[решено] Ubuntu 9.04 + Likewise + Win2000 проблемы авторизации в аду

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Общий по Linux (http://forum.oszone.net/forumdisplay.php?f=9)

Ubuntu 9.04 + Likewise + Win2000 проблемы авторизации в аду

День добрый.
Имеется:
- потребность завести машинку под Ubuntu в домен;
- контроллер домена Win 2000 server;
- Ubuntu 9.04;
- Likewise-Open (чтобы не заморачиваться).

Ситуация:
Likewise установлен, машина введена в домен.
Ребутаю машину, проверяю авторизацию под своей учеткой - результат положительный, система тянет данные такие как имя, фамилию и т.д., в общем все как и положено. Правда несколько ужаты права, но это ерунда.
Завершаю сеанс, пробую зайти в систему под учеткой одного из пользователей который будет на этой машине работать - болт. Получаю ошибку: "Сбой авторизации. Буквы должны быть введены в правильном регистре." После выхода из состояния затупа, проверяю на двух других учетках - результат тот же.
Присваиваю одной из учеток права администратора контролера домена - вход осуществлен.

Вопрос:
Какого [censored]? И как разрешить пользователям авторизоваться не имя прав администратора домена?

Думаю понадобится:

Код:

MYDOMAIN\secondary@programist:~$ ls -la /home

итого 16

drwxr-xr-x  4 root root 4096 2009-09-23 08:43 .

drwxr-xr-x 21 root root 4096 2009-09-23 08:34 ..

drwxr-xr-x  4 root root 4096 2009-09-23 10:21 MYDOMAIN

drwxr-xr-x 35 yuri yuri 4096 2009-09-23 10:16 yuri

MYDOMAIN\secondary@programist:~$ ls -la /home/MYDOMAIN

итого 16

drwxr-xr-x  4 root              root                 4096 2009-09-23 10:21 .

drwxr-xr-x  4 root              root                 4096 2009-09-23 08:43 ..

drwxr-xr-x 23 MYDOMAIN\primary  MYDOMAIN\domain^users 4096 2009-09-23 09:48 primary

drwxr-xr-x 22 MYDOMAIN\secondary MYDOMAIN\domain^users 4096 2009-09-23 10:33 secondary

primary и secondary учётки админов контроллера. yuri учетка созданная при установке оси

Может, настроить pam?

Рекомендую удалить likewise и сделать так: http://ithouse.spb.ru/?p=13
У меня по этой схеме линуксовые клиенты без проблем работают в убунтовом домене.

Эта схема будет работать в домене на базе LDAP. Кстати зачем там Samba я не понял, хотя и не вчитывался, ибо не в тему это. Может когда нибудь потом.
Мне нужно включить машину именно в виндовый домен и именно при помощи Likewise-Open5.

В /var/log/auth.log вижу:

Код:

Sep 23 13:55:54 programist gdm[2575]: pam_unix(gdm:auth): check pass; user unknown

Sep 23 13:55:54 programist gdm[2575]: pam_unix(gdm:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost=

при попытке логина обычного пользователя и:

Код:

Sep 23 14:01:44 programist gdm[21778]: pam_unix(gdm:session): session opened for user MYDOMAIN\primary by (uid=0)

при логине админа домена.

Все еще не разобрался.

Цитата:

Цитата WhitePangolin

Эта схема будет работать в домене на базе LDAP »

Цитата:

Цитата WhitePangolin

Мне нужно включить машину именно в виндовый домен »

сорри, почему-то подумал что контроллер на убунте :)

Цитата:

Цитата WhitePangolin

Кстати зачем там Samba я не понял, хотя и не вчитывался, »

а без нее никак...

WhitePangolin, pam_unix не может подтянуть имя доменного пользователя, поэтому и проблемы. Кстати, а так пробовал?

Цитата:

Цитата [mzd

]pam_unix не может подтянуть имя доменного пользователя, поэтому и проблемы »

Это то я вижу, потому и не могу понять в чем дело. Админов домена видит, рядовых членов домена - нет.

Цитата:

Цитата [mzd

]Кстати, а так пробовал? »

По ссылке идет описание 4й версии, да и проблем там собственно нет никаких, а те примечания в моем случае не подходят. Повторюсь у меня все работает, только вот избирательно както...

WhitePangolin, а что прописано в /etc/pam.d/common-auth?

Код:

auth        [success=2 default=ignore]        pam_unix.so nullok_secure

auth        [success=1 default=ignore]        pam_lsass.so try_first_pass

auth        requisite                        pam_deny.so

auth        required                        pam_permit.so

А в /etc/likewise/lsass.conf что?

Код:

yuri@programist:~$ cat /etc/likewise-open5/lsassd.conf

#

# Likewise Security and Authentication Subsystem (LSASS)

#

# Time value suffixes:

# d - days

# h - hours

# m - minutes

# s - seconds

#



[global]



    # Default: no

    # enable-eventlog = yes



    # Default: yes

    # log-network-connection-events = no



    # Default: \

    # Allowed: a punctuation character

    # Excluded: whitespace, alphanumeric, space-replacement character

    domain-separator = \



[pam]



    # Default: error

    #

    # Note: log-level can be one of

    #       {disabled, error, warning, info, verbose}

    log-level = error



    # Message of the day

    # Default: no

    # display-motd = yes



    # Note: Show this error when user is not

    #       list of members (users/groups)

    #       allowed to login

    # user-not-allowed-error = Access denied



[auth provider:lsa-activedirectory-provider]



    path = /usr/lib/likewise-open5/liblsass_auth_provider_ad.so



    login-shell-template = /bin/bash



    # Prefix path for user's home directory

    # Note:

    #   a) This is used in place of %H in the

    #      homedir-template setting

    #   b) Must be an absolute path

    #

    # Default: Linux: /home

    # Default: MacOS: /Users

    # Default: SunOS: /export/home

    #

    # homedir-prefix = <absolute path>



    homedir-template = %H/%D/%U



    ldap-sign-and-seal = false



    # Cache entry expiration timespan

    # Default: 4h

    # Minimum: 0

    # Maximum: 1d

    cache-entry-expiry = 4h



    # Machine password expiration lifespan

    # Default: 30d

    # Minimum: 1h

    # Maximum: 60d

    machine-password-lifespan = 30d



    # Default: ^

    # Allowed: a punctuation character

    # Excluded: whitespace, alphanumeric, @, /, domain separator character, #

    space-replacement = ^



    # Default: no

    # assume-default-domain = yes

    # Default: yes

    # sync-system-time = no



    # Allow only the following users and groups

    # to login to this system

    #

    # Note: Use a comma-separated list of

    #       { alias, NT4 style name, SID }

    #

    # require-membership-of = ABC\support group, ABC\joe, jane, S-1-5-21-3447809367-3151979076-456401374-513



    # Default: yes

    # create-k5login = no



    # Whether home directories should be automatically

    # created upon user login

    #

    # Default: yes

    # create-homedir = no



    # Umask for home directories

    # Default: 022

    #

    # homedir-umask = 022



    # Paths to skeleton directories for provisioning

    # home directories

    #

    # Note: Use a comma separated list

    #

    # Default: /etc/skel

    #   or

    # Default: System/Library/User Template/Non_localized,

    #          /System/Library/User Template/English.lproj

    #

    # skeleton-dirs = /etc/skel



    # Whether user credentials should automatically be

    # refreshed

    #

    # Default: yes

    # refresh-user-credentials = no



    # Forces lsass to use unprovisioned mode

    # Values: full unprovisioned

    # Default: full

    #

    cell-support = unprovisioned



    # Whether to remove a cached group membership entry derived from PAC

    # with information from LDAP showing the user disappearing from

    # a group.

    #

    # Default: yes

    #

    # trim-user-membership = no



    # Whether to return only cached info for NSS group members.

    #

    # Default: yes

    #

    # nss-group-members-query-cache-only = no



    # Whether to return only cached info for NSS user's groups.

    #

    # Default: no

    #

    # nss-user-membership-query-cache-only = yes



[auth provider:lsa-local-provider]



    path = /usr/lib/likewise-open5/liblsass_auth_provider_local.so



    # Default: 30d

    # Minimum: 1d

    # Maximum: 180d

    password-lifespan = 30d



    # Default: 14d

    # Minimum: 1h

    # Maximum: 30d (must be less than lifespan)

    password-change-warning-time = 14d

Остальные конфиги тоже просмотрел. Ничего интересного. Где он эти группы разруливает неясно.

А эти смотрел: lwiauthd.conf и pam_lwidentity.conf?

Этих файлов у меня нет.

Если судить по логам с ошибкой, то смотреть надо сюда:

Код:

yuri@programist:~$ cat /etc/pam.d/gdm

#%PAM-1.0

auth    requisite       pam_nologin.so

auth    required        pam_env.so readenv=1

auth    required        pam_env.so readenv=1 envfile=/etc/default/locale

@include common-auth

auth    optional        pam_gnome_keyring.so

@include common-account

session required        pam_limits.so

@include common-session

session optional        pam_gnome_keyring.so auto_start

@include common-password



yuri@programist:~$ cat /etc/pam.d/common-auth

auth        [success=2 default=ignore]        pam_unix.so nullok_secure

auth        [success=1 default=ignore]        pam_lsass.so try_first_pass

auth        requisite                        pam_deny.so

auth        required                        pam_permit.so

Но здесь вроде бы и срезаться то негде.

Добрый человек навел на мысльмысль. Спасибо ему огромное.