Připojovat linux klienty v učebně do Win domény? (diskuse)

Pises "LDAP databaze na woknech se rozsiri o UID, GID a Shell". Pak nechapu, proc tam motas ten NIS. Kdyz uz mas uzivatele v LDAPu, muzes nastavit nss-ldap na pouzivani toho LDAPu. Pokud ten LDAP je opravdu LDAP a pouziva userPassword pro autentizaci, tak muzes pouzit i pam-ldap na prihlasovani, pripadne by snad mohl jit pouzit nejaky pam-samba modul, kterej overi prihlaseni uzivatele pres sambu (a samba snad jde nastavit jako clen AD, my mame pouze domNT4).

Nejlepsi by asi bylo, kdyby se homediry pripojovaly pres NFS, aby se tam nikde nemotalo heslo, ale to na nasich serverech neresemi, takze nevim.

Mam ale dojem, ze jsem nekde cetl, ze samba se neda nastavit jako windows, ze pokud pristoupis na nejakej server na share, tak se posle tvoje uzivatelsky jmeno. Samba tohle nedokaze delat, protoze samba nedokaze ze systemu prevzit heslo, kterym se uzivatel prihlasil. Takze leda tam udela skriptik na manualni pripojeni disku s tim, ze se uzivatele zepta na heslo jeste jednou. A nebo ten NFS.

Jinak spousta lidi tlaci ve Win na AD, ale pritom vyuzijou tak 10% funkci, ktery by meli i tak v NT4dom. Takze IMHO by spis bylo lepsi predelat ten server na linux:)

18.3.2009 20:27 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?

Moc jsi mi nepomohl, ale driv jsme meli domenu na linuxu, prehistorik redhat 9, ja to jen zdedil. Melo to svoje bugy, ale jelo to. Kolega to pak udelal na woknech a to sice jede lip, ale me tim zpusobil problem.

Presne jsi popsal problem, ze samba (smbclient, mount.cifs) nedokaze vzit heslo z beziciho systemu, neboli automaticky pripojit houm z woken pro prave prihlasenyho uzivatele.

Takze bud NFS nebo na plochu budu lepit ikonku "pripojit disk H:" a to se zepta na heslo.

Zdenek

www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf

19.3.2009 10:12 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?

To zni, jako kdybys potreboval prave vyse zmineny kerberos. Zadas heslo, dostanes ticket a ten na mount staci.
Jinak automaticke mountovani CIFS svazku pri prihlaseni muzes poresit pres PAM moduly.

18.3.2009 22:01 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?

Mam ale dojem, ze jsem nekde cetl, ze samba se neda nastavit jako windows, ze pokud pristoupis na nejakej server na share, tak se posle tvoje uzivatelsky jmeno. Samba tohle nedokaze delat, protoze samba nedokaze ze systemu prevzit heslo, kterym se uzivatel prihlasil. Takze leda tam udela skriptik na manualni pripojeni disku s tim, ze se uzivatele zepta na heslo jeste jednou. A nebo ten NFS.

Mount.cifs sice neumí vzít heslo za běhu systému, ale umí ho převzít v rámci přihlášení pomocí PAM - modul pam_mount. Nastavení není triviální, ale fungovalo mi to.

18.3.2009 22:34 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?

zkusil jsem namountovat sambu a na heslo se to zeptalo:

vodik:~ # mount //10.10.10.1/MYSHARE1 /aoe1
Password:

-- Nezdar není hanbou, hanbou je strach z pokusu.

18.3.2009 22:41 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?

Možná jsem se nevyjádřil úplně přesně. Prostě jde připojit přesně definované "síťové disky" v rámci přihlášení bez zadání hesla. Později, při ručním připojení, si to heslo už nepamatuje. Ale naznačený problém takhle lze řešit.

Pokud je stroj s Linuxem pomocí Samby zařazen v AD, pak by mělo ověření proběhnout přes Kerberos bez hesla (to ale nemám vyzkoušené).

19.3.2009 09:56 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?

Tohle je popisovane v prvnim odkazovanem navodu. Zatim to vypada ze se mi to libi. Uzavetele budou oddeleni, pojede vsechno z jednoho serveru a pokud budou mit stejny hesla (coz muzu zaridit) tak se jim automaticky do ~/disk_h pripojej data.

www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf

19.3.2009 10:42 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?

Pokud budete mít na tom linux serveru stejné loginy jako na Windows (třeba i ručně zakládané), zkuste pro hesla použít ten pam_smb. Natavení je celkem triviální - úprava PAM konfigurace + 1 soubor v /etc kde se nastaví jen název domény a IP adresa doménového řadiče, na straně Windows serveru není třeba nastavovat nic. Mohou být nastavena i lokální hesla, která se použijí, když selže pam_smb - podle konkrétního nastavení PAM. Pak nebude problém s tím, když si uživatel změní heslo.

1) Pokud jde o připojování adresářů z Windows serveru, tak to lze relativně jednoduše a pro uživatele příjemně řešit pomocí pam_mount - zařadí se do konfigurace PAM pro login, kdy má k dispozici plaintext heslo, které uživatel zadal. Pak se v nějakém konfiguračním souboru v /etc nastaví, co chci připojovat - použije se mount.cifs, zadá se adresa serveru + share, kde lze opužít některé proměnné - jsou tam příklady.

Kdysi mi to fungovalo na LTSP celkem bez problémů. Uživatelům se Windows disk připojil do ~/H/ a o nic se nemuseli starat.

2) Ověřování lze udělat čistě a složitě přes Winbind (část Samby, zajístí NSS - seznam uživatelů + skupin) + Kerberos který zajístí ověřování na Windows KDC. Ale konfigurovat to pro tlusté klienty bude hodně těžké. Každý stroj s linuxem se musí pod svým jménem zařadit do Windows domény přes net ads join...

Pokud jde do Windows LDAPu nějak "snadno" dostat UID a GID, tak bych na něj nasměroval přímo libnssl-ldap - to by mělo jít nastavit snadno.

Pro ověřování hesla (sice z Linuxu oproti Samba serveru, ale to by mělo být stejné) jsem používal pam_smb ( http://www.csn.ul.ie/~airlied/pam_smb/ ) - ten fungoval velmi jednoduše a spolehlivě. Vůbec se nestaral o doménu, ale jednoduše vzaj jméno+heslo a zkusil se připojit na daný Samba/Windows server. Ovšem už v době, kdy byl stable Debian Sarge, jsem musel používat používat balíček z Debianu Woody protože v novějším Debianu nebyl, nevím jak teď.

3) Napadá mě ještě jedna možnost, pro danou situaci by to mohlo být vyhovující a spolehlivé, ale není to moc čisté...

Každou noc bych pomocí skriptu třeba v Perlu vytáhl seznam uživatelů z Active Directory (přes LDAP protokol, příklady lze najít). Nové uživatele v AD bych vytvořil v /etc/passwd na boot serveru, odstraněné z AD zde smazal (vkládal bych je do nějaké spec. skupiny, aby se odlišili od ostatních). Tím by byl na klientech zajištěn seznam uživatelů (NSS) - místo toho lde samozřejmě přímo použít LDAP, otázka je co bude jednodušší. Ověření hesla by šlo přes pam_smb. Adresář z Windows serveru by se připojil pomocí pam_mount. Hodně podobně mi to fungovalo před pár lety s LTPS a Samba serverem, když jsem neznal LDAP.

19.3.2009 14:37 beko
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?

skuste link na zmienovany preklad z AD do LDAP. Pred casom som nieco take hladal a neuspesne. Vdaka.

19.3.2009 15:23 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?

Active Directory doménový řadič funguje jako LDAP server, ke kterému se lze připojit ("bind" v terminologii LDAPu), pokud tam máte účet. V případě LDAPu obecně nestačí login + heslo, ale je třeba vědět DN (Distinguished Name) ve tvaru jako: CN=ucet,OU=orgunit,DC=domena,DC=com. V případě AD možná bude fungovat i "login@DOMAIN" (třeba první odkazovaný článek to tvrdí).

Možná je třeba něco povolit na Windows Serveru, to nevím. Zkusil bych i připojení na LDAPs port, možná nebude nešifrované spojení povoleno.

Pro začátek bych zkusil se na Windows server připojit nějakým LDAP prohlížečem - LDAPAdmin pro Windows nebo Luma pro Linux. Pochopíte tak strukturu a atributy, jak jsou data uložená. Pak lze s LDAP serverem pracovat třeba v Perlu / PHP / Pythonu - nějaké odkazy:

http://www.samuraj-cz.com/clanek/autentizace-uzivatele-vuci-ad-v-php/

http://www.developer.com/open/article.php/10930_3106601_2

20.3.2009 10:51 beko
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?

Asi sme sa celkom nepochopili. Ja som myslel ze su vytvoreny xxx.schema pre LDAP, tak aby sa dali naimportovat ldif exporty z AD. Takpovediac "online" pristup do AD mi je jasny.

Zatim se mi libi ten pam_mount, skoro mi to uz funguje, az na jeden detail. Na win serveru jsou sdileni ve tvaru:

/ia06/ia06hmoz

/ds07/ds07herf

/pa05/pa05kpor

/zamestnanci/novak

V pam_mount je pouze promena %(USER), ten meziadresar bych musel nejak skriptem dopocitat, coz sice programatorsky neni problem, ale nevim jak to vpasovat do toho XML konfigu pam_mount.

Rekl jsem kolegovi co to spravuje jestli by mi udelal aliasy bez toho meziadresare, tak snad to pujde.

Potom asi zacnu resit zase pres PAM overovani pouze jmena a hesla proti WIN serveru, starsi formou jako do NT domeny, uz to tady bylo zmineno. Proste co nejjednodusejc. PAM by pro nove vytvareneho uzivatele vytvoril home adresar a hotovo.

Cili takove hodne lehke napojeni na domenovy server.

Zdenek

www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf

23.3.2009 22:46 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?

Zdravim

Nevite nekdo jak tohle vyresit? Koukal jsem na dokumentaci, ale bud malo, nebo je ta promenna proste zadratovana do zdrojaku PAMu a nehnu s tim...

Zdenek

www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf