вариации из man net
> | > 2) удивительно просто, но и на старуху бывает проруха:
> | > Вы передаёте пароль шифрованным или нет? а виндовоз знает об этом?
> | >
> | > кстати. что за система?
> | >
> | > | Приветствую братьев по разуму!
> | > |
> | > | Сижу вот и мучаюсь с подключением Samb'ы к AD.
> | > | возникает следующая ошибка при выполнении команды:
> | > | net ads join -U Administrator на CHAOS.RU
> | > | а вот и ошибка:
> | > | ads_connect: Invalid credentials
> | > | ПАМАГИТЕ!
> |
> | Система Mandriva 2007 LC Edition
> | Вот насчет 2 варианта я низнаю... Как ето проверить?
> |


Я не думаю, что Mandriva существенно сильно отличается по базовому набору
пакетов от Fedora или ALT Linux, относительно которых свой опыт подключения
к домену я записал вот здесь:
http://prcnit.sgu.ru/aps/dokumenty/podklyuchenie-linux-desktopov-k-domenu

Попробуй, скажи на каком из этапов у тебя возникает проблема.


Ну, это просто:
> 1) Чтобы настроить выни на плэйн-текстовые пароли, в реестре
> HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkStation\Parameters
> создать/изменить параметр (типа DWORD) EnablePlainTextPassword=1


Я вот не уверен, что это хорошая идея, особенно если права на контроллер
домена ограничены это не сработает.

Потом настраиваете Samba на простые текстовые пароли, и она
> использует /etc/passwd и /etc/shadow.


Насколько я поннимаю пароли в AD работают через kerberos. Причём тут
локальные пароли? Вся фишка как раз в том, чтобы не хранить пользователей
(кроме списков доступа к локальным ресурсам) на хосте, а выбирать его из
централизованно администрируемого сервера.


2) Если пароли шифруем, тогда поднастроить samba:
> smb passwd file = /etc/samba/smbpasswd (кстати, проверьте и файл, на
> который
> указывает этот параметр)
> encrypt passwords = yes
> ssl CA certFile = файл (файл сертификата для работы с SSL. Вот это
> проверьте
> потщательней. Обычно ошибки credentials растут оттуда)
> unix password sync = yes
> passwd program = /usr/bin/passwd %u
> passwd chat = *New*password* %n\n *Retype* %n\n *Updated*passwords*


Набор действий с /etc/passwd-файлами я бы назвал грязными хаками :)

Проверьте также:
> username map = файл (сопоставление имен пользователей. Обязательно
> сопоставьте
> Administrator и Администратор юзеру root или ещё кому-нибудь)


А вот это действительно интересный момент, единственное, что при таком
подходе не удастся отличить локального рута от глобального. Вообще
необходимость мапить пользователей и групп на кого-то локального не есть
гуд, ибо не удобно. К тому же, тиражирование такого решения тоже становится
не удобным.

-- 
Sin (Sinelnikov Evgeny)
----------- следущая часть -----------
Вложение в формате HTML было удалено...
URL: http://lists.lug.ru/pipermail/sarlug/attachments/20070329/21a7b410/attachment-0001.html 


Подробная информация о списке рассылки Sarlug