Эта страница является переводом man pam_winbind(8) из пакета Samba.

ИМЯ

pam_winbind — модуль PAM для Winbind.

ОПИСАНИЕ

Утилита является частью пакета samba(7).

pam_winbind – это модуль PAM, который может проверять подлинность пользователей локального домена через сервер Winbind.

ОПИСАНИЕ

Отредактируйте конфигурационный системный файл PAM /etc/pam.d/service и исправьте его в соответсвии с примером ниже:

...

auth required pam_env.so

auth sufficient pam_unix2.so

+++ auth required pam_winbind.so use_first_pass

account requisite pam_unix2.so

+++ account required pam_winbind.so use_first_pass

+++ password sufficient pam_winbind.so

password requisite pam_pwcheck.so cracklib

password required pam_unix2.so use_authtok

session required pam_unix2.so

+++ session required pam_winbind.so

...

Убедитесь что pam_winbind расположен раньше других модулей в файле конфигурации. Он может получить тикет kerberos раньше других модулей, которым может потребоваться тикет.

ПАРАМЕТРЫ

pam_winbind поддерживает несколько параметров, которые могут быть настроены в файле конфигурации PAM или файле конфигурации pam_winbind находящемся в /etc/security/pam_winbind.conf. Параметры в файле конфигурации PAM имеют больший приоритет.

debug

Создает отладочную информацию в syslog.

debug_state

Создает детальную отладочную инвормацию о состоянии PAM в syslog.

require_membership_of=[SID or NAME]

При установке этого параметра pam_winbind отработает успешно только если пользователь является членом указаного SID или NAME. SID может быть group-SID, как и alias-SID или даже user-SID. Кроме того можно указать NAME вместо SID. Имя указывается в формате: MYDOMAIN\\mygroup или MYDOMAIN\\myuser. В этом случае pam_winbind сам разрешит имя в SID. Заметьте NAME не должно содержать пробелов. Поэтому рекомендуется использовать только SID. Вы можете установить соответствие SIDов пользователям командой wbinfo --user-sids=SID.

use_first_pass

По умолчанию pam_winbind пытается получить аутентификационный token от предшествующего модуля. Если токена нет, у пользователя будет запрошен старый пароль. С этой опцией pam_winbind завершится с ошибкой если нет аутентификационного токана от предыдущего модуля.

try_first_pass

Тоже что и предыдущий параметр за исключением тошо что если пароль неверен, PAM выведет предложение ввода пароля.

use_authtok

Установит новый пароль, предусмотреный пакетным модулем паролей. Если параметр не установлен pam_winbind будет запрашивать у пользователя новый пароль.

krb5_auth

pam_winbind может авторизовывать припомощи Kerberos, если winbindd общается с домен контроллером Active Directory. С помощью этого параметра разрешается авторизация Kerberos. В случае ошибки авторизации Kerberos (например несинхронизировано время), winbindd использует авторизацию samlogon поверх MSRPC. Если этот параметр используется в сочетании с winbind refresh tickets, winbind будет удерживать ваш Ticket Granting Ticket (TGT) автоматически обновляя его при необходимости.

krb5_ccache_type=[type]

Если pam_winbind настроен на kerberos авторизацию с включенной опцией krb5_auth, он может хранить полученый Ticket Granting Ticket (TGT) в безопасном кеше. Тип этого безопасного кеша может быть выбран этим параметром. На сегодня поддерживается только тип кеша: FILE. Будет создан кеш в виде /tmp/krb5cc_UID, где UID заменяется номером id пользователя. Оставите поле пустым, чтобы не создавать кеш после успешной керберос авторизации.

cached_login

Если включена опция winbind offline logon, winbind разрешит авторизацию в автономном режиме. Для использования этой функции из модуля PAM данный параметр нужно включить.

silent

Не выводить никаких сообщений.

mkhomedir

Создать home directory для пользователя на лету, option действителен во время сессии PAM.

warn_pwd_expire

Определяет количество днейдо вывода предупреждения модулем pam_winbind о том что пароли устарели. По умолчанию 14 дней.

ЭКСПОРТ ДАННЫХ PAM

Тут описаны данные, которые можно экспортировать из стека PAM для использования в других модулях PAM.

PAM_WINBIND_HOMEDIR

Это домашняя директория Windows устанавливается в профиле пользователя на вкладке настройки пользователя на сервере Active Directory. Это может быть как локальный путь так и общий ресурс подключенный как сетевой диск.

PAM_WINBIND_LOGONSCRIPT

Путь к сценарию выполняемому при регистрации пользователя в системе. Обычно это относительный путь к сценарию хранящемуся на сервере.

PAM_WINBIND_LOGONSERVER

Экспорт имени сервера авторизации Active Directory. Эта переменная может быть использована в дальнейшем.

PAM_WINBIND_PROFILEPATH

Это путь к профилю устанавливается на вкладке профиль настроек пользователя. Обычно домашний каталог синхронизируется с этим каталогом на общем ресурсе.

СМОТРИТЕ ТАКЖЕ

wbinfo(1), winbindd(8), smb.conf(5)

ВЕРСИЯ

Этот man написан для версии 3 пакета Samba.

АВТОР

Изначально Samba и сопутствующие утилиты были разработаны Эндрю Тридгеллом (Andrew Tridgell). Сейчас Samba разрабатывается Samba Team в качестве Open Source проекта – напоминает то, как разрабатывается ядро Linux.

Эта страница man написана Jelmer Vernooij и Guenther Deschner.

Перевод на русский язык выполнил Айзятуллен Рамиль.

Обсудить данный перевод можно в соответствующей ветке форума.