|
|
www.lissyara.su
—> статьи
—> FreeBSD
—> настройка
—> sshd & AD
sshd - авторизация пользователей в AD
Автор: squid.
Возникла проблема открыть доступ юзерам к shell’у, но поскольку юзерам тяжело запомнить два имени под которыми куда заходить (домен win2003 или FreeBSD), пришлось думать как сделать одно имя для входа на всех компах.
Все настраивалось на FreeBSD 5.5-RELEASE, samba-3.0.23d,1.
Решил сделать авторизацию через winbind.
Настраиваем все по статье.
Далее, чтобы создавались home - устанавливаем pam_mkhomedir:
samba# cd /usr/ports/security/pam_mkhomedir
samba# make install clean
| Далее настраиваем sshd для авторизации через winbind и делаем копию на всякий случай:
samba# cd /etc/pam.d
samba# cp sshd sshd.orig
| файл /etc/pam.d/sshd
samba# cat /etc/pam.d/sshd
auth required pam_nologin.so no_warn
auth sufficient pam_opie.so no_warn no_fake_prompts
auth requisite pam_opieaccess.so no_warn allow_local
auth required pam_unix.so no_warn try_first_pass
account required pam_login_access.so
account required pam_unix.so
session required pam_permit.so
password required pam_unix.so no_warn try_first_pass
| изменяем до такого вида:
samba# ee /etc/pam.d/sshd
auth required pam_nologin.so no_warn
# аутентификация акуанта через winbind
auth sufficient pam_winbind.so
auth sufficient pam_opie.so no_warn no_fake_prompts
auth requisite pam_opieaccess.so no_warn allow_local
auth required pam_unix.so no_warn try_first_pass
# проверка доступности акуанта
account sufficient pam_winbind.so
account required pam_login_access.so
account required pam_unix.so
# создание home
session required pam_mkhomedir.so skel=/usr/share/skel
session required pam_permit.so
password required pam_unix.so no_warn try_first_pass
| Если есть надобность ограничить доступ к ssh определенным юзером или группой, то можно использовать параметр pam_winbind require_membership_of=[SID or NAME]
[SID or NAME]: MYDOMAIN\mygroup или MYDOMAIN\myuser
соответственно в файле /etc/pam.d/sshd изменяем соответствующие строки на:
auth sufficient pam_winbind.so require_membership_of=MYDOMAIN\mygroup
account sufficient pam_winbind.so require_membership_of=MYDOMAIN\mygroup
| Проверяем shell юзеров, по умолчанию в samba стоит /bin/false.
Для изменения добавляем строчку в smb.conf:
samba# ee /usr/local/etc/smb.conf
template shell=/bin/csh
| Перезапускаем samba:
samba# /usr/local/etc/rc.d/samba.sh restart
Performing sanity check on Samba configuration: OK
Stopping winbindd.
Waiting for PIDS: 2606.
Stopping smbd.
Stopping nmbd.
Removing stale Samba tdb files: ....... done
Starting nmbd.
Starting smbd.
Starting winbindd.
| Создаем каталог, где будут храниться домашние папки юзеров, pam_mkhomedir его не создает:
samba# mkdir /usr/home/DOMAIN
| DOMAIN – имя Вашего домена
Проверяем:
samba# tail -fn 30 /var/log/auth.log
Aug 30 11:03:47 samba pam_winbind[22417]: user 'user' granted access
Aug 30 11:03:47 samba pam_winbind[22417]: user 'user' OK
Aug 30 11:03:47 samba pam_winbind[22417]: user 'user' granted access
|
Примечание: user – пользователь домена
Также можно сделать и на ftp
Может для обычного пользователя, так прокатит, но иногда приходится и кое что менять, для чего нужно права root'а. Получить их можно включив этого юзера в группу wheel или немного подкрутив фрю.
Первый варивант:
Можно установить sudo
samba# cd /usr/ports/security/sudo
samba# make install clean
| далее правим файл /usr/local/etc/sudoers добавив в него вот такую строку
user ALL=(ALL) NOPASSWD: ALL
| Второй вариант:
Создаем группу в АД и включаем туда тех, кому нужно дать права рута на фри
после чего правим файлик, где заменяем следующие строки
samba# ee/etc/pam.d/su
# auth
auth sufficient pam_rootok.so no_warn
auth sufficient pam_self.so no_warn
#auth requisite pam_group.so no_warn group=wheel root_only fail_safe
#заменяем группу wheel на группу с АД, юзерам которой разрешен вход под рутом
auth requisite pam_group.so no_warn group=freeadmin root_only fail_safe
auth include system
# account
account include system
# session
session required pam_permit.so
|
Ссылка на обсуждение: http://forum.lissyara.su/viewtopic.php?t=13382.
размещено: 2007-09-04,
последнее обновление: 2007-10-31,
автор: squid
|
|
|
|
2014-07-27, lissyara
gmirror
Удалённое создание софтверного зеркала средствами gmirror, на диске разбитом с использованием gpart. Использование меток дисков для монтирования разделов.
2013-08-20, zentarim
Scan+Print server FreeBSD 9
Настройка сервера печати и сервера сканирования под управлением операционной системы FreebSD 9 для МФУ Canon PIXMA MP540
2011-11-20, BlackCat
Разъём на WiFi-карту
Делаем съёмной несъёмную антену на WiFi-карте путём установки ВЧ-разъёма
2011-09-14, manefesto
Настройка git+gitosis
Настройка системы контроля версия исходного кода в связке git+gitosis+ssh
2011-08-14, zentarim
Wi-FI роутер + DHCP + DNS
Настройка Wi-Fi роутера на Freebsd 8 + DNS сервер + DHCP сервер: чтобы Wi-Fi клиенты были в одной подсети с проводными, проводные и беспроводные клиенты получали адреса автоматически по DHCP, кэширующ
2011-06-15, -ZG-
Охранная система на FreeBSD+LPT
В этой статье описана попытка реализации простой охранной системы на базе FreeBSD с подключением к ней охранных устройтсв на LPT порт и видеорегистрацией.
2011-03-13, terminus
ng_nat
Описание работы ng_nat, практическое использование, достоинства и недостатки в сравнении с ipfw nat
2011-02-20, Капитан
Nagios+Digitemp
Статья описывает создание системы оповещения о превышении температуры в специальных помещениях на основе Nagios с использованием программы Digitemp.
2011-02-17, Le1
Zyxel Configuration
Скрипт для массового изменения конфига свичей Zyxel. Берет из файла iplist список ip-шек, заходит последовательно на каждый и выполняет комманды из файла commands, записывая происходящее в лог файл.
2011-02-16, fox
hast carp zfs ucarp cluster
HAST (Highly Available Storage), CARP, UCARP, ZFS, Cluster настройка и одаптация плюс личные размышления…
2011-02-04, BlackCat
Восстановление ZFS
История о том, как был восстановлен развалившийся RAIDZ ZFS-пул (перешедший в FAULTED) с помощью скотча и подручных средств. Или о том, какие приключения ожидают тех, кто не делает резервных копий.
2011-02-03, Капитан
1-Wire
Статья описывает самостоятельное изготовление контроллера DS9097 для съёма показаний с датчиков температуры DS1820 с помощью программы Digitemp.
2011-01-28, Капитан
Температура в серверной
Статья описывает построение системы наблюдения за температурой в помещении серверной с использованием программы Digitemp и выводом графиков в MRTG
|
Статистика сайта
|
Сейчас на сайте находится: 14 чел.
|
За последние 30 мин было: 65 человек
|
За сегодня было 14581 показов, 952 уникальных IP
|
|
|
|
Этот информационный блок появился по той простой причине,
что многие считают нормальным, брать чужую информацию не уведомляя автора
(что не так страшно), и не оставляя линк на оригинал и автора — что более существенно.
Я не против распространения информации — только за. Только условие простое — извольте
подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой,
незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
Если соизволите поставить автора в известность — то вообще почёт вам и уважение.
© lissyara 2006-10-24 08:47 MSK
|
|
|
Комментарии пользователей [8 шт.]