Вопрос по статье Samba(PDC) + Ldap

AnteC · Непрочитанное сообщение **AnteC** » 2007-04-06 14:32:44

Пытаюсь поднять домен на самбе с LDAP
Ставлю с "0" FreeBSD 6.1, устанавливаю openldap23-server,
но после /usr/local/etc/rc.d/slapd.sh start
slapd не запускается(

ps ax | grep slap
38756 v0 R+ 0:00.01 grep slap

rc.conf:

defaultrouter="192.168.0.1"
font8x14="cp866-8x14"
font8x16="cp866b-8x16"
font8x8="cp866-8x8"
hostname="Test.local"
ifconfig_lnc0="inet 192.168.0.2 netmask 255.255.255.0"
inetd_enable="YES"
keymap="ru.koi8-r"
keyrate="fast"
mousechar_start="3"
moused_enable="YES"
saver="daemon"
scrnmap="koi8-r2cp866"
sshd_enable="YES"
usbd_enable="YES"
slapd_enable="YES"
slapd_flags='-h"ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ? ldap://0.0.0.0/ ldap://127.0.0.1/"'

slapd.conf:

include /usr/local/etc/openldap/schema/core.schema

include /usr/local/etc/openldap/schema/cosine.schema
include /usr/local/etc/openldap/schema/inetorgperson.schema
include /usr/local/etc/openldap/schema/misc.schema
include /usr/local/etc/openldap/schema/nis.schema
include /usr/local/etc/openldap/schema/openldap.schema
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
modulepath /usr/local/libexec/openldap
moduleload back_ldbm
access to attrs=userPassword
by self write
by anonymous auth
by * none
access to *
by self write
by anonymous read
by * none
database ldbm
suffix "dc=l1523,dc=ru"
rootdn "cn=root,dc=l1523,dc=ru"
rootpw {SSHA}+Ih41M77s+qNDGkNsfgZaHbMBOonoO48
directory /var/db/openldap-data
loglevel 256
index objectClass eq
index cn eq

В чем может быть косяк?

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

AnteC · Непрочитанное сообщение **AnteC** » 2007-04-10 8:32:01

при запуске /usr/local/libexec/slapd -Tt

WARNING: No dynamic config support for database ldbm.
config file testing succeeded

Так же были проблемы с inetorgperson.schema, nis.schema, openldap.schema (при запуске /usr/local/libexec/slapd -Tt)

опять же при /usr/local/etc/rc.d/slapd start - slapd не запускается, но при
/usr/local/libexec/slapd

ps ax | grep slapd
654 ?? Is 0:00.05 /usr/local/libexec/slapd
663 v0 L+ 0:00.00 grep slapd

При этом:
ldapadd -x -D "cn=root,dc=l1523,dc=ru" -w test-f base.ldif

adding new entry "dc=l1523,dc=ru"

adding new entry "ou=users,dc=l1523,dc=ru"

adding new entry "ou=groups,dc=l1523,dc=ru"

adding new entry "ou=computers,dc=l1523,dc=ru"

Но при ldapsearch -LLL -x -b 'dc=l1523,dc=ru' '*'
ничего не находит( , хотя если опять
ldapadd -x -D "cn=root,dc=l1523,dc=ru" -w test-f base.ldif

ldap_add Already exists (68)

Неужели нет никаких мыслей?

Alex Keda

есть
http://www.lissyara.su/?id=1167

spmn · Непрочитанное сообщение **spmn** » 2007-06-20 16:05:53

Доброго времени!
Продолжу тему

Собственно вопрос вот в чем, когда я говорю smbpass -a admin, ввожу пароли (кстати пароли должны совпадать с паролями в /var/log/ldascripts_password.log ???) - получаю в ответ:

Код: Выделить всё

ldapsam_add_sam_account: failed to modify/add user with uid = admin (dn = uid=admin,ou=users,dc=l1523,dc=ru)
Failed to add entry for user admin.
Failed to modify password entry for user admin

Причем:

Код: Выделить всё

# ldapsearch -LLL -x -b 'dc=l1523,dc=ru' 'uid=admin' 
dn: uid=admin,ou=users,dc=l1523,dc=ru
objectClass: account
objectClass: posixAccount
cn: admin
uid: admin
uidNumber: 10001
gidNumber: 10001
homeDirectory: /home/admin
loginShell: /usr/sbin/nologin
gecos: admin
description: User account

Т.е. сам по себе ЛДАП работает нормально, не пашет его связь с САМБОЙ.

Конфиг самбы:

Код: Выделить всё

[global]
   workgroup = HomeDomen
   netbios name = pen233
   server string = Samba %v

    add machine script = /usr/local/bin/ldapaddmachine '%u' computers
    add user script = /usr/local/bin/ldapadduser '%u' people
    add group script = /usr/local/bin/ldapaddgroup '%g'
    add user to group script = /usr/local/bin/ldapaddusertogroup '%u' '%g'
    delete user script = /usr/local/bin/ldapdeleteuser '%u'
    delete group script = /usr/local/bin/ldapdeletegroup '%g'
    delete user from group script = /usr/local/bin/ldapdeleteuserfromgroup '%u' '%g'
    set primary group script = /usr/local/bin/ldapsetprimarygroup '%u' '%g'
    rename user script = /usr/local/bin/ldaprenameuser '%uold' '%unew'

   security = user
   log file = /var/log/samba/log.%m
   max log size = 500
   encrypt passwords = yes
   admin users = admin

    passdb backend = ldapsam:ldap://localhost/
    ldap suffix = dc=l1523,dc=ru
    ldap user suffix = ou=users
    ldap group suffix = ou=groups
    ldap machine suffix = ou=computers
    ldap admin dn = "cn=root,dc=l1523,dc=ru"
    ldap delete dn = no
    ldap ssl = off

   socket options = TCP_NODELAY
   wins support = Yes

   local master = yes
   os level = 64
   domain master = yes
   preferred master = yes
   domain logons = yes

   logon script =

   logon path = \\%L\profiles\%u
   logon home = \\%L\home\%u

   dns proxy = no

   display charset = koi8-r
   unix charset = koi8-r
   dos charset = cp866

   time server = No

[IPC$]
        path = /tmp

[profiles]
        path = /usr/home/profiles
        writeable = Yes
        browseable = No
        create mask = 0600
        directory mask = 0700
        locking = no
[home]
        path = /usr/home/%u
        public = no
        read only = No
        writeable = Yes
        create mask = 0600
        directory mask = 0700

Код: Выделить всё

smbpass -w ПАРОЛЬ_РУТА

- делал.

И еще вопросик, немного не в эту степь, но все же.
Когда я говорю:

Код: Выделить всё

net join ИМЯ_КРНТРОЛЛЕРА

он предлагает ввести пассворд. Какой именно? Я уже все перебрал. Не один не подходит

Говорит:

Код: Выделить всё

Could not connect to server PEN233
The username or password was not correct.
Connection failed: NT_STATUS_LOGON_FAILURE

И последний вопрос. Собирал САМБУ с winbindd, а он почему-то не запускается?
Он нужен для работы связки САМБА + ЛДАП? Куда он мог пропасть???

Вообщем, HELP!!!

f0s · Непрочитанное сообщение **f0s** » 2007-06-21 11:14:15

кстати +1! у меня тоже не работает winbind.. собирал с ней. тодже самба + лдап

f0s · Непрочитанное сообщение **f0s** » 2007-06-21 11:24:53

AnteC, попробуй отключить схемы все кроме основной в slapd, у меня такая же трабла была. потом их подключишь, позже.

f0s · Непрочитанное сообщение **f0s** » 2007-06-21 11:27:44

spmn писал(а):Доброго времени!
Продолжу тему
Собственно вопрос вот в чем, когда я говорю smbpass -a admin, ввожу пароли (кстати пароли должны совпадать с паролями в /var/log/ldascripts_password.log ???) - получаю в ответ:
Код: Выделить всё
ldapsam_add_sam_account: failed to modify/add user with uid = admin (dn = uid=admin,ou=users,dc=l1523,dc=ru)
Failed to add entry for user admin.
Failed to modify password entry for user admin

сделал сначала:

Код: Выделить всё

# smbpasswd -w password
Setting stored password for "cn=root,dc=lartpaint, dc=spb,dc=ru" in secrets.tdb

?

а потом

Код: Выделить всё

# smbpasswd -a admin

и пароль вводишь новый

f0s · Непрочитанное сообщение **f0s** » 2007-06-21 11:30:52

spmn писал(а):Доброго времени!

И еще вопросик, немного не в эту степь, но все же.
Когда я говорю:
Код: Выделить всё
net join ИМЯ_КРНТРОЛЛЕРА
он предлагает ввести пассворд. Какой именно? Я уже все перебрал. Не один не подходит Говорит:
Код: Выделить всё
Could not connect to server PEN233
The username or password was not correct.
Connection failed: NT_STATUS_LOGON_FAILURE

пароль тот, что на root от самбы. короче пароль того, кто имеет право добавлять машину в домен. еще такая ошибка появляется, есоли иммя компа неправлиьно пишешь, накотором стоит PDC.

f0s · Непрочитанное сообщение **f0s** » 2007-06-21 11:36:01

или попробуй так:

net rpc join -S имя_компа -U Administrator

spmn · Непрочитанное сообщение **spmn** » 2007-06-21 11:49:27

А про smbpassswd -a ЮЗЕР ???
Это меня больше расстраивает?

пароль тот, что на root от самбы. короче пароль того, кто имеет право добавлять машину в домен. еще такая ошибка появляется, есоли иммя компа неправлиьно пишешь, накотором стоит PDC.

Имя машины которое в smb.conf?

В том то и дело что я все правильно вроде говорю, и пароль и имя, а он в домен не входит ...

spmn · Непрочитанное сообщение **spmn** » 2007-06-21 16:38:26

Отвечу на свой вопрос сам.

Схема для самбы, скопированная из примеров, должна расположатся после схемы inetorgperson.schema т.к. выяснилось что первая связанная со второй путем переменной displayName

После этого smbpasswd -a ЮЗЕР - нормально прохавалось ...

Может кому пригодится ...

Alex Keda

каммент к статье напиши?

f0s · Непрочитанное сообщение **f0s** » 2007-06-22 9:01:11

Лис, как мне сделать права на группы в самбе? ну что бы был аналог какой-то а-ля пользователи домена...

Alex Keda

нихт ферштейн

f0s · Непрочитанное сообщение **f0s** » 2007-06-22 9:47:34

нихт фрештен нахт нахт?

в общем в AD есть группы Domain Users, Domain Admins... если добавить пользователя в группу пользователи домена, то они будут бусправные, не сомгут проги устанавливать и т.п. как такое же сделать на самбе?

spmn · Непрочитанное сообщение **spmn** » 2007-06-22 10:51:59

да, да.
Зачем на самбе группы? Как управлять групповыми "политиками"???

Za... · Непрочитанное сообщение **Za...** » 2007-06-22 15:17:32

На сколько я помню что есть сответствующие RID-ы, которые идут после SID-а домена

Таблица RID для основных Windows групп

Domain Admins 512
Domain Users 513
Domain Guests 514
Domain Computers 515

например Domain Admins S-1-5-21-3350501337-1842107429-259823861-512

также есть локальные SID,

Administrators S-1-5-32-544
users S-1-5-32-545
Guests S-1-5-32-546
Account Operators S-1-5-32-548
Print Operators S-1-5-32-550
Backup Operators S-1-5-32-551
Replicators S-1-5-32-552

spmn · Непрочитанное сообщение **spmn** » 2007-06-22 15:40:36

Еще очень важный вопрос ...
прилюдия, вырезка из smb.conf:

Код: Выделить всё

logon path = \\%L\profiles\%u

[profiles]
        path = /home/profiles
        writeable = Yes
        browseable = No
        create mask = 0600
        directory mask = 0700
        locking = no

Это как вы поняли, кусочек отвечающий за создание перемещаемых профилей.
Допустим /home/profiles/USERNAME
Права на USERNAME -> chmod 700 chown -R USERNAME:USERGROUP

Если USER - админ домена, то
при вводе логина и пасворда в винде говорит что "Не удалось загрузить серверный профиль ... бла бла бла ... поскольку он существует, но не корректно устанновленные разрешения". При этом в папке /home/profiles создается папка %u, пустая. Откуда она вылазит ума не приложу...

Если USER не админ домена, говорит то же самое, но каталог %u не создается ...

В чем может быть проблема?? samba связанна с ldap.

???

Alex Keda

1. с правами на каталог
доменный юзеры должны иметь правво создавать вней ввсё.
2. с синтаксисом. %U венда сама подставит. это длы доменных надо - если домен на самбе

spmn · Непрочитанное сообщение **spmn** » 2007-06-22 15:55:43

1. права. вроде права позволяют создавать всее ...
2. %U так домен же на самбе, вот я и использую %U

?

Если путь /home/profiles/USER/

Какие права и хозяева должны быть у директорий profiles и USER?

Alex Keda

тада х.з.

я самбовый не успел внедрить - не поюзал особо...

spmn · Непрочитанное сообщение **spmn** » 2007-06-22 17:03:59

Еще вопросик по нет логон скрипту ...

По умолчанию при создании им владеет root:wheel
И самба (когда авторизируется обычный юзер, не админ) не может его прочитать, говорит доступ - фига.

И есче. Скрпт изменяет значения реестра, но вступают в силу они не сразу, а при следующей загрузке, как можно сразу "узаконить" изменения

spmn · Непрочитанное сообщение **spmn** » 2007-06-23 10:47:59

Отвечу на часть вопросов,

Еще очень важный вопрос ...
прилюдия, вырезка из smb.conf:

logon path = \\%L\profiles\%u

[profiles]
path = /home/profiles
writeable = Yes
browseable = No
create mask = 0600
directory mask = 0700
locking = no

Это как вы поняли, кусочек отвечающий за создание перемещаемых профилей.
Допустим /home/profiles/USERNAME
Права на USERNAME -> chmod 700 chown -R USERNAME:USERGROUP

Если USER - админ домена, то
при вводе логина и пасворда в винде говорит что "Не удалось загрузить серверный профиль ... бла бла бла ... поскольку он существует, но не корректно устанновленные разрешения". При этом в папке /home/profiles создается папка %u, пустая. Откуда она вылазит ума не приложу...

Если USER не админ домена, говорит то же самое, но каталог %u не создается ...

В чем может быть проблема?? samba связанна с ldap.

???

В итоге,
path = /home/profiles/%u + проверка на правильные права +

add user script = /путь/add.sh '%u' '%g'

Код: Выделить всё

/usr/local/bin/ldapadduser "$1" "$2"

mkdir /home/profiles/"$1"
chown -R "$1":"$2" /home/profiles/"$1"

lexy · Непрочитанное сообщение **lexy** » 2007-06-27 11:10:26

столкунулся с похожей проблемой - не создавались домашние папки для нового пользователя, оказалось что в /etc/pam.d/login надо добавить

Код: Выделить всё

session required /usr/lib/pam_mkhomedir.so
в Линуксе
/lib/security/pam_mkhomedir.so

все проблемы сразу решились, домашние папки создаются автоматом

для фри библиотечка есть в портах:
/usr/ports/security/pam_mkhomedir

ЗЫ. Ставил и пробовал под Мандривой 2007.О, но думаю, что здесь та же беда

lexy · Непрочитанное сообщение **lexy** » 2007-06-27 11:12:39

вопрос:
как сделать, чтоб при авторизации не вводить логин вида <домен>+<пользователь> , а только имя доменного пользователя?

forum.lissyara.su

Вопрос по статье Samba(PDC) + Ldap

Вопрос по статье Samba(PDC) + Ldap

Услуги хостинговой компании Host-Food.ru