[Samba-it] Suse Member Windows Domain Problem

maurizio pianfetti boymix81 at gmail.com
Sun Jan 8 23:22:01 MST 2006 

Ciao a tutti vorrei toccare un argomento molto poco discusso in rete,
configurare una macchina Linux per far parte di un dominio Windows / Active
Directory ( Win2003 ) già esistente. Lo scopo è autenticarsi sulla macchina
Linux con le credenziali di un utente appartenente al dominio windows e
poter utilizzare le risorse condivise nel dominio.

Farò una breve illustrazione di configurazione avvenuta con successo su una
Linux Mandrake 10.2 , Vorrei capire insieme a tutti voi cosa bisogna fare su
una Linux Suse 10.0 poichè adottando la stessa metodologia non sono riuscito
a configurarla correttamente.

Il corretto flusso di operazioni dovrebbero essere:
Autenticazione Linux PAM --> NSS ( Name Service Switch ) --> Utilizzo
protocollo di rete SMB per comunicazione ( samba - winbind ) --> Utilizzo
Kerberos per controllo credenziali utente Windows

Software/pacchetti da utilizzare:
Verifica software
Kerberos 5 -> pacchetti Mandrake:
http://ftp.nluug.nl/ftp/pub/os/Linux/distr/Mandrakelinux/official/10.2/i586/media/main/
1) libkrb53-1.3.6-6mdk.i586.rpm
2) krb5-workstation-1.3.6-6mdk.i586.rpm
3) libkrbafs0-1.2.2-4mdk.i586.rpm
4) krbafs-utils-1.2.2-4mdk.i586.rpm

Kerberos 5 -> pacchetti Suse suse:
ftp://rpmfind.net/linux/SuSE-Linux/i386/update/9.3/rpm/i586/
1) krb5-libs-1.2.4-1 ( krb5 )
2) krb5-workstation-1.2.4-1 ( krb5-apps-client , krb5-client )
3) libkrbafs0-1.2.2-4 ( afs-krb5 )
4) krbafs-utils-1.2.2
5) pam_krb5

Samba –> winbind:
1) samba-winbind-version

Configurazioni:
Supponendo che il dominio si chiami MYDOMAIN e che il server per le
autenticazioni sia Amilo-Win2003.MYDOMAIN .....

Samba: /etc/samba/smb.conf
[global]
# general options
workgroup = MYDOMAIN
netbios name = Mandrake
dns proxy = no
# winbindd configuration
# default winbind separator is \, which is good if you
# use mod_ntlm since that is the character it uses.
# users only need to know the one syntax
winbind separator = +
# idmap uid and idmap gid are aliases for
# winbind uid and winbid gid, respectively
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
template homedir = /home/%D/%U
template shell = /bin/bash
security = ads
# encrypt passwords = yes is now default in Samba3
encrypt passwords = yes
realm = MYDOMAIN
# this handles the "ads server = " directive as well
password server = Amilo-Win2003.MYDOMAIN
-------------------------------------------------------------------------------

NSS ( Name Service Switch ) /etc/nsswitch.conf

passwd: compat winbind
group: compat winbind
-------------------------------------------------------------------------------

Kerberos /etc/krb5.conf

[logging]
default = FILE:/var/log/kerberos/krb5libs.log
kdc = FILE:/var/log/kerberos/krb5kdc.log
admin_server = FILE:/var/log/kerberos/kadmind.log

[libdefaults]
default_realm = MYDOMAIN

[realms]
MYDOMAIN = {
kdc = Amilo-Win2003.MYDOMAIN
admin_server = Amilo-Win2003.MYDOMAIN
default_domain = MYDOMAIN
}

[domain_realm]
.mydomain = MYDOMAIN
mydomain = MYDOMAIN

[kdc]
profile = /etc/kerberos/krb5kdc/kdc.conf

[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false

[login]
krb4_convert = false
krb4_get_tickets = false
-------------------------------------------------------------------------------

PAM - su mandrake
/etc/pam.d/system-auth

#%PAM-1.0

auth required pam_env.so
auth sufficient pam_winbind.so
auth sufficient pam_unix.so likeauth nullok use_first_pass
auth required pam_deny.so

account sufficient pam_winbind.so
account required pam_unix.so

password required pam_cracklib.so retry=3 minlen=2 dcredit=0 ucredit=0
password sufficient pam_unix.so nullok use_authtok md5 shadow
password required pam_deny.so

session sufficient pam_mkhomedir.so skel=/etc/skel/ umask=0077
session required pam_limits.so
session required pam_unix.so
-------------------------------------------------------------------------------

Passi fatti su Mandrake dopo aver riavviato la macchina:

A) Configurata scheda di rete per poter raggiungere il server PDC

/etc/resolve.conf
domain MYDOMAIN

/etc/hosts
10.0.0.10 Amilo-Win2003.MYDOMAIN, Amilo-Win2003

B) Segnalato al dominio che esistiamo registrando la macchina
net ads join -U Administrator%password

C) Restartarti tutti i demoni di samba

D) verificato l'accesso con i comandi
wbinfo -t , wbinfo -g ,wbinfo -u

E) Caricati gli utenti attuali del PDC
[ getent passwd , getent group ]

F) Creati permessi cartelle home directory
[ mkdir /home/MYDOMAIN
chmod 770 /home/MYDOMAIN
chown root:MYDOMAIN+Domain\ Users /home/MYDOMAIN ]

G) Riavviato e loggato con un utente valido nel formato: "DOMINIO+UTENTE"

--------------------------------------------
Sulla macchina Suse i file di configurazione cambiano per PAM infatti nella
cartella /etc/pam.d esistono 4 file di configurazione e ho apportato le
seguenti modifiche:

File: common-auth
[ auth sufficient pam_unix.so likeauth nullok use_first_pass
auth sufficient pam_winbind.so ]

File: common-account
[ account sufficient pam_winbind.so ]

File: common-session
[ session sufficient pam_mkhomedir.so skel=/etc/skel/ umask=0077 ]

Ho verificato l'esistenza delle seguenti librerie:
/lib/security/pam_winbind.so
/lib/libnss_winbind.so
/lib/security/pam_smbpass.so

Ma al momento del riavvio e dell'esecuzione del comando:

net ads join -U Administrator%password

il sistema si pianta e devo riavviare la macchina.
Nei log mi ritrovo:
Su Suse:
--------- niente -------------

Su Windows:
Tipo evento: Errore
Origine evento: NETLOGON
Categoria evento: Nessuno
ID evento: 5805
Utente: N/D
Computer: AMILO-WIN2003
Descrizione:
Autenticazione dell'installazione della sessione dal computer SUSEVM non
riuscita. Si �verificato il seguente errore:
Accesso negato.

Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico
all'indirizzo http://go.microsoft.com/fwlink/events.asp.
Dati:
0000: 22 00 00 c0 "..�

Pensando che la configurazione di Kerberos fosse errata ho anche cercato di
creare una credenziale valida col nome della macchina usando ktpass sul
server windows e importato il file generato sulla macchina Suse, caricato
con ktutil , ma il risultato continua ad essere lo stesso.

Come ultima considerazione le macchine SuseVM , Windows 2003 e la Mandrake
sono macchine virtuali su una macchina fisica con sistema operativo Suse
10.0 ma non penso sia questo il problema, mentre le versioni di samba
utilizzate sono la 3.0.7 sulla Mandrake e 3.0.20-4-SUSE sulla SuseVM , una
versione più recente da più problemi di quelle vecchie ?

Condivido con tutti voi questo problema nella speranza di trovare una
soluzione e capire cosa ho sbagliato.

Grazie a tutti :)

More information about the samba-it mailing list