samba pdc

[naehi8sh]

Поднимаю самба как контролер домена.
Конфиги:

Код: Выделить всё

#======================= Global Settings =====================================
[global]
    workgroup = pdc.xxx
    netbios name = pdc
    server string =
   security = users

    encrypt passwords = yes
    load printers = no
    admin users = gadenysh
    hosts allow = 192.168.0. 127.
    log file = /var/log/samba/samba.log
    max log size = 50000
    passdb backend = ldapsam:ldap://127.0.0.1
    ldap suffix = dc=xxxx,dc=ru
    ldap user suffix = ou=users
    ldap group suffix = ou=groups
    ldap machine suffix = ou=computers
    ldap admin dn = "cn=adm,dc=xxxx,dc=ru"
    ldap delete dn = no
    ldap ssl = off
    winbind uid = 10000-20000
    winbind gid = 10000-20000
    winbind separator = @
    winbind use default domain = yes
    socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
    local master = yes
    os level = 255
    domain master = yes
    preferred master = yes
    domain logons = yes
    local master = yes

# Пустое значение - неперемещаемые профили.
    logon path =

    logon home = \\%L\homes
    logon drive = H:
    add machine script = /usr/local/bin/ldapaddmachine '%u' computers
    add user script = /usr/local/bin/ldapadduser '%u' users
    add group script = /usr/local/bin/ldapaddgroup '%g'
    add user to group script = /usr/local/bin/ldapaddusertogroup '%u' '%g'
    delete user script = /usr/local/bin/ldapdeleteuser '%u'
    delete group script = /usr/local/bin/ldapdeletegroup '%g'
    delete user from group script = /usr/local/bin/ldapdeleteuserfromgroup '%u' '%g'
    set primary group script = /usr/local/bin/ldapsetprimarygroup '%u' '%g'
    rename user script = /usr/local/bin/ldaprenameuser '%uold' '%unew
    wins support = yes
    wins proxy = yes
    dns proxy = no
    display charset = koi8-r
    unix charset = koi8-r
    dos charset = cp866
    time server = yes

#============================ Share Definitions ==============================
[homes]
 comment = Home Directories
 path = /samba/homes/%U
 browseable = no
 writable = yes
 public = no
 read only = no
 create mask = 0600
 directory mask = 0700
 valid users = %S
 volume = home

[netlogon]
 comment = Network Logon Service
 path = /samba/netlogon
 browseable = no
 guest ok = yes
 writable = no
 share modes = no
 volume = NETLOGON

[profiles]
 create mode = 0600
 directory mode = 700
 path = /samba/profiles/%u
 browseable = yes
 guest ok = yes
 writeable = yes
 volume = profiles

[pub]
 comment = Папка общего пользования
 path = /samba/pub
# valid users = @users
 create mode = 666
 directory mode = 777
 public = yes
 writable = yes
 printable = no
 browseable = yes

[IPC$]
 path = /samba/ipc
 hosts allow = 192.168.0.0/24 127.0.0.1
 hosts deny = 0.0.0.0/0

Настройки скатываю из: http://www.lissyara.su/?id=1713

Виндовую машину подключить получилось....
net rpc join -S pdc.xxxxx.ru -U yyyyyy
тоже прокатило... а воть добавдение SUSE11... говарит что не возможно использовать рабочую группу ХХХХ для аутентификации Linux... подскажите куда копать...

Иногда ругаеться так:
[2008/08/15 17:04:27, 0] nsswitch/idmap.c:idmap_init(388)
idmap_init: Ignoring domain PDC.XXXX

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[vic]

На счёт этой ошибки - всё что найти удалось - это некорректная версия samba
Рекомендация - пересобрать

[vic]

По поводу пересборки ...
http://www.bsdportal.ru/viewtopic.php?p ... 142d6b1f0a

[snorlov]

Зачем в конфиге winbind совать у тебя же это PDC на базе ldap, отредактировать nsswitch.conf добавив туда ldap

[naehi8sh]

В этом вопросе меня больше интересует аутентификация пользователей на десктопах, которые тоже под линукс, я рассматривал SUSE 11.
Так же интересует доступ к файлам на сервере. а ACL пока поддерживает тока самба... сейчас работает схема: LDAP+UFS. но это как то не интересно и не защищенно. Нужно еще добиться чтобы регистрация была бы только один раз... чтоб регистрация сохранялась до завершения сеанса(т.е. при обращении к данным на сервере не запрашивался пароль)...
Хотя может есть другие решения для разграничения доступа к файлам... но пока их не нашел.

[vic]

:to snorlov
у меня та же трабла, но в ...

Код: Выделить всё

cat /nsswitch.conf
passwd:     files ldap winbind
shadow:     files ldap winbind
group:      files ldap winbind
hosts:      files dns
bootparams: nisplus [NOTFOUND=return] files
ethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   files
netgroup:   files ldap
publickey:  nisplus
automount:  files ldap
aliases:    files nisplus

или я где не прав?!?
И фишка таже ... nix-клиенты ...

[vic]

самба была 3,0,30
после обновы до 3,0,31 - всё ОК

[Не зареген]

Уважаемый автор не могли бы вы объяснить зачем нужен winbind на PDC? Вроде он нужен для аутинтификации unix-клиентов на самом клиенте

[fox]

Добрый День Господа!
Начал на тестовых машинах ставить PDC по статье:
http://www.lissyara.su/?id=1713
Вроде всё получилось только вот воткнуть не получается сам PDC, Вот что пишет:

Код: Выделить всё

[root@PDC /etc]# net rpc join -S pdc -U fox%1234567
[2009/09/06 14:18:44, 0] lib/util_sock.c:read_socket_with_timeout(497)
  read_socket_with_timeout: timeout read. read error = Connection reset by peer.
[2009/09/06 14:18:44, 0] libsmb/clientgen.c:cli_receive_smb(111)
  Receiving SMB: Server stopped responding
Could not connect to server pdc
[2009/09/06 14:18:44, 0] lib/util_sock.c:read_socket_with_timeout(497)
  read_socket_with_timeout: timeout read. read error = Connection reset by peer.
[2009/09/06 14:18:44, 0] libsmb/clientgen.c:cli_receive_smb(111)
  Receiving SMB: Server stopped responding
Connection failed: NT_STATUS_INVALID_NETWORK_RESPONSE
[2009/09/06 14:18:44, 0] lib/util_sock.c:read_socket_with_timeout(497)
  read_socket_with_timeout: timeout read. read error = Connection reset by peer.
[2009/09/06 14:18:44, 0] libsmb/clientgen.c:cli_receive_smb(111)
  Receiving SMB: Server stopped responding
Could not connect to server pdc
Connection failed: NT_STATUS_INVALID_NETWORK_RESPONSE

Что это может быть? Подскажите, буду очень признателен!
За ранние спасибо!

[snorlov]

Добрый День Господа!
Начал на тестовых машинах ставить PDC по статье:
http://www.lissyara.su/?id=1713
Вроде всё получилось только вот воткнуть не получается сам PDC:

Перестартовать самбу не пробовали...

[fox]

пробовали без результата

[snorlov]

пробовали без результата

А если просто на консоли pdc дать net join -U ....

[fox]

тоже самое будет, с join я перепробовал все комбинации

[snorlov]

тоже самое будет, с join я перепробовал все комбинации

Остается только огласить версию самбы, с какими параметрами она была установлена, smb.conf.
Можно еще скачать LdapAdmin и посмотреть содержимое базы Ldap'a...

[fox]

Добрый день!
Вот версия самбы:

Код: Выделить всё

samba-3.0.36,1      A free SMB and CIFS client and server for UNIX

Конфиг файла smb.conf:

Код: Выделить всё

#======================= Global Settings =====================================
[global]
    workgroup = fer.com
    netbios name = pdc
    server string = pdc-server
    security = user
    encrypt passwords = yes
    load printers = no
    admin users = fox
    hosts allow = 192.168.254. 192.168.216. 127.
    log file = /var/log/samba/samba.log
    max log size = 50000
    passdb backend = ldapsam:ldap://127.0.0.1
    ldap suffix = dc=fer,dc=com
    ldap user suffix = ou=users
    ldap group suffix = ou=groups
    ldap machine suffix = ou=computers
    ldap admin dn = "cn=root,dc=fer,dc=com"
    ldap delete dn = no
    ldap ssl = off
    winbind uid = 10000-20000
    winbind gid = 10000-20000
    winbind separator = @
    winbind use default domain = yes
    socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
    local master = yes
    os level = 255
    domain master = yes
    preferred master = yes
    domain logons = yes

# Пустое значение - неперемещаемые профили.
    logon path =

    logon home = \\%L\homes
    logon drive = H:
    add machine script = /usr/local/bin/ldapaddmachine '%u' computers
    add user script = /usr/local/bin/ldapadduser '%u' users
    add group script = /usr/local/bin/ldapaddgroup '%g'
    add user to group script = /usr/local/bin/ldapaddusertogroup '%u' '%g'
    delete user script = /usr/local/bin/ldapdeleteuser '%u'
    delete group script = /usr/local/bin/ldapdeletegroup '%g'
    delete user from group script = /usr/local/bin/ldapdeleteuserfromgroup '%u' '%g'
    set primary group script = /usr/local/bin/ldapsetprimarygroup '%u' '%g'
    rename user script = /usr/local/bin/ldaprenameuser '%uold' '%unew
    wins support = yes
    wins proxy = yes
    dns proxy = no
    display charset = koi8-r
    unix charset = koi8-r
    dos charset = cp866
    time server = yes
#============================ Share Definitions ==============================
[homes]
 comment = Home Directories
 path = /home/samba/homes/%U
 browseable = no
 writable = yes
 public = no
 read only = no
 create mask = 0600
 directory mask = 0700
 valid users = %S

[netlogon]
 comment = Network Logon Service
 path = /usr/local/etc/samba/netlogon
 browseable = no
 guest ok = yes
 writable = no
 share modes = no
 volume = NETLOGON

[profiles]
 create mode = 0600
 directory mode = 700
 path = /home/samba/profiles/%u
 browseable = no
 guest ok = yes
 writeable = yes

[pub]
 comment = Папка общего пользования
 path = /home/samba/pub
 valid users = @users
 create mode = 666
 directory mode = 777
 public = yes
 writable = yes
 printable = no
 browseable = yes

[IPC$]
 path = /tmp
 hosts allow = 192.168.245.0/24 192.168.216.0/24 127.0.0.1
 hosts deny = 0.0.0.0/0

Ставил Админ ЛДАП но не чего там для себя пока что не увидел не слишком я с ним знаком, то что туда не включилось ПДЦ это понятно, а вот прикол на самбу зайти не получается вообще через косые, мне кажется дело в самбе!

[snorlov]

Строчку бы запуска самого ldap'a, пусть он все твои интерфейсы слушает, и именно по этому ip и подключайся через LdapAdmin под учеткой cn=root,dc=fer,dc=com с паролем который ты заводил через smbpasswd -w, после подключению должен увидеть структуру. О своем старте ldap пишет в /var/log/debug.log.Самба кстати это домен в стиле NT4, а там ограничение на имя домена fer.com, лучше пусть он будет просто fer...
Небольшое замечание, а зачем тебе winbind? У тебя что на этой машине еще что-то крутиться...
В nsswitch.conf добавил юзанье ldap'а, не забыл...

[fox]

Спасибо огромное!
Я разобрался, не пинайте меня ногами, но моя ошибка была, досадная очепятка!
Всё классно заработало, ну точнее я одну пока машину PDC сделал, ну вот пока играюсь на тестовой есть вопросы, подскажите пожалуйста:
В данной статье, по которой я делал:
http://www.lissyara.su/?id=1713
Сказано что у автора есть филиал, а вот о чём подумал, в моём случае нет филиала, но зачем мне кластер, а в случае если я уеду далеко ляжет контроллер пока я приеду они сума сойдут, можно ли это статью применить для одной сети только с двумя серверами, с двумя контроллерами???
Вы понимаете о чём я, насколько надо изменить конф или можно ли вообще, ну вы меня понимаете, как сделать что бы две машины синхронно работали, но у меня есть ещё переменные среды как быть с ними? Кто что думает по поводу два серванта в одной сети?
Буду очень признателен за аудиенцию!

[fox]

Добрый день, добрался я до установки второго сервера, вроде заработал домен в 2 машины ну вот Репликации увы нет у меня, не могу разобраться, чуть сума не сошёл, напрягать вас стесняюсь, а вот буду очень благодарен если кто то выложит конфиги ЛДАПА, с рабочих действующих машин..
Пожалуйста выложите конфиги slapd.conf Master and Slave где чётко работает репликация.
Буду безмерно благодарен!!!
За ранние огромное спасибо!

[princeps]

ну вот Репликации увы нет у меня

С чего ты это взял? логи давай

[fox]

Добрый вечер, да логи не дам я там конфиги уже перекрутил так, что в лом возвращать всё наместо легче переделать конф ибо у автора статья то хорошая а вот ошибок реально не мало! С чего я взял, да репликации нет) Через ЛДАП админ вижу что данные не переносятся а в лог сливает что не перенесено тот-то тот-то… Конфы мне для образца лучше дайте, буду очень признателен!

[princeps]

а в лог сливает что не перенесено тот-то тот-то…

ну так и надо смотреть что не перенесено, почему не перенесено. Навряд ли конфиги дадут

[fox]

Добрый вечер!
Ну вот, восстановил всё как по этой статье:
http://www.lissyara.su/?id=1713
Затем всё хорошо до пункта где настраиваем репликатор!
Как только надо после изменения конфа slapd.conf - Slave стартовать, вот что он выдаёт в логи, естественно деман не стартует!

Код: Выделить всё

cat debug.log
Sep 14 18:12:22 S2 slapd[888]: @(#) $OpenLDAP: slapd 2.3.43 (Sep 14 2009 19:34:16) $    root@S2:/usr/ports/net/openldap23-server/work/openldap-2.3.43/servers/slapd
Sep 14 18:12:22 S2 slapd[888]: /usr/local/etc/openldap/slapd.conf: line 94: bad DN "uid=replicator,ou=users,fer,dc=com" in by DN clause
Sep 14 18:12:22 S2 slapd[888]: <access clause> ::= access to <what> [ by <who> [ <access> ] [ <control> ] ]+  <what> ::= * | dn[.<dnstyle>=<DN>] [filter=<filter>] [attrs=<attrspec>] <attrspec> ::= <attrname> [val[/<matchingRule>][.<attrstyle>]=<value>] | <attrlist> <attrlist> ::= <attr> [ , <attrlist> ] <attr> ::= <attrname> | @<objectClass> | !<objectClass> | entry | children <who> ::= [ * | anonymous | users | self | dn[.<dnstyle>]=<DN> ]      [ realanonymous | realusers | realself | realdn[.<dnstyle>]=<DN> ]   [dnattr=<attrname>]     [realdnattr=<attrname>]         [group[/<objectclass>[/<attrname>]][.<style>]=<group>]       [peername[.<peernamestyle>]=<peer>] [sockname[.<style>]=<name>]         [domain[.<domainstyle>]=<domain>] [sockurl[.<style>]=<url>]     [ssf=<n>] [transport_ssf=<n>] [tls_ssf=<n>] [sasl_ssf=<n>] <style> ::= exact | regex | base(Object) <dnstyle> ::= base(Object) | one(level) | sub(tree) | children | exact | regex <attrstyle> ::= exact | regex | base(Object) | one(level) | sub(tree) | children <peernamestyle> ::=
Sep 14 18:12:22 S2 slapd[888]: slapd stopped.
Sep 14 18:12:22 S2 slapd[888]: connections_destroy: nothing to destroy.

А вот конф Slave:

Код: Выделить всё

#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#
include         /usr/local/etc/openldap/schema/core.schema
include         /usr/local/etc/openldap/schema/cosine.schema
include         /usr/local/etc/openldap/schema/inetorgperson.schema
include         /usr/local/etc/openldap/schema/misc.schema
include         /usr/local/etc/openldap/schema/nis.schema
include         /usr/local/etc/openldap/schema/openldap.schema
include         /usr/local/etc/openldap/schema/samba.schema

# Define global ACLs to disable default read access.

# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral       ldap://root.openldap.org

pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args

allow bind_v2

# Load dynamic backend modules:
modulepath      /usr/local/libexec/openldap
#moduleload     back_bdb
# moduleload    back_ldap
moduleload      back_ldbm
# moduleload    back_passwd
# moduleload    back_shell

# Sample security restrictions
#       Require integrity protection (prevent hijacking)
#       Require 112-bit (3DES or better) encryption for updates
#       Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64

# Sample access control policy:
#       Root DSE: allow anyone to read it
#       Subschema (sub)entry DSE: allow anyone to read it
#       Other DSEs:
#               Allow self write access
#               Allow authenticated users read access
#               Allow anonymous users to authenticate
#       Directives needed to implement policy:
# access to dn.base="" by * read
# access to dn.base="cn=Subschema" by * read
# access to *
#       by self write
#       by users read
#       by anonymous auth
#
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn.  (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!

#######################################################################
# BDB database definitions
#######################################################################

database        ldbm
suffix          "dc=fer,dc=com"
rootdn          "cn=root,dc=fer,dc=com"
# Cleartext passwords, especially for the rootdn, should
# be avoid.  See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
rootpw          {SSHA}deCX2l8StY538UhASBMOe7r7f1NKEvpR

loglevel        256

# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd and slap tools.
# Mode 700 recommended.
directory       /var/db/openldap-data
# Indices to maintain
#index  objectClass     eq

index   objectClass,uid,uidNumber,gidNumber     eq
index   cn,mail,surname,givenname               eq,subinitial

index   sambaSID                                eq
index   sambaPrimaryGroupSID                    eq
index   sambaDomainName                         eq

updatedn "uid=replicator,ou=users,dc=fer,dc=com"
updateref ldap://192.168.245.10:389

access to attrs=userPassword
    by self write
    by dn="uid=replicator,ou=users,fer,dc=com" write
    by anonymous auth
    by * none [b]!!!94 линия[/b]

access to attrs=sambaLMPassword,sambaNTPassword
    by dn="cn=root,dc=fer,dc=com" write
    by dn="uid=replicator,ou=users,dc=fer,dc=com" write
    by * none

access to *
    by dn="uid=replicator,ou=users,dc=fer,dc=com" write
    by self write
    by anonymous read
    by * none

Ругается, судя по логам на 94ю линию, я её пометил!
Что не так??? Я просто ещё не очень дружу с OpenLDAP, так что не пинайте ногами! :-)
За ранние спасибо!!!

[fox]

Доброй ночи!
Я разобрался в чём дело, потанцевал с бубном перед богами FreeBSD, и они мне дали прозрение! ))))
Ну во-первых та ошибка из-за снова очепятки, ну да ладно, когда я её убрал..
Было:

Код: Выделить всё

access to attrs=userPassword
    by self write
    by dn="uid=replicator,ou=users,fer,dc=com" write
    by anonymous auth
    by * none

Стало:

Код: Выделить всё

access to attrs=userPassword
    by self write
    by dn="uid=replicator,ou=users,dc=fer,dc=com" write
    by anonymous auth
    by * none

Ошибка, ушла и демон стартовал!
Ну, потом репликации не было всё равно!
Тогда я предположил что у меня не правильно в базу добавлен пользователь репликатора!
Не бейте меня сильно, я новичок в OpenLDAP…
И тогда я репликационного пользователя заменил на root пользователя.
Получилось вот так вот:
Master conf:

Код: Выделить всё

#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#
include         /usr/local/etc/openldap/schema/core.schema
include         /usr/local/etc/openldap/schema/cosine.schema
include         /usr/local/etc/openldap/schema/inetorgperson.schema
include         /usr/local/etc/openldap/schema/misc.schema
include         /usr/local/etc/openldap/schema/nis.schema
include         /usr/local/etc/openldap/schema/openldap.schema
include         /usr/local/etc/openldap/schema/samba.schema

# Define global ACLs to disable default read access.

# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral       ldap://root.openldap.org

pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args

allow bind_v2

# Load dynamic backend modules:
modulepath      /usr/local/libexec/openldap
#moduleload     back_bdb
# moduleload    back_ldap
moduleload      back_ldbm
# moduleload    back_passwd
# moduleload    back_shell

# Sample security restrictions
#       Require integrity protection (prevent hijacking)
#       Require 112-bit (3DES or better) encryption for updates
#       Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64

# Sample access control policy:
#       Root DSE: allow anyone to read it
#       Subschema (sub)entry DSE: allow anyone to read it
#       Other DSEs:
#               Allow self write access
#               Allow authenticated users read access
#               Allow anonymous users to authenticate
#       Directives needed to implement policy:
# access to dn.base="" by * read
# access to dn.base="cn=Subschema" by * read
# access to *
#       by self write
#       by users read
#       by anonymous auth
#
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn.  (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!

#######################################################################
# BDB database definitions
#######################################################################

database        ldbm
suffix          "dc=fer,dc=com"
rootdn          "cn=root,dc=fer,dc=com"
# Cleartext passwords, especially for the rootdn, should
# be avoid.  See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
rootpw          {SSHA}1QXD45/Q/10VSxbpujy/vfQaKs4gfzfu

loglevel        256

# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd and slap tools.
# Mode 700 recommended.
directory       /var/db/openldap-data
# Indices to maintain
#index  objectClass     eq

index   objectClass,uid,uidNumber,gidNumber     eq
index   cn,mail,surname,givenname               eq,subinitial

index   sambaSID                                eq
index   sambaPrimaryGroupSID                    eq
index   sambaDomainName                         eq

replogfile /var/log/ldap/replica.log

replica uri=ldap://192.168.245.20:389
    binddn="cn=root,dc=fer,dc=com"
    bindmethod=simple credentials=fortero

access to attrs=userPassword
    by self write
    by anonymous auth
    by * none

access to attrs=sambaLMPassword,sambaNTPassword
    by dn="cn=root,dc=fer,dc=com" write
    by * none

access to *
    by self write
    by anonymous read
    by * none

Slave conf:

Код: Выделить всё

#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#
include         /usr/local/etc/openldap/schema/core.schema
include         /usr/local/etc/openldap/schema/cosine.schema
include         /usr/local/etc/openldap/schema/inetorgperson.schema
include         /usr/local/etc/openldap/schema/misc.schema
include         /usr/local/etc/openldap/schema/nis.schema
include         /usr/local/etc/openldap/schema/openldap.schema
include         /usr/local/etc/openldap/schema/samba.schema

# Define global ACLs to disable default read access.

# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral       ldap://root.openldap.org

pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args

allow bind_v2

# Load dynamic backend modules:
modulepath      /usr/local/libexec/openldap
#moduleload     back_bdb
# moduleload    back_ldap
moduleload      back_ldbm
# moduleload    back_passwd
# moduleload    back_shell

# Sample security restrictions
#       Require integrity protection (prevent hijacking)
#       Require 112-bit (3DES or better) encryption for updates
#       Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64

# Sample access control policy:
#       Root DSE: allow anyone to read it
#       Subschema (sub)entry DSE: allow anyone to read it
#       Other DSEs:
#               Allow self write access
#               Allow authenticated users read access
#               Allow anonymous users to authenticate
#       Directives needed to implement policy:
# access to dn.base="" by * read
# access to dn.base="cn=Subschema" by * read
# access to *
#       by self write
#       by users read
#       by anonymous auth
#
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn.  (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!

#######################################################################
# BDB database definitions
#######################################################################

database        ldbm
suffix          "dc=fer,dc=com"
rootdn          "cn=root,dc=fer,dc=com"
# Cleartext passwords, especially for the rootdn, should
# be avoid.  See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
rootpw          {SSHA}deCX2l8StY538UhASBMOe7r7f1NKEvpR

loglevel        256

# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd and slap tools.
# Mode 700 recommended.
directory       /var/db/openldap-data
# Indices to maintain
#index  objectClass     eq

index   objectClass,uid,uidNumber,gidNumber     eq
index   cn,mail,surname,givenname               eq,subinitial

index   sambaSID                                eq
index   sambaPrimaryGroupSID                    eq
index   sambaDomainName                         eq

updatedn "cn=root,dc=fer,dc=com"
updateref ldap://192.168.245.10:389

access to attrs=userPassword
    by self write
    by dn="cn=root,dc=fer,dc=com" write
    by anonymous auth
    by * none

access to attrs=sambaLMPassword,sambaNTPassword
    by dn="cn=root,dc=fer,dc=com" write
    by * none

access to *
    by dn="cn=root,dc=fer,dc=com" write
    by self write
    by anonymous read
    by * none

И представьте себе, репликация заработала, о чудо!
Люди добрые, подскажите пожалуйста как теперь правильно добавить пользователя для репликации, и что-то может не правильно в моих конфах???
Буду ждать ответа, спасибо за внимание!

[snorlov]

Посмотрите внимательнее как вы прописываете репликатора

Код: Выделить всё

 "uid=replicator,ou=users,dc=fer,dc=com"

Мне кажется должно быть
"cn=replicator,ou=users,dc=fer,dc=com"

[fox]

Добрый день!
Ну я же говорю не бейте меня сильно я здесь только начинающий..
Я тоже так подумал на работать кажется не будет, в статье ошибка, а вы можете ещё выложить код добавления пользователя репликатора в базу, только правильный?
Буду безмерно признателен, за ранние спасибо!