forum.opennet.ru

Составление сообщения

Исходное сообщение

"Монтирование хомяков по CIFS"
Отправлено Garret, 25-Ноя-08 09:45

Необходимо сделать мобильный профиль пользователя:
1. Авторизация в AD на Windows Server 2008
2. Монтирование хомяка по CIFS с ресурса на этом сервере
3. ...
...
Авторизация работает на ура, а вот с монтирование возникли некоторые вопросы...
1. При логине доменного юзера из gdm, его хомка монтируется аж 3 раза (/bin/login, ssh и su отрабатывают как надо - глючит только gdm)
2. Есть локальный юзер administrator. При его логине тоже зачем-то монтируется хомяк с сервера, хотя используется всё-равно локальный. Причём gdm просит повторить пароль для pam_mount, причём 3 раза. И принимает только 3 пустых пароля =)
3. Как отмонтировать ресурс, после того, как пользователь вышел?
4. Надо запретить доменным пользователям доступ к флешкам.
5. При логине через раз пишется, что невозможно определить имя группы по её GID (10000 - пользователи домена)
6. И самое неприятное - openoffice не работает, если хомяк находится на сервере. Вылетает с ошибкой ещё до запуска. В хомке при этом появляется дира ~/.openoffice, но она заполнена не до конца. Решается копированием этой диры из хомки любого локального юзера и проставлением прав. Но это не очень элегантное решение. Необходимо понять причину.

Всё остальное вроде работает хорошо.
Конфиги:
1. Хомяки монтируются из /etc/security/pam_mount.conf.xml
    <volume fstype="cifs" server="192.168.1.1" path="Homes/%(USER)"
        mountpoint="/home/IT/%(USER)" options="workgroup=IT,rw,iocharset=utf8,username=Администратор,password=some_password,gid=10000,umask=022,dir_mode=0700,file_mode=0644"
/>
2. /etc/pam.d/common-account
account requisite       pam_unix.so
account sufficient      pam_localuser.so
account required        pam_winbind.so  use_first_pass
3. /etc/pam.d/common-auth
auth    sufficient      pam_unix.so
auth    required        pam_winbind.so  use_first_pass  debug
auth    required        pam_group.so
auth    required        pam_mount.so    use_first_pass
4. /etc/pam.d/common-pammount
auth       optional   pam_mount.so try_first_pass
session    optional   pam_mount.so try_first_pass
5. /etc/pam.d/common-password
password        sufficient      pam_winbind.so
password        required        pam_unix.so     nullok md5

6. /etc/pam.d/common-session
session  optional       pam_mkhomedir.so
session required        pam_unix.so
session required        pam_winbind.so
session  optional       pam_mount.so    use_first_pass
session  optional       pam_umask.so
7. /etc/pam.d/gdm
#%PAM-1.0
auth requisite    pam_nologin.so
auth required     pam_env.so
@include common-auth
@include common-account
session required   pam_limits.so
@include common-session
session required   pam_mount.so use_first_pass
@include common-pammount
session required   pam_mkhomedir.so umask=0022 skel=/etc/skel
@include common-password
8. /etc/pam.d/sudo
auth    sufficient      pam_winbind.so
auth    sufficient      pam_unix.so use_first_pass
auth    required        pam_deny.so
@include common-account
9. /etc/samba/smb.conf
[global]
        unix charset = UTF-8
        dos charset = CP866
        display charset = UTF-8
        workgroup = IT
        server string = %h server (Samba, Ubuntu)
        wins support = no
        wins server = 192.168.1.1
        dns proxy = no
        log file = /var/log/samba/log.%m
        max log size = 1000
        syslog = 0
        panic action = /usr/share/samba/panic-action %d
        security = ADS
        password server = 192.168.1.1
        realm = IT.LOCAL
        encrypt passwords = true
        passdb backend = tdbsam
        obey pam restrictions = yes
        invalid users = root
        passwd program = /usr/bin/passwd %u
        passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *passwd:*password\supdated\ssuccessfully*
        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        template shell = /bin/bash
        winbind enum groups = yes
        winbind enum users = yes
        template homedir = /home/%D/%U
        client use spnego = yes
        winbind use default domain = yes
        winbind refresh tickets = yes
        restrict anonymous = 2
        domain master = no
        local master = no
        preferred master = no
        os level = 0
        printing = cups
        printcap name = cups
        printcap cache time = 750
        cups options = raw
        map to guest = Bad User
        logon path = \\%L\profiles\.msprofile
        logon home = \\%L\%U\.9xprofile
        logon drive = P:
        usershare allow guests = No
        netbios name = workstation1
        winbind offline logon = yes
10. /etc/nsswitch
passwd: compat winbind
group:  compat winbind
shadow: compat
hosts:  files dns
networks:       files dns
protocols:      db files
services:       db files
ethers: db files
rpc:    dv files
netgroup:       files winbind
11. /etc/krb5.conf
[libdefaults]
        default_realm = IT.LOCAL
        clockskew = 300
#       default_realm = EXAMPLE.COM
[realms]
IT.LOCAL = {
        kdc = server2008.it.local
        default_domain = it.local
        admin_server = 192.168.1.1:749
}
#       EXAMPLE.COM = {
#                kdc = kerberos.example.com
#               admin_server = kerberos.example.com
#       }
[logging]
        kdc = FILE:/var/log/krb5/krb5kdc.log
        admin_server = FILE:/var/log/krb5/kadmind.log
        default = SYSLOG:NOTICE:DAEMON
[domain_realm]
        .it.local = IT.LOCAL
        .it = IT.LOCAL
[appdefaults]
pam = {
        ticket_lifetime = 1d
        renew_lifetime = 1d
        forwardable = true
        proxiable = false
        minimum_uid = 1
        addressless = false
        clockskew = 300
        debug = false
        debug_sensitive = false
        existing_ticket = false
        external = sshd
        initial_prompt = false
        subsequent_prompt = false
        use_shmem = sshd
        validate = false
}
Пробовал на OpenSuse 11 и Ubuntu 8.04. История везде примерно одинаковая. Только OpenSuse ещё пришлось долго и упорно добивать напильником =)
Всем отписавшимся заранее огромное спасибо!

Исходное сообщение
"Монтирование хомяков по CIFS" Отправлено Garret, 25-Ноя-08 09:45
Необходимо сделать мобильный профиль пользователя: 1. Авторизация в AD на Windows Server 2008 2. Монтирование хомяка по CIFS с ресурса на этом сервере 3. ... ... Авторизация работает на ура, а вот с монтирование возникли некоторые вопросы... 1. При логине доменного юзера из gdm, его хомка монтируется аж 3 раза (/bin/login, ssh и su отрабатывают как надо - глючит только gdm) 2. Есть локальный юзер administrator. При его логине тоже зачем-то монтируется хомяк с сервера, хотя используется всё-равно локальный. Причём gdm просит повторить пароль для pam_mount, причём 3 раза. И принимает только 3 пустых пароля =) 3. Как отмонтировать ресурс, после того, как пользователь вышел? 4. Надо запретить доменным пользователям доступ к флешкам. 5. При логине через раз пишется, что невозможно определить имя группы по её GID (10000 - пользователи домена) 6. И самое неприятное - openoffice не работает, если хомяк находится на сервере. Вылетает с ошибкой ещё до запуска. В хомке при этом появляется дира ~/.openoffice, но она заполнена не до конца. Решается копированием этой диры из хомки любого локального юзера и проставлением прав. Но это не очень элегантное решение. Необходимо понять причину. Всё остальное вроде работает хорошо. Конфиги: 1. Хомяки монтируются из /etc/security/pam_mount.conf.xml <volume fstype="cifs" server="192.168.1.1" path="Homes/%(USER)" mountpoint="/home/IT/%(USER)" options="workgroup=IT,rw,iocharset=utf8,username=Администратор,password=some_password,gid=10000,umask=022,dir_mode=0700,file_mode=0644" /> 2. /etc/pam.d/common-account account requisite pam_unix.so account sufficient pam_localuser.so account required pam_winbind.so use_first_pass 3. /etc/pam.d/common-auth auth sufficient pam_unix.so auth required pam_winbind.so use_first_pass debug auth required pam_group.so auth required pam_mount.so use_first_pass 4. /etc/pam.d/common-pammount auth optional pam_mount.so try_first_pass session optional pam_mount.so try_first_pass 5. /etc/pam.d/common-password password sufficient pam_winbind.so password required pam_unix.so nullok md5 6. /etc/pam.d/common-session session optional pam_mkhomedir.so session required pam_unix.so session required pam_winbind.so session optional pam_mount.so use_first_pass session optional pam_umask.so 7. /etc/pam.d/gdm #%PAM-1.0 auth requisite pam_nologin.so auth required pam_env.so @include common-auth @include common-account session required pam_limits.so @include common-session session required pam_mount.so use_first_pass @include common-pammount session required pam_mkhomedir.so umask=0022 skel=/etc/skel @include common-password 8. /etc/pam.d/sudo auth sufficient pam_winbind.so auth sufficient pam_unix.so use_first_pass auth required pam_deny.so @include common-account 9. /etc/samba/smb.conf [global] unix charset = UTF-8 dos charset = CP866 display charset = UTF-8 workgroup = IT server string = %h server (Samba, Ubuntu) wins support = no wins server = 192.168.1.1 dns proxy = no log file = /var/log/samba/log.%m max log size = 1000 syslog = 0 panic action = /usr/share/samba/panic-action %d security = ADS password server = 192.168.1.1 realm = IT.LOCAL encrypt passwords = true passdb backend = tdbsam obey pam restrictions = yes invalid users = root passwd program = /usr/bin/passwd %u passwd chat = Enter\snew\sUNIX\spassword: %n\n Retype\snew\sUNIX\spassword: %n\n passwd:password\supdated\ssuccessfully* socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 idmap uid = 10000-20000 idmap gid = 10000-20000 template shell = /bin/bash winbind enum groups = yes winbind enum users = yes template homedir = /home/%D/%U client use spnego = yes winbind use default domain = yes winbind refresh tickets = yes restrict anonymous = 2 domain master = no local master = no preferred master = no os level = 0 printing = cups printcap name = cups printcap cache time = 750 cups options = raw map to guest = Bad User logon path = \\%L\profiles\.msprofile logon home = \\%L\%U\.9xprofile logon drive = P: usershare allow guests = No netbios name = workstation1 winbind offline logon = yes 10. /etc/nsswitch passwd: compat winbind group: compat winbind shadow: compat hosts: files dns networks: files dns protocols: db files services: db files ethers: db files rpc: dv files netgroup: files winbind 11. /etc/krb5.conf [libdefaults] default_realm = IT.LOCAL clockskew = 300 # default_realm = EXAMPLE.COM [realms] IT.LOCAL = { kdc = server2008.it.local default_domain = it.local admin_server = 192.168.1.1:749 } # EXAMPLE.COM = { # kdc = kerberos.example.com # admin_server = kerberos.example.com # } [logging] kdc = FILE:/var/log/krb5/krb5kdc.log admin_server = FILE:/var/log/krb5/kadmind.log default = SYSLOG:NOTICE:DAEMON [domain_realm] .it.local = IT.LOCAL .it = IT.LOCAL [appdefaults] pam = { ticket_lifetime = 1d renew_lifetime = 1d forwardable = true proxiable = false minimum_uid = 1 addressless = false clockskew = 300 debug = false debug_sensitive = false existing_ticket = false external = sshd initial_prompt = false subsequent_prompt = false use_shmem = sshd validate = false } Пробовал на OpenSuse 11 и Ubuntu 8.04. История везде примерно одинаковая. Только OpenSuse ещё пришлось долго и упорно добивать напильником =) Всем отписавшимся заранее огромное спасибо!

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Необходимо сделать мобильный профиль пользователя: > 1. Авторизация в AD на Windows Server 2008 > 2. Монтирование хомяка по CIFS с ресурса на этом сервере > 3. ... > ... > Авторизация работает на ура, а вот с монтирование возникли некоторые вопросы... > 1. При логине доменного юзера из gdm, его хомка монтируется аж 3 > раза (/bin/login, ssh и su отрабатывают как надо - глючит только > gdm) > 2. Есть локальный юзер administrator. При его логине тоже зачем-то монтируется хомяк > с сервера, хотя используется всё-равно локальный. Причём gdm просит повторить пароль > для pam_mount, причём 3 раза. И принимает только 3 пустых пароля > =) > 3. Как отмонтировать ресурс, после того, как пользователь вышел? > 4. Надо запретить доменным пользователям доступ к флешкам. > 5. При логине через раз пишется, что невозможно определить имя группы по > её GID (10000 - пользователи домена) > 6. И самое неприятное - openoffice не работает, если хомяк находится на > сервере. Вылетает с ошибкой ещё до запуска. В хомке при этом > появляется дира ~/.openoffice, но она заполнена не до конца. Решается копированием > этой диры из хомки любого локального юзера и проставлением прав. Но > это не очень элегантное решение. Необходимо понять причину. > Всё остальное вроде работает хорошо. > Конфиги: > 1. Хомяки монтируются из /etc/security/pam_mount.conf.xml > [code] <volume fstype="cifs" server="192.168.1.1" path="Homes/%(USER)" > mountpoint="/home/IT/%(USER)" options="workgroup=IT,rw,iocharset=utf8,username=Администратор,password=some_password,gid=10000,umask=022,dir_mode=0700,file_mode=0644" > />[/code] > 2. /etc/pam.d/common-account > [code]account requisite pam_unix.so > account sufficient pam_localuser.so > account required pam_winbind.so use_first_pass[/code] > 3. /etc/pam.d/common-auth > [code]auth sufficient pam_unix.so > auth required > pam_winbind.so use_first_pass debug > auth required > pam_group.so > auth required > pam_mount.so use_first_pass[/code] > 4. /etc/pam.d/common-pammount > [code]auth optional pam_mount.so try_first_pass > session optional pam_mount.so try_first_pass[/code] > 5. /etc/pam.d/common-password > [code]password sufficient > pam_winbind.so > password required > pam_unix.so nullok md5[/code] > 6. /etc/pam.d/common-session > [code]session optional pam_mkhomedir.so > session required pam_unix.so > session required pam_winbind.so > session optional pam_mount.so > use_first_pass > session optional pam_umask.so[/code] > 7. /etc/pam.d/gdm > [code]#%PAM-1.0 > auth requisite pam_nologin.so > auth required pam_env.so > @include common-auth > @include common-account > session required pam_limits.so > @include common-session > session required pam_mount.so use_first_pass > @include common-pammount > session required pam_mkhomedir.so umask=0022 skel=/etc/skel > @include common-password[/code] > 8. /etc/pam.d/sudo > [code]auth sufficient pam_winbind.so > auth sufficient pam_unix.so use_first_pass > auth required > pam_deny.so > @include common-account[/code] > 9. /etc/samba/smb.conf > [code][global] > unix charset = UTF-8 > dos charset = CP866 > display charset = UTF-8 > workgroup = IT > server string = %h > server (Samba, Ubuntu) > wins support = no > wins server = 192.168.1.1 > dns proxy = no > log file = /var/log/samba/log.%m > max log size = > 1000 > syslog = 0 > panic action = /usr/share/samba/panic-action > %d > security = ADS > password server = 192.168.1.1 > realm = IT.LOCAL > encrypt passwords = true > passdb backend = tdbsam > obey pam restrictions = > yes > invalid users = root > passwd program = /usr/bin/passwd > %u > passwd chat = Enter\snew\sUNIX\spassword: > %n\n Retype\snew\sUNIX\spassword: %n\n passwd:password\supdated\ssuccessfully* > socket options = TCP_NODELAY > SO_RCVBUF=8192 SO_SNDBUF=8192 > idmap uid = 10000-20000 > idmap gid = 10000-20000 > template shell = /bin/bash > winbind enum groups = > yes > winbind enum users = > yes > template homedir = /home/%D/%U > client use spnego = > yes > winbind use default domain > = yes > winbind refresh tickets = > yes > restrict anonymous = 2 > domain master = no > local master = no > preferred master = no > os level = 0 > printing = cups > printcap name = cups > printcap cache time = > 750 > cups options = raw > map to guest = > Bad User > logon path = \\%L\profiles\.msprofile > logon home = \\%L\%U\.9xprofile > logon drive = P: > usershare allow guests = > No > netbios name = workstation1 > winbind offline logon = > yes[/code] > 10. /etc/nsswitch > [code]passwd: compat winbind > group: compat winbind > shadow: compat > hosts: files dns > networks: files dns > protocols: db files > services: db files > ethers: db files > rpc: dv files > netgroup: files winbind[/code] > 11. /etc/krb5.conf > [code][libdefaults] > default_realm = IT.LOCAL > clockskew = 300 > # default_realm = EXAMPLE.COM > [realms] > IT.LOCAL = { > kdc = server2008.it.local > default_domain = it.local > admin_server = 192.168.1.1:749 > } > # EXAMPLE.COM = { > # > kdc = kerberos.example.com > # > admin_server = kerberos.example.com > # } > [logging] > kdc = FILE:/var/log/krb5/krb5kdc.log > admin_server = FILE:/var/log/krb5/kadmind.log > default = SYSLOG:NOTICE:DAEMON > [domain_realm] > .it.local = IT.LOCAL > .it = IT.LOCAL > [appdefaults] > pam = { > ticket_lifetime = 1d > renew_lifetime = 1d > forwardable = true > proxiable = false > minimum_uid = 1 > addressless = false > clockskew = 300 > debug = false > debug_sensitive = false > existing_ticket = false > external = sshd > initial_prompt = false > subsequent_prompt = false > use_shmem = sshd > validate = false > }[/code] > Пробовал на OpenSuse 11 и Ubuntu 8.04. История везде примерно одинаковая. Только > OpenSuse ещё пришлось долго и упорно добивать напильником =) > Всем отписавшимся заранее огромное спасибо!
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру