samba проблемы с winbind

[mikhail]

Прошу помощи. переделываю домен samba с backend tbdsam на ldap. Использовал разные инструкции, в принципе все получается, но есть две проблемы. Не работает usrmanager из srvtools windows NT, пишет что нет доступа к домену. При этом утилита net в WinXp нормально работает, выдает и пользователей и группы. Вторая проблема уже на PDC Samba. Для прозрачной авторизации на squid используется winbind (вернее хелпер, который требует его наличия). Так вот он не хочет нормально работать, а именно wbinfo -g выдает группы, как положено, а вот wbinfo -u ничего не выдает. Т.е. получается что он пользователей не видит.

По конфигурации. Server Ubuntu 10.04.3, samba 3.4.7, openldap 2.4.21
Клиент Windows XP SP3

На обоих машинах отключены сетевые фильтры, антивирусов нет.

Конфиг самбы

Код: Выделить всё

# Global parameters
[global]
	workgroup = MY
	server string = Samba Server
	netbios name = mysrv
    interfaces = eth1
	bind interfaces only = Yes

# passwd backend
	encrypt passwords = yes
	passdb backend = ldapsam:ldap://127.0.0.1
	enable privileges = yes
	pam password change= Yes
	passwd program = /usr/bin/passwd %u
	passwd chat = *New*UNIX*password* %nn *ReType*new*UNIX*password* %nn * passwd:*all*authentication*tokens*updated*successfully*
	unix password sync = Yes

# Log options
	log level = 1
	log file = /var/log/samba/%m
	max log size = 50
	syslog = 0

# Name resolution
	name resolve order = wins bcast host

# misc
	timeserver = Yes
	socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192	

# printers - configured to use CUPS and automatically load them
	load printers = no
	show add printer wizard = No

# scripts invoked by samba
	add user script               = /usr/local/sbin/smbldap-useradd -m %u
	delete user script            = /usr/local/sbin/smbldap-userdel %u
	add group script              = /usr/local/sbin/smbldap-groupadd -p %g
	delete group script           = /usr/local/sbin/smbldap-groupdel %g
	add user to group script      = /usr/local/sbin/smbldap-groupmod -m %u %g
	delete user from group script = /usr/local/sbin/smbldap-groupmod -x %u %g
	set primary group script      = /usr/local/sbin/smbldap-usermod -g %g %u
	add machine script            = /usr/local/sbin/smbldap-useradd -w %m

# LDAP-iConfiguration
	ldap delete dn                = Yes
	ldap ssl                      = off
	ldap passwd sync              = Yes
	ldap suffix                   = dc=my,dc=local
	ldap machine suffix           = ou=Computers
	ldap user suffix              = ou=People
	ldap group suffix             = ou=Groups
	ldap idmap suffix             = ou=Idmap
	ldap admin dn                 = cn=admin,dc=my,dc=local
	idmap backend                 = ldap:ldap://my.kafla.local
	idmap uid                     = 10000-20000
	idmap gid                     = 10000-20000

# logon options
#	logon script = logon.bat
#	logon path = \%Lprofiles%u
#	logon path =
#	logon home = \%L%U
#	logon drive = H:

# setting up as domain controller
#	username map = /usr/local/samba/usermap
	preferred master = Yes
	wins support = Yes
	domain logons = Yes
	domain master = Yes
	local master = Yes
	os level = 64
	map acl inherit = Yes
#	unix charset     = UTF8

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[fox]

Вот тебе в помощь толковая статья более мение смотри аналогию http://www.lissyara.su/articles/freebsd ... +bdc+ldap/
а вообще Линупсы это не наши методы BSD правельная ось!

[snorlov]

Попробуйте добавить в интерфейсы localhost, ну и конечно посмотреть что слушает ldap, у вас фигурируют 2-а адреса 127.0.0.1 и //my.kafla.local...

[mikhail]

Попробуйте добавить в интерфейсы localhost, ну и конечно посмотреть что слушает ldap, у вас фигурируют 2-а адреса 127.0.0.1 и //my.kafla.local...

Когда конфиг публиковал допустил несколько ошибок. В интерфейсах есть lo и слушаем только localhost, разумеется.

Возможно я недостаточно четко сформулировал свою проблему, поэтому повторю. Машины в домен входят, пользователи заводятся с помощью утилиты net из windows и из linux. Не работает srvmgr.exe из состава srvtools windows nt. Также не возвращается список пользователей командой net rpc user.

Но главная проблема в том, что некорректно работает winbind, wbinfo -u не возвращает список пользователей. А он мне нужен для прозрачной аутентификации на squid-е.

[fox]

Помоему если только localhost в роли контролерра он работать не будет нужно ещё и разшарить на интрефейс который смотрит в лок. сигмент.

[mikhail]

Помоему если только localhost в роли контролерра он работать не будет нужно ещё и разшарить на интрефейс который смотрит в лок. сигмент.

исправляю опечатки

Код: Выделить всё

interfaces eth1, lo
passdb backend =ldapsam: ldap://localhost
idmap backend = ldap:ldap://localhost

[snorlov]

Возможно я недостаточно четко сформулировал свою проблему, поэтому повторю. Машины в домен входят, пользователи заводятся с помощью утилиты net из windows и из linux. Не работает srvmgr.exe из состава srvtools windows nt. Также не возвращается список пользователей командой net rpc user.
Но главная проблема в том, что некорректно работает winbind, wbinfo -u не возвращает список пользователей. А он мне нужен для прозрачной аутентификации на squid-е.

Если не работает svrmgr, то не должен работать и usrmgr, я бы вам рекомендовал использовать их из поставки XP, в противном случае проверяйте конфиг самбы, также посмотрите, что вам выдает

Код: Выделить всё

id <пользователь самбы>
getent passwd 
getent group

если ничего не находит проверяйте настройки nsswitch, nss_ldap, как в ubuntu он обзывается не знаю, второе сам хелпер(ntlm_auth) надо использовать не из поставки сквида, а из поставки самбы, ну и наконец проверил бы права сквида на winbindd_privileges, кажется так...

[mikhail]

Если не работает svrmgr, то не должен работать и usrmgr, я бы вам рекомендовал использовать их из поставки XP, в противном случае проверяйте конфиг самбы, также посмотрите, что вам выдает

Код: Выделить всё

id <пользователь самбы>
getent passwd 
getent group

если ничего не находит проверяйте настройки nsswitch, nss_ldap, как в ubuntu он обзывается не знаю, второе сам хелпер(ntlm_auth) надо использовать не из поставки сквида, а из поставки самбы, ну и наконец проверил бы права сквида на winbindd_privileges, кажется так...

Прошу прощения я продолжаю тупить Видимо ближе к вечеру уже плохо соображаю. Конечно не работает usrmgr, srvmgr как раз работает, что странно ибо ошибка гласит что нет доступа. id, getent работают нормально, пользователей и группы видно. Видимо проблемы с доступом именно через rpc ибо net rpc user пользователей не выдает, а net rap user выдает.

Squid пока не ставил, ибо нет пока смысла, если не получается список пользователей получить через winbind, то очевидно что хелпер не будет работать.

[snorlov]

Смотри на настройки smbldap-tools....

[mikhail]

Смотри на настройки smbldap-tools....

А что там смотреть?

[snorlov]

Как что, там ведь настройки к хождению к самому ldap, контейнеры где пользователи, компьютеры, может они у тебя не в People, а в другом месте, у меня например в Users...

[mikhail]

Как что, там ведь настройки к хождению к самому ldap, контейнеры где пользователи, компьютеры, может они у тебя не в People, а в другом месте, у меня например в Users...

Посмотрел, там все нормально. Ну и кроме того, ведь командой net rpc user add пользователи добавляются, как бы они добавлялись если бы контейнер был указан неверно?

[fox]

ldap в каких напровлениях слушает?

[mikhail]

ldap в каких напровлениях слушает?

lo и eth1 (временно).

[fox]

Ldap должен слушать во внутреннюю сеть, виндовозу нужно же логинется к нему тоже...

[mikhail]

Почти все решил, несколько не корректно работает usrmgr в диалоге свойств пользователя не вызывается окно "Группы", пишет, что нет доступа. Можно тему закрывать.

[notlikethis]

я решал проблему с неработающим wbinfo -r так: переписал функцию хелпера wbinfo_group.pl:

Код: Выделить всё

sub check {
        local($user, $group) = @_;
	if ($opt{K} && ($user =~ m/\@/)) {
		@tmpuser = split(/\@/, $user);
		$user = "$tmpuser[1]\\$tmpuser[0]";
	}			
	@m_=split(/\\/,$user);
	$user = $m_[1];
	$s=`/usr/local/bin/net ads search 'cn=$user' -U user%password -P | grep memberOf | grep -Eo ' CN=[A-Za-z-]+' | sed 's/ CN=//'`;
	if ($s=~/$group/){
	    return 'OK';
	};
        return 'ERR';
}