Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
|
cs:spravce:pripojovani:radius:freeradius3:windowsad [2017/05/03 15:17] jan.tomasek@cesnet.cz |
cs:spravce:pripojovani:radius:freeradius3:windowsad [2018/04/09 21:05] jan.tomasek@cesnet.cz |
||
|---|---|---|---|
| Řádek 49: | Řádek 49: | ||
| systém zaregistroval na oba DC zároveň, lze také použít unikátní FQDN. | systém zaregistroval na oba DC zároveň, lze také použít unikátní FQDN. | ||
| - | Soubor ''/etc/smb.conf'': | + | Soubor ''/etc/smb.conf'' (Debian 9 má soubor v ''/etc/samba/smb.conf''): |
| <file> | <file> | ||
| [global] | [global] | ||
| Řádek 57: | Řádek 57: | ||
| realm = UNIVERZITA.CZ | realm = UNIVERZITA.CZ | ||
| </file> | </file> | ||
| - | Pozor, workgroup není doména, jméno musí být uvedeno bez koncovky domény 1. řádu. DC jsouopět dva. | + | Pozor, workgroup není doména, jméno musí být uvedeno bez koncovky domény 1. řádu. DC jsou opět dva. |
| Soubor ''/etc/nsswitch.conf'': | Soubor ''/etc/nsswitch.conf'': | ||
| Řádek 73: | Řádek 73: | ||
| kerberosový tiket. Identifikátor domény vyplňovat nemusíme, použije se defaultní. Uživatel nemusí | kerberosový tiket. Identifikátor domény vyplňovat nemusíme, použije se defaultní. Uživatel nemusí | ||
| být doménovým administrátorem. Na konci pokusu se musí přihlášení zrušit, krb5 tiket totiž platí 8 | být doménovým administrátorem. Na konci pokusu se musí přihlášení zrušit, krb5 tiket totiž platí 8 | ||
| - | hodin. Prostupy FW jsou trochu oříšek, já vypozoroval používání TCP 88, 389, 445 a UDP 88. | + | hodin. Prostupy FW jsou trochu oříšek, já vypozoroval používání TCP 88, 389, 445 a UDP 88. Ale pak ještě aplikační ping na členy domény, je to volání DCERPC a chodí po dynamických portech 1024-65535, spojení navazují různě obě strany. |
| <file> | <file> | ||
| Řádek 101: | Řádek 101: | ||
| <file> | <file> | ||
| ~# wbinfo -u | ~# wbinfo -u | ||
| + | UNIVERZITA\novak | ||
| + | UNIVERZITA\kocicika | ||
| + | ... | ||
| ~# wbinfo -g | ~# wbinfo -g | ||
| + | UNIVERZITA\studenti | ||
| + | UNIVERZITA\ucitele | ||
| + | ... | ||
| ~# wbinfo -P | ~# wbinfo -P | ||
| + | checking the NETLOGON for domain[UNIVERZITA] dc connection to "ldapdc.univerzita.cz" succeeded | ||
| ~# ntlm_auth --request-nt-key --domain=UNIVERZITA --username=bezny_uzivatel | ~# ntlm_auth --request-nt-key --domain=UNIVERZITA --username=bezny_uzivatel | ||
| --require-membership-of="UNIVERZITA\g_eduroam" | --require-membership-of="UNIVERZITA\g_eduroam" | ||
| Řádek 111: | Řádek 118: | ||
| Password: | Password: | ||
| NT_STATUS_LOGON_FAILURE: Logon failure (0xc000006d) | NT_STATUS_LOGON_FAILURE: Logon failure (0xc000006d) | ||
| + | </file> | ||
| + | |||
| + | Zajištění automatického startu winbind služby: | ||
| + | <file> | ||
| + | ~# systemctl unmask winbind | ||
| + | ~# systemctl enable winbind | ||
| </file> | </file> | ||
| Řádek 119: | Řádek 132: | ||
| chown root:freerad /var/lib/samba/winbindd_privileged | chown root:freerad /var/lib/samba/winbindd_privileged | ||
| </file> | </file> | ||
| + | a nebo přidejte uživatele freerad do skupiny winbindd_priv která má práva čtení a spouštění na dotčeném adresáři. | ||
| V souboru ''/etc/freeradius/mods-enabled/mschap'' se nastaví ověření pomocí sambového ntlm_auth. Pozor na nutnost escapování znaku | V souboru ''/etc/freeradius/mods-enabled/mschap'' se nastaví ověření pomocí sambového ntlm_auth. Pozor na nutnost escapování znaku | ||
CESNET, z. s. p. o.
Generála Píky 26
160 00 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz