1. Необходимо проапгрейдить сервер самба, поскольку по умолчанию стоит
3.025 и у меня возникли проблемы при подключении к домену, постоянно
падал winbind -

 # yum update samba


2. Я использовал kerberos 5 поэтому , его необходимо установить

 # yum install krb5


я ставил вот эти пакеты

 krb5-devel-1.6.1-4.fc7.i386.rpm
 krb5-libs-1.6.1-4.fc7.i386.rpm
 krb5-server-1.6.1-4.fc7.i386.rpm
 krb5-workstation-1.6.1-4.fc7.i386.rpm
 krb5-workstation-clients-1.6.1-4.fc7.i386.rpm
 xinetd-2.3.14-12.fc7.i386.rpm


3. Настройка kerberos тривиальна но есть загвоздки.

Реалм должен быть указан в ВЕРХНЕМ РЕГИСТРЕ

 [libdefaults]
 ticket_lifetime = 24000 
 clock_skew = 300 
 default_realm = DC.MYDOMAIN.LOCAL
 
 dns_lookup_realm = true
 dns_lookup_kdc = true
 [realms]
 DC.MYDOMAIN.LOCAL = {
 kdc = SERV1.DC.MYDOMAIN.LOCAL
 admin_server = SERV1.DC.MYDOMAIN.LOCAL
 default_domain = DC.MYDOMAIN.LOCAL 
 }
 10.10.0.105 = {
 kdc = 10.10.0.105
 }


 [domain_realm]
 .NS.DOMAIN = DC.MYDOMAIN.LOCAL 
 NS.DOMAIN = DC.MYDOMAIN.LOCAL 
 
 dc.mydomain.local = DC.MYDOMAIN.LOCAL
 .dc.mydomain.local = DC.MYDOMAIN.LOCAL

 [logging] 
 default = FILE:/var/log/krb5.log


проверяем подключение 

 # kinit Administrator@DC.MYDOMAIN.LOCAL
 # Password: пишем пароль администратора


опять обращаю внимание что домен пишется в верхнем регистре, если все
нормально проверяем

 # klist

 Ticket cache: FILE:/tmp/krb5cc_0
 Default principal: Administrator@DC.MYDOMAIN.LOCAL

 Valid starting Expires Service principal
 10/25/07 11:28:11 10/25/07 18:08:11 krbtgt/DC.MYDOMAIN.LOCAL@DC.MYDOMAIN.LOCAL


Так c kerberos разобрались настраиваем samba и winbind.


4. Настраиваем сервер samba


приводим файл lmhosts к след содержанию

 127.0.0.1 localhost
 10.10.0.105 serv1 # где serv1 - это PDC


приводим smb.conf к след виду


 #smb.conf
 [global]
 log file = /var/log/samba/log.%m
 idmap gid = 10000-20000
 socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
 auth methods = winbind
 interfaces = 10.10.0.2/24
 encrypt passwords = yes
 hosts allow = 10.10.0. 127.
 realm = SERV1.DC.MYDOMAIN.LOCAL
 winbind use default domain = yes
 case sensitive = no
 dns proxy = no
 netbios name = desktop
 server string = desktop.dc.mydomain.local
 idmap uid = 10000-20000
 password server = 10.10.0.105
 default = public
 dos charset = 866
 local master = no
 workgroup = DC
 os level = 20
 security = ads
 unix charset = KOI8-R
 max log size = 50
 template shell = /bin/bash #обязательно укажем этот параметр
 template homedir = /home/%D/%U #и этот
 [public]
 guest ok = Yes
 writable = yes
 writeable = yes
 public = yes
 path = /file_share
 write list = nobody




Остановим сервер samba и winbind 

 # service smb stop
 # service winbind stop


Добавим в файл /etc/hosts

 10.10.0.105 serv1 #описание PDC


Приведем файл /etc/nsswitch к след виду

 passwd: files winbind
 shadow: files winbind
 group: files winbind

 #hosts: db files nisplus nis dns
 hosts: files dns

 # Example - obey only what nisplus tells us...
 #services: nisplus [NOTFOUND=return] files
 #networks: nisplus [NOTFOUND=return] files
 #protocols: nisplus [NOTFOUND=return] files
 #rpc: nisplus [NOTFOUND=return] files
 #ethers: nisplus [NOTFOUND=return] files
 #netmasks: nisplus [NOTFOUND=return] files 

 bootparams: nisplus [NOTFOUND=return] files
 
 ethers: files
 netmasks: files
 networks: files
 protocols: files
 rpc: files
 services: files

 netgroup: files
 
 publickey: nisplus

 automount: files
 aliases: files nisplus


Далее идем в каталог /etc/pam.d
добавляем файл common-account

 # touch common-account


и прописываем там

 account sufficient pam_winbind.so


Далее в этом же каталоге необходимо отредактировать файл 
system-auth-ac - его приводим к следующему виду:

 auth required /lib/security/$ISA/pam_env.so
 auth sufficient /lib/security/$ISA/pam_winbind.so
 auth sufficient /lib/security/$ISA/pam_unix.so likeauth nullok use_first_pass
 auth required /lib/security/$ISA/pam_deny.so

 account required /lib/security/$ISA/pam_unix.so
 account sufficient /lib/security/$ISA/pam_winbind.so
 account sufficient /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
 account required /lib/security/$ISA/pam_permit.so

 password requisite /lib/security/$ISA/pam_cracklib.so retry=3
 password sufficient /lib/security/$ISA/pam_winbind.so
 password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
 password required /lib/security/$ISA/pam_deny.so

 session required /lib/security/$ISA/pam_mkhomedir.so skel=/etc/skel umask=0077
 session required /lib/security/$ISA/pam_limits.so
 session required /lib/security/$ISA/pam_unix.so


5. Синхронизируем время на машине с PDC

 # net time set


6. Подключим машину к домену

 # net join ads -U Administartor


7. Запустим samba и winbind

 # service smb start
 # service winbind start


8. Проверим winbin 

 # wbinfo -p


ответ примерно такой -

 Ping to winbindd succeeded on fd 4


Далее необходимо установить авторизатора винбинда

 # wbinfo --set-auth-user=Administartorr%123456


проверим

 # wbinfo --get-auth-user


ответ

 DC\Administartor%123456


Проверим доступность доменных пользователей и групп

 # wbinfo -u


ответ - список пользователей домена

 # wbinfo -g


ответ - список групп домена

Проверяем вход под доменной учетной записью

 # ssh drock@localhost
 # drock@localhost's password:
 Creating directory '/home/DC/drock'.
 Creating directory '/home/DC/drock/.kde'.
 Creating directory '/home/DC/drock/.kde/Autostart'.
 Last login: Tue Oct 23 15:30:25 2007 from 10.10.0.2
 [drock@fedora ~]$ 


Вроде ничего не забыл.