[Question] Hỏi cách dùng AD accounts để đăng nhập trên Linux server? |
09/06/2009 04:15:12 (+0700) | #1 | 183090 |
anbinh3333
Member
|
0 |
|
|
Joined: 08/06/2009 14:02:28
Messages: 10
Offline
|
|
Chào mọi người ! Hiện nay mình đang cấu hình Linux (CentOS ) join vô domain controller trên nền 2003 , mình đã join thành công ,sau đó mình tiến hành gõ lệnh wbinfo -u ,wbinfo -g thì thấy đc danh sách các member,group trong domain ! Sau đó mình tạo 1 user tên là test tren AD 2k3 , minh tiến hành log off khỏi user root và log on vao bằng test thì ko dc, ko biet mình có bị lỗi gì ko ! Mong mọi người hướng dẫn thêm ! Tks
Đây là file cấu hình smb.conf của mình !
# Global parameters
[global]
realm = LOC.COM
workgroup = LOC
#server string = locithcm %h %v //%v
server string = DATASHARE
# passdb backend =tdbsam
wins support = yes
wins server = 10.100.10.143
bind interfaces only = Yes
pam password change = Yes
passwd chat = *New*Password* %n\n *Re-enter*new*password* %n\n *Password*changed*
password server = LOC.COM
username map = /etc/samba/smbusers
unix password sync = Yes
log level = 1
syslog = 0
log file = /var/log/samba/%m
max log size = 50
smb ports = 139 445
name resolve order = wins bcast hosts
time server = Yes
winbind separator = +
winbind uid = 10000-20000
winbind gid = 10000-20000
# idmap uid= 10000-20000
# idmap gid= 10000-20000
winbind enum users = yes
winbind enum groups = yes
# them day
winbind use default domain = yes
winbind cache time =15
client schannel = no
# ------
#------------them day ---------
domain logons = yes
domain master = Yes
logon script = %U.bat
logon path= \\%L\Profiles\%U
wins support = Yes
#-----------------------
add user script = /usr/sbin/useradd -m %u
delete user script = /usr/sbin/userdel -r %u
add group script = /usr/sbin/groupadd %g
delete group script = /usr/sbin/groupdel %g
add user to group script = /usr/sbin/usermod -G %g %u
add machine script = /usr/sbin/useradd -s /bin/false -d /dev/null %u
logon script = scripts\%U.bat
logon home = \\%L\homes\%U
os level = 33
preferred master = No
domain master = No
security = ads
# security= ADS
# tam thoi tat domain logon
#domain logons =yes
utmp = Yes
veto oplock files = /*.doc/*.xls/*.mdb/
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
template shell = /bin/false
[homes]
comment = Home Directories
path= /home
valid users =%D+%S
read only = No
create mask = 0664
only user = Yes
browseable = Yes
writeable = yes
valid user= %D+%S
[printers]
comment = SMB Print Spool
path = /var/spool/samba
guest ok = Yes
printable = Yes
use client driver = Yes
default devmode = Yes
browseable =Yes
[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon
guest ok = Yes
locking = No
browseable = Yes
[public]
comment = Default share for group public
path = /public
writeable = yes
read only = No
browseable = Yes
[tinhoc]
comment = Noi luu tru phong tin hoc
path = /tinhoc
writeable = yes
read only = No
valid user =@LOC.COM +tinhoc
browseable = Yes
[Profiles]
comment= profile se luu o day
path = /home/profiles
browseable = yes
guest ok = Yes
force user = %U
valid user = %U "Domain Admins"
read only = no
profile acls = Yes
writeable = yes
|
|
|
|
|
[Question] Xin hỏi về Join Domain bị lỗi user trên linux |
09/06/2009 04:48:05 (+0700) | #2 | 183094 |
|
quanta
Moderator
|
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
|
|
File /etc/nsswitch.conf của bạn có nội dung thế nào?
http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/winbind.html |
|
Let's build on a great foundation! |
|
|
|
[Question] Xin hỏi về Join Domain bị lỗi user trên linux |
09/06/2009 21:54:19 (+0700) | #3 | 183129 |
anbinh3333
Member
|
0 |
|
|
Joined: 08/06/2009 14:02:28
Messages: 10
Offline
|
|
Tks bạn đã trả lời ! Đây là file nsswitch.conf của mình ! Theo mình thì file nsswitch.conf của mình ko bị lỗi gì cả vì
mình wbinfo -u thì thấy đc các member trên domain 2k3 ! Mình chỉ chưa hiểu tại sao sau khi đã join domain rùi thì
mình log off root ( CentOs ) ra rùi vào user do mình tạo( 2k3) thì ko dc
# To use db, put the "db" in front of "files" for entries you want to be
# looked up first in the databases
#
# Example:
#passwd: db files ldap nis
#shadow: db files ldap nis
#group: db files ldap nis
passwd: files winbind
shadow: files winbind
group: files winbind
hosts: files dns
bootparams: files
ethers: files
netmasks: files
networks: files
protocols: files winbind
rpc: files
services: files winbind
netgroup: files winbind
publickey: files
automount: files winbind
aliases: files
Mong mọi người hướng dẫn tiếp !
|
|
|
|
|
[Question] Xin hỏi về Join Domain bị lỗi user trên linux |
09/06/2009 23:20:23 (+0700) | #4 | 183134 |
|
quanta
Moderator
|
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
|
|
getent passwd có trả về user nào trong AD không bạn?
Bạn thử xác thực với wbinfo -a username%password xem nó báo cáo gì?
|
|
Let's build on a great foundation! |
|
|
|
[Question] Xin hỏi về Join Domain bị lỗi user trên linux |
10/06/2009 03:52:41 (+0700) | #5 | 183147 |
anbinh3333
Member
|
0 |
|
|
Joined: 08/06/2009 14:02:28
Messages: 10
Offline
|
|
Chào ! khi mình gõ lệnh getent password thì hiện ra một loạt danh sách user bao gồm của AD 2k3 luôn , sau đó mình làm theo lời bạn gõ lệnh wbinfo -a Administrator% (pass admin trống ) thì trả về dòng lệnh sau :
plaintext password authentication succeeded
challenge/response password authentication succeeded
Tương tự với user test wbinfo -a test%123 thì cũng giống như trên ! Bạn còn ý nào khác ko để mình thử |
|
|
|
|
[Question] Xin hỏi về Join Domain bị lỗi user trên linux |
10/06/2009 07:17:32 (+0700) | #6 | 183160 |
|
quanta
Moderator
|
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
|
|
anbinh3333 wrote:
Chào ! khi mình gõ lệnh getent password thì hiện ra một loạt danh sách user bao gồm của AD 2k3 luôn , sau đó mình làm theo lời bạn gõ lệnh wbinfo -a Administrator% (pass admin trống ) thì trả về dòng lệnh sau :
plaintext password authentication succeeded
challenge/response password authentication succeeded
Tương tự với user test wbinfo -a test%123 thì cũng giống như trên ! Bạn còn ý nào khác ko để mình thử
Theo mình hiểu thì:
- Kết quả như trên có nghĩa là user test (hoặc các AD account khác) đã có thể đăng nhập vào Samba server ngon rồi.
- Nhưng để user test có thể login trên chính máy Linux thì phải cần "một cái gì đó" đại loại như: PAM, Kerberos, LDAP, ... Mình nghĩ chỉnh /etc/pam.d/login là đơn giản nhất. Bạn http://www.onlamp.com/pub/a/onlamp/2008/04/01/step-by-step-using-samba-to-join-a-windows-domain.html. |
|
Let's build on a great foundation! |
|
|
|
[Question] Xin hỏi về Join Domain bị lỗi user trên linux |
11/06/2009 06:12:59 (+0700) | #7 | 183210 |
anbinh3333
Member
|
0 |
|
|
Joined: 08/06/2009 14:02:28
Messages: 10
Offline
|
|
chán thiệt ! Mình cũng đã thử như cách của bạn rồi mà vẫn chưa đc ! Mình làm theo bước 8 trên trang web http://www.onlamp.com/pub/a/onlamp/2008/04/01/step-by-step-using-samba-to-join-a-windows-domain.html này của bạn mà vẫn chưa đc ! |
|
|
|
|
[Question] Xin hỏi về Join Domain bị lỗi user trên linux |
11/06/2009 08:33:11 (+0700) | #8 | 183222 |
|
quanta
Moderator
|
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
|
|
anbinh3333 wrote:
chán thiệt ! Mình cũng đã thử như cách của bạn rồi mà vẫn chưa đc ! Mình làm theo bước 8 trên trang web http://www.onlamp.com/pub/a/onlamp/2008/04/01/step-by-step-using-samba-to-join-a-windows-domain.html này của bạn mà vẫn chưa đc !
Đọc tiếp bước 9 và thử rồi đưa các thông tin liên quan lên đây.
anbinh3333 wrote:
Chào ! khi mình gõ lệnh getent password thì hiện ra một loạt danh sách user bao gồm của AD 2k3 luôn
Cho xem thông tin liên quan đến user test?
- Username bạn thử dùng để login có đầy đủ dưới dạng DOMAIN+USER không?
- Đưa nội dung (tail -f sau mỗi lần login thôi nhé) tất cả các log files liên quan lên: /var/log/auth.log, /var/log/messages, /var/log/samba/winbindd.log, ... nói chung là tất tần tật những cái gì dính líu đến quá trình đăng nhập.
|
|
Let's build on a great foundation! |
|
|
|
[Question] Xin hỏi về Join Domain bị lỗi user trên linux |
19/07/2009 01:18:59 (+0700) | #9 | 186724 |
|
quanta
Moderator
|
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
|
|
anbinh3333 wrote:
Chào mọi người ! Hiện nay mình đang cấu hình Linux (CentOS ) join vô domain controller trên nền 2003 , mình đã join thành công ,sau đó mình tiến hành gõ lệnh wbinfo -u ,wbinfo -g thì thấy đc danh sách các member,group trong domain ! Sau đó mình tạo 1 user tên là test tren AD 2k3 , minh tiến hành log off khỏi user root và log on vao bằng test thì ko dc, ko biet mình có bị lỗi gì ko ! Mong mọi người hướng dẫn thêm ! Tks
...
--> Mình làm nốt bước này giúp bạn:
Coi như việc join Samba server vào Domain là xong rồi nhé, test các kiểu ngon lành rồi: wbinfo -u, wbinfo -g, wbinfo -t, getent passwd, getent group, ... Bây giờ chỉ còn cấu hình Kerberos và PAM nữa thôi.
Tại sao lại phải cấu hình Kerberos? À, Kerberos chỉ là một cách để Samba dựa vào đó mà xác thực các AD accounts thôi (lúc này Linux hoạt động như một Kerberos client đối với domain). Bạn có thể thử với OpenLDAP xem sao.
File cấu hình /etc/krb5.conf của mình như sau:
Code:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = EXAMPLE.COM
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes
[realms]
EXAMPLE.COM = {
kdc = IP.OF.THE.DC:88
default_domain = example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
Vậy tại sao phải cấu hình PAM? Câu trả lời là: nếu bạn muốn một dịch vụ nào đó sử dụng winbind cho việc xác thực thì bạn phải sửa file cấu hình của dịch vụ đó nằm trong /etc/pam.d. Giả sử ở đây mình muốn từ xa có thể ssh vào Linux server bằng các AD accounts, mình sửa file /etc/pam.d/sshd như sau:
Code:
auth required pam_nologin.so
auth sufficient pam_stack.so service=system-auth
auth sufficient pam_winbind.so
account sufficient pam_stack.so service=system-auth
account sufficient pam_wibind.so
password required pam_stack.so service=system-auth
session required pam_mkhomedir.so skel=/etc/skel umask=0022
session sufficient pam_stack.so service=system-auth
session required pam_limits.so
session optional pam_console.so
Dòng này:
Code:
session required pam_mkhomedir.so skel=/etc/skel umask=0022
có chức năng tự động tạo thư mục home trước khi user có thể login.
Kết hợp với dòng này template homedir = /home/%D/%U trong smb.conf, mỗi khi login lần đầu tiên với một AD account nào đó bạn sẽ nhìn thấy những dòng tương tự thế này:
Code:
$ ssh EXAMPLE.COM+quan.ta@ip.of.linux.server
EXAMPLE.COM+quan.ta@ip.of.linux.server's password:
Creating directory '/home/EXAMPLE/quan.ta'.
Creating directory '/home/EXAMPLE/quan.ta/.mozilla'.
Creating directory '/home/EXAMPLE/quan.ta/.mozilla/plugins'.
Creating directory '/home/EXAMPLE/quan.ta/.mozilla/extensions'.
Last login: Sat Jul 18 11:58:20 2009 from x.x.x.x
Bạn chú ý định dạng của username nhé: DOMAIN+username, trừ phi trong smb.conf bạn có dòng này:
Code:
winbind use default domain = yes
Lúc đó bạn có thể dùng ngắn gọn là username. |
|
Let's build on a great foundation! |
|
|
|
[Question] Hỏi cách dùng AD accounts để đăng nhập trên Linux server? |
24/07/2009 23:53:58 (+0700) | #10 | 187421 |
anbinh3333
Member
|
0 |
|
|
Joined: 08/06/2009 14:02:28
Messages: 10
Offline
|
|
Tks bạn đã hỗ trợ nhiều ! Mình sửa lại và làm đc rồi ! |
|
|
|
|
[Question] Hỏi cách dùng AD accounts để đăng nhập trên Linux server? |
01/09/2009 13:52:00 (+0700) | #11 | 191693 |
|
ORA2009
Member
|
0 |
|
|
Joined: 31/08/2009 11:04:02
Messages: 109
Offline
|
|
Hi all,
Mọi người có thể dùng Likewise Open
http://www.likewise.com/products/likewise_open/ |
|
|
|
|
[Question] Hỏi cách dùng AD accounts để đăng nhập trên Linux server? |
18/05/2010 10:25:17 (+0700) | #12 | 211164 |
|
rocklee44
Member
|
0 |
|
|
Joined: 24/07/2007 23:53:35
Messages: 53
Offline
|
|
Cho mình hỏi là quanta đã cấu hình thành công để domain user trên AD 2k3 login trên máy Linux được chưa ? Nếu rồi quanta có thể hướng dẫn cho mình không, mình làm hoài mà chưa được, winbind thì mình làm được rồi. Mình làm theo 2 link này :
http://www.interopsystems.com/LearningCenter/Native_LDAP_native_Kerberos_and_AD_services.htm
http://www.aput.net/~jheiss/krbldap/howto.html#kerbclient
Các file cấu hình :
Code:
/etc/ldap.conf
host 192.168.17.30
base dc=example,dc=com
ldap_version 3
binddn <a href="mailto:ldap@example.com">ldap@example.com</a>
bindpw P@ssw0rd
rootbinddn cn=manager,dc=example,dc=com
scope sub
timelimit 120
bind_timelimit 120
idle_timelimit 3600
# RFC 2307 (AD) mappings
nss_map_objectclass posixAccount user
nss_map_objectclass shadowAccount user
nss_map_attribute uid sAMAccountName
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute gecos cn
nss_map_attribute shadowLastChange pwdLastSet
nss_map_objectclass posixGroup group
nss_map_attribute uniqueMember member
pam_login_attribute sAMAccountName
pam_filter objectclass=User
pam_password ad
Code:
/etc/krb5.conf
[libdefaults]
default_realm = EXAMPLE.COM
# The following krb5.conf variables are only for MIT Kerberos.
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
dns_lookup_realm = true
dns_lookup_kdc = true
proxiable = true
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true
[realms]
EXAMPLE.COM = {
kdc = chuong-2k3.example.com:88
admin_server = chuong-2k3.example.com
kpasswd_server = chuong-2k3.example.com:464
kpasswd_protocol = SET_CHANGE
default_domain = example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM
[login]
krb4_convert = true
krb4_get_tickets = false
Code:
/etc/nsswitch.conf
passwd: files ldap
group: files ldap
shadow: files ldap
hosts: files dns
networks: files
protocols: files ldap
services: files ldap
ethers: files
rpc: files ldap
netgroup: nis files ldap
Code:
/etc/pam.d/login
auth sufficient /lib/security/pam_unix.so
auth sufficient /lib/security/pam_krb5.so use_first_pass
auth sufficient /lib/security/pam_ldap.so use_first_pass
account sufficient pam_unix.so debug
account sufficient pam_krb5.so debug
account sufficient pam_ldap.so debug
account required pam_permit.so
password sufficient /lib/security/pam_unix.so
password sufficient /lib/security/pam_krb5.so use_first_pass
password sufficient /lib/security/pam_ldap.so use_first_pass
password required pam_deny.so
Đây là log khi login bằng domain account
Code:
login : u2
Password :
Insufficient credentials to access authentication data
/var/log/auth.log
May 18 10:34:39 chuong-ubuntu login[1352]: pam_unix(login:auth): check pass; user unknown
May 18 10:34:39 chuong-ubuntu login[1352]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost=
May 18 10:34:39 chuong-ubuntu login[1352]: pam_unix(login:account): could not identify user (from getpwnam(u2))
May 18 10:34:39 chuong-ubuntu login[1352]: (pam_krb5): u2: pam_sm_acct_mgmt: entry (0x0)
May 18 10:34:39 chuong-ubuntu login[1352]: (pam_krb5): u2: retrieving principal from cache
May 18 10:34:39 chuong-ubuntu login[1352]: (pam_krb5): u2: pam_sm_acct_mgmt: exit (success)
May 18 10:34:39 chuong-ubuntu login[1352]: pam_unix(login:session): session opened for user u2 by LOGIN(uid=0)
May 18 10:34:39 chuong-ubuntu login[1352]: pam_mkhomedir(login:session): User unknown.
May 18 10:34:39 chuong-ubuntu login[1352]: (pam_krb5): u2: pam_sm_setcred: entry (0x2)
May 18 10:34:39 chuong-ubuntu login[1352]: (pam_krb5): u2: getpwnam failed for u2
May 18 10:34:39 chuong-ubuntu login[1352]: (pam_krb5): u2: pam_sm_setcred: exit (failure)
May 18 10:34:39 chuong-ubuntu login[1352]: Insufficient credentials to access authentication data
login : EXAMPLE\u2
Password :
Login incorrect
/var/log/auth.log
May 18 10:44:38 chuong-ubuntu login[1765]: pam_unix(login:auth): check pass; user unknown
May 18 10:44:38 chuong-ubuntu login[1765]: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=/dev/tty1 ruser= rhost=
May 18 10:44:38 chuong-ubuntu login[1765]: pam_ldap: error trying to bind (Invalid credentials)
May 18 10:44:40 chuong-ubuntu login[1765]: FAILED LOGIN (1) on '/dev/tty1' FOR 'UNKNOWN', Permission denied
192.168.17.30 là AD 2003
Máy ubuntu cài các gói libpam-krb5, krb5-config, krb5-user, libpam_ldap, libnss_ldapd. 2 máy ping và phân giải được nhau. Thanks. |
|
|
|
|
[Question] Hỏi cách dùng AD accounts để đăng nhập trên Linux server? |
18/05/2010 10:44:39 (+0700) | #13 | 211165 |
|
quanta
Moderator
|
Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
|
|
- wbinfo -u cho kết quả thế nào nhỉ?
- Bạn thử EXAMPLE.COM+u2 xem. |
|
Let's build on a great foundation! |
|
|
|
[Question] Hỏi cách dùng AD accounts để đăng nhập trên Linux server? |
18/05/2010 12:50:54 (+0700) | #14 | 211170 |
|
rocklee44
Member
|
0 |
|
|
Joined: 24/07/2007 23:53:35
Messages: 53
Offline
|
|
EXAMPLE.COM+u2 cũng báo Login incorrect
Mà bây giờ mình dùng LDAP + Kerberos thì đâu cần dùng winbind phải không ? Mình stop winbind rồi, nhưng trước đó mình đã dùng winbind chứng thực thành công, wbinfo -u cho thấy tất cả domain user và cũng cấu hình PAM dùng winbind, login bằng domain user được rồi.
Máy Ubuntu chỉ là client không cài samba server, ldapserver, kerberos server, mấy cài này AD 2003 làm, như vậy đúng không ? |
|
|
|
|
[Question] Hỏi cách dùng AD accounts để đăng nhập trên Linux server? |
05/09/2011 22:04:03 (+0700) | #15 | 246542 |
nhiennh
Member
|
0 |
|
|
Joined: 01/09/2011 13:28:46
Messages: 2
Offline
|
|
bạn ơi, mình làm theo hướng dẫn và đã tạo được profiles bằng ssh rổi, nhưng khi dùng máy win (xp, 2k3) thjf vẫn không tạo được, bạn hướng dẫn mình thêm phần đó đi, thanks |
|
|
[Question] Hỏi cách dùng AD accounts để đăng nhập trên Linux server? |
05/09/2011 22:06:21 (+0700) | #16 | 246543 |
nhiennh
Member
|
0 |
|
|
Joined: 01/09/2011 13:28:46
Messages: 2
Offline
|
|
với bạn hướng dẫn thêm cho mình phần tự map ổ đĩa mạng, khi user login vào, thanks |
|
|
Users currently in here |
1 Anonymous
|
|
Powered by JForum - Extended by HVAOnline
hvaonline.net | hvaforum.net | hvazone.net | hvanews.net | vnhacker.org
1999 - 2013 ©
v2012|0504|218|
|
|