День добрый.
Имеется:
- потребность завести машинку под Ubuntu в домен;
- контроллер домена Win 2000 server;
- Ubuntu 9.04;
- Likewise-Open (чтобы не заморачиваться).

Ситуация:
Likewise установлен, машина введена в домен.
Ребутаю машину, проверяю авторизацию под своей учеткой - результат положительный, система тянет данные такие как имя, фамилию и т.д., в общем все как и положено. Правда несколько ужаты права, но это ерунда.
Завершаю сеанс, пробую зайти в систему под учеткой одного из пользователей который будет на этой машине работать - болт. Получаю ошибку: "Сбой авторизации. Буквы должны быть введены в правильном регистре." После выхода из состояния затупа, проверяю на двух других учетках - результат тот же.
Присваиваю одной из учеток права администратора контролера домена - вход осуществлен.

Вопрос:
Какого [censored]? И как разрешить пользователям авторизоваться не имя прав администратора домена?

Думаю понадобится:

MYDOMAIN\secondary@programist:~$ ls -la /home
итого 16
drwxr-xr-x 4 root root 4096 2009-09-23 08:43 .
drwxr-xr-x 21 root root 4096 2009-09-23 08:34 ..
drwxr-xr-x 4 root root 4096 2009-09-23 10:21 MYDOMAIN
drwxr-xr-x 35 yuri yuri 4096 2009-09-23 10:16 yuri
MYDOMAIN\secondary@programist:~$ ls -la /home/MYDOMAIN
итого 16
drwxr-xr-x 4 root root 4096 2009-09-23 10:21 .
drwxr-xr-x 4 root root 4096 2009-09-23 08:43 ..
drwxr-xr-x 23 MYDOMAIN\primary MYDOMAIN\domain^users 4096 2009-09-23 09:48 primary
drwxr-xr-x 22 MYDOMAIN\secondary MYDOMAIN\domain^users 4096 2009-09-23 10:33 secondary


primary и secondary учётки админов контроллера. yuri учетка созданная при установке оси

Может, настроить pam (http://forum.ubuntu.ru/index.php?topic=17941.0)?

Рекомендую удалить likewise и сделать так: http://ithouse.spb.ru/?p=13
У меня по этой схеме линуксовые клиенты без проблем работают в убунтовом домене.

Эта схема будет работать в домене на базе LDAP. Кстати зачем там Samba я не понял, хотя и не вчитывался, ибо не в тему это. Может когда нибудь потом.
Мне нужно включить машину именно в виндовый домен и именно при помощи Likewise-Open5.

В /var/log/auth.log вижу:

Sep 23 13:55:54 programist gdm[2575]: pam_unix(gdm:auth): check pass; user unknown
Sep 23 13:55:54 programist gdm[2575]: pam_unix(gdm:auth): authentication failure; logname= uid=0 euid=0 tty=:0 ruser= rhost=

при попытке логина обычного пользователя и:

Sep 23 14:01:44 programist gdm[21778]: pam_unix(gdm:session): session opened for user MYDOMAIN\primary by (uid=0)

при логине админа домена.

Все еще не разобрался.

Эта схема будет работать в домене на базе LDAP »
Мне нужно включить машину именно в виндовый домен »
сорри, почему-то подумал что контроллер на убунте :)
Кстати зачем там Samba я не понял, хотя и не вчитывался, »
а без нее никак...

WhitePangolin, pam_unix не может подтянуть имя доменного пользователя, поэтому и проблемы. Кстати, а так (http://quizz.bhome.ru/109-esche-raz-pro-autentifikatsiyu-ubuntu-v-active-directory/) пробовал?

]pam_unix не может подтянуть имя доменного пользователя, поэтому и проблемы »
Это то я вижу, потому и не могу понять в чем дело. Админов домена видит, рядовых членов домена - нет.
]Кстати, а так (http://quizz.bhome.ru/109-esche-raz-pro-autentifikatsiyu-ubuntu-v-active-directory/) пробовал? »
По ссылке идет описание 4й версии, да и проблем там собственно нет никаких, а те примечания в моем случае не подходят. Повторюсь у меня все работает, только вот избирательно както...

WhitePangolin, а что прописано в /etc/pam.d/common-auth?

auth [success=2 default=ignore] pam_unix.so nullok_secure
auth [success=1 default=ignore] pam_lsass.so try_first_pass
auth requisite pam_deny.so
auth required pam_permit.so

А в /etc/likewise/lsass.conf что?

yuri@programist:~$ cat /etc/likewise-open5/lsassd.conf
#
# Likewise Security and Authentication Subsystem (LSASS)
#
# Time value suffixes:
# d - days
# h - hours
# m - minutes
# s - seconds
#

[global]

# Default: no
# enable-eventlog = yes

# Default: yes
# log-network-connection-events = no

# Default: \
# Allowed: a punctuation character
# Excluded: whitespace, alphanumeric, space-replacement character
domain-separator = \

[pam]

# Default: error
#
# Note: log-level can be one of
# {disabled, error, warning, info, verbose}
log-level = error

# Message of the day
# Default: no
# display-motd = yes

# Note: Show this error when user is not
# list of members (users/groups)
# allowed to login
# user-not-allowed-error = Access denied

[auth provider:lsa-activedirectory-provider]

path = /usr/lib/likewise-open5/liblsass_auth_provider_ad.so

login-shell-template = /bin/bash

# Prefix path for user's home directory
# Note:
# a) This is used in place of %H in the
# homedir-template setting
# b) Must be an absolute path
#
# Default: Linux: /home
# Default: MacOS: /Users
# Default: SunOS: /export/home
#
# homedir-prefix = <absolute path>

homedir-template = %H/%D/%U

ldap-sign-and-seal = false

# Cache entry expiration timespan
# Default: 4h
# Minimum: 0
# Maximum: 1d
cache-entry-expiry = 4h

# Machine password expiration lifespan
# Default: 30d
# Minimum: 1h
# Maximum: 60d
machine-password-lifespan = 30d

# Default: ^
# Allowed: a punctuation character
# Excluded: whitespace, alphanumeric, @, /, domain separator character, #
space-replacement = ^

# Default: no
# assume-default-domain = yes
# Default: yes
# sync-system-time = no

# Allow only the following users and groups
# to login to this system
#
# Note: Use a comma-separated list of
# { alias, NT4 style name, SID }
#
# require-membership-of = ABC\support group, ABC\joe, jane, S-1-5-21-3447809367-3151979076-456401374-513

# Default: yes
# create-k5login = no

# Whether home directories should be automatically
# created upon user login
#
# Default: yes
# create-homedir = no

# Umask for home directories
# Default: 022
#
# homedir-umask = 022

# Paths to skeleton directories for provisioning
# home directories
#
# Note: Use a comma separated list
#
# Default: /etc/skel
# or
# Default: System/Library/User Template/Non_localized,
# /System/Library/User Template/English.lproj
#
# skeleton-dirs = /etc/skel

# Whether user credentials should automatically be
# refreshed
#
# Default: yes
# refresh-user-credentials = no

# Forces lsass to use unprovisioned mode
# Values: full unprovisioned
# Default: full
#
cell-support = unprovisioned

# Whether to remove a cached group membership entry derived from PAC
# with information from LDAP showing the user disappearing from
# a group.
#
# Default: yes
#
# trim-user-membership = no

# Whether to return only cached info for NSS group members.
#
# Default: yes
#
# nss-group-members-query-cache-only = no

# Whether to return only cached info for NSS user's groups.
#
# Default: no
#
# nss-user-membership-query-cache-only = yes

[auth provider:lsa-local-provider]

path = /usr/lib/likewise-open5/liblsass_auth_provider_local.so

# Default: 30d
# Minimum: 1d
# Maximum: 180d
password-lifespan = 30d

# Default: 14d
# Minimum: 1h
# Maximum: 30d (must be less than lifespan)
password-change-warning-time = 14d


Остальные конфиги тоже просмотрел. Ничего интересного. Где он эти группы разруливает неясно.

А эти смотрел: lwiauthd.conf и pam_lwidentity.conf?

Этих файлов у меня нет.

Если судить по логам с ошибкой, то смотреть надо сюда:

yuri@programist:~$ cat /etc/pam.d/gdm
#%PAM-1.0
auth requisite pam_nologin.so
auth required pam_env.so readenv=1
auth required pam_env.so readenv=1 envfile=/etc/default/locale
@include common-auth
auth optional pam_gnome_keyring.so
@include common-account
session required pam_limits.so
@include common-session
session optional pam_gnome_keyring.so auto_start
@include common-password

yuri@programist:~$ cat /etc/pam.d/common-auth
auth [success=2 default=ignore] pam_unix.so nullok_secure
auth [success=1 default=ignore] pam_lsass.so try_first_pass
auth requisite pam_deny.so
auth required pam_permit.so

Но здесь вроде бы и срезаться то негде.

Добрый человек навел на мысльмысль (http://sergenovikov.blogspot.com/2009/10/linux.html). Спасибо ему огромное.