samba проблемы с winbind

Есть и такой ОС.

Модератор: weec

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
mikhail
рядовой
Сообщения: 11
Зарегистрирован: 2012-01-17 9:29:50

samba проблемы с winbind

Непрочитанное сообщение mikhail » 2012-01-17 11:24:04

Прошу помощи. переделываю домен samba с backend tbdsam на ldap. Использовал разные инструкции, в принципе все получается, но есть две проблемы. Не работает usrmanager из srvtools windows NT, пишет что нет доступа к домену. При этом утилита net в WinXp нормально работает, выдает и пользователей и группы. Вторая проблема уже на PDC Samba. Для прозрачной авторизации на squid используется winbind (вернее хелпер, который требует его наличия). Так вот он не хочет нормально работать, а именно wbinfo -g выдает группы, как положено, а вот wbinfo -u ничего не выдает. Т.е. получается что он пользователей не видит.

По конфигурации. Server Ubuntu 10.04.3, samba 3.4.7, openldap 2.4.21
Клиент Windows XP SP3

На обоих машинах отключены сетевые фильтры, антивирусов нет.

Конфиг самбы

Код: Выделить всё

# Global parameters
[global]
	workgroup = MY
	server string = Samba Server
	netbios name = mysrv
    interfaces = eth1
	bind interfaces only = Yes

# passwd backend
	encrypt passwords = yes
	passdb backend = ldapsam:ldap://127.0.0.1
	enable privileges = yes
	pam password change= Yes
	passwd program = /usr/bin/passwd %u
	passwd chat = *New*UNIX*password* %nn *ReType*new*UNIX*password* %nn * passwd:*all*authentication*tokens*updated*successfully*
	unix password sync = Yes

# Log options
	log level = 1
	log file = /var/log/samba/%m
	max log size = 50
	syslog = 0

# Name resolution
	name resolve order = wins bcast host

# misc
	timeserver = Yes
	socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192	

# printers - configured to use CUPS and automatically load them
	load printers = no
	show add printer wizard = No

# scripts invoked by samba
	add user script               = /usr/local/sbin/smbldap-useradd -m %u
	delete user script            = /usr/local/sbin/smbldap-userdel %u
	add group script              = /usr/local/sbin/smbldap-groupadd -p %g
	delete group script           = /usr/local/sbin/smbldap-groupdel %g
	add user to group script      = /usr/local/sbin/smbldap-groupmod -m %u %g
	delete user from group script = /usr/local/sbin/smbldap-groupmod -x %u %g
	set primary group script      = /usr/local/sbin/smbldap-usermod -g %g %u
	add machine script            = /usr/local/sbin/smbldap-useradd -w %m

# LDAP-iConfiguration
	ldap delete dn                = Yes
	ldap ssl                      = off
	ldap passwd sync              = Yes
	ldap suffix                   = dc=my,dc=local
	ldap machine suffix           = ou=Computers
	ldap user suffix              = ou=People
	ldap group suffix             = ou=Groups
	ldap idmap suffix             = ou=Idmap
	ldap admin dn                 = cn=admin,dc=my,dc=local
	idmap backend                 = ldap:ldap://my.kafla.local
	idmap uid                     = 10000-20000
	idmap gid                     = 10000-20000

# logon options
#	logon script = logon.bat
#	logon path = \%Lprofiles%u
#	logon path =
#	logon home = \%L%U
#	logon drive = H:

# setting up as domain controller
#	username map = /usr/local/samba/usermap
	preferred master = Yes
	wins support = Yes
	domain logons = Yes
	domain master = Yes
	local master = Yes
	os level = 64
	map acl inherit = Yes
#	unix charset     = UTF8

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: samba проблемы с winbind

Непрочитанное сообщение fox » 2012-01-30 19:11:09

Вот тебе в помощь толковая статья более мение смотри аналогию http://www.lissyara.su/articles/freebsd ... +bdc+ldap/
а вообще Линупсы это не наши методы BSD правельная ось!
Да пребудет с нами сила!!!
Всех убью, один останусь!

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: samba проблемы с winbind

Непрочитанное сообщение snorlov » 2012-01-30 19:35:17

Попробуйте добавить в интерфейсы localhost, ну и конечно посмотреть что слушает ldap, у вас фигурируют 2-а адреса 127.0.0.1 и //my.kafla.local...

mikhail
рядовой
Сообщения: 11
Зарегистрирован: 2012-01-17 9:29:50

Re: samba проблемы с winbind

Непрочитанное сообщение mikhail » 2012-01-30 22:54:11

snorlov писал(а):Попробуйте добавить в интерфейсы localhost, ну и конечно посмотреть что слушает ldap, у вас фигурируют 2-а адреса 127.0.0.1 и //my.kafla.local...
Когда конфиг публиковал допустил несколько ошибок. В интерфейсах есть lo и слушаем только localhost, разумеется.

Возможно я недостаточно четко сформулировал свою проблему, поэтому повторю. Машины в домен входят, пользователи заводятся с помощью утилиты net из windows и из linux. Не работает srvmgr.exe из состава srvtools windows nt. Также не возвращается список пользователей командой net rpc user.

Но главная проблема в том, что некорректно работает winbind, wbinfo -u не возвращает список пользователей. А он мне нужен для прозрачной аутентификации на squid-е.

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: samba проблемы с winbind

Непрочитанное сообщение fox » 2012-01-31 0:59:54

Помоему если только localhost в роли контролерра он работать не будет нужно ещё и разшарить на интрефейс который смотрит в лок. сигмент.
Да пребудет с нами сила!!!
Всех убью, один останусь!

mikhail
рядовой
Сообщения: 11
Зарегистрирован: 2012-01-17 9:29:50

Re: samba проблемы с winbind

Непрочитанное сообщение mikhail » 2012-01-31 10:09:16

fox писал(а):Помоему если только localhost в роли контролерра он работать не будет нужно ещё и разшарить на интрефейс который смотрит в лок. сигмент.
исправляю опечатки

Код: Выделить всё

interfaces eth1, lo
passdb backend =ldapsam: ldap://localhost
idmap backend = ldap:ldap://localhost

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: samba проблемы с winbind

Непрочитанное сообщение snorlov » 2012-01-31 10:10:35

mikhail писал(а): Возможно я недостаточно четко сформулировал свою проблему, поэтому повторю. Машины в домен входят, пользователи заводятся с помощью утилиты net из windows и из linux. Не работает srvmgr.exe из состава srvtools windows nt. Также не возвращается список пользователей командой net rpc user.
Но главная проблема в том, что некорректно работает winbind, wbinfo -u не возвращает список пользователей. А он мне нужен для прозрачной аутентификации на squid-е.
Если не работает svrmgr, то не должен работать и usrmgr, я бы вам рекомендовал использовать их из поставки XP, в противном случае проверяйте конфиг самбы, также посмотрите, что вам выдает

Код: Выделить всё

id <пользователь самбы>
getent passwd 
getent group
если ничего не находит проверяйте настройки nsswitch, nss_ldap, как в ubuntu он обзывается не знаю, второе сам хелпер(ntlm_auth) надо использовать не из поставки сквида, а из поставки самбы, ну и наконец проверил бы права сквида на winbindd_privileges, кажется так...

mikhail
рядовой
Сообщения: 11
Зарегистрирован: 2012-01-17 9:29:50

Re: samba проблемы с winbind

Непрочитанное сообщение mikhail » 2012-01-31 10:54:42

snorlov писал(а): Если не работает svrmgr, то не должен работать и usrmgr, я бы вам рекомендовал использовать их из поставки XP, в противном случае проверяйте конфиг самбы, также посмотрите, что вам выдает

Код: Выделить всё

id <пользователь самбы>
getent passwd 
getent group
если ничего не находит проверяйте настройки nsswitch, nss_ldap, как в ubuntu он обзывается не знаю, второе сам хелпер(ntlm_auth) надо использовать не из поставки сквида, а из поставки самбы, ну и наконец проверил бы права сквида на winbindd_privileges, кажется так...
Прошу прощения я продолжаю тупить :roll: Видимо ближе к вечеру уже плохо соображаю. Конечно не работает usrmgr, srvmgr как раз работает, что странно ибо ошибка гласит что нет доступа. id, getent работают нормально, пользователей и группы видно. Видимо проблемы с доступом именно через rpc ибо net rpc user пользователей не выдает, а net rap user выдает.

Squid пока не ставил, ибо нет пока смысла, если не получается список пользователей получить через winbind, то очевидно что хелпер не будет работать.

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: samba проблемы с winbind

Непрочитанное сообщение snorlov » 2012-01-31 11:04:20

Смотри на настройки smbldap-tools....

mikhail
рядовой
Сообщения: 11
Зарегистрирован: 2012-01-17 9:29:50

Re: samba проблемы с winbind

Непрочитанное сообщение mikhail » 2012-01-31 11:17:31

snorlov писал(а):Смотри на настройки smbldap-tools....
А что там смотреть?

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: samba проблемы с winbind

Непрочитанное сообщение snorlov » 2012-01-31 11:27:52

Как что, там ведь настройки к хождению к самому ldap, контейнеры где пользователи, компьютеры, может они у тебя не в People, а в другом месте, у меня например в Users...

mikhail
рядовой
Сообщения: 11
Зарегистрирован: 2012-01-17 9:29:50

Re: samba проблемы с winbind

Непрочитанное сообщение mikhail » 2012-01-31 11:52:51

snorlov писал(а):Как что, там ведь настройки к хождению к самому ldap, контейнеры где пользователи, компьютеры, может они у тебя не в People, а в другом месте, у меня например в Users...
Посмотрел, там все нормально. Ну и кроме того, ведь командой net rpc user add пользователи добавляются, как бы они добавлялись если бы контейнер был указан неверно?

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: samba проблемы с winbind

Непрочитанное сообщение fox » 2012-01-31 12:20:58

ldap в каких напровлениях слушает?
Да пребудет с нами сила!!!
Всех убью, один останусь!

mikhail
рядовой
Сообщения: 11
Зарегистрирован: 2012-01-17 9:29:50

Re: samba проблемы с winbind

Непрочитанное сообщение mikhail » 2012-02-01 9:41:20

fox писал(а):ldap в каких напровлениях слушает?
lo и eth1 (временно).

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: samba проблемы с winbind

Непрочитанное сообщение fox » 2012-02-01 21:19:32

Ldap должен слушать во внутреннюю сеть, виндовозу нужно же логинется к нему тоже...
Да пребудет с нами сила!!!
Всех убью, один останусь!

mikhail
рядовой
Сообщения: 11
Зарегистрирован: 2012-01-17 9:29:50

Re: samba проблемы с winbind

Непрочитанное сообщение mikhail » 2012-02-07 13:34:24

Почти все решил, несколько не корректно работает usrmgr в диалоге свойств пользователя не вызывается окно "Группы", пишет, что нет доступа. Можно тему закрывать.

notlikethis
проходил мимо

Re: samba проблемы с winbind

Непрочитанное сообщение notlikethis » 2012-11-21 16:15:31

я решал проблему с неработающим wbinfo -r так: переписал функцию хелпера wbinfo_group.pl:

Код: Выделить всё

sub check {
        local($user, $group) = @_;
	if ($opt{K} && ($user =~ m/\@/)) {
		@tmpuser = split(/\@/, $user);
		$user = "$tmpuser[1]\\$tmpuser[0]";
	}			
	@m_=split(/\\/,$user);
	$user = $m_[1];
	$s=`/usr/local/bin/net ads search 'cn=$user' -U user%password -P | grep memberOf | grep -Eo ' CN=[A-Za-z-]+' | sed 's/ CN=//'`;
	if ($s=~/$group/){
	    return 'OK';
	};
        return 'ERR';
}