Доменный пользователь

#21

etamax, минт введен в виндовый домен. А DM тут при том что он отвечает за ввод логин/пароль на этапе входа в систему.
MadMax, скорее всего пробемы твои связаны с тем что это доменные пользователи, а не локальные, вот и не хочет он их запоминать

MadMax · #22

etamax писал(а): ↑
29 ноя 2019, 15:28

MadMax писал(а): ↑
29 ноя 2019, 15:23
Что именно интересует?
Например - домен это имя или сеть. Если минт это хост , то почему в виртуалке. Совершенно не понятно в двух строчках - что куда вводится , зачем , и причём тогда DM ?

У Вас вообще нет понимания организации сетей и домен-контроллеров?
Домен это сеть централизованного управления, организованная посредством развертывания домен-контроллера на базе ActiveDirectory (2008r2).
Минт это хост на виртуалке. Почему? Потому что прежде чем что-то распространять на пользователей нужно откатать на себе, я это делаю на виртуалках - чего и Вам советую.
Минт вводится в домен, т.к. проще управлять учетными записями и правами - блокировка/разблокировка и прочее.
DM - desktop manager, графический менеджер, предлагающий большой функционал (включает в себя много компонентов, тот же самый LighLocker - блокировщик сеанса), в данном случая для первичной авторизации пользователя - ввода логин/пароля для доступа к рабочему стола ПК.

MadMax · #23

darkfenix писал(а): ↑
29 ноя 2019, 15:39
MadMax, скорее всего пробемы твои связаны с тем что это доменные пользователи, а не локальные, вот и не хочет он их запоминать

Но инфа то хранится на ПК, в папке /home/mydomain/ есть папка доменного пользователя.
Может каким-то образом можно указать DM, что нужно туда заглянуть?

#24

MadMax, тут Доменный пользователь (Пост darkfenix #89927) я давал ссылку, там описаны, скорее всего, почти все настройки lightdm, и там я не увидел ничего подобного. Возможно стоит посмотреть в сторону других DM, но есть предположение что такое поведение будет и в других DM. Неужели пользователи не могут запомнить логин. У нас на предприятии для логина использовался "табельный номер" работника, штука индивидуальная, ну и запомнить 7 цифр не сложно.

#25

MadMax, Я не уверен что то что вы хотите, вообще можно сделать боле-менее штатными способами. И вот почему:

Клиент AD получает список пользователей и групп от контроллера AD, а потому каждый раз он может быть разным. А вот проверка имени, если мне не изменяет память, сначала происходит до запроса пароля, отдельно. Потому если запоминается только имя, может возникнуть ситуация, когда запомненное имя уже недоступно. По хорошему - надо пользователю сообщить именно об этом, а не после ввода пароля где проверяется уже именно ПАРА имя-пароль вместе, и где в качестве ошибки уже возвращается общий код "ошибка авторизации" которую интерпретируют обычно как ошибочный пароль (хотя причиной на этом этапе может быть и ошибочное имя).

Такая странная двойная проверка - следствие специфики ранних вариаций самбы, у а дальше как обычно: "...чтобы не ломать совместимость..."

Потому чтобы запоминать только имя, и обрабатывать ситуацию с его отсутствием правильно, надо чтобы DM имел кусок кода исключительно под это дело, т.к. штатный механизм авторизации в линуксе через PAM работает несколько по другому. Заморачиваться же авторам DM ради очень небольшого процента пользователей кому именно такая логика работы нужна, очевидно лень. Проще поддерживать только стандарт, который чтобы избежать ошибок с AD, диктует требование запросить и имя пользователя и пароль последовательно. И согласно рекомендациям M$ по безопасности - имя предыдущего пользователя в конфигах для входа в домен должно быть скрыто (в винде это можно поменять в политиках, а здесь - могли и вообще не заморачиваться с возможностью, т.к. надо отдельный способ хранения добавлять в DM). В лучшем случае - найдете DM который сумеет вывести список пользователей с возможностью выбора мышой. Это насколько я понял весь процесс, при настройке подобного конфига с авторизацией AD в еще в 17-ом минте. Так что, скорее всего, придется костыль писать.

MadMax · #26

slant писал(а): ↑
29 ноя 2019, 16:04
MadMax, Я не уверен что то что вы хотите, вообще можно сделать боле-менее штатными способами. И вот почему:

Клиент AD получает список пользователей и групп от контроллера AD, а потому каждый раз он может быть разным. А вот проверка имени, если мне не изменяет память, сначала происходит до запроса пароля, отдельно. Потому если запоминается только имя, может возникнуть ситуация, когда запомненное имя уже недоступно. По хорошему - надо пользователю сообщить именно об этом, а не после ввода пароля где проверяется уже именно ПАРА имя-пароль вместе, и где в качестве ошибки уже возвращается общий код "ошибка авторизации" которую интерпретируют обычно как ошибочный пароль (хотя причиной на этом этапе может быть и ошибочное имя).

Такая странная двойная проверка - следствие специфики ранних вариаций самбы, у а дальше как обычно: "...чтобы не ломать совместимость..."

Потому чтобы запоминать только имя, и обрабатывать ситуацию с его отсутствием правильно, надо чтобы DM имел кусок кода исключительно под это дело, т.к. штатный механизм авторизации в линуксе через PAM работает несколько по другому. Заморачиваться же авторам DM ради очень небольшого процента пользователей кому именно такая логика работы нужна, очевидно лень. Проще поддерживать только стандарт, который чтобы избежать ошибок с AD, диктует требование запросить и имя пользователя и пароль последовательно. И согласно рекомендациям M$ по безопасности - имя предыдущего пользователя в конфигах для входа в домен должно быть скрыто (в винде это можно поменять в политиках, а здесь - могли и вообще не заморачиваться с возможностью, т.к. надо отдельный способ хранения добавлять в DM). В лучшем случае - найдете DM который сумеет вывести список пользователей с возможностью выбора мышой. Это насколько я понял весь процесс, при настройке подобного конфига с авторизацией AD в еще в 17-ом минте. Так что, скорее всего, придется костыль писать.

ПичальКО!
Огромное спасибо за разъяснения.
Отображение ввода логина - не моя хотелка, чисто для удобства пользователя, у нас некоторые пароль-то с трудом запоминают, а тут еще и логин нужно в уме держать - у львиной доли пользователей будет знатно подгорать от этого.

#27

MadMax писал(а): ↑
29 ноя 2019, 16:22
а тут еще и логин нужно в уме держать

Когда у меня на работе, в свое время, пара пара товарищей попыталась возбухнуть на подобную тему - "сложна!", причем сразу начали с записки директору, дело закончилось очень быстро. Я написал ответную записку, с объяснением человеческим языком, и сравнением: Логин = адрес жилища, пароль = ключ от квартиры. Одному хватило спокойного объяснения, а второго уволили. Директор решил, что ему не нужен сотрудник который собственный адрес запомнить не в состоянии.

Справедливости ради надо сказать что уволенный давно напрашивался - он не только с логин-паролем управится не мог - еще много где косячил, т.к. своей должности явно не соответствовал.

MadMax · #28

slant писал(а): ↑
29 ноя 2019, 16:50

MadMax писал(а): ↑
29 ноя 2019, 16:22
а тут еще и логин нужно в уме держать
Когда у меня на работе, в свое время, пара пара товарищей попыталась возбухнуть на подобную тему - "сложна!", причем сразу начали с записки директору, дело закончилось очень быстро. Я написал ответную записку, с объяснением человеческим языком, и сравнением: Логин = адрес жилища, пароль = ключ от квартиры. Одному хватило спокойного объяснения, а второго уволили. Директор решил, что ему не нужен сотрудник который собственный адрес запомнить не в состоянии. Справедливости ради надо сказать что уволенный давно напрашивался - он не только с логин-паролем управится не мог - еще много где косячил, т.к. своей должности явно не соответствовал.

Спасибо за комментарий!

#29

slant писал(а): ↑
29 ноя 2019, 16:50
Логин = адрес жилища, пароль = ключ от квартиры.

Классная аналогия! Возьму на "вооружение"

Кто сейчас на конференции