FreBSD в роли PDC с LDAP проблема nss_ldap

[snorlov]

ты посмотри может у тебя где-нибудь стоит табуляция вместо пробелов...

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[blex]

логи cat /var/log/messages:

Код: Выделить всё

Feb 14 17:10:53 dc slapd[574]: nss_ldap: could not search LDAP server - Server is unavailable
Feb 14 17:10:53 dc slapd[574]: nss_ldap: could not search LDAP server - Server is unavailable
Feb 14 17:10:53 dc root: /etc/rc: WARNING: failed to start slapd
Feb 14 17:10:53 dc kernel: pid 575 (slapd), uid 389: exited on signal 8
Feb 14 17:11:00 dc cron[716]: nss_ldap: could not search LDAP server - Server is unavailable
Feb 14 17:11:00 dc cron[716]: nss_ldap: could not search LDAP server - Server is unavailable
Feb 14 17:11:28 dc sshd[730]: nss_ldap: could not search LDAP server - Server is unavailable
Feb 14 17:11:28 dc sshd[730]: nss_ldap: could not search LDAP server - Server is unavailable
Feb 14 17:11:34 dc su: nss_ldap: could not search LDAP server - Server is unavailable
Feb 14 17:11:34 dc su: nss_ldap: could not search LDAP server - Server is unavailable
Feb 14 17:11:35 dc su: alex to root on /dev/pts/0
Feb 14 17:14:19 dc getent: nss_ldap: could not search LDAP server - Server is unavailable

slapcat:

Код: Выделить всё

dn: dc=nox,dc=local
objectClass: dcObject
objectClass: organization
objectClass: top
dc: nox
o: nox
structuralObjectClass: organization
entryUUID: 73d995c6-0984-1032-8b00-3f4b37d90654
creatorsName: cn=root,dc=nox,dc=local
createTimestamp: 20130212172159Z
entryCSN: 20130212172159.450457Z#000000#000#000000
modifiersName: cn=root,dc=nox,dc=local
modifyTimestamp: 20130212172159Z

dn: ou=users,dc=nox,dc=local
objectClass: top
objectClass: organizationalUnit
ou: users
structuralObjectClass: organizationalUnit
entryUUID: 6747c2e4-09af-1032-8b04-3f4b37d90654
creatorsName: cn=root,dc=nox,dc=local
createTimestamp: 20130212222926Z
entryCSN: 20130212222926.721356Z#000000#000#000000
modifiersName: cn=root,dc=nox,dc=local
modifyTimestamp: 20130212222926Z

dn: cn=blex,ou=users,dc=nox,dc=local
objectClass: top
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
cn: blex
sn: blex
uid: blex
userPassword:: e1NTSEF9K0tCQS9FZ0w1WGZScEpYV2hQRUFEQXI5NDlPbkYzVko=
uidNumber: 5001
gidNumber: 0
gecos: Blex
homeDirectory: /home/blex
loginShell: /usr/local/bin/bash
structuralObjectClass: person
entryUUID: e44f8858-09af-1032-8b05-3f4b37d90654
creatorsName: cn=root,dc=nox,dc=local
createTimestamp: 20130212223256Z
entryCSN: 20130212223256.487637Z#000000#000#000000
modifiersName: cn=root,dc=nox,dc=local
modifyTimestamp: 20130212223256Z

dn: ou=groups,dc=nox,dc=local
objectClass: top
objectClass: organizationalUnit
ou: groups
structuralObjectClass: organizationalUnit
entryUUID: e81c5b44-09ed-1032-8b06-3f4b37d90654
creatorsName: cn=root,dc=nox,dc=local
createTimestamp: 20130213055651Z
entryCSN: 20130213055651.660414Z#000000#000#000000
modifiersName: cn=root,dc=nox,dc=local
modifyTimestamp: 20130213055651Z

dn: ou=computers,dc=nox,dc=local
objectClass: top
objectClass: organizationalUnit
ou: computers
structuralObjectClass: organizationalUnit
entryUUID: e81cd754-09ed-1032-8b07-3f4b37d90654
creatorsName: cn=root,dc=nox,dc=local
createTimestamp: 20130213055651Z
entryCSN: 20130213055651.663591Z#000000#000#000000
modifiersName: cn=root,dc=nox,dc=local
modifyTimestamp: 20130213055651Z

dn: cn=tod,ou=users,dc=nox,dc=local
objectClass: top
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
cn: tod
sn: tod
uid: tod
userPassword:: e1NTSEF9K0tCQS9FZ0w1WGZScEpYV2hQRUFEQXI5NDlPbkYzVko=
uidNumber: 5002
gidNumber: 0
gecos: Tod
homeDirectory: /home/tod
loginShell: /usr/local/bin/bash
structuralObjectClass: person
entryUUID: f3ac296e-0a68-1032-8952-f9dfdbfef99c
creatorsName: cn=root,dc=nox,dc=local
createTimestamp: 20130213203739Z
entryCSN: 20130213203739.155526Z#000000#000#000000
modifiersName: cn=root,dc=nox,dc=local
modifyTimestamp: 20130213203739Z

dn: cn=users,ou=groups,dc=nox,dc=local
objectClass: posixGroup
gidNumber: 10000
cn: users
memberUid: newuser
description: all
structuralObjectClass: posixGroup
entryUUID: 1d26c79a-0a69-1032-8a1a-1db6314b1a76
creatorsName: cn=root,dc=nox,dc=local
createTimestamp: 20130213203848Z
entryCSN: 20130213203848.745562Z#000000#000#000000
modifiersName: cn=root,dc=nox,dc=local
modifyTimestamp: 20130213203848Z

dn: cn=admins,ou=groups,dc=nox,dc=local
objectClass: posixGroup
cn: admins
memberUid: newadmin
description: all
structuralObjectClass: posixGroup
entryUUID: 82c5dd7a-0a69-1032-91b2-519660331c02
creatorsName: cn=root,dc=nox,dc=local
createTimestamp: 20130213204139Z
gidNumber: 10001
entryCSN: 20130213204349.762732Z#000000#000#000000
modifiersName: cn=root,dc=nox,dc=local
modifyTimestamp: 20130213204349Z

dn: cn=gues,ou=groups,dc=nox,dc=local
objectClass: posixGroup
cn: gues
gidNumber: 10002
description: Group account
structuralObjectClass: posixGroup
entryUUID: 4552633e-0a71-1032-91b4-519660331c02
creatorsName: cn=root,dc=nox,dc=local
createTimestamp: 20130213213712Z
entryCSN: 20130213213712.114183Z#000000#000#000000
modifiersName: cn=root,dc=nox,dc=local
modifyTimestamp: 20130213213712Z

dn: cn=alex,ou=groups,dc=nox,dc=local
objectClass: posixGroup
cn: alex
gidNumber: 10003
description: Group account
structuralObjectClass: posixGroup
entryUUID: b7ac4c60-0a71-1032-91b5-519660331c02
creatorsName: cn=root,dc=nox,dc=local
createTimestamp: 20130213214023Z
entryCSN: 20130213214023.963663Z#000000#000#000000
modifiersName: cn=root,dc=nox,dc=local
modifyTimestamp: 20130213214023Z

dn: uid=test,ou=users,dc=nox,dc=local
objectClass: account
objectClass: posixAccount
cn: test
uid: test
uidNumber: 10000
gidNumber: 10001
homeDirectory: /home/test
loginShell: /bin/sh
gecos: test
description: User account
structuralObjectClass: account
entryUUID: a29f4f1e-0a73-1032-91b6-519660331c02
creatorsName: cn=root,dc=nox,dc=local
createTimestamp: 20130213215407Z
userPassword:: e1NTSEF9V25yKzBMeDNzdlY4Zzl5MUF0UlQ2YTBvbWU3RW5ZZjU=
entryCSN: 20130213215407.861605Z#000000#000#000000
modifiersName: cn=root,dc=nox,dc=local
modifyTimestamp: 20130213215407Z

[snorlov]

Блин, у тебя как авторизируется где-то в pam'ах сидит...

[blex]

А по подробней можно не пойму не много. почему в pam и как исправить

[snorlov]

Не обратил внимание

логи cat /var/log/messages:

Код: Выделить всё

Feb 14 17:10:53 dc root: /etc/rc: WARNING: failed to start slapd
Feb 14 17:10:53 dc kernel: pid 575 (slapd), uid 389: exited on signal 8

Ну и где старт лдапа...

[snorlov]

Кстати, а что у вас в /var/log/debug.log по этому поводу пишет...

[blex]

Все Спасибо я разобрался
То что slapd не стартовал просто не было доступа:

Код: Выделить всё

access to attrs=userPassword
        by self write
        by anonymous auth
        by * none
access to *
        by self write
        by anonymous read
        by * none

Изменил на:

Код: Выделить всё

access to * by * read
 
access to attr=userPassword
  by self write
  by anonymous auth
  by * none

А ошибку

Код: Выделить всё

nss_ldap: could not search ldap server - server is unavailable

писал nss пытается определить, каким группам принадлежит пользователь, от имени которого запускается slapd в тот момент, когда он ещё не запущен.
Надо было добавить опцию

Код: Выделить всё

nss_initgroups_ignoreusers

.
Теперь все нормально без ошибок

[snorlov]

т.е. ты пытался запустить ldap под учеткой, которая существовала только в его базе?

[blex]

нет, ldap запускается под системной учеткой

[blex]

мне объяснили так, сам правда немного не пойму

[snorlov]

Да вроде при установки имеем пользователя ldap и группу ldap
На тему вот этого

Код: Выделить всё

access to *
        by self write
        by anonymous read
        by * none

понятно, поскольку ты сканировал конкретной учеткой, поэтому при скане группы и вылетала ошибка, здесь надо было прописать доступ этой конкретной учетки

[blex]

Появилась еще проблема Поставил smbldap-tools и теперь машина не вводится в домен, но потом в скриптах изменил

Код: Выделить всё

computersdn="ou=computers,${suffix}"

на

Код: Выделить всё

computersdn="ou=users,${suffix}"

машина стала вводится в домен. Почему так ? и как исправить?
И еще когда создаю не перемещаемого пользователя на windows пишет что к серверу не может подключится и загружается с временным.

Вот конфиг smbldap.conf:

Код: Выделить всё

# General Configuration
SID="S-1-5-21-2911449762-652652553-878758398"
sambaDomain="NOX"
# LDAP Configuration
slaveLDAP="ldap://127.0.0.1/"
slavePort="389"
masterLDAP="ldap://127.0.0.1/"
slavePort="389"
ldapTLS="0"
suffix="dc=nox,dc=local"
usersdn="ou=users,${suffix}"
computersdn="ou=users,${suffix}"
groupsdn="ou=groups,${suffix}"
idmapdn="ou=Idmap,${suffix}"
sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
scope="sub"
password_hash="CRYPT"
crypt_salt_format="%s"
# Unix Accounts Configuration
userLoginShell="/sbin/nologin"
userHome="/home/%U"
userHomeDirectoryMode="700"
userGecos="System User"
defaultUserGid="513"
defaultComputerGid="515"
skeletonDir="/etc/skel"
shadowAccount="0"
defaultMaxPasswordAge="45"
# SAMBA Configuration
#userSmbHome="\\PDC\%U"
#userProfile="\\PDC\profiles\%U"
#userHomeDrive="H:"
#userScript="logon.bat"
mailDomain=""
# SMBLDAP-TOOLS Configuration (default are ok for a RedHat)
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
with_slappasswd="1"
slappasswd="/usr/sbin/slappasswd"

[snorlov]

Я думаю у вас проблемы с доступом к данным лдапа, учетка, с которой вы пытаетесь внести/изменить данные , этих прав не имеет, кроме прочего надо принудительно дать группе администраторов админские привилегии через

Код: Выделить всё

net rpc right grant -U <админ/пароль> 'Nox\Domain Admins' SeMachineAccountPrivilege

Там их 8 штук... Сам то PDC ввели в домен...
P.S. Может у меня руки были не вымыты, но почему-то лдап, настроенный через ldapscripts, не хотел затем работать с smbldap-tools и наоборот...

[blex]

Привилегии есть вроде

Код: Выделить всё

/usr/local/etc/smbldap-tools # net rpc rights list accounts -U admin
Enter admin's password:
BUILTIN\Print Operators
No privileges assigned

BUILTIN\Account Operators
No privileges assigned

BUILTIN\Backup Operators
No privileges assigned

BUILTIN\Server Operators
No privileges assigned

BUILTIN\Administrators
SeMachineAccountPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeRemoteShutdownPrivilege
SePrintOperatorPrivilege
SeAddUsersPrivilege
SeDiskOperatorPrivilege

Everyone
No privileges assigned

NOX\Domain Admins
SeMachineAccountPrivilege
SeTakeOwnershipPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeRemoteShutdownPrivilege
SePrintOperatorPrivilege
SeAddUsersPrivilege
SeDiskOperatorPrivilege

Если я изменяю computers на users

Код: Выделить всё

computersdn="ou=users,${suffix}"

то PDC добавляется к себе в домен если не изменяю то нет

Код: Выделить всё

# net join pdc
Enter root's password:
Creation of workstation account failed
Unable to join domain NOX.

но если я создам запись компьютера в Ldapadmin то в домен вводится. Так же и на клиентах

[snorlov]

Если я изменяю computers на users

Код: Выделить всё

computersdn="ou=users,${suffix}"

то PDC добавляется к себе в домен если не изменяю то нет
но если я создам запись компьютера в Ldapadmin то в домен вводится. Так же и на клиентах

прав нет у учетки, с которой лезете/администрируете лдап, как только там появляется запись, так сразу на эту запись действует правило self... Вы для начала везде пропишите учетную запись админа лдапа

Код: Выделить всё

rootdn          "cn=root,dc=nox,dc=local"
rootpw          {SSHA}Qur3dORI1yXtdOKHWc+zRD0hjxJeixru

и в nss_ldap.conf, и в ldap.conf, и в smbldap.conf, и в smb.conf и посмотрите как будет работать софт ну и дальше двигайтесь...

[blex]

Все с нуля поставил машины нормально вводятся в домен только вот одна проблема пользователи создаются с перемещаемым профилем. Если я удаляю его то винда загружается с временным. Я так думаю это в самбе надо копать ?

[snorlov]

Создаете пользователя через что, там еще надо посмотреть настройки.. Ну и совет, заюзать srvmgr и usermgr от Микрософта ну и конечно ldapadmin.exe от Tihomer Karlovic...

[blex]

Пробывал создавать в консоли скриптами так же создавал usermgr и ldapadmin.exe.
Через usermgr создаю а он автоматически добавляет путь перемещаемого профиля

[snorlov]

Пробывал создавать в консоли скриптами так же создавал usermgr и ldapadmin.exe.
Через usermgr создаю а он автоматически добавляет путь перемещаемого профиля

Usrmgr задействует скрипт, указанный в smb.conf...

[blex]

Разобрался в чем дело в smb.conf у меня были закоментированы

Код: Выделить всё

   logon path =
   logon home =
   logon drive =

их надо было пустыми оставить