PDC Samba+LDAP+DNS(!)

[Xerjn]

Имею 2 машины в сети 10.0.1.0/24
10.0.1.33 - W\nXP Prof SP2 workgroup=UC
10.0.1.100 - FreeBSD 6.2 На ней делаю PDC
Согласно многочисленным инструкциям в сети, в том числе на тут, получил следующее.
cat /etc/namedb/named.conf

Код: Выделить всё

 options { 
        directory       "/etc/namedb";
        pid-file        "/var/run/named/pid";
        dump-file       "/var/dump/named_dump.db";
        statistics-file "/var/named.stats";
         listen-on       { 
                        127.0.0.1;
                        10.0.1.100;
                         }; 
         forwarders { 
                10.0.1.90;
                89.249.224.2;
         }; 
        query-source address * port 53;
 }; 
 logging { 
        channel syslog_info  { 
            syslog local3;
            severity info;
         }; 
        category lame-servers { null;  }; 
        category default  {  syslog_info;  }; 
     }; 

 zone "."   { 
        type hint;
        file "named.root";
 }; 

 zone "1.0.10.IN-ADDR.ARPA" { 
        type master;
        file "master/localhost.rev";
 }; 

zone "isx.local" {
        type master;
        file "master/local";
};

cat /etc/namedb/master.local

Код: Выделить всё

TTL 3600

 isx.local.    IN      SOA     isx.local. postmaster.xxxx.ru. ( 
                2001220202
                3600
                900
                3600000
                3600  ) 

                        IN      NS      dc.isx.local.
dc                      IN      A       10.0.1.100
cl                      IN      A       10.0.1.33
_ldap._tcp.dc._msdcs.isx.local.         SRV           0            0           389          dc.isx.local.

cat /etc/namedb/master/localhost.rev

Код: Выделить всё

 $TTL    3600 

 @       IN      SOA     dc.isx.local.   gw.local. ( 
                                20060630        
                                3600   
                                900     
                                3600000 
                                3600  )  
        IN      NS      dc.isx.local.
100     IN      PTR     dc.isx.local.
100     IN      PTR     dc
33      IN      PTR     cl.isx.local.

cat /usr/local/etc/openldap/slapd.conf

Код: Выделить всё

 include          /usr/local/etc/openldap/schema/core.schema
 include          /usr/local/etc/openldap/schema/cosine.schema
 include          /usr/local/etc/openldap/schema/inetorgperson.schema
 include          /usr/local/etc/openldap/schema/misc.schema
 include          /usr/local/etc/openldap/schema/openldap.schema
 include          /usr/local/etc/openldap/schema/nis.schema
 include          /usr/local/etc/openldap/schema/ppolicy.schema
 include          /usr/local/etc/openldap/schema/dyngroup.schema
 include          /usr/local/etc/openldap/schema/samba.schema

 pidfile          /var/run/openldap/slapd.pid
 argsfile         /var/run/openldap/slapd.args

 modulepath       /usr/local/libexec/openldap
 moduleload       back_ldbm

 access to attrs=userPassword 
         by self  write
         by anonymous  write
         by *  write
 access to * 
         by self  write
         by anonymous  write
         by *  write



 database         ldbm
 suffix           "dc=isx,dc=local"
 rootdn           "cn=root,dc=isx,dc=local"

 rootpw           {SSHA}lid3FXA/YULJVFJUSkQWl793RGPcWOuO
 directory        /var/db/openldap-data
 loglevel 1 

 index    objectClass     eq
 index    cn              eq

cat /usr/local/etc/openldap/ldap.conf он же nss_ldap.conf

Код: Выделить всё

 host  127.0.0.1
 base  dc=isx,dc=local
 uri  ldap://localhost/
 rootbinddn  cn=root,dc=isx,dc=local
 scope  sub
 nss_base_passwd  ou=users,dc=isx,dc=local?one
 nss_base_passwd  ou=computers,dc=isx,dc=local?one
 nss_base_group  ou=groups,dc=isx,dc=local?one
 ssl  no

 bind_timelimit  10
 bind_policy  soft

cat /usr/local/etc/smb.conf

Код: Выделить всё

[global]
         dos charset   = cp866
         unix charset  = koi8-r
         display charset  = koi8-r
         workgroup  = ISX
         netbios name  = FREEBSD
         server string  = SambaPDC
         interfaces  = 10.0.1.100/24
         passdb backend  = ldapsam:ldap://127.0.0.1/
         log level  = 4
         log file  = /var/log/samba/log.%m
         max log size  = 500
         time server  = Yes
         load printers  = No
        add user script = /usr/local/bin/ldapadduser '%u' peoples
        rename user script = /usr/local/bin/ldaprenameuser '%uold' '%unew'
        delete user script = /usr/local/bin/ldapdeleteuser '%u'
        add group script = /usr/local/bin/ldapaddgroup '%g'
        delete group script = /usr/local/bin/ldapdeletegroup '%g'
        add user to group script = /usr/local/bin/ldapaddusertogroup '%u' '%g'
        delete user from group script = /usr/local/bin/ldapdeleteuserfromgroup '%u' '%g'
        set primary group script = /usr/local/bin/ldapsetprimarygroup '%u' '%g'
        add machine script = /usr/local/bin/ldapaddmachine '%u' computers
        logon path = \\%L\Profiles\%U\%m
        logon home = \\%L\Profiles\%U\%mlogon drive = N:
        domain logons = Yes
        os level = 64
        preferred master = Yes
        domain master = Yes
        wins proxy = Yes
        wins support = Yes
        ldap admin dn = "cn=root,dc=isx,dc=local"
        ldap group suffix = "ou=groups"
        ldap machine suffix = "ou=computers"
        ldap passwd sync = Yes
        ldap suffix = "dc=isx,dc=local"
        ldap ssl = no
        ldap user suffix = "ou=peoples"
        winbind nested groups = No
        admin users = admin
        hosts allow = 10.0.1.

[homes]
        comment = Home Directories
        read only = No
        browseable = No

[netlogon]
        comment = Network Logon Service
        path = /usr/local/etc/samba/netlogon/
        guest ok = Yes
        browseable = No
        share modes = No

[Profiles]
        path = /home
        create mask = 0600
        directory mask = 0700
        guest ok = Yes
        browseable = No

[data]
        comment = Dump of files
        path = /data
        read list = @people
        write list = @people
        read only = No
        create mask = 0660
        directory mask = 0770
        guest ok = Yes

Начнем с того что dc запросто входит сам в себя (net join -U admin)
По началу - я как то вообще упустил DNS из виду, и пришлось на клиентскои машине WXP пользоваться NetBIOS именем PDC. Это стало возможным после указания в качестве WINS сервера на клиентскои машине - IP 10.0.1.100.
Домен обнаруживался, просил авторизации у клиента. Но на этом я не успокоился, решил сделать его известным через DNS для чего поднял на нем BIND и описал прямую и обратную зону.

Сразу после этого - клиент мне стал выдавать ошибку DNS по поводу отсутсвия SRV записи _ldap._tcp.dc._msdcs.isx.local при подключении к isx.local).
Добавил эту запись, как видите в описание прямои зоны.
Клиент стал корректно определять контроллер домена по этои записи но пишет вот что:

DNS успешно запросила запись ресурса размещения службы (SRV), используемой для выяснения размещения контроллера домена для домена "isx.local":
Опрос проводился для SRV-записи для _ldap._tcp.dc._msdcs.isx.local
Этим запросом были идентифицированы следующие контроллеры домена:
dc.isx.local
К возможным причинам этой ошибки относятся:
1. Записи узлов (A), которые сопоставляют имя контроллера домена его IP-адресам утеряны или содержат неправильные адреса.
2. Котроллеры доменов, зарегистрированные в DNS не подключены к сети или не запущены.
Для получения подробной информации щелкните кнопку "Справка".

При этом как видите - запись А присутствует, IP 10.0.1.100 - доступен (ничто не препятствует соединиться из сети 10.0.1.0/24 на любои порт PDC).
Вывод netstat -a на PDC:

Код: Выделить всё

Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)
tcp4       0      0  localhost.59022        localhost.ldap         TIME_WAIT
tcp4       0      0  localhost.53780        localhost.ldap         TIME_WAIT
tcp4       0      0  localhost.ldap         localhost.57641        ESTABLISHED
tcp4       0      0  localhost.57641        localhost.ldap         ESTABLISHED
tcp4       0      0  dc.1.0.10.in-add.micro dc.63004               ESTABLISHED
tcp4      44      0  dc.1.0.10.in-add.63004 dc.microsoft-ds        ESTABLISHED
tcp4       0      0  *.netbios-ssn          *.*                    LISTEN
tcp4       0      0  *.microsoft-ds         *.*                    LISTEN
tcp4       0      0  localhost.ldap         localhost.65499        ESTABLISHED
tcp4       0      0  localhost.65499        localhost.ldap         ESTABLISHED
tcp4       0      0  localhost.ldap         localhost.50701        ESTABLISHED
tcp4       0      0  localhost.50701        localhost.ldap         ESTABLISHED
tcp6       0      0  localhost.ххх.rndc  *.*                    LISTEN
tcp4       0      0  localhost.rndc         *.*                    LISTEN
tcp4       0      0  localhost.domain       *.*                    LISTEN
tcp4       0      0  dc.1.0.10.in-add.domai *.*                    LISTEN
tcp4       0      0  localhost.ldap         localhost.54645        ESTABLISHED
tcp4       0      0  localhost.54645        localhost.ldap         ESTABLISHED
tcp4       0     48  dc.ssh                 10.0.1.4.59397         ESTABLISHED
tcp4       0      0  *.swat                 *.*                    LISTEN
tcp4       0      0  localhost.smtp         *.*                    LISTEN
tcp4       0      0  *.ssh                  *.*                    LISTEN
tcp6       0      0  *.ssh                  *.*                    LISTEN
tcp4       0      0  *.ldap                 *.*                    LISTEN
tcp4       0      0  localhost.ldap         *.*                    LISTEN
udp4       0      0  dc.1.0.10.in-add.netbi *.*
udp4       0      0  dc.netbios-ns          *.*
udp4       0      0  *.netbios-dgm          *.*
udp4       0      0  *.netbios-ns           *.*
udp6       0      0  *.57375                *.*
udp4       0      0  *.domain               *.*
udp4       0      0  localhost.domain       *.*
udp4       0      0  dc.1.0.10.in-add.domai *.*
udp4       0      0  *.syslog               *.*
udp6       0      0  *.syslog               *.*

Ктонибуть бросить луч света на этт мистический факт:? Почему клиент думает что dc.isx.local (10.0.1.100) не являеться контроллером домена? И так ли это?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[fr33man]

А где в smb.conf security = user ?

[Xerjn]

А где в smb.conf security = user ?

Есть там такое, пока писал сюда - потерял куда-то, вообще - опция присутсвует.

[Xerjn]

Решил отступить на шаг назат, и поднять домен на самбе и системных учетках.
Поднял, джойнюсь в домен ОТОВСЮДУ кроме WinXP. Пробовал по NETBIOS имени - говорит неправильно зарегено в Wins. Как я понял - самба может быть сервером NetBIOS имен, поэтому на машине клиенте - назначил ее WINS сервером. Непомогает. Потом запустил DNS с вышеописанными зонами, опять 25 - SRV зону видит клиент, но гговорит что домена нет и в помине.
Кстати winbind по умолчанию не стартует...

[Xerjn]

Самое интересное - вариант с LDAP - прокатывал до момента авторизации - домен ее просил, пока я не поднял DNS.

[Dron]

Домен на самба не умеет юзать DNS как это делает 2к и 2к3
там юзается WINS
в конфиге самбы убери строчку wins proxy = Yes
тут либо wins либо прокси к другому wins...

А клиент у тебя ругается из-за того, что видимо в настройках убрал параметры WINS. Верни на место и будет тебе счастье

[Xerjn]

Черт подери, а вет ькак верно, по поводу винс я загнался, кстати - реализация без ЛДАП заработала, счас с лдап попробую

[uhryab1]

Здравствуйте. У меня та же проблема. Сначала виндовс также говрил что нет SRV записи.
Добавил в прямой зоне запись _ldap._tcp.dc._msdcs.isx.local. SRV 0 0 389 instserv.tld. После этого стал говорить что
Можно подробнее о параметрах wins? Добавил в конфиге самбы wins support = yes, на виндовой машине добавил wins-адрес сервера(я так понимаю, самба должна выполнять эту роль).

вот конфиг самбы:

Код: Выделить всё

# smb.conf is the main Samba configuration file. You find a full commented
# version at /usr/share/doc/packages/samba/examples/smb.conf.SUSE if the
# samba-doc package is installed.
# Date: 2006-11-27

# Определение имени домена и узла
####################################################
[global]
workgroup = instserv.tld
netbios name = sibnigmi
# Настройки ldapsam backend database
####################################################
passdb backend = ldapsam:ldap://127.0.0.1
username map = /etc/samba/smbusers
# Настройки системы печати
####################################################
printcap name = cups
printing = cups
# Путь к скрипту IDEALX (его коснемся позже)
####################################################
add user script = /usr/local/sbin/smbldap-useradd -m %u
delete user script = /usr/local/sbin/smbldap-userdel %u
add group script = /usr/local/sbin/smbldap-groupadd -p %g
delete group script = /usr/local/sbin/smbldap-groupdel %g
add user to group script = /usr/local/sbin/smbldap-groupmod -m %g %u
delete user from group script = /usr/local/sbin/smbldap-groupmod -x %g %u
set primary group script = /usr/local/sbin/smbldap-usermod -g %g %u
add machine script = /usr/local/sbin/smbldap-useradd -w %u

# если РІС‹ хотите добавлять РјР°С?РёРЅС‹ РІ домен автоматически добавьте этот СЃРєСЂРёРїС‚:
# add machine script = /usr/local/sbin/smbldap-useradd -w -i %u
# испытано на SUSE 10.0
#
# Другие разнообразные директивы ( man smb.conf )
####################################################
obey pam restrictions = Yes
logon script = scripts\logon.bat
logon path = \\%L\Profiles\%U
logon drive = H:
logon home = \\%L\%U
domain logons = Yes
os level = 255
preferred master = Yes
security = user
wins support = yes
domain master = Yes
dont descend = /proc,/dev,/etc,/lib,/lost+found,/initrd
show add printer wizard = yes
hosts allow 127.0.0.1 192.168.9
# OpenLDAP настройки определяются здесь
###################################################
ldap suffix = dc=instserv,dc=tld
ldap machine suffix = ou=Computers
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap idmap suffix = ou=Users
ldap admin dn = cn=Admin,dc=instserv,dc=tld
ldap ssl = no
ldap passwd sync = Yes
idmap uid = 15000-20000
idmap gid = 15000-20000
# Задание настоек журналирования
####################################################
log level = 2
log file = /var/log/samba/%m.log
# Определение настроек сканирования вирусов
####################################################
vfs object = vscan-clamav
vscan-clamav: config-file = /etc/samba/vscan-clamav.conf
# Настройки РґРѕРјР°С?РЅРёС… директорий
####################################################
[homes]
comment = Home Directories
valid users = %S
read only = No
browseable = No
# Определение принтеров
####################################################
[printers]
comment = All Printers
path = /var/spool/samba
printer admin = @"Print Operators" 
read only  = Yes
guest ok = Yes
printable = Yes
browseable = No
# Драйвера для принтера
####################################################
[print$]
path = /var/lib/samba/drivers/
guest ok = No
browseable = Yes
read only = Yes
valid users = @"Print Operators"
write list = @"Print Operators"
create mask = 0664
directory mask = 0775
# Настройка службы сетевого входа (logon)
####################################################
[netlogon]
comment = NLService
path = /var/lib/samba/netlogon
guest ok = Yes
browseable = No
# Ресурс профилей ( для переносимых профилей )
####################################################
[profiles]
comment = Roaming Profiles
path = /var/lib/samba/profiles
create mask = 0600
directory mask = 0700
browseable = No
guest ok = Yes
force user = %U
valid users = %U "Domain Admins"
read only = No
profile acls = Yes
# Определение разделенных ресурсов
####################################################
[share]
comment = data share
path = /opt/stuff
valid users = %U