znaczacy > comp.os.* > comp.os.linux.sieci

Adam Przestroga (24.07.2009, 17:27)
Michal "Wolvverine" Panasiewicz wrote:
> wylacz wszystkie uslugi zwiazane z likewise i dopiero dodawaj.
> uruchomiona usluga nie pozwala ci dodac.


Wylaczylem te dwie uslugi:
lwrdrd
netlogond

Gdy probuje dodac ponownie dostaje ten sam blad oraz nastepujaca
informacje w logu "/tmp/lwidentity.join.log":

20090724112204:WARNING:Short domain name not specified. Defaulting to
'przestroga'
20090724112250:ERROR:Lsass Error [CENTERROR_DOMAINJOIN_LSASS_ERROR]

Error [code=-1] occurred.

Stack Trace:
main.c:885
main.c:455
djmodule.c:307
djauthinfo.c:803
djauthinfo.c:1741

Nie mam bladego pojecia co z tym dalej zrobic.
Michal \Wolvverine\ Panasiewicz (26.07.2009, 20:13)
Dnia 2009-07-24, pia o godzinie 11:27 -0400, Adam Przestroga pisze:
> Michal "Wolvverine" Panasiewicz wrote:
> > wylacz wszystkie uslugi zwiazane z likewise i dopiero dodawaj.
> > uruchomiona usluga nie pozwala ci dodac.

> Wylaczylem te dwie uslugi:
> lwrdrd
> netlogond

lsassd
dcerpcd

# ps ax | grep like
2218 ? Sl 0:02 /opt/likewise/sbin/dcerpcd
2264 ? Sl 0:19 /opt/likewise/sbin/eventlogd
--start-as-daemon
2301 ? Sl 0:04 /opt/likewise/sbin/netlogond
--start-as-daemon
2340 ? Sl 1:42 /opt/likewise/sbin/lsassd --start-as-daemon

to sa uslugi likewise, w chwili dodawania nie powinny byc uruchomione (w
chwili dodawania uruchomione zostana potrzebne)
Adam Przestroga (27.07.2009, 22:37)
Michal "Wolvverine" Panasiewicz wrote:
> # ps ax | grep like
> 2218 ? Sl 0:02 /opt/likewise/sbin/dcerpcd
> 2264 ? Sl 0:19 /opt/likewise/sbin/eventlogd
> --start-as-daemon
> 2301 ? Sl 0:04 /opt/likewise/sbin/netlogond
> --start-as-daemon
> 2340 ? Sl 1:42 /opt/likewise/sbin/lsassd --start-as-daemon
> to sa uslugi likewise, w chwili dodawania nie powinny byc uruchomione (w
> chwili dodawania uruchomione zostana potrzebne)


Hmm, masz racje ubilem i te i udalo mi sie podlaczyc do domeny Windows!
Pozwol ze zapytam o jeszcze jedna rzecz bo widze ze jestes dosyc
obeznany w tym temacie. W chwili obecnej kazdy uzytkownik domeny moze
zalogowac sie na moj serwer Linux. Jak wymusic aby tylko konkretni
uzytkownicy mieli taka mozliwosc? Probowalem to zrobic w nastepujacy sposob:
a) po stronie Windows utworzylem grupe "unixadmins"
b) po stronie Linux w /etc/pam.d/common-auth dopisalem
"require_membership_of=przestroga\unixadmin".

Wydaje sie to dzialac ale az za dobrze bo teraz nikt nie moze sie
zalogowac. W auth.log widze taki oto blad:

Jul 27 16:20:01 przestroga01 CRON[10197]: pam_unix(cron:session):
session opened for user root by (uid=0)
Jul 27 16:20:01 przestroga01 CRON[10198]: PAM (cron) illegal module
type: require_membership_of=przestroga\unixadmin
Jul 27 16:20:01 przestroga01 CRON[10198]: PAM (cron) no control flag
supplied
Jul 27 16:20:01 przestroga01 CRON[10198]: PAM (cron) no module name supplied
Mariusz Kruk (28.07.2009, 08:46)
epsilon$ while read LINE; do echo \>"$LINE"; done < "Adam Przestroga"
>b) po stronie Linux w /etc/pam.d/common-auth dopisalem
>"require_membership_of=przestroga\unixadmin".


A skąd Ci się to wzięło?

>Wydaje sie to dzialac ale az za dobrze bo teraz nikt nie moze sie
>zalogowac. W auth.log widze taki oto blad:
>Jul 27 16:20:01 przestroga01 CRON[10197]: pam_unix(cron:session):
>session opened for user root by (uid=0)
>Jul 27 16:20:01 przestroga01 CRON[10198]: PAM (cron) illegal module
>type: require_membership_of=przestroga\unixadmin
>Jul 27 16:20:01 przestroga01 CRON[10198]: PAM (cron) no control flag
>supplied
>Jul 27 16:20:01 przestroga01 CRON[10198]: PAM (cron) no module name supplied


No, te komunikaty są dość oczywiste.
Michal \Wolvverine\ Panasiewicz (28.07.2009, 14:17)
Dnia 2009-07-27, pon o godzinie 16:37 -0400, Adam Przestroga pisze:
> Michal "Wolvverine" Panasiewicz wrote: ....
> Hmm, masz racje ubilem i te i udalo mi sie podlaczyc do domeny Windows!
> Pozwol ze zapytam o jeszcze jedna rzecz bo widze ze jestes dosyc
> obeznany w tym temacie. W chwili obecnej kazdy uzytkownik domeny moze
> zalogowac sie na moj serwer Linux. Jak wymusic aby tylko konkretni
> uzytkownicy mieli taka mozliwosc? Probowalem to zrobic w nastepujacy sposob:
> a) po stronie Windows utworzylem grupe "unixadmins"
> b) po stronie Linux w /etc/pam.d/common-auth dopisalem
> "require_membership_of=przestroga\unixadmin".


a przeczytaj dokladnie jeszcze raz watek gdzie to sie edytuje/wpisuje

PS. poczytaj takze dokladnie o konfiguracji PAM
Adam Przestroga (28.07.2009, 18:31)
Michal "Wolvverine" Panasiewicz wrote:
> a przeczytaj dokladnie jeszcze raz watek gdzie to sie edytuje/wpisuje
> PS. poczytaj takze dokladnie o konfiguracji PAM


Komunikat moze i zrozumialy ale nie wiem o jakim watku piszesz.
Sprawdzilem pobieznie link podany przez Ciebie wczesniej
() ale nie widze informacji jak to
skonfigurowac. Czy masz na mysli inny watek?
Adam Przestroga (28.07.2009, 23:48)
Michal "Wolvverine" Panasiewicz wrote:
> a przeczytaj dokladnie jeszcze raz watek gdzie to sie edytuje/wpisuje
> PS. poczytaj takze dokladnie o konfiguracji PAM


Google podpowiedzialo mi
()
ze plik w ktorym powinienem edytowac to:
/etc/security/pam_lwidentity.conf.

Niestety w moim systemie Debian 5.1 SQUEEZE nie ma tego pliku. Widze
natomiast:

/etc/krb5.conf.lwidentity.bak
/etc/krb5.conf.lwidentity.orig
/etc/nsswitch.conf.lwidentity.bak
/etc/nsswitch.conf.lwidentity.orig
/etc/pam.d/atd.lwidentity.bak
/etc/pam.d/atd.lwidentity.orig
/etc/pam.d/chfn.lwidentity.bak
/etc/pam.d/chfn.lwidentity.orig
/etc/pam.d/chsh.lwidentity.bak
/etc/pam.d/chsh.lwidentity.orig
/etc/pam.d/common-account.lwidentity.bak
/etc/pam.d/common-account.lwidentity.orig
/etc/pam.d/common-auth.lwidentity.bak
/etc/pam.d/common-auth.lwidentity.orig
/etc/pam.d/common-password.lwidentity.bak
/etc/pam.d/common-password.lwidentity.orig
/etc/pam.d/cron.lwidentity.bak
/etc/pam.d/cron.lwidentity.orig
/etc/pam.d/login.lwidentity.bak
/etc/pam.d/login.lwidentity.orig
/etc/pam.d/newrole.lwidentity.bak
/etc/pam.d/newrole.lwidentity.orig
/etc/pam.d/other.lwidentity.bak
/etc/pam.d/other.lwidentity.orig
/etc/pam.d/run_init.lwidentity.bak
/etc/pam.d/run_init.lwidentity.orig
/etc/pam.d/sshd.lwidentity.bak
/etc/pam.d/sshd.lwidentity.orig
/etc/pam.d/su.lwidentity.bak
/etc/pam.d/su.lwidentity.orig
/etc/pam.d/sudo.lwidentity.bak
/etc/pam.d/sudo.lwidentity.orig
/etc/ssh/ssh_config.lwidentity.bak
/etc/ssh/ssh_config.lwidentity.orig
/etc/ssh/sshd_config.lwidentity.bak
/etc/ssh/sshd_config.lwidentity.orig

Czy w dobrym kierunku podazam?
Adam Przestroga (29.07.2009, 05:09)
Michal "Wolvverine" Panasiewicz wrote:
> Dnia 2009-07-27, pon o godzinie 16:37 -0400, Adam Przestroga pisze:
> ....
> a przeczytaj dokladnie jeszcze raz watek gdzie to sie edytuje/wpisuje
> PS. poczytaj takze dokladnie o konfiguracji PAM

Oh, w koncu znalazlem cos konkretnego. Podaje dla potomnych:


Sorry za zasmiecanie grupy.

Pozdrawiam,
APrzestroga
Michal \Wolvverine\ Panasiewicz (29.07.2009, 14:26)
Dnia 2009-07-28, wto o godzinie 17:48 -0400, Adam Przestroga pisze:
> Michal "Wolvverine" Panasiewicz wrote:
> Google podpowiedzialo mi
> ()
> ze plik w ktorym powinienem edytowac to:
> /etc/security/pam_lwidentity.conf.
> Niestety w moim systemie Debian 5.1 SQUEEZE nie ma tego pliku. Widze
> natomiast: ....
> Czy w dobrym kierunku podazam?


:/ mialem na mysli TEN watek, napisalem przeciez:
Adam Przestroga (29.07.2009, 17:13)
Michal "Wolvverine" Panasiewicz wrote:
> :/ mialem na mysli TEN watek, napisalem przeciez:
>> ewentualnie dodatkowo edytujesz /etc/likewise/lsassd.conf
>> (require-membership-of = domain\group)


Michal,

Tak, teraz widze (sorry nie doczytalem wczesniej). Tak jak juz pisalem
moj serwer podpina sie pod domene poprawnie ale gdy wpisze
require-membership-of = przestroga\unixadmins w
/etc/likewise/lsassd.conf i odswieze konfiguracje wowczas zaden
uzytkownik AD nie jest w stanie polaczyc sie z tym serwerem Linux.

W auth.log widze nastepujacy wpis:
Jul 29 11:11:43 PRZESTROGA01 sshd[3847]:
[module:pam_lsass]pam_sm_authenticate error
[login:przestroga\adam][error code:13]

Podczas podpinania sie do domeny dostaje taki oto komunikat:

Joining to AD Domain: przestroga.net
With Computer DNS Name: przestroga01.przestroga.net

Adam's password:
Warning: Unknown pam configuration
The likewise PAM module cannot be configured for the newusers service.
Either this service is unprotected (does not require a valid password
for access), or it is using a pam module that this
program is unfamiliar with. Please email Likewise technical support and
include a copy of /etc/pam.conf or /etc/pam.d.

Warning: Unknown pam configuration
The likewise PAM module cannot be configured for the chpasswd service.
Either this service is unprotected (does not require a valid password
for access), or it is using a pam module that this
program is unfamiliar with. Please email Likewise technical support and
include a copy of /etc/pam.conf or /etc/pam.d.

Warning: A resumable error occurred while processing a module
Even though the configuration of 'pam' was executed, the configuration
did not fully complete. Please contact Likewise support.

SUCCESS

Gdy usune wpis "require-membership-of" moge sie zalogowac uzywajac jako
uzytkownik AD, ale widze takie oto wpisy w auth.log:

Jul 29 11:00:25 PRZESTROGA01 sshd[3746]:
[module:pam_lsass]Canonicalizing pam username from 'przestroga\adam' to
'PRZESTROGA\adam'
Jul 29 11:00:25 PRZESTROGA01 sshd[3728]: Accepted
keyboard-interactive/pam for przestroga\\adam from 192.168.11.7 port
3766 ssh2
Jul 29 11:00:25 PRZESTROGA01 sshd[3728]: pam_unix(sshd:session): session
opened for user przestroga\adam by (uid=0)
Jul 29 11:00:25 PRZESTROGA01 sshd[3728]:
[module:pam_lsass]pam_notify_user_logon failed
[login:przestroga\adam][error code: 32825]

Moj /etc/pam.conf jest pusty.

Pozdrawiam,
AP
Michal \Wolvverine\ Panasiewicz (29.07.2009, 18:30)
Dnia 2009-07-28, wto o godzinie 17:48 -0400, Adam Przestroga pisze:
[..]
> /etc/ssh/ssh_config.lwidentity.orig
> /etc/ssh/sshd_config.lwidentity.bak
> /etc/ssh/sshd_config.lwidentity.orig

te pliki to kopie zrobione podczas dopisywania przez likewise wpisów do
orginalnych plików

Podobne wątki