GoldenLine
Zaloguj się
Marcin Andrzej K.

Marcin Andrzej K. Specjalista ds
systemów IT

Temat: samba a active directory - jak zalogowac sie do...

witam; mam taki nietypowy problem z samba i LDAP.

probuje od dluzszego czasu zalogowac sie na wlasne konto w sieci firmowej do active directory z linuksa. zgodnie z przewodnikiem na wiki arch linuksa skonfigurowalem sobie odpowiednio sambe, PAM i nsswitch.conf.

nastepnie skonfigurowalem sobie kerberosa. testowe kinit <moj login AD> dziala poprawnie i potrafi nawet poinformowac o przedawnieniu hasla (ale przy probie jego zmiany jest dluugo dlugo nic - to chyba nie dziala).

zabralem sie do konfiguracji samby. generalnie przewodnik mowi o tym ze trzeba po poustawianiu plikow nalezy zrobic na probe

net ads testjoin

a potem

net ads join -U <Administrator>

i tu pojawia sie moje pytanie - jako szary pracownik nie mam dostepu do takich danych jak login i haslo administratora domeny. jak to zrobic bez tych danych - bo konto juz mam?

ponadto - net ads testjoin nie daje rady sie przylaczyc, takze z parametrem -U <moj login AD> lub -U <grupa robocza+login AD>

natomiast po odpaleniu kinit i podaniu hasla polecenia net ads info i net ads status podaja moje dane z katalogu LDAP. czyli ticket z kerberosa dziala poprawnie i jestem niby "zalogowany", ale just logowanie poprzez net ads join nie daje rady.

ponadto wlaczenie samby powoduje ze nie moge sie zalogowac na jakiekolwiek konto na swoim komputerze (chyba ze zatrzymam sambe).

jak powinienem sie logowac za pomoca samby, gdy mam juz konto w domenie? - takiej sytuacji nie przewiduje zaden przewodnik jaki sprawdzalem do integracji samba+AD . generalnie interesuje mnie
- logowanie do komputera loginem i haslem z domeny
- informowanie o przedawnieniu hasla i mozliwosc jego zmiany z linuksa (obecnie musze przelaczac sie w takiej sytuacji windows xp)
Link do wypowiedziLink
Jarosław P.

Jarosław P. IT, JBG-2 Sp. z o.o.

Temat: samba a active directory - jak zalogowac sie do...

[...]
tak na szybko i wyrywkowo

[...]
i tu pojawia sie moje pytanie - jako szary pracownik nie mam dostepu do takich danych jak login i haslo administratora domeny. jak to zrobic bez tych danych - bo konto juz mam?
musisz podać dowolne konto, które ma uprawnienia do dodawania do domeny,
jeśli nie masz takich uprawnień musisz poprosić admina o dokonanie tej operacji.

[...]
Bezpośrednie użycie AD jako serwera LDAP jest możliwe o ile domena ma włączoną obsługi NIS (Windows 2003R2 - SFU, Windows 2008 Identity Management for UNIX) i użytkownik ma przypisane NIS uid/gid.
W świecie windowsowym na ogół to nie jest potrzebne, więc są duże szanse,
że to nie będzie włączone i trzeba będzie użyć 'winbindd' (część samby)
- odpowiada za "mapowanie" windowsowych user sid na uniksowe uid/gid.
(Tutorial [4] przedstawia jak podłączyć sambę do domeny z użyciem winbindd)

Można też użyć likewise[1] (nie próbowałem, więc nie wiem jakie są efekty).

-------------
[1] Likewise Open
[2] Samba + AD
[3] Kerberos+LDAP+Samba
[4] Samba + AD (ubuntu)Jarosław P. edytował(a) ten post dnia 11.11.09 o godzinie 03:24
Link do wypowiedziLink
Marcin Andrzej K.

Marcin Andrzej K. Specjalista ds
systemów IT

Temat: samba a active directory - jak zalogowac sie do...

likewise nie potrafi nawet znalezc kontrolera domeny :] i raczej ciezko znalezc jakas pomoc.

"musisz podać dowolne konto, które ma uprawnienia do dodawania do domeny, jeśli nie masz takich uprawnień musisz poprosić admina o dokonanie tej operacji."

to mnie wlasnie zastanawia - po co musze miec takie konto, skoro juz posiadam wlasne konto w domenie i chce sie tylko zalogowac?
Link do wypowiedziLink
Mariusz Gronczewski

Mariusz Gronczewski Linux Geek

Temat: samba a active directory - jak zalogowac sie do...

bo "podłączasz" komputer do domeny a nie "tylko" się logujesz.
Jak w windowsie chcesz włączyć logowania domenowe to musisz dodać kompa do domeny używają usera który ma takie uprawnienia.

Za to gdy nie chcesz się dołączać do domeny tylko dostać się do jakiegoś sharu wystarczy zwykły user/pass
Link do wypowiedziLink
Michał Panasiewicz

Michał Panasiewicz Administrator
systemów, sieci i
aplikacji.

Temat: samba a active directory - jak zalogowac sie do...

korzystam z likewise od dawna . działa bez problemów
Link do wypowiedziLink
Jarosław P.

Jarosław P.

Temat: samba a active directory - jak zalogowac sie do...

Może ten opis Ci pomoże:

http://blog.aboo.pl/2009/11/09/debian-lenny-ad-2008r2-...
Link do wypowiedziLink
Łukasz M.

Łukasz M. Właściciel, Futurit

Temat: samba a active directory - jak zalogowac sie do...

Aby umozliwic logowanie do linuksa kontem z AD musisz nakonic do wspolpracy winbindd i PAM. Wyedytuj /etc/nsswitch.conf i /etc/pam.d/login zgodnie z tym:
http://www.enterprisenetworkingplanet.com/netos/articl...

Co do zmiany hasla to znalazlem tylko tyle ze za pomoca LDAP da sie to zrobic jesli z dwu stron jest SSL+TLS.
Za pomoca pam chyba tylko mozna zmienic haslo gdy wygasnie.Łukasz M. edytował(a) ten post dnia 16.11.09 o godzinie 16:10
Link do wypowiedziLink
Michał Ł.

Michał Ł. Doświadczenie jest
czymś, co zdobywasz
wtedy, gdy
przesta...

Temat: samba a active directory - jak zalogowac sie do...

Kiedyś napisałem takie coś (może być podobne od odpowiedzi wujka googla - korzystałem z wielu źródeł przy rozwiązywaniu problemów):
Tam gdzie coś jest dużymi literkami to tak ma pozostać.

1. Required software

- Samba
- NTP client
- Kerberos client
- Winbind

2. Installation (based on Debian).

2.1 Samba + winbind

sudo apt-get install samba winbind

Add or modify Global part of configuration:

vi /etc/samba/smb.conf
realm = twoja.domena.com
workgroup = twojadomenacom
security = ads ------- declare Active Directory membership
idmap uid = 10000-20000 -------- simple user id mapping
idmap gid = 10000-20000--------- simple group id mapping
template shell = /bin/bash
template homedir = /home/%D/%S --------- /home/<domainname>/<username>
winbind use default domain = yes ------- eliminate need to use domain name with user / group name
client ntlmv2 auth = yes

2.2 Kerberos

sudo apt-get install krb5-user

vi /etc/krb5.conf

[libdefaults]
default realm = TWOJA.DOMENA.COM ------------ case sensitive

[realms]
TWOJA.DOMENA.COM = {
kdc = TWOJDC01.TWOJA.DOMENA.COM
kdc = TWOJDC02.TWOJA.DOMENA.COM
kdc = TWOJDC03.TWOJA.DOMENA.COM
admin_server = TWOJDC01.TWOJA.DOMENA.COM
}
[domain_realm]
.twoja.domena.com = TWOJA.DOMENA.COM
twoja.domena.com = TWOJA.DOMENA.COM

Delete any other realms / domains.

2.3 NTP client

Sudo apt-get install ntp

vi /etc/ntp.conf

hash all suggested servers, add twoja.domena.com

2.4 NSSwitch.conf

vi /etc/nsswitch.conf

passwd: compat winbind
group: compat winbind

Then execute: sudo ldconfig to create all necessary links for recently added library.

2.5 PAM configuration

Modify following files in /etc/pam.d:

- common-account - add line: account sufficient pam_winbind.so
- common-auth – add line: account sufficient pam_winbind.so
- common-session – add lines:
o session required pam_mkhomedir.so skel=/etc/skel umask=0022
o session sufficient pam_winbind.so

Restart all services (samba, Kerberos, ntp, winbind) or reboot system.

2.6 Join Linux to domain

Execute:

net ads join –U <username> - where username has rights to add computer to domain.
Now not only you can share files via samba using AD authentication but you can also logon via ssh using your domain account.

Każdy user w AD ma prawo dołączyć 10 maszyn, limit można zwiększyć poprzez ADSIEdit.

MichałMichał Ł. edytował(a) ten post dnia 16.11.09 o godzinie 20:52
Link do wypowiedziLink
Marcin Andrzej K.

Marcin Andrzej K. Specjalista ds
systemów IT

Temat: samba a active directory - jak zalogowac sie do...

generalnie dolaczony do domeny jestem - na komputerze mam tez windows i tam wszystko co trzeba zostalo mi ustawione. a ja to co udalo mi sie wydlubac z rejestru, zaadoptowalem do samby (nazwa komputera, kontroler domeny, nazwa domeny itp). z tego co widze sa poprawne, bo kinit poprawnie pobiera ticket i informuje o potrzebie zmiany hasla, a po pobraniu ticketu net ads info, net ads status pokazuja moje dane z LDAP.

generalnie potrzebna mi tylko jest informacja o przeterminowaniu sie hasla - to bym mial gdyby kerberos nie zawieszal sie na probie zmiany hasla. mam informacje ze np zostalo mi 5 logowan, ale po wprowadzeniu nowego hasla kerberos wisi ( i haslo nie zostaje zmienione ). niestety musze wtedy korzystac z windows

cala zamieszczona tutaj konfiguracje mam juz za soba (pam, nsswitch, winbind, kerberos, samba), byc moze z drobnymi odstepstwami od reguly (sprawdze raz jeszcze).
Link do wypowiedziLink

konto usunięte

Temat: samba a active directory - jak zalogowac sie do...

Wszyscy tu mowicie odolaczeniu do domeny AD z poziomu dowlonego linuxa bo z poziomu Open SuSE jest taka ikonka w yast o nazwie dołącz do domeny windows i tam sie klika a potem mozna sie juz logowac do windowsa.
Link do wypowiedziLink

konto usunięte

Temat: samba a active directory - jak zalogowac sie do...

Rafał Włodarczyk:
Wszyscy tu mowicie odolaczeniu do domeny AD z poziomu dowlonego linuxa bo z poziomu Open SuSE jest taka ikonka w yast o nazwie dołącz do domeny windows i tam sie klika a potem mozna sie juz logowac do windowsa.
Która jest niczym innym jak perlowym skryptem do wykonania powyższych czynności ;)
Link do wypowiedziLink

konto usunięte

Temat: samba a active directory - jak zalogowac sie do...

Oczywiscie ze tak jest :) aleo ilemniej zachodu fiu fiu
Link do wypowiedziLink
Marcin N.

Marcin N. :)

Temat: samba a active directory - jak zalogowac sie do...

dzisiaj pierwszy raz postanowiłem zalogować się do domeny AD z poziomu linuksa, niesty samo AD jest dla mnie jeszcze niepoznane dlatego mam kilka pytań gdyż nie udało mi sie połączyć :/

logując się pod windowsem domena to XYZ, user i hasło oczywiscie znane.

pod linuksem mam problem z wpisami realm gdyż nie do konca kumam co to jest :(

w każdym tutorialu podaje się że costam.domena.com a ja dysponuje jedynie nazwą XYZ przez co totalnie nie kumam co mam wpisać, czy może być samo XYZ czy też musi być XYZ.pl

teoretycznie jestem blisko, kinit user podaje mi ticket i dane konta, ale net ads jon podaje

Failed to join domain: failed to find DC for domain XYZ

no i teraz znowu pytanie jak mam podać DC, komp.XYZ, XYZ, czy może samo IP

jak to powinno wyglądać ?

wpis z kerberosa

[libdefaults]
default_realm = XYZ[realms]

XYZ = {
kdc = 10.10.10.69
kdc = neo.xyz
admin_server = 10.10.10.69
default_domain = XYZ
}

[domain_realm]
.xyz = XYZ
xyz = XYZ
Link do wypowiedziLink
Michał Panasiewicz

Michał Panasiewicz Administrator
systemów, sieci i
aplikacji.

Temat: samba a active directory - jak zalogowac sie do...

1. Aby dodać KOMPUTER do domeny trzeba mieć odpowiednie uprawnienia, nie wystarczy mieć użytkownika w domenie.
2. Dodanie komputera powoduje że dostaje on swoje konto w domenie, dzięki czemu wiadomo że dany komputer to na pewno ten za którego się podaje (szyfrowanie, podpisywanie transmisji między komputerem a serwerem).

Najprościej użyć Likewise, sam wykona robotę, w chwili dołączania do domeny:
# /opt/likewise/bin/domainjoin-cli  join domain.local user_with_rights


http://www.likewise.com/community/index.php/download

http://wiki.samba.org/index.php/Samba_&_Active_Directory
Link do wypowiedziLink
Piotr Baranowski

Piotr Baranowski RHCA, RHCSS, RHCDS,
RHCVA, RHCX,
CTO@OSEC.pl

Temat: samba a active directory - jak zalogowac sie do...

Rafał Włodarczyk:
Oczywiscie ze tak jest :) aleo ilemniej zachodu fiu fiu

Usiądziesz kiedyś przy systemie bez tej "ikonki" i zobaczymy jaki z ciebie chojrak :)

peace :)

P.
Link do wypowiedziLink
Marcin N.

Marcin N. :)

Temat: samba a active directory - jak zalogowac sie do...

likewise wygląda ok, jest nawet już joining ale konczy się

DNS_ERROR_BAD_PACKET
A bad packet was received from a DNS server. Potentially the requested address does not exist.
Link do wypowiedziLink

konto usunięte

Temat: samba a active directory - jak zalogowac sie do...

Piotr Baranowski:
Rafał Włodarczyk:
Oczywiscie ze tak jest :) aleo ilemniej zachodu fiu fiu

Usiądziesz kiedyś przy systemie bez tej "ikonki" i zobaczymy jaki z ciebie chojrak :)

peace :)

P.
:)mistrzu, fakt najpierw dopisalem do domeny za pomoca "ikonki" a potem sprzadzilem na piechote i co i w debianie i linux mint robie to bez tej ikonki i bez linwise czy jak wy to tam zwiecie, problemzaczyna sie jak mamy lapka z linuxem w domu gdzie niema dostepu do domeny - ale na szczescie wujo google zna odpowiedz :)
http://banita.pl/konf/smbdomenaunix.html
z tegopowyej korzystam, coprawda jest napisane do domeny nt ale dziala tez z domena na win2k. pozdrRafał Włodarczyk edytował(a) ten post dnia 25.09.10 o godzinie 11:25
Link do wypowiedziLink
Michał Panasiewicz

Michał Panasiewicz Administrator
systemów, sieci i
aplikacji.

Temat: samba a active directory - jak zalogowac sie do...

Rafał Włodarczyk:
...
dostepu do domeny - ale na szczescie wujo google zna odpowiedz :)
http://banita.pl/konf/smbdomenaunix.html
...

http://banita.pl/konf/smbspis.html

jedna z lepszych stron o SAMBA i okolicach , kawał dobrej roboty.
Link do wypowiedziLink

konto usunięte

Temat: samba a active directory - jak zalogowac sie do...

to w końcu można dodać komputer z linuxem do domeny bez uprawnień w domenie?
Link do wypowiedziLink

konto usunięte

Temat: samba a active directory - jak zalogowac sie do...

Przemysław R.:
to w końcu można dodać komputer z linuxem do domeny bez uprawnień w domenie?
W końcu można - bez problemów.
Suseł od 11 w górę graficznie, przez yasta,
reszta przez likewise
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

Logowanie do Active Directo...




Wyślij zaproszenie do
Anuluj