Samba - Winbind - PAM - Dominios
Pedro Pablo
pfabrega at arrakis.es
Wed Jun 23 21:48:27 UTC 2004
Hola:
Este fichero system-auth de pam funciona para validar, tanto con winbind como
con ldap. (aunque ponga lo de auto-generated, está tocado a mano)
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required /lib/security/$ISA/pam_env.so
auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
auth sufficient /lib/security/$ISA/pam_winbind.so use_first_pass
auth sufficient /lib/security/$ISA/pam_ldap.so use_first_pass
auth sufficient /lib/security/$ISA/pam_smb_auth.so use_first_pass
nolocal
auth required /lib/security/$ISA/pam_deny.so
account sufficient /lib/security/$ISA/pam_unix.so
account [default=bad success=ok user_unknown=ignore service_err=ignore
system_err=ign
ore] /lib/security/$ISA/pam_ldap.so
password required /lib/security/$ISA/pam_cracklib.so retry=3 type=
password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok
md5 shadow
password sufficient /lib/security/$ISA/pam_winbind.so use_authtok
password sufficient /lib/security/$ISA/pam_ldap.so use_authtok
password required /lib/security/$ISA/pam_deny.so
session required /lib/security/$ISA/pam_limits.so
session optional /lib/security/$ISA/pam_unix.so
session optional /lib/security/$ISA/pam_winbind.so
session optional /lib/security/$ISA/pam_ldap.so
Saludos
El Miércoles, 23 de Junio de 2004 20:49, Felipe Abbastante escribió:
> Hola lista, me encontré con un problema mientras evaluaba Fedora 2.
> Estoy configurando el equipo como Estación de trabajo para integrarla en el
> Dominio Microsoft que tenemos, los pasos que realicé fueron los siguientes:
>
> -----------------------------------------8<--------------------------------
>- --------
>
> cat /etc/samba/smb.conf
> #Domain Configuration:
> workgroup = MY_DOMAIN
> security = DOMAIN
> password server = MY_PDC
> os level = 33 (WIN_NT 4)
> winbind separator = +
> winbind uid = 10000-20000
> winbind gid = 10000-20000
> winbind enum users = yes
> winbind enum groups = yes
> template homedir = home/%D/%U
> template shell = /bin/shell
> etc............................
>
> -----------------------------------------8<--------------------------------
>- --------
>
> cat /etc/nsswitch.conf
> passwd: files winbind
> shadow: files
> group: files winbind
>
> -----------------------------------------8<--------------------------------
>- --------
>
> cat /etc/pam_smb.conf
> MY_DOMAIN
> MY_PDC
> [BDC]
>
> -----------------------------------------8<--------------------------------
>- --------
>
> net join (relizado con éxito)
> [root at 0002]# net join -W MY_DOMAIN -U MY_USER
> my_users's password: **********
> Joined domain MY_DOMAIN.
>
> -----------------------------------------8<--------------------------------
>- --------
>
> WINBIND - wbinfo
>
> [root at 0002]# wbinfo -t
> checking the trust secret via RPC calls succeeded
>
> [root at 0002]# wbinfo -u
> domain+user1
> domain+user2
> domain+user3
> etc................
>
> [root at 0002]# wbinfo -u
> domain+group1
> domain+group2
> domain+group3
> etc................
>
> -----------------------------------------8<--------------------------------
>- --------
>
> [root at 0002 /]# getent passwd
> DOMAIN+USER1:x:10017:10000:NAME, SECONDNAME:home/DOMAIN/USER1:/bin/shell
> DOMAIN+USER2:x:10018:10000:NAME, SECONDNAME:home/DOMAIN/USER2:/bin/shell
> DOMAIN+USER3:x:10019:10000:NAME, SECONDNAME:home/DOMAIN/USER3:/bin/shell
>
> [root at 0002 /]# getent group
> etc...................................
>
> -----------------------------------------8<--------------------------------
>- --------
>
> Creo que la configuración del PAM 1.0 es correcta, les pasteo los archivos:
>
> login:
> auth required pam_securetty.so
> auth sufficient /lib/security/pam_winbind.so
> auth sufficient /lib/scurity/pam_unix.so use_firts_pass
> auth required pam_stack.so service=system-auth
> auth required pam_nologin.so
> account sufficient /lib/security/pam_winbind.so
> account required pam_stack.so service=system-auth
> password required pam_stack.so service=system-auth
> session required pam_selinux.so multiple
> session required pam_stack.so service=system-auth
> session optional pam_console.so
>
> system-auth:
> auth required /lib/security/$ISA/pam_env.so
> auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok
> auth sufficient /lib/security/$ISA/pam_smb_auth.so use_first_pass
> nolocal
> auth sufficient /lib/security/$ISA/pam_winbind.so use_first_pass
> auth required /lib/security/$ISA/pam_deny.so
> account sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100
> account required /lib/security/$ISA/pam_unix.so
> account [default=bad success=ok user_unknown=ignore]
> /lib/security/$ISA/pam_winbind.so
> password requisite /lib/security/$ISA/pam_cracklib.so retry=3
> password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok
> md5 shadow
> password sufficient /lib/security/$ISA/pam_winbind.so use_authtok
> password required /lib/security/$ISA/pam_deny.so
> session required /lib/security/$ISA/pam_limits.so
> session required /lib/security/$ISA/pam_unix.so
>
> -----------------------------------------8<--------------------------------
>- --------
>
> Habiendo realizado la configuración de lo previamente mencionado me
> encuentro con el siguiente problema:
> Cuando intento ingresar a algún equipo que se encuentra dentro del Dominio
> Microsoft, siempre me surge una ventana de error en el Nautilus diciéndome
> "Acceso denegado o usted no tiene permisos suficientes..." Obviamente los
> usuarios con los que testeo este proceso tienen permiso sobre estos
> directorios/equipos.
>
> Mis sospecha apunta hacia algún error en la configuración del PAM.
> Si desean ver algún log del sistema (o de algún proceso especifico)
> solicítenmelo, con gusto se los envió.
>
--
23:48:26 up 27 days, 12:57, 13 users, load average: 0.01, 0.14, 0.26
--------
http://dns.bdat.net spam01 at bdat.net
More information about the Fedora-es-list
mailing list