Re: sshd+winbind
* Esteban Torres Rodriguez etor...@dap.es [2010-03-24 11:20:58 +0100]: Alguna idea? Igual ya lo has probado, pero en cualquier caso, has intentado con ssh -vvv para que ssh sea más parlanchín? -- Saludos, Ferran Donadie. La niñez es la etapa en que todos los hombres son creadores. -- Juana de Ibarbourou. (1895-1979) Escritora uruguaya. -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100325184017.gf2...@cateto
Re: sshd+winbind
2010/3/24, Esteban Torres Rodriguez etor...@dap.es: Tengo una maquina conectada a un AD dando servicios de Samba. Ahora necesito que algunos de estos usuarios se puedan logar en la máquina por ssh. He configurado ssh para que autentifique con AD, pero al iniciar la sesión ssh me echa de la máquina #%PAM-1.0 auth required pam_nologin.so auth sufficient /lib/security/pam_winbind.so auth required pam_unix.so use_first_pass shadow auth required pam_env.so accountsufficient /lib/security/pam_winbind.so accountrequired pam_unix.so use_first_pass sessionrequired pam_unix.so sessionoptional pam_lastlog.so sessionoptional pam_motd.so sessionoptional pam_mail.so standard noenv sessionrequired pam_limits.so password sufficient /lib/security/pam_winbind.so password required pam_unix.so Error: Mar 24 11:19:33 smb01 sshd[4193]: pam_winbind(sshd:auth): getting password (0x) Mar 24 11:19:33 smb01 sshd[4193]: pam_winbind(sshd:auth): user 'etorres' granted access Mar 24 11:19:33 smb01 sshd[4193]: pam_winbind(sshd:account): user 'etorres' OK Mar 24 11:19:33 smb01 sshd[4193]: pam_winbind(sshd:account): user 'etorres' granted access Mar 24 11:19:33 smb01 sshd[4193]: Accepted password for etorres from 192.168.1.15 port 54533 ssh2 Mar 24 11:19:33 smb01 sshd[4193]: pam_unix(sshd:session): session opened for user etorres by (uid=0) Mar 24 11:19:33 smb01 sshd[4196]: Received disconnect from 192.168.1.15: 11: disconnected by user Mar 24 11:19:33 smb01 sshd[4193]: pam_unix(sshd:session): session closed for user etorres Alguna idea? -- Disclaimer: Lo que escriba a continuación, seguramente adolezca de exactitud, y no tenga la exactitud y perfección técnica que un brillante profesional pueda aportar, cuando en su infinita misericordia se digna a bajar del Olimpo al barro de los humanos. Mirando tu reporte, me hice estas preguntas: Se identifica correctamente, pero se cierra la sesión, ¿no podrá ser la línea sessionrequired pam_unix.so ? Mi exiguo conocimiento de los PAM me dice que tal vez haya problemas entre la encriptación krb5 de un AD y el manejo de claves *nix. ¿Tal vez agregando al principio del bloque un sessionsufficient /lib/security/pam_winbind.so se podría arreglar? Otra cosa. Sé que en algún lugar de samba se habla de sincronización de cuentas samba y *nix. Tal vez tenga algo que ver. JAP -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1e27960e1003251222w531c5be6q1d197cfc04a10...@mail.gmail.com
sshd+winbind
Tengo una maquina conectada a un AD dando servicios de Samba. Ahora necesito que algunos de estos usuarios se puedan logar en la máquina por ssh. He configurado ssh para que autentifique con AD, pero al iniciar la sesión ssh me echa de la máquina #%PAM-1.0 auth required pam_nologin.so auth sufficient /lib/security/pam_winbind.so auth required pam_unix.so use_first_pass shadow auth required pam_env.so accountsufficient /lib/security/pam_winbind.so accountrequired pam_unix.so use_first_pass sessionrequired pam_unix.so sessionoptional pam_lastlog.so sessionoptional pam_motd.so sessionoptional pam_mail.so standard noenv sessionrequired pam_limits.so password sufficient /lib/security/pam_winbind.so password required pam_unix.so Error: Mar 24 11:19:33 smb01 sshd[4193]: pam_winbind(sshd:auth): getting password (0x) Mar 24 11:19:33 smb01 sshd[4193]: pam_winbind(sshd:auth): user 'etorres' granted access Mar 24 11:19:33 smb01 sshd[4193]: pam_winbind(sshd:account): user 'etorres' OK Mar 24 11:19:33 smb01 sshd[4193]: pam_winbind(sshd:account): user 'etorres' granted access Mar 24 11:19:33 smb01 sshd[4193]: Accepted password for etorres from 192.168.1.15 port 54533 ssh2 Mar 24 11:19:33 smb01 sshd[4193]: pam_unix(sshd:session): session opened for user etorres by (uid=0) Mar 24 11:19:33 smb01 sshd[4196]: Received disconnect from 192.168.1.15: 11: disconnected by user Mar 24 11:19:33 smb01 sshd[4193]: pam_unix(sshd:session): session closed for user etorres Alguna idea? -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4ba9e78a.2050...@dap.es
Re: WinBind
On Miércoles 08 Julio 2009 8:23:37 AM Federico Alberto Sayd wrote: Lester Pastrana wrote: Hola amigos Tengo un problema. En mi trabajo tengo un servidor de dominios (Active Directory) en windows y tengo un conjunto de máquinas con Linux autenticando contra el Active Directory usando el pam winbind. El problema reside en que cuando agrego un usuario en el active directory este no pertenece al grupo audio y video de la máquina por lo que tengo que agregarlo uno a uno. No existe una solución para lograr esto de forma fácil sin tener que hacerlo en cada máquina. Gracias de antemano. Podrías crear los grupos audio y video en Active Directory y agregar desde allí los usuarios crados y luego configuar nss para que resuelva los grupos desde el Active Directory. No lo he hecho pero podrías probar. Saludos Lo hice pero no me funciona. :( El hace una mezcla de los grupos locales con los del Active Directory. La cosa es que el no resuelve los grupos por nombre si no por los guid y winbind asigna los guid a su forma. Lo único que se me ocurre es en /dev/xxx darle permiso en lugar de al grupo audio a un grupo del Active Directory pero entonces los usuarios locales se funden (aunque eso no me importa mucho), pero puede que se afecte luego otra cosa. Lo ideal sería mapear un usuario del Active Directory con el sistema pero no tengo la mas puta idea de como hacer eso. Estuve buscando en man nsswitch.conf pero no encontré nada que me ayude. Si surge alguna otra idea Muchas Gracias de Antemano
Re: WinBind
On Miércoles 08 Julio 2009 8:23:37 AM Federico Alberto Sayd wrote: Lester Pastrana wrote: Hola amigos Tengo un problema. En mi trabajo tengo un servidor de dominios (Active Directory) en windows y tengo un conjunto de máquinas con Linux autenticando contra el Active Directory usando el pam winbind. El problema reside en que cuando agrego un usuario en el active directory este no pertenece al grupo audio y video de la máquina por lo que tengo que agregarlo uno a uno. No existe una solución para lograr esto de forma fácil sin tener que hacerlo en cada máquina. Gracias de antemano. Podrías crear los grupos audio y video en Active Directory y agregar desde allí los usuarios crados y luego configuar nss para que resuelva los grupos desde el Active Directory. No lo he hecho pero podrías probar. Saludos Voy a hacer la prueba Gracias
Re: WinBind
Lester Pastrana wrote: Hola amigos Tengo un problema. En mi trabajo tengo un servidor de dominios (Active Directory) en windows y tengo un conjunto de máquinas con Linux autenticando contra el Active Directory usando el pam winbind. El problema reside en que cuando agrego un usuario en el active directory este no pertenece al grupo audio y video de la máquina por lo que tengo que agregarlo uno a uno. No existe una solución para lograr esto de forma fácil sin tener que hacerlo en cada máquina. Gracias de antemano. Podrías crear los grupos audio y video en Active Directory y agregar desde allí los usuarios crados y luego configuar nss para que resuelva los grupos desde el Active Directory. No lo he hecho pero podrías probar. Saludos -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
WinBind
Hola amigos Tengo un problema. En mi trabajo tengo un servidor de dominios (Active Directory) en windows y tengo un conjunto de máquinas con Linux autenticando contra el Active Directory usando el pam winbind. El problema reside en que cuando agrego un usuario en el active directory este no pertenece al grupo audio y video de la máquina por lo que tengo que agregarlo uno a uno. No existe una solución para lograr esto de forma fácil sin tener que hacerlo en cada máquina. Gracias de antemano.
Compartir experiencias AD+winbind+kerberos+Samba
wenas a todos. Bueno, os explico un poco la situación. Estamos cambiando toda la filosofia de la empresa a la que pertenezco en cuanto a los sistemas implantados. El camino que hemos escogido es AD de W2003 + winbind + kerberos + Samba en debian. Este AD lo tengo sincronizado con un OpenLDAP para autentificar usuarios de correo. Bueno, está todo implantado ya que el AD hace de autentificador del dominio y sirve sus recursos compartidos por medio de Samba en Debian que es donde gestiono los permisos a estos recursos. En fin, yo creo que me he explicado +/-. Quisiera tener un cambio de opiniones al respecto de personas que tengan algo parecido montado o sepan del tema para llegar a una configuración optima de todo el servicio. Saludos. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Compartir experiencias AD+winbind+kerberos+Samba
Hola Esteban, en mi anterior trabajo teniamos una arquitectura similar así que te recomiendo que gestiones bien la configuración de winbind respecto a los esquemas de mapeo de SID Windows a UID/GID Linux. Particularmente yo te recomiendo que uses el esquema Shared sambaUnixIDPoo por medio de la instalación de un plugin al Maestro de Esquema del dominio. Este plugin es: MS Services for UNIX 3.5 Y puedes encontrar mas información al respecto en las siguientes direcciones: http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/idmapper.html http://us1.samba.org/samba/docs/man/Samba-HOWTO-Collection/idmapper.html#id370599 http://www.docs.hp.com/en/B8725-90118/ch07s02.html On 9/24/07, Esteban Torres [EMAIL PROTECTED] wrote: wenas a todos. Bueno, os explico un poco la situación. Estamos cambiando toda la filosofia de la empresa a la que pertenezco en cuanto a los sistemas implantados. El camino que hemos escogido es AD de W2003 + winbind + kerberos + Samba en debian. Este AD lo tengo sincronizado con un OpenLDAP para autentificar usuarios de correo. Bueno, está todo implantado ya que el AD hace de autentificador del dominio y sirve sus recursos compartidos por medio de Samba en Debian que es donde gestiono los permisos a estos recursos. En fin, yo creo que me he explicado +/-. Quisiera tener un cambio de opiniones al respecto de personas que tengan algo parecido montado o sepan del tema para llegar a una configuración optima de todo el servicio. Saludos. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] -- Linux Counter #395394 - http://counter.li.org/ Si la base de la sociedad es ayudar a los demas, porque decir no a la libertad de modificar y compartir el software? (Richard Stallman) La imaginacion es mas importante que el conocimiento (Albert Einstein)
Re: autenticacion winbind
El mié, 28-09-2005 a las 05:38 +0200, fran escribió: Muchas gracias Angel, problema resuelto. postea como utilizas pam_mkhomedir - como lo utilizo? Como dije al principio no controlo bien los módulos (orden) pero la prueba solo está superada no depurada. Los archivos que modifico son diferentes a los que hay en debian. No tenemos al tal archivo auth-system o algo así, por lo tanto he seguramente el que buscas es auth-common modificado, tal y como describo abajo, a los archivos /etc/pam.d/login y /etc/pam.d/xdm. Seguro que se queda muy cojo en seguridad el sistema, pero al menos hemos avanzado un pelín. Suprimí todos los valores de session y añadí esta joyita que ya habia manejado (aunque mal): session required pam_mkhomedir.so skel=/etc/skel umask=0022 No sé exáctamente como convive con los otros módulos pero el cliente monta la carpeta del usuario correspondiente y funciona. y fijate en /var/log/messages que te sale cuando alguien intenta loguearse - /var/log/messagges ?? esa es buena pregunta. El cliente se vuelve un poco loco pero creo que son errores sin importancia que tengo que trabajar. Por ejemplo: Sep 27 08:08:00 hobart [powersave][4641]: resmgr: server response code 200 Sep 27 08:08:00 hobart [powersave][4641]: ERROR in Function handleSocketRequest; line 423: User is not allowed to connect to daemon. Sep 27 08:08:01 hobart [powersave][4641]: resmgr: server response code 200 Sep 27 08:08:01 hobart [powersave][4641]: ERROR in Function handleSocketRequest; line 423: User is not allowed to connect to daemon. Sep 27 08:08:02 hobart [powersave][4641]: resmgr: server response code 200 Sep 27 08:08:02 hobart [powersave][4641]: ERROR in Function handleSocketRequest; line 423: User is not allowed to connect to daemon. Sep 27 08:08:03 hobart [powersave][4641]: resmgr: server response code 200 Sep 27 08:08:03 hobart [powersave][4641]: ERROR in Function handleSocketRequest; line 423: User is not allowed to connect to daemon. Sep 27 08:08:04 hobart [powersave][4641]: resmgr: server response code 200 Sep 27 08:08:04 hobart [powersave][4641]: ERROR in Function handleSocketRequest; line 423: User is not allowed to connect to daemon. Sep 27 08:08:05 hobart [powersave][4641]: resmgr: server response code 200 Sep 27 08:08:05 hobart [powersave][4641]: ERROR in Function handleSocketRequest; line 423: User is not allowed to connect to daemon. Sep 27 08:08:06 hobart [powersave][4641]: resmgr: server response code 200 estos mensajes te los manda el powersave Verás que la mayoría son iguales. El cliente está bombardeando el log con 2 mensajes de estos por segundo. Es un laptop, y parece que este error va por ahí, pero no lo he trabajado aún. En cuanto al servidor, es lo que menos problemas me ha dado y no dice nada diferente a lo que escribía cuando autenticaba en modo texto (aunque sin dejar montado al usuario en el cliente) con pam_winbind. Por cierto, ayer aunque no lo dije ya podía autentificarme en la consola de texto logeándome del mismo modo que en las X, es decir, DOMINIO+usuario. Mi problema era arrancar las X sin tener montada la home del usuario, NO ME DEJABA. setea el DOMINIO por default en el smb.conf y entras directamente con usuario + nt_passwd Gracias de nuevo. Un saludo. fran __ Renovamos el Correo Yahoo! Nuevos servicios, más seguridad http://correo.yahoo.es -- Angel Claudio Alvarez Usuario Linux Registrado 143466 GPG Public Key en http://pgp.mit.edu key fingerprint = 3AED D95B 7E2D E954 61C8 F505 1884 473C FC8C 8AC4 signature.asc Description: This is a digitally signed message part
Re: autenticacion winbind
El mar, 27-09-2005 a las 07:51 +0200, fran escribió: Angel Claudio Alvarez wrote: En primer lugar esto es una lista de DEBIAN Ya lo sé salté a gnu gracias a potato. Pero el trabajo manda, asi es que solo os sigo y camino como puedo. en segundo Preguntaste en una de SUSE?? Tengo la pregunta en una lista. Waiting Pero que le vamos a hacer si la gente debian sois más rápidos. entercer lugar Creaste /home/OSNEXE ?? Si está creada. ¿Necesita algún permiso especial (777) o con los que se queda al crearse? usas las pam_mkhomedir ?? Lo he usado pero creo que no del todo bien porque no consigo el efecto que sugieres. Tampoco mal de todo porque no he bloqueado el equipo. De momento parece que este es el camino. Vamos a ver si coloco la orden en el sitio justo. postea como utilizas pam_mkhomedir y fijate en /var/log/messages que te sale cuando alguien intenta loguearse Gracias Angel. Un saludo. Gracias. de nada fran. __ Renovamos el Correo Yahoo! Nuevos servicios, ms seguridad http://correo.yahoo.es __ Renovamos el Correo Yahoo! Nuevos servicios, más seguridad http://correo.yahoo.es -- Angel Claudio Alvarez Usuario Linux Registrado 143466 GPG Public Key en http://pgp.mit.edu key fingerprint = 3AED D95B 7E2D E954 61C8 F505 1884 473C FC8C 8AC4 signature.asc Description: This is a digitally signed message part
Re: autenticacion winbind
Muchas gracias Angel, problema resuelto. postea como utilizas pam_mkhomedir - como lo utilizo? Como dije al principio no controlo bien los módulos (orden) pero la prueba solo está superada no depurada. Los archivos que modifico son diferentes a los que hay en debian. No tenemos al tal archivo auth-system o algo así, por lo tanto he modificado, tal y como describo abajo, a los archivos /etc/pam.d/login y /etc/pam.d/xdm. Seguro que se queda muy cojo en seguridad el sistema, pero al menos hemos avanzado un pelín. Suprimí todos los valores de session y añadí esta joyita que ya habia manejado (aunque mal): session required pam_mkhomedir.so skel=/etc/skel umask=0022 No sé exáctamente como convive con los otros módulos pero el cliente monta la carpeta del usuario correspondiente y funciona. y fijate en /var/log/messages que te sale cuando alguien intenta loguearse - /var/log/messagges ?? esa es buena pregunta. El cliente se vuelve un poco loco pero creo que son errores sin importancia que tengo que trabajar. Por ejemplo: Sep 27 08:08:00 hobart [powersave][4641]: resmgr: server response code 200 Sep 27 08:08:00 hobart [powersave][4641]: ERROR in Function handleSocketRequest; line 423: User is not allowed to connect to daemon. Sep 27 08:08:01 hobart [powersave][4641]: resmgr: server response code 200 Sep 27 08:08:01 hobart [powersave][4641]: ERROR in Function handleSocketRequest; line 423: User is not allowed to connect to daemon. Sep 27 08:08:02 hobart [powersave][4641]: resmgr: server response code 200 Sep 27 08:08:02 hobart [powersave][4641]: ERROR in Function handleSocketRequest; line 423: User is not allowed to connect to daemon. Sep 27 08:08:03 hobart [powersave][4641]: resmgr: server response code 200 Sep 27 08:08:03 hobart [powersave][4641]: ERROR in Function handleSocketRequest; line 423: User is not allowed to connect to daemon. Sep 27 08:08:04 hobart [powersave][4641]: resmgr: server response code 200 Sep 27 08:08:04 hobart [powersave][4641]: ERROR in Function handleSocketRequest; line 423: User is not allowed to connect to daemon. Sep 27 08:08:05 hobart [powersave][4641]: resmgr: server response code 200 Sep 27 08:08:05 hobart [powersave][4641]: ERROR in Function handleSocketRequest; line 423: User is not allowed to connect to daemon. Sep 27 08:08:06 hobart [powersave][4641]: resmgr: server response code 200 Verás que la mayoría son iguales. El cliente está bombardeando el log con 2 mensajes de estos por segundo. Es un laptop, y parece que este error va por ahí, pero no lo he trabajado aún. En cuanto al servidor, es lo que menos problemas me ha dado y no dice nada diferente a lo que escribía cuando autenticaba en modo texto (aunque sin dejar montado al usuario en el cliente) con pam_winbind. Por cierto, ayer aunque no lo dije ya podía autentificarme en la consola de texto logeándome del mismo modo que en las X, es decir, DOMINIO+usuario. Mi problema era arrancar las X sin tener montada la home del usuario, NO ME DEJABA. Gracias de nuevo. Un saludo. fran __ Renovamos el Correo Yahoo! Nuevos servicios, más seguridad http://correo.yahoo.es -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
autenticacion winbind
hola llevo algunas semanas intentando configurar una workstation suse 9.0 para que winbind la autentifique en un pdc (suse 9.2). Creo que tengo todo bien configurado pero no paso de cargar lista de usuarios y autentificarlos. Cuando intento cargar las X, me da error: No write access to $HOME directory (/) KDE is unableto start En /var/log/messagges: Sep 26 23:34:48 sidney pam_winbind[2442]: user OSNEXE+asuncion' granted acces Sep 26 23:34:48 sidney pam_winbind[2442]: user 'OSNEXE+asuncion' granted acces Sep 26 23:34:48 sidney kdm[2485]: can't update authorization file in home dir /home/OSNEXE/asuncion Sep 26 23:34:48 sidney kdm[2485]: user OSNEXE+asuncion: cannot chdir to home /home/OSNEXE/asuncion (err 2), using / - El problema es que realmente no he encontrado una manera de montar (automontar) la /home del servidor en el cliente. Alguna idea para continuar? Gracias. fran. __ Renovamos el Correo Yahoo! Nuevos servicios, más seguridad http://correo.yahoo.es -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: autenticacion winbind
El lun, 26-09-2005 a las 23:44 +0200, fran escribió: hola llevo algunas semanas intentando configurar una workstation suse 9.0 para que winbind la autentifique en un pdc (suse 9.2). Creo que tengo todo bien configurado pero no paso de cargar lista de usuarios y autentificarlos. Cuando intento cargar las X, me da error: No write access to $HOME directory (/) KDE is unableto start En /var/log/messagges: Sep 26 23:34:48 sidney pam_winbind[2442]: user OSNEXE+asuncion' granted acces Sep 26 23:34:48 sidney pam_winbind[2442]: user 'OSNEXE+asuncion' granted acces Sep 26 23:34:48 sidney kdm[2485]: can't update authorization file in home dir /home/OSNEXE/asuncion Sep 26 23:34:48 sidney kdm[2485]: user OSNEXE+asuncion: cannot chdir to home /home/OSNEXE/asuncion (err 2), using / - El problema es que realmente no he encontrado una manera de montar (automontar) la /home del servidor en el cliente. Alguna idea para continuar? En primer lugar esto es una lista de DEBIAN en segundo Preguntaste en una de SUSE?? entercer lugar Creaste /home/OSNEXE ?? usas las pam_mkhomedir ?? Gracias. de nada fran. __ Renovamos el Correo Yahoo! Nuevos servicios, ms seguridad http://correo.yahoo.es -- Angel Claudio Alvarez Usuario Linux Registrado 143466 GPG Public Key en http://pgp.mit.edu key fingerprint = 3AED D95B 7E2D E954 61C8 F505 1884 473C FC8C 8AC4 signature.asc Description: This is a digitally signed message part
Re: autenticacion winbind
Angel Claudio Alvarez wrote: En primer lugar esto es una lista de DEBIAN Ya lo sé salté a gnu gracias a potato. Pero el trabajo manda, asi es que solo os sigo y camino como puedo. en segundo Preguntaste en una de SUSE?? Tengo la pregunta en una lista. Waiting Pero que le vamos a hacer si la gente debian sois más rápidos. entercer lugar Creaste /home/OSNEXE ?? Si está creada. ¿Necesita algún permiso especial (777) o con los que se queda al crearse? usas las pam_mkhomedir ?? Lo he usado pero creo que no del todo bien porque no consigo el efecto que sugieres. Tampoco mal de todo porque no he bloqueado el equipo. De momento parece que este es el camino. Vamos a ver si coloco la orden en el sitio justo. Gracias Angel. Un saludo. Gracias. de nada fran. __ Renovamos el Correo Yahoo! Nuevos servicios, ms seguridad http://correo.yahoo.es __ Renovamos el Correo Yahoo! Nuevos servicios, más seguridad http://correo.yahoo.es -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Winbind no cachea consultas a LDAP
Hola: Estoy configurando un servidor Samba con LDAP. Para ello la traducción de UID's y GID's (nss) la hago con ldap. En la documentación de samba dice que el servicio Winbind hace cacheo de esta información, pero lo configuro y lo corro y no mejora el rendimiento de las consultas. Un ls -l tarda como 5 segundos en correr. ¿Alguna idea? ¿Alguien ha configurado exitosamente Samba con LDAP? Gracias de antemano Saludos!! -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Samba+winbind no funciona getent passwd
Hola a todos. Estoy configurando samba + winbind y sigo sin hacerlo funcionar creo que getent no funciona bien porque no me trae los usuarios, sin embargo cuando wbinfo -u si los veo. Que estoy haciendo mal, el manual de samba 3 no dice el motivo de esto o yo no se encontrarlo. Gracias y saludos.
winbind, nombres de usuario
Hola a todos! Tengo un server con samba y winbind para que los usuarios del dominio Active Directory no necesiten tener una cuenta local en el servidor para poder acceder a los servicios que éste proporciona. En principio lo tengo todo funcionando, cuando ejecuto en comando: getenv passwd obtengo la lista de todos los usuarios, tanto locales como del domino. El problema que tengo es el siguiente, los usuarios listados con el comando anterior que no son locales, quedan de la siguiente manera: DOMAIN+USERNAME y cada vez que quiero un usuario quiere hacer algo en el servidor ha de introducir DOMAIN+USERNAME, con USERNAME el sistema da un error de usuario desconocido. He seguido los pasos del HOWTO de la web de samba, y por muchas vueltas que le he dado no consigo solucionarlo. Gracias a todos por adelantado. -- ___ |\_/| Eduardo Bellido Bellido | / \ | [EMAIL PROTECTED] |/_\| · · · · · · · · · · · · · signature.asc Description: Esta parte del mensaje =?ISO-8859-1?Q?est=E1?= firmada digitalmente
Re: winbind, nombres de usuario [SOLUCIONADO]
El lun, 22-11-2004 a las 11:30 +0100, Eduardo Bellido Bellido escribió: Hola a todos! Tengo un server con samba y winbind para que los usuarios del dominio Active Directory no necesiten tener una cuenta local en el servidor para poder acceder a los servicios que éste proporciona. En principio lo tengo todo funcionando, cuando ejecuto en comando: getenv passwd obtengo la lista de todos los usuarios, tanto locales como del domino. El problema que tengo es el siguiente, los usuarios listados con el comando anterior que no son locales, quedan de la siguiente manera: DOMAIN+USERNAME y cada vez que quiero un usuario quiere hacer algo en el servidor ha de introducir DOMAIN+USERNAME, con USERNAME el sistema da un error de usuario desconocido. He seguido los pasos del HOWTO de la web de samba, y por muchas vueltas que le he dado no consigo solucionarlo. Gracias a todos por adelantado. Me respondo a mi mismo, ya encontré la solución, hay que poner esta opción en el smb.conf: winbind use default domain = yes Ahora ya se pueden utilizar los nombres de usuario sin especificar el dominio. Gracias a todos igualmente. Saludos. -- ___ |\_/| Eduardo Bellido Bellido | / \ | [EMAIL PROTECTED] |/_\| · · · · · · · · · · · · · signature.asc Description: Esta parte del mensaje =?ISO-8859-1?Q?est=E1?= firmada digitalmente
Re: Samba y winbind
El lun, 01-11-2004 a las 17:41 -0300, [EMAIL PROTECTED] escribió: Qué tal gente. Tengo una duda con el samba. Acabo de conseguir q me den una maquina para fileserver. Y tengo que unirla a un dominio nt. Se que para esto es necesario tener corriendo el winbind y las lineas en el smb.conf [global] workgroup = NOMBREDOMINIO netbios name = NOMBRE MAQUINA server string = %h Debian Samba %v security = DOMAIN encrypt passwords = Yes null passwords = Yes password server = PDCQUEAUTENTICA syslog = 0 log file = /var/log/samba/log.%m max log size = 1000 domain logons = Yes preferred master = False domain master = False dns proxy = No wins server = 10.80.5.4 default service = samba winbind uid = 1-2 winbind gid = 1-2 winbind use default domain = yes [homes] path = /homes [samba] comment = Directorio compartido en maquina debian %h path = /home/samba read only = No guest ok = Yes wide links = No El tema es que veo la maquina en red. pero me pide usuario y contraseña al tratar de ver los recursos. O sea no autentica con el PDC. Alguien puede darme una orientacion? ya hiciste el net join ?? asignaste los permisos a los recursos??? Gracias. FiberTel, el nombre de la banda ancha http://www.fibertel.com.ar -- Angel Claudio Alvarez [EMAIL PROTECTED] signature.asc Description: Esta parte del mensaje =?ISO-8859-1?Q?est=E1?= firmada digitalmente
Samba y winbind
Qué tal gente. Tengo una duda con el samba. Acabo de conseguir q me den una maquina para fileserver. Y tengo que unirla a un dominio nt. Se que para esto es necesario tener corriendo el winbind y las lineas en el smb.conf [global] workgroup = NOMBREDOMINIO netbios name = NOMBRE MAQUINA server string = %h Debian Samba %v security = DOMAIN encrypt passwords = Yes null passwords = Yes password server = PDCQUEAUTENTICA syslog = 0 log file = /var/log/samba/log.%m max log size = 1000 domain logons = Yes preferred master = False domain master = False dns proxy = No wins server = 10.80.5.4 default service = samba winbind uid = 1-2 winbind gid = 1-2 winbind use default domain = yes [homes] path = /homes [samba] comment = Directorio compartido en maquina debian %h path = /home/samba read only = No guest ok = Yes wide links = No El tema es que veo la maquina en red. pero me pide usuario y contraseña al tratar de ver los recursos. O sea no autentica con el PDC. Alguien puede darme una orientacion? Gracias. FiberTel, el nombre de la banda ancha http://www.fibertel.com.ar
Instalación de SAMBA con winbind
Hola a todos. Tengo instalado un servidor con samba + winbind para conseguir que los usuarios validados en el dominio se validen sin necesidad de crear todos los usuarios en la máquina windows. He conseguido comunicarme con winbind y traerme todos los usuarios del dominio con genent passwd pero lo que no consigo es que estos puedan acceder a los recursos compartidos. He seguido el manual Samba Howto connection que esta en perfecto inglés. Agradecería si alguien a conseguido hacer funcionar esto me echara una mano. También agradecería un manual tan bueno como este pero en castellano. Yo he encontrado algunos pero no para lo que yo quiero hacer sino para cosas más simples. Por supuesto es samba 3 y la maquina tiene instalado sarge. Gracias y saludos.
PROBLEMA CON WINBIND
Hola, he montado una red local y quiero autentificar a los usuarios. Uso dhcp, squid2.5, samba y winbind. Quiero autentificar usando NTLM. he leido que es mas segura que digest, si estoy equivocado decidmelo. os pego info sobre el error... por si algún alma pura puede ayudarme (jeje) --- # wbinfo -t checking the trust secret via RPC calls failed error code was NT_STATUS_INTERNAL_ERROR (0xc0e5) Could not check secret --- # wbinfo -u Error looking up domain users --- # wbinfo -I 10.10.10.1 ## eth0 red local 10.10.10.1 SERVIDORLINUX --- # wbinfo -I 192.168.1.51 ##eth1 a internet 192.168.1.255 SERVIDORLINUX -- # net rpc join -S servidorlinux -U root Password: Create of workstation account failed Unable to join domain GRONSITE. -- No se lo que hago mal, voy siguiendo el man ... Bueno, saludos y gracias. salut! _ ¿Dónde se esconden [EMAIL PROTECTED] [EMAIL PROTECTED] Encuentra miles de perfiles en MSN Amor Amistad. http://match.msn.es/
Postfix, sasl y winbind
Buenas... El mensaje es un poco largo, avisados estais ;-) Antecedentes: Tenemos un par de dominios en W2000(tres maquinas en total), una maquina linux que hace dns, servidor de impresoras y samba. Los dominios estan en modo nativo, (lo que por lo que tengo entendido hace bastante mas dificultoso su entendimiento con samba). Una de las maquinas W2000 ademas tiene el exchange para el correo. La intencion es realizar una migracion completa de los servidores y tiene que haber una disponibilidad total de la red en todo momento. Y copiar a mano todos los usuarios no es una opcion dada la cantidad. Por lo que nos metemos con winbind. He configurado una maquina con samba3 + winbind desde la que soy capaz de autentificarme con un usuario del dominio del W2000. Usuario del modo DOMINIO+user. Uno de los primeros pasos seria migrar el servidor de correo, a eso vamos: Instalamos postfix y postfix-tls, lo que es la configuracion basica parece ir correctamente, pero a la hora de juntar la autentificacion a traves de winbind la liamos. (Al final pondre las versiones y los ficheros de configuracion utilizados). Para probar hago un telnet desde otra maquina al puerto 25, parece que inicia la sesion y a los pocos segundos se cierra. En los logs aparece: Nov 6 13:26:42 xxx postfix/smtpd[491]: fatal: no SASL authentication mechanisms Nov 6 13:26:43 xxx postfix/master[343]: warning: process /usr/lib/postfix/smtpd pid 491 exit status 1 Nov 6 13:26:43 xxx postfix/master[343]: warning: /usr/lib/postfix/smtpd: bad command startup -- throttling Ficheros de configuracion utilizados: En /etc/postfix/main.cf añadimos: # Configuracion sasl smtpd_sasl_auth_enable = yes broken_sasl_auth_clients = yes smtpd_sasl_local_domain = $myhostname smtpd_recipient_restrictions = permit_sasl_authenticated permit_mynetworks check_relay_domains smtpd_sasl_security_options = noanonymous #smtp_sasl_security_options = noanonymous #smtp_sasl_auth_enable = yes En /etc/postfix/sasl/smtpd.conf: pwcheck_method: pam Aqui he probado con pam, auxprop, saslauth En /etc/pam.d/smtp #%PAM-1.0 authrequired/lib/security/pam_permit.so #auth required /lib/security/pam_securetty.so #auth sufficient /lib/security/pam_winbind.so #auth sufficient /lib/security/pam_unix.so use_first_pass #auth required /lib/security/pam_stack.so service=system-auth #auth required /lib/security/pam_nologin.so #accountsufficient /lib/security/pam_winbind.so #accountrequired /lib/security/pam_stack.so service=system-auth #password required /lib/security/pam_stack.so service=system-auth #sessionrequired /lib/security/pam_stack.so service=system-auth #sessionoptional /lib/security/pam_console.so Como podeis ver para probar lo he comentado todo y doy permiso, pero tambien he probado sin la segunda linea(la primera auth) y todo lo demas descomentado. Versiones utilizadas: winbind3.0.0final-1 samba 3.0.0final-1 samba-common 3.0.0final-1 postfix1.1.11-0.woody postfix-ldap 1.1.11-0.woody postfix-pcre 1.1.11-0.woody postfix-tls1.1.11+tls0.7. libsasl2 2.1.12-1 libsasl2-modul 2.1.12-1 libsasl7 1.5.27-3 sasl2-bin 2.1.2-2 Bueno las preguntas: El error ese de sasl de no haber mecanismos de autentificacion, alguna forma de arreglarlo? (he pasado por google ya, y he encontrado de todo un poco pero no parece que se arregle con nada). Habeis llevado a cabo alguien una migracion como esta?, si es asi me gustaria conocer como la habeis abordado. Sobretodo me interesa chupar el maximo de datos posible del directorio activo (usarios y contraseñas). Desde ldap podria chupar esos datos?, no lo he tocado porque por lo poco que he visto de ldap tengo que crear una estructura que me gustaria obtener de lo que ya hay (el directorio activo). Una vez postfix autentifique las cuentas de correo tendran la forma [EMAIL PROTECTED], y quiero que sean de la forma [EMAIL PROTECTED] esto es asi necesariamente y lo tendria que arreglar utilizando alias para cada usuario o se puede hacer de otra forma? Bueno, pues eso de todo un poco, pongo algunos links de donde he sacado informacion que seguro que a mas de uno os interesa este tema. http://concepcion.upv.es/~pask/papers/SASL-POSTFIX-NTLM_AUTH http://www.linuxparatodos.net/linux/15-1-como-postfix-sasl.php http://postfix.wl0.org/es/enlaces-castellano/ http://pinsa.escomposlinux.org/sromero/linux/postfix_cf.html y otros dos muy utiles: http://www.wlug.org.nz/ActiveDirectorySamba http://www.wlug.org.nz/ActiveDirectoryKerberos Me parece que todo ese wiki es una mina Salu2 y gracias.
Winbind cía.
Tras pelearme un rato con samba y winbind, ya me voy acercando más al final, sin embargo todavía me queda un pequeño problemilla.. con el pam... [EMAIL PROTECTED]:~$ su eui+j39394 Password: su: Authentication service cannot retrieve authentication info. Sorry. El pam.d/login lo tengo de la siguiente manera: auth requisite pam_securetty.so auth requisite pam_nologin.so auth sufficient pam_winbind.so auth required pam_pwdb.so use_first_pass shadow nullok Alguna idea?¿ Ghe Rivero
Winbind
Alguien ha estado trabajando con la autentificacion contra un PDC NT a traves de winbindd ?? Si es asi, me gustaria acribillarlo a preguntas Angel C Alvarez
