Winbind i moduls pam
Hola a tothom... i gràcies per tot, per endavant.
Amb l'ajuda de membres de la llista, he aconseguit configurar un PC amb
Debian de manera que :
a)
Aquest PC Debian veu i accedeix a recursos d'un domini Windows NT Server.
Configurant correctament les credencials en /etc/fstab, puc muntar recursos
de Windows en punts de muntatge de Debian i accedir-hi sense problemes.
b)
El PC Debian també ofereix carpetes (carpetes compartides) a usuaris del
domini controlat per el Windows NT Server.
Abans em calia emprar el fitxer smbpasswd (juntament amb el programa
smbpasswd) per tal de mantenir una base de dades d'usuaris existents al PDC
i que podien accedir als recursos del Debian.
Com veureu en el punt c) això ja ho he superat... :-)
c)
Gràcies al winbind, per a que un usuari del domini accedeixi a un recurs del
Debian, no cal donar d'alta aquest usuari al fitxer smbpasswd, sinó que el
winbind passa les credencials que ha rebut client Windows directament al PDC
per a que les validi.
Cal haver configurat convenientment el fitxer /etc/nsswitch.conf
I també el /etc/samba/smb.conf per que faci servir seguretat a nivell de
domini (almenysjo ho tinc així)
De moment però, encara he de donar d'alta un usuari al sistema Debian amb el
mateix nom d'usuari que hi ha al PDC.
O sigui, si dono d'alta l'usuari Pepet a Debian (que ja exiteix al PDC amb
el seu propi password), des d'una màquina Windows on Pepet ha iniciat una
sessió, puc accedir al recurs compartit de Debian i no em demana res més.
No cal que el password de Pepet de Debian sigui el mateix que el del
l'usuari Pepet de Windows; ni tampoc cal que tingui un shell assignat.
ARA bé... Estic intentant anar un pas més enllà.
Modificant el fitxer /etc/samba/smb.conf i els fitxers
/etc/pam.d/common-auth (i el common-session i el common-account) hauria de
poder fer un login des de la màquina Debian amb un nom d'usuari INEXISTENT a
Debian, però que si que existís al domini Windows.
(O sigui, estic intentant que la màquina Debian/Aamba sigui un membre del
domini, igual que ho són les Windows 2K)
Les proves que he fet... no han anat bé, del tot. A veure si m'en surto a
explicar-ho.
Si faig
wbinfo -u
obtinc tota la llista d'usuaris del domini, perfecte !!!
Des d'un pantalla de terminal d'un usuari normal de Debian, si faig
su manel
on manel és un usuari del domini, inexistent a Debian, em diu que nanai de
la xina, que l'id és deconegut : manel
Als fitxers de configuració
/etc/pam.d/common-auth
/etc/pam.d/common-session
hi ha una entrada referent a pam_mount.so
Pel que entenc, pam_mount em permet muntar de forma transparent un recurs
del servidor Windows a un punt de muntatge i desmuntar-lo al tancar la
sessió.
Donc bé, si a
/etc/pam.d/common-auth
hi trec l'entrada que diu auth required pam_mount.so, ja no puc fer "su" de
cap mena.
Em diu : Authentication information cannot be recovered.
Tampoc puc, per exemple, accedir al servei HTTP://locahost:901 (swat). Aquí,
quan hi poso root i password de root, res de res.
Bé... com que m'agrada anar pas a pas i entendre que faig bé i què malament,
m'agradaria de moment saber com fer un simple "su usuarideldomini" i que em
validi correctament.
El tema de muntar el /home/usuari/recurs_compartit_de_servidor_nt ja vindrà
(suposo que via pam_mount)
L'entrada des d'un gdm també arribarà, espero, perquè aquesta és la gràcia.
Em podeu assessorar ?
Aquí al final teniu la configuració d'alguns fitxers implicats en el tema
/etc/samba/smb.conf
# Global parameters
[global]
workgroup = DOMINI_1
server string = WorkStation %h (Samba %v)
security = DOMAIN
obey pam restrictions = Yes
passdb backend = tdbsam, guest
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n
*Retype\snew\sUNIX\spassword:* %n\n .
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
announce as = NT Workstation
preferred master = No
domain master = No
dns proxy = No
wins server = 192.168.0.254
ldap ssl = no
panic action = /usr/share/samba/panic-action %d
template homedir = /home/domini/%U
template shell = /bin/bash
winbind enable local accounts = Yes
winbind use default domain = Yes
invalid users = root
[homes]
comment = Home Directories
read only = No
create mask = 0700
directory mask = 0700
browseable = No
[printers]
comment = All Printers
path = /tmp
create mask = 0700
printable = Yes
browseable = No
[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
[public]
comment = Carpeta d'acces public
path = /home/public
read only = No
----------------------------------------------------------------------------
----
/etc/nsswitch.conf
passwd : compat winbind
group : compat winbind
shadow : compat winbind
hosts : dns files wins
networks : files
protocols : db files
services : db files
ethers : db files
rpc : db files
netgroup: nis
----------------------------------------------------------------------------
----------------------
/etc/pam.d/common-auth
auth required pam_mount.so
auth sufficient pam_winbind.so use_first_pass
auth required pam_unix.so nullok_secure use_first_pass
----------------------------------------------------------------------------
----------------------
/etc/pam.d/common-session
session required pam_unix.so
session optional pam_mount.so use_first_pass
----------------------------------------------------------------------------
----------------------
/etc/pam.d/common-account
account sufficient winbind.so
account required pam_unix.so
----------------------------------------------------------------------------
----------------------
Gràcies per tot ... per endavant.
PEP
Reply to: