Подключение linux к windows server 2003

Большинству пользователей Linux и в голову не приходит, что они могут подключаться со своих компьютеров к домену Microsoft Windows. До сих пор это было невозможно. Приносить на работу ноутбуки под управлением Linux не запрещалось, но работать на них в домене было нельзя. Однако теперь, после очередного обновления целого ряда дистрибутивов Linux, такая возможность появилась, причем подключиться к домену Windows оказывается не так уж сложно — придется только немного отредактировать конфигурационные файлы.

В этой статье я расскажу, как подключиться к домену Windows с компьютера под управлением Linux при помощи утилиты Likewise-Open .

Скачать Likewise-Open можно с официального сайта . Выберите версию, подходящую для вашего дистрибутива. Если вы предпочитаете работать с графическим интерфейсом — выбирайте GUI-вариант.

Утилита распространяется в виде скомпилированного исполняемого двоичного файла. Чтобы ее установить, откройте окно терминала, перейдите в каталог, где хранится скачанный файл Likewise-Open и выполните следующую команду:

Затем выполните еще одну команду с правами администратора (используйте su или sudo).

Для GUI-приложения команда выглядит иначе:

XXX здесь — номер версии, YYY — архитектура вашего компьютера, а ZZZ — тип скачанного файла. Если вы выбрали GUI-приложение, завершить процесс установки вам поможет простой мастер.

Для использования этой утилиты на компьютере должен быть установлен компонент winbind. Если его нет, установите его с помощью Менеджера программ или командой sudo apt-get install winbind.

Редактирование файла «/etc/hosts»

Теперь нужно добавить данные контроллера домена в конфигурационный файл «/etc/hosts» в формате «IP_ADDRESS FDQN» (без кавычек), где «IP_ADDRESS» — это реальный IP-адрес контроллера домена, а «FDQN» — полностью определенное имя домена.

Это самый сложный момент: нужно настроить KRB5 и добавить в конфигурационный файл правильные сведения об области в следующем формате:

В этот раздел нужно добавить адрес своего контроллера домена. Учтите, что заглавные буквы используются здесь не случайно — без них конфигурация работать не будет.

После этого нужно отредактировать еще пару разделов. Во-первых, небольшой раздел над указателем [realms]. Если в файле «krb5.conf» раздела [libdefaults] нет, добавьте его:

Во-вторых, раздел [domain_realm]. Добавьте в него следующий текст:

На этом настройка KRB5 закончена.

Откройте файл «/etc/nsswitch» и добавьте в него следующие строки:

Возможно, сами строки в файле уже есть, но без «lsass». Если так — просто допишите «lsass» (без кавычек) в каждую строку.

Подключение к домену

Прежде чем запускать GUI-утилиту Likewise-Open для подключения к домену, необходимо установить сертификат на своем хост-компьютере. Для этого выполните следующую команду:

где ADMIN_ACCOUNT — имя учетной записи администратора на контроллере домена, а DOMAIN.INTERNAL — домен, к которому вы хотите подключиться. Для выполнения команды нужно ввести пароль от административной учетной записи. Чтобы убедиться, что сертификат установлен, выполните команду klist.

После этого можно запускать утилиту для подключения к домену. Для этого выполните команду sudo domainjoin-gui.

Указав необходимые регистрационные данные, нажмите кнопку «Подключиться к домену» (Join Domain). После успешного подключения выйдите и снова войдите в систему. Учтите, что имя пользователя в домене будет иметь формат «DOMAINusername», и не забывайте, что имя пользователя в домене — это не то же самое, что имя пользователя на локальном компьютере.

Со времени своего возникновения Linux прошел большой путь, и возможность подключения к доменам Windows недвусмысленно свидетельствует о зрелости платформы. И хотя на первый взгляд, процедура выглядит довольно утомительно, подключаться посредством Samba еще труднее.

Автор: Jack Wallen
Перевод SVET

Оцените статью: Голосов

Источник

Как Линукс подключить к удаленному рабочему столу win2003

Хочу вот что сделать! В офисе поднять сервак с win2003, на рабочие компы поставить Линукс и работать на сервере через удаленый рабочий стол! Вопрос в том вобще ктонибудь пробовал это делать и как это вобще нормально работает! И еще вопрос как сделать так чтобы при загрузке линукса он сразу же подключался к удаленному столу? Кто что посоветует буду рад! Зарание спосибо!

Re: Как Линукс подключить к удаленному рабочему столу win2003

Я сделал VNC с ssh форвардингом, хотя наверное можно и проще. Пароль сохраняется v

/.vnc/passwd, а чтобы сразу подключался — прописать его в local.start

Re: Как Линукс подключить к удаленному рабочему столу win2003

Так круто! А теперь можно для начинающих(ТОЕСТЬ ПОЧТИ ДЛЯ ТУПЫХ) сли можно по подробней!

Re: Как Линукс подключить к удаленному рабочему столу win2003

Хотя, если в офисе, ssh не нужен. ставь просто VNC Server на win и VNC Viewer на LIN и сделай доступ только из локалки

Re: Как Линукс подключить к удаленному рабочему столу win2003

Чё совсем с ума посходили?:)

И как вы себе это представляете? Как например 15 пользователей будут одновременно бюзать один рабочий стол и одну мышку/клавиатуру?

На линуксе ставишь rdesktop и (опционально) tsclient.

У rdesktop команда подключения к терминальному сервису будет выглядеть примерно так:

rdesktop -T192.168.0.1 -uusername -g1280x960 -rsound:off -k en-us 192.168.0.1

Re: Как Линукс подключить к удаленному рабочему столу win2003

Правильно глаголишь, а лучше все-таки на win2003 поднять ssh-сервер и коннектиться к нему, а rdesktop пустить по форвардингу портов. Так не надо будет открывать кучу портов на хосте (если тебе понадобится еще что-нибудь помимо удаленного рабочего стола). Ну и на win2003 сервер терминалов ессесно.

Re: Как Линукс подключить к удаленному рабочему столу win2003

> Так круто! А теперь можно для начинающих(ТОЕСТЬ ПОЧТИ ДЛЯ ТУПЫХ) сли можно по подробней!

Для начинающих есть документация и google.ru 🙂

Re: Как Линукс подключить к удаленному рабочему столу win2003

Источник

Astra Linux 1.7 и Windows Server 2003 — доступ к шаре.

max51_fkp

New member

Ситуация такая. Есть АРМ с AL 1.7 в Windows домене (DC 2012) и есть файл-сервер на Windows Server 2003 в том же домене. При попытке открыть расшаренную папку, которая расположена на 2003, комп с астрой показывает белый экран. При открытии таких же папок находящихся на 2008 R2 и 2012 всё работает корректно.

Подскажите, как сделать так, чтобы всё нормально открывалось и в случае с 2003? Спасибо.

P.S.
Я так понимаю, что в астре должна быть включена поддержка smb v1

New member

max51_fkp

New member

Огромное спасибо за комментарий! Я рассматриваю возможность переезда Win2003 на чтот другое, например, Win2012, но это займет некоторое время, т.к.:
а) это железка подключенная по фибре через brocade к сановской полке;
б) на нём 100500 хаотичных шар, которые растут, как грибы;
в) все папки каждого отдела организации лежат там и монтируются через GPO;
г) на нём все рабочие столы сотрудников, которые работают на RDS + всякие папки типа «мои документы» и т.д. и т.п.
Это в общих чертах. Так что буду копать в сторону второго варианта:

«поставить на Win2003 реализацию FTP/NFS/иного сервиса разделяемого файлового обмена и через него научить юзеров взаимодействовать с ресурсами из-под ALSE 1.7.»

Ну или подключать один из гипервизоров к полке и поднимать на нём виртуалку с тем же Win2012, но тут проблема в отсутствии FC-сетевух))

Источник

Linux в домене Active Directory

Содержание

Общая информация

Если вам нужно просто предоставить сетевой доступ к ресурсам Linux компьютера, то смотрите статью Samba.

В этой статье мы опишем как подключить Linux компьютер к домену под управлением Microsoft Active Directory и сделать из него файловый сервер.

После выполнения этой инструкции мы будем иметь в сети файловый сервер под управлением ОС Линукс, входящий в домен Windows 2003 и ничем не отличающийся от файлового сервера под Windows. Пользователи домена смогут обращаться к его ресурсам под своими учётными записями. Доступ регулируется группами домена AD.

По этой инструкции настраивались Debian (4, 5), Ubuntu 9.10, создавалась она на основе официальной документации и многих рекомендаций и инструкций из Интернета. Остальные Linux’ы настраиваются сходным образом.

Проверка требований

• Проверяем что Samba собрана с поддержкой Kerberos:

• Также проверим что поддерживается LDAP

• Для корректной работы Samba в домене Windows 2003 нужны версии MIT Kerberos version >=1.3.1. Проверим:

• Для корректной работы с Windows 2008 серверами сама Samba должна быть достаточно свежая:

Установка Samba

• Устанавливаем сервер и клиент samba.

При настройке krb5-config лучше указывать IP адреса контроллеров домена, а не их DNS имена.

Настройка Samba

• Для подключения к домену Active Directory удобно использовать утилиту Likewise-Open.

• Для администрирования Samba удобно использовать SWAT или webmin, которые предоставляют веб интерфейс. Попасть на него можно по адресу http://server_address:901 и https://server_address:10000 соответственно, указав для соединения пользователя root. Но будьте осторожны — он полностью переписывает smb.conf и некоторые параметры может просто игнорировать. Лучше предварительно сделать резервную копию файла. Я сначала использовал SWAT, а затем дорабатывал конфигурационный файл /etc/samba/smb.conf руками. Вот, что осталось у меня не закоментированным (принтеры к этому серверу не подключены):

Мы описали два общих каталога:

• backup — доступ имеют только пользователи входящие в группу BackupGroup в Active Directory. Они могут создавать и удалять файлы/каталоги
• distrib — доступ имеют все пользователи входящие в группу DistribGroup в Active Directory

В приведённой конфигурации подразумевается, что eth0 — это сетевой интерфейс в локальную сеть, где домен имеет полное имя WORKGROUP.DOMAIN.LOCAL

• редактируем /etc/nsswitch:

• Проверим, что в /etc/hosts есть корректная запись для нашего сервера, также можно добавить записи для контроллеров доменов:

• Удаляем если есть (или переносим в резервные копии) файл /etc/samba/secrets.tdb и все файлы из /var/lib/samba/*.tdb

• Проверяем конфигурацию (не обязательно):

1. testparm -s

В Ubunto testparm находится в пакете samba-common-bin

• Проверим как Samba-3 winbind общается с контроллером домена Active Directory посредством протокола Kerberos:

На рассхождение времени в секундах указывает строка «Server time offset: -5». Обратите внимание, что протокол Kerberos зависим от времени, и расхождение с часами контроллера домена допускается лишь незначительное, поэтому желательно настроить NTP клиент (см. статьи по настройке NTP). В Ubuntu это указывается в файле /etc/default/ntpdate:

• В Debian (и его сыновьях, таких как Ubuntu и внуках вроде Linux Mint) при установке пакета krb5-cofig сразу предлагается его настройка. Лучше всего попробовать работать с этими настройками, но если ничего предложено не было или мы хотим что-то изменить, то редактируем /etc/krb5.conf (я для более стабильной работы использовал ip адреса вместо имён серверов):

• Проверим работает ли Kerberos, постараемся получить билет и просмотреть его:

• Удалим полученный билет:

• Присоединяемся к домену:

Всё, компьютер включен в домен, что можно проверить на контроллере. Даже если после приведённых строк получили следующие:

Проверка работы и отладка

• Для удобства отладки сделаем ссылку на каталог журналов:

• Запускаем samba и winbind:

• Для проверки правильно ли подключение к домену можно посмотреть список пользователей и групп домена (не обязательно):

Если нас не понимают, то подсказываем пароль для wbinfo и смотрим: список доменов в сети, информацию о домене WORKGROUP, список пользователей и групп домена:

• Проверяем, как работает NSS. Команда getent показывает инфо о пользователе, который может быть как в домене, так и юниксовый:

• Теперь можно использовать ресурсы на линукс-сервере, на которые мы дали доступ, как обычные доменные ресурсы.

Дополнительная настройка

• Можно также сопоставить (но это не обязательно) локальные учётные данные и из домена Windows. Для сопоставления пользователей редактируем файл /etc/samba/smbusers.conf:

• для сопоставления (мапирования от англ. Map) групп домена и групп UNIX выполняем:

• После того как всё отлажено, можно понизить уровень записи в журнал до «1». В /etc/samba/smb.conf:

Доступ к Samba из Windows 7 и 2008 r2

Начиная с этих версий параметры авторизации у MS поменялись. Скорее всего Samba вскоре это учтёт, а пока подружить системы можно изменив на Win7 свойства сетевой безопасности:

Пуск — Панель управления — Администрирование — Локальная политика безопасности — Локальные политики — Параметры безопасности

• Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP — убрать галочку с «Требовать 128-битное шифрование». Таких параметра два — выполнить для обоих
• Сетевая безопасность: уровень проверки подлинности LAN Manager — выбрать в списке пункт «Отправлять LM- и NTML-ответы»

Работа над ошибками

Winbind не запускается

При запуске Samba обнаруживаем, что winbind не запустился:

В журнале log.winbindd обнаруживаем запись:

Видим, что добавлен «встроенный домен» (BUILTIN) и домен «название компьютера» (STORAGE), подключиться к домену AD не удалось.

Решение: Переподключить компьютер в домен. Удалять придётся с самого контроллера, т.к. комадна net ads leave скорее всего не поможет.

Ошибка получения билета Kerberos

При попытке получить билет Kerberos получили:

Решение: указать имя домена в другом регистре. Скорее всего нужны все заглавные

Источник

---

---

---

---

---

---

---

---

---

---

---

---

---

---

---

Общая информация

Если вам нужно просто предоставить сетевой доступ к ресурсам Linux компьютера, то смотрите статью Samba.

В этой статье мы опишем как подключить Linux компьютер к домену под управлением Microsoft Active Directory и сделать из него файловый сервер.

После выполнения этой инструкции мы будем иметь в сети файловый сервер под управлением ОС Линукс, входящий в домен Windows 2003 и ничем не отличающийся от файлового сервера под Windows. Пользователи домена смогут обращаться к его ресурсам под своими учётными записями. Доступ регулируется группами домена AD.

По этой инструкции настраивались Debian (4, 5), Ubuntu 9.10, создавалась она на основе официальной документации и многих рекомендаций и инструкций из Интернета. Остальные Linux’ы настраиваются сходным образом.

Для Alt Linux написана хорошая инструкция http://freesource.info/wiki/AltLinux/Dokumentacija/SambaInWin2kDomain?v=omo&

Проверка требований

• Проверяем что Samba собрана с поддержкой Kerberos:

# smbd -b | grep KRB

   HAVE_KRB5_H
   HAVE_ADDRTYPE_IN_KRB5_ADDRESS
   HAVE_DECODE_KRB5_AP_REQ
   HAVE_KRB5
   HAVE_KRB5_AUTH_CON_SETUSERUSERKEY
   HAVE_KRB5_C_ENCTYPE_COMPARE
   HAVE_KRB5_C_VERIFY_CHECKSUM
   HAVE_KRB5_ENCRYPT_BLOCK
   HAVE_KRB5_ENCRYPT_DATA
   HAVE_KRB5_FREE_AP_REQ
   HAVE_KRB5_FREE_DATA_CONTENTS
   HAVE_KRB5_FREE_KEYTAB_ENTRY_CONTENTS
   HAVE_KRB5_FREE_KTYPES
   HAVE_KRB5_FREE_UNPARSED_NAME
   HAVE_KRB5_GET_PERMITTED_ENCTYPES
   HAVE_KRB5_GET_RENEWED_CREDS
   HAVE_KRB5_KEYBLOCK_IN_CREDS
   HAVE_KRB5_KEYTAB_ENTRY_KEY
   HAVE_KRB5_KEYUSAGE_APP_DATA_CKSUM
   HAVE_KRB5_KT_FREE_ENTRY
   HAVE_KRB5_LOCATE_KDC
   HAVE_KRB5_MK_REQ_EXTENDED
   HAVE_KRB5_PRINCIPAL2SALT
   HAVE_KRB5_PRINC_COMPONENT
   HAVE_KRB5_SET_DEFAULT_TGS_KTYPES
   HAVE_KRB5_SET_REAL_TIME
   HAVE_KRB5_STRING_TO_KEY
   HAVE_KRB5_TKT_ENC_PART2
   HAVE_KRB5_USE_ENCTYPE
   HAVE_LIBGSSAPI_KRB5
   HAVE_LIBKRB5
   HAVE_MAGIC_IN_KRB5_ADDRESS
   HAVE_TICKET_POINTER_IN_KRB5_AP_REQ
   KRB5_VERIFY_CHECKSUM_ARGS

• Также проверим что поддерживается LDAP

# smbd -b | grep LDAP

   HAVE_LDAP_H
   HAVE_LDAP
   HAVE_LDAP_ADD_RESULT_ENTRY
   HAVE_LDAP_DN2AD_CANONICAL
   HAVE_LDAP_INIT
   HAVE_LDAP_INITIALIZE
   HAVE_LDAP_SET_REBIND_PROC
   HAVE_LIBLDAP
   LDAP_SET_REBIND_PROC_ARGS

• Для корректной работы Samba в домене Windows 2003 нужны версии MIT Kerberos version >=1.3.1. Проверим:

# dpkg -l | grep krb

ii  krb5-config    1.22                       Configuration files for Kerberos Version 5
ii  libkrb53       1.6.dfsg.4~beta1-5lenny1   MIT Kerberos runtime libraries

• Для корректной работы с Windows 2008 серверами сама Samba должна быть достаточно свежая:

# smbd -V

Version 3.2.5

Установка Samba

• Устанавливаем сервер и клиент samba.

# apt-get install samba samba-client krb5-config

При настройке krb5-config лучше указывать IP адреса контроллеров домена, а не их DNS имена.

Настройка Samba

• Для подключения к домену Active Directory удобно использовать утилиту Likewise-Open.

• Для администрирования Samba удобно использовать SWAT или webmin, которые предоставляют веб интерфейс. Попасть на него можно по адресу http://server_address:901 и https://server_address:10000 соответственно, указав для соединения пользователя root. Но будьте осторожны — он полностью переписывает smb.conf и некоторые параметры может просто игнорировать. Лучше предварительно сделать резервную копию файла. Я сначала использовал SWAT, а затем дорабатывал конфигурационный файл /etc/samba/smb.conf руками. Вот, что осталось у меня не закоментированным (принтеры к этому серверу не подключены):

[global]
        unix charset = LOCALE
        realm = WORKGROUP.DOMAIN.LOCAL
        server string = Storage samba server
        interfaces = eth0
        bind interfaces only = Yes
        security = ADS
        obey pam restrictions = Yes
        passdb backend = tdbsam
        passwd program = /usr/bin/passwd %u
        passwd chat = *EntersnewsUNIXspassword:* %nn *RetypesnewsUNIXspassword:* %nn *passwordsupdatedssuccessfully* .
        log level = 3
        syslog = 0
        log file = /var/log/samba/log.%m
        max log size = 100
        name resolve order = lmhosts host wins bcast
        printcap name = CUPS
        local master = No
        domain master = No
        dns proxy = No        
        ldap ssl = no
        panic action = /usr/share/samba/panic-action %d
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        template shell = /bin/bash
        invalid users = root

[print$]
        comment = Printer Drivers
        path = /var/lib/samba/printers

[distrib]
        path = /data/distrib
        valid users = @WORKGROUPDistribGroup
        write list = @WORKGROUPDistribGroup
        read only = No
        create mask = 0777
        directory mask = 0777

[backup]
        path = /data/backup
        valid users = @WORKGROUPBackupGroup
        write list = @WORKGROUPBackupGroup
        read only = No
        create mask = 0777
        directory mask = 0777

Мы описали два общих каталога:

• backup — доступ имеют только пользователи входящие в группу BackupGroup в Active Directory. Они могут создавать и удалять файлы/каталоги
• distrib — доступ имеют все пользователи входящие в группу DistribGroup в Active Directory

В приведённой конфигурации подразумевается, что eth0 — это сетевой интерфейс в локальную сеть, где домен имеет полное имя WORKGROUP.DOMAIN.LOCAL

• редактируем /etc/nsswitch:

passwd:         compat winbind
group:          compat winbind
shadow:         compat winbind

hosts:          files dns wins
networks:       files dns

protocols:      files
services:       files
ethers:         files
rpc:            files

netgroup:       files

• Проверим, что в /etc/hosts есть корректная запись для нашего сервера, также можно добавить записи для контроллеров доменов:

10.0.0.15      storage.domain.local storage
10.0.0.85      dcwg1.domain.local dcwg1
10.0.0.245     dcwg2.domain.local dcwg2

• Удаляем если есть (или переносим в резервные копии) файл /etc/samba/secrets.tdb и все файлы из /var/lib/samba/*.tdb

• Проверяем конфигурацию (не обязательно):

1. testparm -s

В Ubunto testparm находится в пакете samba-common-bin

• Проверим как Samba-3 winbind общается с контроллером домена Active Directory посредством протокола Kerberos:

# net ads info

LDAP server: 10.0.0.85
LDAP server name: dcwg1.workgroup.domain.local
Realm: WORKGROUP.DOMAIN.LOCAL
Bind Path: dc=WORKGROUP,dc=DOMAIN,dc=LOCAL
LDAP port: 389
Server time: Срд, 03 Мар 2010 13:12:14 NOVT
KDC server: 10.0.0.85
Server time offset: -5

На рассхождение времени в секундах указывает строка «Server time offset: -5». Обратите внимание, что протокол Kerberos зависим от времени, и расхождение с часами контроллера домена допускается лишь незначительное, поэтому желательно настроить NTP клиент (см. статьи по настройке NTP). В Ubuntu это указывается в файле /etc/default/ntpdate:

NTPSERVERS="10.0.0.85 10.0.0.245"

• В Debian (и его сыновьях, таких как Ubuntu и внуках вроде Linux Mint) при установке пакета krb5-cofig сразу предлагается его настройка. Лучше всего попробовать работать с этими настройками, но если ничего предложено не было или мы хотим что-то изменить, то редактируем /etc/krb5.conf (я для более стабильной работы использовал ip адреса вместо имён серверов):

[libdefaults]
        default_realm = WORKGROUP.DOMAIN.LOCAL

# The following krb5.conf variables are only for MIT Kerberos.
        krb4_config = /etc/krb.conf
        krb4_realms = /etc/krb.realms
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true
#
#...
#
# The following libdefaults parameters are only for Heimdal Kerberos.
        v4_instance_resolve = false
        v4_name_convert = {
                host = {
                        rcmd = host
                        ftp = ftp
                }
                plain = {
                        something = something-else
                }
        }
        fcc-mit-ticketflags = true

[realms]
        WORKGROUP.DOMAIN.LOCAL = {
                kdc = 10.0.0.85
                kdc = 10.0.0.245
                admin_server = 10.0.0.85
        }
#
#...
#
[login]
        krb4_convert = true
        krb4_get_tickets = false

• Проверим работает ли Kerberos, постараемся получить билет и просмотреть его:

# kinit administrator@WORKGROUP.DOMAIN.LOCAL
Password for administrator@WORKGROUP.DOMAIN.LOCAL:

# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@WORKGROUP.DOMAIN.LOCAL

Valid starting     Expires            Service principal
03/06/10 14:51:41  03/07/10 00:51:47  krbtgt/WORKGROUP.DOMAIN.LOCAL@WORKGROUP.DOMAIN.LOCAL
        renew until 03/07/10 14:51:41

• Удалим полученный билет:

# kdestroy

• Присоединяемся к домену:

# net ads join -UAdministrator

Administrator's password:
Using short domain name -- WORKGROUP
Joined 'STORAGE' to realm 'WORKGROUP.DOMAIN.LOCAL'

Всё, компьютер включен в домен, что можно проверить на контроллере. Даже если после приведённых строк получили следующие:

[2010/03/06 15:04:00,  0] libads/kerberos.c:332(ads_kinit_password)
  kerberos_kinit_password STORAGE$@WORKGROUP.DOMAIN.LOCAL failed: Client not found in Kerberos database DNS update failed!

Проверка работы и отладка

• Для удобства отладки сделаем ссылку на каталог журналов:

# ln -s /var/log/samba /etc/samba/log

• Запускаем samba и winbind:

# /etc/init.d/samba start
# /etc/init.d/winbind start

• Для проверки правильно ли подключение к домену можно посмотреть список пользователей и групп домена (не обязательно):

# wbinfo -u
# wbinfo -g

Если нас не понимают, то подсказываем пароль для wbinfo и смотрим: список доменов в сети, информацию о домене WORKGROUP, список пользователей и групп домена:

# wbinfo --set-auth-user=root%root_password
# wbinfo --all-domains
# wbinfo -D WORKGROUP
# wbinfo -t

• Проверяем, как работает NSS. Команда getent показывает инфо о пользователе, который может быть как в домене, так и юниксовый:

# getent passwd | grep pm
pm:x:15000:15000::/home/WORKGROUP/pm:/bin/false

# getent passwd | grep pavel
pavel:x:500:500:Pavel Malahov:/home/pavel:/bin/bash

• Теперь можно использовать ресурсы на линукс-сервере, на которые мы дали доступ, как обычные доменные ресурсы.

Дополнительная настройка

• Можно также сопоставить (но это не обязательно) локальные учётные данные и из домена Windows. Для сопоставления пользователей редактируем файл /etc/samba/smbusers.conf:

root = admin administrator

• для сопоставления (мапирования от англ. Map) групп домена и групп UNIX выполняем:

# net groupmap modify ntgroup="Domain Admins" unixgroup=root
# net groupmap modify ntgroup="Domain Users" unixgroup=users
# net groupmap modify ntgroup="Domain Guests" unixgroup=nobody

• После того как всё отлажено, можно понизить уровень записи в журнал до «1». В /etc/samba/smb.conf:

log level = 1

Доступ к Samba из Windows 7 и 2008 r2

Начиная с этих версий параметры авторизации у MS поменялись. Скорее всего Samba вскоре это учтёт, а пока подружить системы можно изменив на Win7 свойства сетевой безопасности:

Пуск — Панель управления — Администрирование — Локальная политика безопасности — Локальные политики — Параметры безопасности

• Сетевая безопасность: минимальная сеансовая безопасность для клиентов на базе NTLM SSP — убрать галочку с «Требовать 128-битное шифрование». Таких параметра два — выполнить для обоих
• Сетевая безопасность: уровень проверки подлинности LAN Manager — выбрать в списке пункт «Отправлять LM- и NTML-ответы»

Работа над ошибками

Winbind не запускается

При запуске Samba обнаруживаем, что winbind не запустился:

# /etc/init.d/winbind status
 * winbind is not running

В журнале log.winbindd обнаруживаем запись:

[2010/03/06 13:54:34,  2] winbindd/winbindd_util.c:235(add_trusted_domain)
  Added domain BUILTIN  S-1-5-32
[2010/03/06 13:54:34,  2] winbindd/winbindd_util.c:235(add_trusted_domain)
  Added domain STORAGE  S-1-5-21-3963871611-1338977097-196861091
[2010/03/06 13:54:34,  0] winbindd/winbindd_util.c:782(init_domain_list)
  Could not fetch our SID - did we join?
[2010/03/06 13:54:34,  0] winbindd/winbindd.c:1385(main)
  unable to initialize domain list

Видим, что добавлен «встроенный домен» (BUILTIN) и домен «название компьютера» (STORAGE), подключиться к домену AD не удалось.

Решение: Переподключить компьютер в домен. Удалять придётся с самого контроллера, т.к. комадна net ads leave скорее всего не поможет.

Ошибка получения билета Kerberos

При попытке получить билет Kerberos получили:

kinit: KDC reply did not match expectations while getting initial credentials

Решение: указать имя домена в другом регистре. Скорее всего нужны все заглавные

Полезная ссылка: http://subscribe.ru/archive/comp.soft.win.linuxsa/200510/19115643.html

Полезные комманды

$ smbclient -N -L 10.0.0.117	показывает ресурсы компьютера с адресом 10.0.0.117
$ smbclient //10.0.0.117/common	Вход в расшаренную директорию. Пользователь unix от которого выполняется команда должен быть зарегистрирован в домене.
# net ads join -U pavel -d 3	Добавить в домен пользователя pavel
# winbindd -d 3 -i	Режим отладки (-d), winbindd запускается не как демон (-i)
# wbinfo -a mydomain\myuser%mypasswd	авторизируемся в домене (через winbindd, wbinfo входит в этот пакет)
# ldapsearch	запросы к LDAP серверу, в нашем случае к MS Active Directory
# tdbdump /etc/samba/secrets.tdb	просмотреть содержимое файла *.tdb

См. также

• Статья Samba даёт краткий общий обзор пакета Samba утилит для него, а также описывает простой (без авторизации в домене) способ предоставления каталогов в общий доступ.

Cсылки

• http://linux.yaroslavl.ru//docs/serv/samba/samba-win2000.html — Samba и доменная аутентификация Windows2000
• http://us6.samba.org/samba/docs/man/Samba-Guide/unixclients.html#adssdm- Active Directory Domain with Samba Domain Member Server — подробная инструкция как подключить Linux сервер с помощью Samba 3 к домену под управлением AD Windows 2003.
• http://us6.samba.org/samba/docs/man/Samba-Guide/kerberos.html#id397375 — пример настройки доступа для пользователей Active Directory
• Samba-HOWTO-Collection.pdf, стр.54-57 (поставляется с исходниками) или
• http://jcifs.samba.org/ntstatus.txt — описание статусов

Рубрика: Администрирование /  Администрирование

Facebook Twitter Мой мир Вконтакте Одноклассники Google+

I’ve written a little reminder for myself about installing sshd on Cygwin.
Please see Cygwin install and sshd install.

First install cygwin.

See cygwin.com. Follow the installation instructions. I recommend the following options:

Install from Internet
All Users
Use IE5 Settings
Select a mirror near you (if you can find out where they are!)

Make sure to Select Packages below (among others) besides the Base packages:

cygrunsrv
openssh

You can export the Windows user list to Cygwin.

$ cp /etc/passwd /etc/passwd.old    # backup for safety
$ mkpasswd > /etc/passwd

Start sshd

Next, start the Secure Shell Daemon (sshd) service on Windows

This will allow users on remote computers to log in to your box, get an interactive shell and do whatever they want. Or rather whatever you allow them to do. Remember?

There is a nice guide with a lot of troubleshooting info here.

In a nutshell. Start a Cygwin Shell window.

$ ssh-host-config -y

When prompted for “CYGWIN=”, type “tty ntsec”.

I do not allow login by password, only the public-key method. See below. So change the related line in /etc/sshd_config like this:

PubkeyAuthentication yes

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no

Finally start the service:

$ cygrunsrv --start sshd

Administering users with public-key authentication

foo wants to log in remotely to your box’s bar account.
He sends you his public RSA key id_rsa.pub in any way, email, pen-drive, whatever YOU trust.
If you find foo worthy, you authorize his key, and from then he will be able to log in to your bar account via ssh without typing bar’s password:

$ cat id_rsa.pub >> /home/bar/.ssh/authorized_keys

I’ve written a little reminder for myself about installing sshd on Cygwin.
Please see Cygwin install and sshd install.

First install cygwin.

See cygwin.com. Follow the installation instructions. I recommend the following options:

Install from Internet
All Users
Use IE5 Settings
Select a mirror near you (if you can find out where they are!)

Make sure to Select Packages below (among others) besides the Base packages:

cygrunsrv
openssh

You can export the Windows user list to Cygwin.

$ cp /etc/passwd /etc/passwd.old    # backup for safety
$ mkpasswd > /etc/passwd

Start sshd

Next, start the Secure Shell Daemon (sshd) service on Windows

This will allow users on remote computers to log in to your box, get an interactive shell and do whatever they want. Or rather whatever you allow them to do. Remember?

There is a nice guide with a lot of troubleshooting info here.

In a nutshell. Start a Cygwin Shell window.

$ ssh-host-config -y

When prompted for “CYGWIN=”, type “tty ntsec”.

I do not allow login by password, only the public-key method. See below. So change the related line in /etc/sshd_config like this:

PubkeyAuthentication yes

# To disable tunneled clear text passwords, change to no here!
PasswordAuthentication no

Finally start the service:

$ cygrunsrv --start sshd

Administering users with public-key authentication

foo wants to log in remotely to your box’s bar account.
He sends you his public RSA key id_rsa.pub in any way, email, pen-drive, whatever YOU trust.
If you find foo worthy, you authorize his key, and from then he will be able to log in to your bar account via ssh without typing bar’s password:

$ cat id_rsa.pub >> /home/bar/.ssh/authorized_keys