[gilug.org] linux client active directory
Jordi-Pujol jordi-pujol telefonica net
2007-08-16 15:38:11 UTC
Ei llista,
Sí, ara sí que va, seguint la línia marcada per en David,
el document que s'ajusta més a lo que he fet és:
https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto
he posat un servidor Windows 2003 SP1 i un client Debian Lenny,
de moment fa el login, ara provaré l'automount del $HOME en el servidor,
Salut,
Jordi
A Dijous 16 Agost 2007 08:58, Jordi-Pujol va escriure:
> A Dijous 16 Agost 2007 08:43, David Casals va escriure:
> > He penjat el document de com ho vaig fer a:
> >
> > http://www.associacio-aoe.org/aoe/files/linux_client_ad.pdf
> >
> > El tema dels grups creuats, windows linux no ho vaig tocar, pero si a
> > l'active directori poses un usuari en un grup, el linux si reconeix que
> > pertany a aquell grup.
>
> Hola llista,
>
> David,
>
> molt bé per la solució,
>
> en aquest cas un altre punt de vista m'ha servit molt,
>
> jo m'havia encallat amb la configuració d'usuaris amb ldap i pensava que el
> winbind estava anticuat i no anava amb active directory,
> pero ara veig que he de canviar la direccio cap on treballava,
>
> a veure si avui ho conseguiré,
>
> Salut,
>
> Jordi Pujol
>
> > En/na David Casals ha escrit:
> > > Hola Jordi,
> > >
> > > A mi no em va caldre, directament m'agafava.
> > >
> > > Si l'usuari esta creat en local l'agafa d'alla i sino l'agafa del
> > > domini.
> > >
> > > L'unic inconvenient que vaig tindre es amb els usuaris que estan als 2
> > > llocs.
> > >
> > > Tampoc vaig aprofundir molt i no vaig fer un /home compartit, el que si
> > > vaig fer es que si l'usuari no tenia home en local automaticament el
> > > crees.
> > >
> > > En/na Jordi-Pujol ha escrit:
> > >> Hola,
> > >>
> > >> estic mirant de fer l'Active Directory d'un (o varis) clients Linux
> > >> amb un servidor Win Server 2003,
> > >>
> > >> voldria que l'usuari s'identifiques amb kdm amb el usuari que s'ha
> > >> creat al Windows Server,
> > >> he vist que es pot parametritzar el kdm perquè presenti també el
> > >> combobox del domini windows,
> > >>
> > >> sabeu com es fa tot aixo ?
> > >>
> > >> Salut,
> > >>
> > >> Jordi Pujol
> > >>
> > >> A Dimarts 07 Agost 2007 18:39, David Casals va escriure:
> > >>> Ja ho tinc solventat, quant pugui faig un document i el deixo public
> > >>>
> > >>> En/na telejet ha escrit:
> > >>>> Hola David,
> > >>>>
> > >>>> Pots provar les instruccions d'aquests enllaç
> > >>>> http://developer.novell.com/wiki/index.php/HOWTO:_Configure_Ubuntu_f
> > >>>>or _Ac tive_Directory_Authentication, si te'n surts avisa'm que ja sé
> > >>>> on ho faria servir ;)
> > >>>>
> > >>>> Fins ara,
> > >>>>
> > >>>> Ivan
> > >>>>
> > >>>> En/na David Casals ha escrit:
> > >>>>> En/na Jordi-Pujol ha escrit:
> > >>>>>> A Dimarts 07 Agost 2007 12:07, David Casals va escriure:
> > >>>>>>> Pos bueno aixo,
> > >>>>>>
> > >>>>>> wenu,
> > >>>>>>
> > >>>>>> donç potser que abans s'ha d'afegir la màquina al servidor ?
> > >>>>>
> > >>>>> Po va ser que no.
> > >>>>>
> > >>>>> He introduit a l'active directory el nom de la maquina que comsta
> > >>>>> en el hosts i al netbios name de samba, he reiniciat el windows
> > >>>>> 2003 per no esperar a que recarregui la informació i he reiniciat
> > >>>>> el linux (per allo de que amb windows no pots establir una
> > >>>>> conneccio amb mes d'un nom d'usuari) i em continua dient exactament
> > >>>>> el mateix.
> > >>>>>
> > >>>>>> Salut,
> > >>>>>>
> > >>>>>> Jordi
> > >>>>>>
> > >>>>>>> Encara que a alguns els pugui sonar raro vui posar el meu linux
> > >>>>>>> com a client d'un active directory amb Windows 2003 server
> > >>>>>>> (deixem-ho amb que es per jugar).
> > >>>>>>>
> > >>>>>>> Tinc una ubuntu 7.04 i un windows 2003 server, aquest ultim ja
> > >>>>>>> configurat.
> > >>>>>>>
> > >>>>>>> He seguit els següents passos extrets de
> > >>>>>>> http://www.ssl.ull.es/node/68
> > >>>>>>>
> > >>>>>>> 1. nstalar el paquete winbind
> > >>>>>>> 2.
> > >>>>>>>
> > >>>>>>> Editamos /etc/nsswitch.conf:
> > >>>>>>> |passwd: compat winbind
> > >>>>>>>
> > >>>>>>> group: compat winbind
> > >>>>>>> shadow: compat
> > >>>>>>>
> > >>>>>>>
> > >>>>>>> 3.
> > >>>>>>>
> > >>>>>>> Editamos /etc/pam.d/common-account,
> > >>>>>>>
> > >>>>>>> |account sufficient pam_winbind.so
> > >>>>>>>
> > >>>>>>> account required pam_unix.so try_first_pass
> > >>>>>>>
> > >>>>>>>
> > >>>>>>> 4.
> > >>>>>>>
> > >>>>>>> /etc/pam.d/common-auth,
> > >>>>>>>
> > >>>>>>> |auth sufficient pam_winbind.so
> > >>>>>>>
> > >>>>>>> auth required pam_unix.so nullok_secure
> > >>>>>>> try_first_pass
> > >>>>>>>
> > >>>>>>>
> > >>>>>>> 5.
> > >>>>>>>
> > >>>>>>> /etc/pam.d/common-password,
> > >>>>>>>
> > >>>>>>> |password sufficient pam_winbind.so
> > >>>>>>>
> > >>>>>>> password required pam_unix.so nullok obscure min=4
> > >>>>>>> max=8 md5 try_first_pass
> > >>>>>>>
> > >>>>>>>
> > >>>>>>> 6.
> > >>>>>>>
> > >>>>>>> y /etc/pam.d/common-session
> > >>>>>>>
> > >>>>>>> |session sufficient pam_winbind.so
> > >>>>>>>
> > >>>>>>> session required pam_unix.so try_first_pass
> > >>>>>>>
> > >>>>>>>
> > >>>>>>> 7.
> > >>>>>>>
> > >>>>>>> Editamos la configuración de samba /etc/samba/smb.conf,
> > >>>>>>> cambiando
> > >>>>>>>
> > >>>>>>> estos parámetros:
> > >>>>>>> | workgroup = LOCAL
> > >>>>>>>
> > >>>>>>> winbind use default domain = yes
> > >>>>>>>
> > >>>>>>>
> > >>>>>>> netbios name = NOMBRE_DEL_CLIENTE_LINUX
> > >>>>>>>
> > >>>>>>>
> > >>>>>>> # separate domain and username with '\', like
> > >>>>>>> DOMAIN\username winbind separator = '\'
> > >>>>>>> # allow enumeration of winbind users and groups
> > >>>>>>> winbind enum users = yes
> > >>>>>>> winbind enum groups = yes
> > >>>>>>> # give winbind users a real shell (only needed if they
> > >>>>>>> have telnet access) template homedir = /home/winnt/%D/%U
> > >>>>>>> template shell = /bin/bash
> > >>>>>>>
> > >>>>>>>
> > >>>>>>> 8.
> > >>>>>>>
> > >>>>>>> Nos unimos al dominio:
> > >>>>>>> | net rpc join -S <NOMBRE_NETBIOS_PDC> -U Administrador|
> > >>>>>>>
> > >>>>>>> en el meu cas
> > >>>>>>> net rpc join -S servsitic -U Administrador
> > >>>>>>>
> > >>>>>>> i l'error.
> > >>>>>>> cannot join as standalone machine
> > >>>>>>>
> > >>>>>>> si faig un testjoin per mirar em diu que el domini LOCAL no es
> > >>>>>>> valid
> > >>>>>>>
> > >>>>>>> net rpc testjoin -U Administrador
> > >>>>>>>
> > >>>>>>> [2007/08/07 12:03:14, 0]
> > >>>>>>> rpc_client/cli_pipe.c:get_schannel_session_key(2443)
> > >>>>>>> get_schannel_session_key: could not fetch trust account
> > >>>>>>> password for domain 'LOCAL'
> > >>>>>>> [2007/08/07 12:03:14, 0] utils/net_rpc_join.c:net_rpc_join_ok(70)
> > >>>>>>> net_rpc_join_ok: failed to get schannel session key from server
> > >>>>>>> SERVSITIC for domain LOCAL. Error was
> > >>>>>>> NT_STATUS_CANT_ACCESS_DOMAIN_INFO Join to domain 'LOCAL' is not
> > >>>>>>> valid
> > >>>>>>>
> > >>>>>>> Pero si faig un net rpc info
> > >>>>>>>
> > >>>>>>> net rpc info -U Administrador
> > >>>>>>>
> > >>>>>>> Domain Name: LOCAL
> > >>>>>>> Domain SID: S-1-5-21-2472964809-304577640-1130498633
> > >>>>>>> Sequence number: 1136
> > >>>>>>> Num users: 19
> > >>>>>>> Num domain groups: 11
> > >>>>>>> Num local groups: 25
> > >>>>>>>
> > >>>>>>> Em retorna la informacio correctament i dient que el domini es
> > >>>>>>> LOCAL
> > >>>>>>>
> > >>>>>>> Algu que hagi fet alguna cosa similar o alguna idea?
> > >>>>>>>
> > >>>>>>> Atentament
> > >>>>>>> David Casals
> > >>>>>>> hakd0c
> > >>>>>>>
> > >>>>>>> PD: No val dir que instal·li un linux amb ldap o kerberos o
> > >>>>>>> similars per fer l'autenticació centralitzada d'una altre manera,
> > >>>>>>> ja he dit que era per jugar, un altre dia ja probare altres
> > >>>>>>> coses.
> > >>>>>>>
> > >>>>>>>
> > >>>>>>> _______________________________________________
> > >>>>>>> Llista del GiLUG
> > >>>>>>>
> > >>>>>>> http://gilug.org/cgi-bin/mailman/listinfo/llista
> > >>>>>>> * Tots els missatges queden publicats a:
> > >>>>>>> http://gilug.org/pipermail/llista/
> > >>>>>>
> > >>>>>> _______________________________________________
> > >>>>>> Llista del GiLUG
> > >>>>>>
> > >>>>>> http://gilug.org/cgi-bin/mailman/listinfo/llista
> > >>>>>> * Tots els missatges queden publicats a:
> > >>>>>> http://gilug.org/pipermail/llista/
> > >>>>>
> > >>>>> _______________________________________________
> > >>>>> Llista del GiLUG
> > >>>>>
> > >>>>> http://gilug.org/cgi-bin/mailman/listinfo/llista
> > >>>>> * Tots els missatges queden publicats a:
> > >>>>> http://gilug.org/pipermail/llista/
> > >>>>
> > >>>> _______________________________________________
> > >>>> Llista del GiLUG
> > >>>>
> > >>>> http://gilug.org/cgi-bin/mailman/listinfo/llista
> > >>>> * Tots els missatges queden publicats a:
> > >>>> http://gilug.org/pipermail/llista/
> > >>>
> > >>> _______________________________________________
> > >>> Llista del GiLUG
> > >>>
> > >>> http://gilug.org/cgi-bin/mailman/listinfo/llista
> > >>> * Tots els missatges queden publicats a:
> > >>> http://gilug.org/pipermail/llista/
> > >>
> > >> _______________________________________________
> > >> Llista del GiLUG
> > >>
> > >> http://gilug.org/cgi-bin/mailman/listinfo/llista
> > >> * Tots els missatges queden publicats a:
> > >> http://gilug.org/pipermail/llista/
> > >
> > > _______________________________________________
> > > Llista del GiLUG
> > >
> > > http://gilug.org/cgi-bin/mailman/listinfo/llista
> > > * Tots els missatges queden publicats a:
> > > http://gilug.org/pipermail/llista/
> >
> > _______________________________________________
> > Llista del GiLUG
> >
> > http://gilug.org/cgi-bin/mailman/listinfo/llista
> > * Tots els missatges queden publicats a:
> > http://gilug.org/pipermail/llista/
>
> _______________________________________________
> Llista del GiLUG
>
> http://gilug.org/cgi-bin/mailman/listinfo/llista
> * Tots els missatges queden publicats a:
> http://gilug.org/pipermail/llista/
Més informació sobre la llista de correu gilug