статья ldap+samba+ddns+dhcp [бета-версия]

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
snorlov
подполковник
Сообщения: 3744
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение snorlov » 2011-03-06 20:52:07

Mufanu писал(а):С правами все в порядке, другие команды с logon.bat выполняются. Если под юзером выполнять

Код: Выделить всё

net time \\server /set /yes
Выдает "Отказано в доступе".
В локальных политиках разрешил изменение системного времени, все работает.
Получается мне нужно по всем компам пройтись и добавить разрешение. А не хочется этого делать по двум причинам:
1. Юзеры не должны иметь права менять системное время.
2. 100 компов - много времени потрачу.
Ну во-первых, простым пользователям это было по жизни запрещено, во-вторых, настройте сервер времени на фре и если она выступает в роли PDC, а у вас наверное станции выше w2k, то запустите windows time на рабочих станциях...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

kuhtikov
проходил мимо
Сообщения: 8
Зарегистрирован: 2009-09-08 6:38:50

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение kuhtikov » 2011-06-16 6:36:05

Помогите понять одну ошибку

Код: Выделить всё

server# smbpasswd -a admin
failed to bind to server ldap://127.0.0.1/ with dn="cn=root,dc=artpaint,dc=spb,dc=ru" Error: Invalid credentials

Connection to LDAP server failed for the 1 try!
Connection to LDAP server failed for the 2 try!
Connection to LDAP server failed for the 3 try!
В чем проблема? Что смотреть?

kerber
рядовой
Сообщения: 19
Зарегистрирован: 2011-05-06 6:26:37

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение kerber » 2011-06-16 6:40:00

Уважаемые кто знает ? Лепил PDC по статье http://www.lissyara.su/articles/freebsd ... ddns+dhcp/
всё прошло удачно, но на шаге (Делаем сопоставление групп группам NT) при выполнении команды:
net groupmap add ntgroup="Domain Admins" unixgroup=admins rid=512 type=domain
нехочет добавлять группу и выходит сообщение об ошибке:
"adding entry for group domain admins failed"

Может где надо прописать вручную эту группу сначала или что это может быть то ?
Всё перерыл :st: уже незнаю куда лезть ещё.....

kuhtikov
проходил мимо
Сообщения: 8
Зарегистрирован: 2009-09-08 6:38:50

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение kuhtikov » 2011-06-16 6:55:26

kuhtikov писал(а):Помогите понять одну ошибку

Код: Выделить всё

server# smbpasswd -a admin
failed to bind to server ldap://127.0.0.1/ with dn="cn=root,dc=artpaint,dc=spb,dc=ru" Error: Invalid credentials

Connection to LDAP server failed for the 1 try!
Connection to LDAP server failed for the 2 try!
Connection to LDAP server failed for the 3 try!
В чем проблема? Что смотреть?

Разобрался. smbpasswd -w "пароль". ф топку копипаст

kuhtikov
проходил мимо
Сообщения: 8
Зарегистрирован: 2009-09-08 6:38:50

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение kuhtikov » 2011-06-16 7:31:23

Появилась другая проблема

Код: Выделить всё

server# net groupmap add ntgroup="Domain Computers" unixgroup=computers rid=515 type=domain
adding entry for group Domain Computers failed!

server# net groupmap list
Domain Admins (S-1-5-21-3633677915-3085987332-2263991070-512) -> admins
Domain Users (S-1-5-21-3633677915-3085987332-2263991070-513) -> users

Странно что 2 группы добавились, а третья не хочет. Что посмотреть?

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение fox » 2011-06-16 10:36:49

kuhtikov писал(а):Появилась другая проблема

Код: Выделить всё

server# net groupmap add ntgroup="Domain Computers" unixgroup=computers rid=515 type=domain
adding entry for group Domain Computers failed!

server# net groupmap list
Domain Admins (S-1-5-21-3633677915-3085987332-2263991070-512) -> admins
Domain Users (S-1-5-21-3633677915-3085987332-2263991070-513) -> users

Странно что 2 группы добавились, а третья не хочет. Что посмотреть?
В конфиги smb.conf

Код: Выделить всё

winbind uid = 10000-20000
winbind gid = 10000-20000
Поменяй на другие значения они совподают с

Код: Выделить всё

GIDSTART="10000" # Group ID
UIDSTART="10000" # User ID
Возьми к примеру:

Код: Выделить всё

winbind uid = 5000-9999
winbind gid = 5000-9999
И затем повтори, процедуру синхронизации базы ldap и самбы!
Да пребудет с нами сила!!!
Всех убью, один останусь!

kuhtikov
проходил мимо
Сообщения: 8
Зарегистрирован: 2009-09-08 6:38:50

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение kuhtikov » 2011-06-16 11:18:59

Не помогло

smb.conf

Код: Выделить всё


[global]

# имя домена
workgroup = artpaint

# типа коментарий самба сервера
server string = mail.artpaint

#имя компа с самбой в сетевом окружении
netbios name = mail
security = user
#hosts allow = 192.168.10. 192.168.20. 192.168.0. 127.

load printers = no
log file = /var/log/samba/log.%m
max log size = 50
acl compatibility = win2k

encrypt passwords = yes
admin users = admin
passdb backend = ldapsam:ldap://127.0.0.1/


# здесь описываем лдап
ldap suffix = dc=artpaint,dc=spb,dc=ru
ldap user suffix = ou=users
ldap group suffix = ou=groups
ldap machine suffix = ou=computers
ldap admin dn = "cn=root,dc=artpaint,dc=spb,dc=ru"
ldap delete dn = no
ldap ssl = off

winbind uid = 5000-9999
winbind gid = 5000-9999
winbind separator = @
winbind use default domain = yes

# делаем PDC
socket options = TCP_NODELAY
local master = yes
os level = 64
domain master = yes
preferred master = yes
domain logons = yes

# если хоиите юзать логон скрипты, то раскоментариваете
;   logon script = %m.bat
;   logon script = %U.bat

# путь к перемещаемому профилю
logon path = \\%L\profiles

# путь к хомякам юзеров
logon home = \\%L\HOME
logon drive = H:


wins support = yes
dns proxy = yes


display charset = koi8-r
unix charset = koi8-r
dos charset = cp866
timeserver = yes

# скрипты для добавления юзеров и групп (юзается в usermgr от nt4)
add machine script = /usr/local/sbin/ldapaddmachine '%u' computers
add user script = /usr/local/sbin/ldapadduser '%u' users
add group script = /usr/local/sbin/ldapaddgroup '%g'
add user to group script = /usr/local/sbin/ldapaddusertogroup '%u' '%g'
delete user script = /usr/local/sbin/ldapdeleteuser '%u'
delete group script = /usr/local/sbin/ldapdeletegroup '%g'
delete user from group script = /usr/local/sbin/ldapdeleteuserfromgroup '%u' '%g'
set primary group script = /usr/local/sbin/ldapsetprimarygroup '%u' '%g'
rename user script = /usr/local/sbin/ldaprenameuser '%uold' '%unew'


# делаем шару на хомяки
[HOME]
   comment = Home Directories
   path = /home/samba/homes/%U
   read only = no
   public = no
   writable = yes
   create mask = 0600
   browseable = no
   directory mask = 0700


kerber
рядовой
Сообщения: 19
Зарегистрирован: 2011-05-06 6:26:37

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение kerber » 2011-06-16 13:03:45

К сожалению не сработало изменение параметров, у меня таже ошибка "adding entry for group domain admins failed"
при добавлении групп, что ещё можно сделать кто знает ????? :st: :st: :st:
В конфиги smb.conf







Код: Выделить всё • Развернуть

winbind uid = 10000-20000
winbind gid = 10000-20000


Поменяй на другие значения они совподают с

Код: Выделить всё • Развернуть

GIDSTART="10000" # Group ID
UIDSTART="10000" # User ID


Возьми к примеру:

Код: Выделить всё • Развернуть

winbind uid = 5000-9999
winbind gid = 5000-9999


И затем повтори, процедуру синхронизации базы ldap и самбы!

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение fox » 2011-06-16 15:00:47

После того как поменяешь параметпы в конфигах:
1. Останови самбу грохни содиржимое директории /var/db/samba, /usr/local/etc/samba
2. В ldap-пе у тебя групы есть с отябы одним пользователем? Если нет то создай, кажется ldapaddgroup в статье это описанно где то. Когда у тебя в лдапе будут группы
и юзвер.
3. Запусти, самбу.
4. Синхронизируй бзу: smbpasswd -w password
5. Итолько сейчас можно втыкать группы виндовоза.
Да пребудет с нами сила!!!
Всех убью, один останусь!

kerber
рядовой
Сообщения: 19
Зарегистрирован: 2011-05-06 6:26:37

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение kerber » 2011-06-16 16:08:57

Сделал как говорили результат к сожалению тот же , что делать даже незнаю
группы созданы
admins
users
computers

и пользователь admin , который собственно и должен заводить машины Win в домен ...


* Пожаловаться на это сообщение
* Ответить с цитатой

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение fox » 2011-06-16 16:00:47
После того как поменяешь параметпы в конфигах:
1. Останови самбу грохни содиржимое директории /var/db/samba, /usr/local/etc/samba
2. В ldap-пе у тебя групы есть с отябы одним пользователем? Если нет то создай, кажется ldapaddgroup в статье это описанно где то. Когда у тебя в лдапе будут группы
и юзвер.
3. Запусти, самбу.
4. Синхронизируй бзу: smbpasswd -w password
5. Итолько сейчас можно втыкать группы виндовоза.

___________________________________________________________________________________________________






Вот проверка ldap и samba !!!!!
Вроде всё нормально .....

pdc# sockstat | grep ldap
ldap slapd 874 3 dgram -> /var/run/logpriv
ldap slapd 874 6 stream /var/run/openldap/ldapi
ldap slapd 874 7 tcp4 192.168.1.198:389 *:*
ldap slapd 874 8 tcp4 127.0.0.1:389 *:*
ldap slapd 874 15 tcp4 127.0.0.1:389 127.0.0.1:35138
________________________________________________________________________________

pdc# ldapsearch -W -x -D "cn=root,dc=britain,dc=com" -b dc=britain,dc=com
Enter LDAP Password:
# extended LDIF
#
# LDAPv3
# base <dc=britain,dc=com> with scope subtree
# filter: (objectclass=*)
# requesting: ALL
#

# britain.com
dn: dc=britain,dc=com
objectClass: dcObject
objectClass: organization
objectClass: top
dc: britain
o: britain

# users, britain.com
dn: ou=users,dc=britain,dc=com
objectClass: top
objectClass: organizationalUnit
ou: users

# groups, britain.com
dn: ou=groups,dc=britain,dc=com
objectClass: top
objectClass: organizationalUnit
ou: groups

# computers, britain.com
dn: ou=computers,dc=britain,dc=com
objectClass: top
objectClass: organizationalUnit
ou: computers

# admins, groups, britain.com
dn: cn=admins,ou=groups,dc=britain,dc=com
objectClass: posixGroup
cn: admins
gidNumber: 10001
description: Group account

# users, groups, britain.com
dn: cn=users,ou=groups,dc=britain,dc=com
objectClass: posixGroup
cn: users
gidNumber: 10002
description: Group account

# computers, groups, britain.com
dn: cn=computers,ou=groups,dc=britain,dc=com
objectClass: posixGroup
cn: computers
gidNumber: 10003
description: Group account

# admin, users, britain.com
dn: uid=admin,ou=users,dc=britain,dc=com
objectClass: account
objectClass: posixAccount
objectClass: sambaSamAccount
cn: admin
uid: admin
uidNumber: 10001
gidNumber: 1001
homeDirectory: /home/samba/homes/admin
loginShell: /usr/sbin/nologin
gecos: admin
description: User account
userPassword:: e1NTSEF9LzdwMUlpczA4cHlLMU1jem1CNzZYakM0ZjdNemtqbEo=
sambaSID: S-1-5-21-1242155248-1561228323-252678133-3002
displayName: User &
sambaLMPassword: CCF9155E3E7DB453AAD3B435B51404EE
sambaNTPassword: 3DBDE697D71690A769204BEB12283678
sambaPasswordHistory: 00000000000000000000000000000000000000000000000000000000
00000000
sambaPwdLastSet: 1308186353
sambaAcctFlags:

# S-1-5-32-544, groups, britain.com
dn: sambaSID=S-1-5-32-544,ou=groups,dc=britain,dc=com
objectClass: sambaSidEntry
objectClass: sambaGroupMapping
sambaSID: S-1-5-32-544
sambaGroupType: 4
displayName: Administrators
gidNumber: 10000
sambaSIDList: S-1-5-21-1242155248-1561228323-252678133-512

# S-1-5-32-545, groups, britain.com
dn: sambaSID=S-1-5-32-545,ou=groups,dc=britain,dc=com
objectClass: sambaSidEntry
objectClass: sambaGroupMapping
sambaSID: S-1-5-32-545
sambaGroupType: 4
displayName: Users
gidNumber: 10001
sambaSIDList: S-1-5-21-1242155248-1561228323-252678133-513

# BRITAIN, britain.com
dn: sambaDomainName=BRITAIN,dc=britain,dc=com
sambaDomainName: BRITAIN
sambaSID: S-1-5-21-1242155248-1561228323-252678133
sambaAlgorithmicRidBase: 1000
objectClass: sambaDomain
sambaNextUserRid: 1000
sambaMinPwdLength: 5
sambaPwdHistoryLength: 0
sambaLogonToChgPwd: 0
sambaMaxPwdAge: -1
sambaMinPwdAge: 0
sambaLockoutDuration: 30
sambaLockoutObservationWindow: 30
sambaLockoutThreshold: 0
sambaForceLogoff: -1
sambaRefuseMachinePwdChange: 0

# search result
search: 2
result: 0 Success

# numResponses: 12
# numEntries: 11
pdc#
________________________________________________________________________________

pdc# ps -ax | grep slap
874 ?? Is 0:00.18 /usr/local/libexec/slapd -h ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://192.168.1.198/ ldap://127.0.0.1
pdc#
______________________________________________________________________________________________________________

pdc# testparm -v
Load smb config files from /usr/local/etc/smb.conf
Processing section "[homes]"
Processing section "[HOME]"
Processing section "[netlogon]"
Processing section "[profiles]"
Processing section "[printers]"
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC
Press enter to see a dump of your service definitions

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение fox » 2011-06-16 17:47:17

А только с этим проблема:

Код: Выделить всё

net groupmap add ntgroup="Domain Computers" unixgroup=computers rid=515 type=domain
Да пребудет с нами сила!!!
Всех убью, один останусь!

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение fox » 2011-06-16 17:49:04

Тогда покажи мне свои конфиги nss_ldap.conf и ldapscripts.conf
Да пребудет с нами сила!!!
Всех убью, один останусь!

kerber
рядовой
Сообщения: 19
Зарегистрирован: 2011-05-06 6:26:37

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение kerber » 2011-06-16 18:13:43

Проблема заключается не только в добавлении...
(net groupmap add ntgroup="Domain Computers" unixgroup=computers rid=515 type=domain)
я не могу добавить не одну из групп не только этой но и ......
Domain Users
Domain Admins
Мож в конфигах грабля ..... :st:

Вот полное содержание файлов :

nss_ldap.conf

# @(#)$Id: ldap.conf,v 2.48 2008/07/03 02:30:29 lukeh Exp $
#
# This is the configuration file for the LDAP nameservice
# switch library and the LDAP PAM module.
#
# PADL Software
# http://www.padl.com
#

# Your LDAP server. Must be resolvable without using LDAP.
# Multiple hosts may be specified, each separated by a
# space. How long nss_ldap takes to failover depends on
# whether your LDAP client library supports configurable
# network or connect timeouts (see bind_timelimit).
host ldapi://%2fvar%2frun%2fopenldap%2fldapi/

# The distinguished name of the search base.
base dc=britain,dc=com

# Another way to specify your LDAP server is to provide an
# uri with the server name. This allows to use
# Unix Domain Sockets to connect to a local LDAP Server.
#uri ldap://127.0.0.1/
#uri ldaps://127.0.0.1/
#uri ldapi://%2fvar%2frun%2fldapi_sock/
# Note: %2f encodes the '/' used as directory separator

# The LDAP version to use (defaults to 3
# if supported by client library)
ldap_version 3

# The distinguished name to bind to the server with.
# Optional: default is to bind anonymously.
#binddn cn=proxyuser,dc=padl,dc=com

# The credentials to bind with.
# Optional: default is no credential.
#bindpw secret

# The distinguished name to bind to the server with
# if the effective user ID is root. Password is
# stored in /etc/ldap.secret (mode 600)
#rootbinddn cn=manager,dc=padl,dc=com

# The port.
# Optional: default is 389.
port 389

# The search scope.
#scope sub
scope one
#scope base

# Search timelimit
timelimit 30

# Bind/connect timelimit
bind_timelimit 10

# Reconnect policy:
# hard_open: reconnect to DSA with exponential backoff if
# opening connection failed
# hard_init: reconnect to DSA with exponential backoff if
# initializing connection failed
# hard: alias for hard_open
# soft: return immediately on server failure
bind_policy soft

# Connection policy:
# persist: DSA connections are kept open (default)
# oneshot: DSA connections destroyed after request
nss_connect_policy persist

# Idle timelimit; client will close connections
# (nss_ldap only) if the server has not been contacted
# for the number of seconds specified below.
idle_timelimit 3600

# Use paged rseults
nss_paged_results yes

# Pagesize: when paged results enable, used to set the
# pagesize to a custom value
pagesize 1000

# Filter to AND with uid=%s
#pam_filter objectclass=account

# The user ID attribute (defaults to uid)
#pam_login_attribute uid

# Search the root DSE for the password policy (works
# with Netscape Directory Server)
#pam_lookup_policy yes

# Check the 'host' attribute for access control
# Default is no; if set to yes, and user has no
# value for the host attribute, and pam_ldap is
# configured for account management (authorization)
# then the user will not be allowed to login.
#pam_check_host_attr yes

# Check the 'authorizedService' attribute for access
# control
# Default is no; if set to yes, and the user has no
# value for the authorizedService attribute, and
# pam_ldap is configured for account management
# (authorization) then the user will not be allowed
# to login.
#pam_check_service_attr yes

# Group to enforce membership of
#pam_groupdn cn=PAM,ou=Groups,dc=padl,dc=com

# Group member attribute
#pam_member_attribute uniquemember

# Specify a minium or maximum UID number allowed
#pam_min_uid 0
#pam_max_uid 0

# Template login attribute, default template user
# (can be overriden by value of former attribute
# in user's entry)
#pam_login_attribute userPrincipalName
#pam_template_login_attribute uid
#pam_template_login nobody

# HEADS UP: the pam_crypt, pam_nds_passwd,
# and pam_ad_passwd options are no
# longer supported.
#
# Do not hash the password at all; presume
# the directory server will do it, if
# necessary. This is the default.
#pam_password clear

# Hash password locally; required for University of
# Michigan LDAP server, and works with Netscape
# Directory Server if you're using the UNIX-Crypt
# hash mechanism and not using the NT Synchronization
# service.
#pam_password crypt

# Remove old password first, then update in
# cleartext. Necessary for use with Novell
# Directory Services (NDS)
#pam_password nds

# RACF is an alias for the above. For use with
# IBM RACF
#pam_password racf

# Update Active Directory password, by
# creating Unicode password and updating
# unicodePwd attribute.
#pam_password ad

# Use the OpenLDAP password change
# extended operation to update the password.
#pam_password exop

# Redirect users to a URL or somesuch on password
# changes.
#pam_password_prohibit_message Please visit http://internal to change your password.

# Use backlinks for answering initgroups()
#nss_initgroups backlink

# Enable support for RFC2307bis (distinguished names in group
# members)
#nss_schema rfc2307bis

# RFC2307bis naming contexts
# Syntax:
# nss_base_XXX base?scope?filter
# where scope is {base,one,sub}
# and filter is a filter to be &'d with the
# default filter.
# You can omit the suffix eg:
# nss_base_passwd ou=People,
# to append the default base DN but this
# may incur a small performance impact.
nss_base_passwd ou=users,dc=britain,dc=com?one
nss_base_group ou=groups,dc=britain,dc=com?one
nss_base_passwd ou=computers,dc=britain,dc=com?one
nss_base_shadow ou=users,dc=britain,dc=com?one
#nss_base_hosts ou=Hosts,dc=padl,dc=com?one
#nss_base_services ou=Services,dc=padl,dc=com?one
#nss_base_networks ou=Networks,dc=padl,dc=com?one
#nss_base_protocols ou=Protocols,dc=padl,dc=com?one
#nss_base_rpc ou=Rpc,dc=padl,dc=com?one
#nss_base_ethers ou=Ethers,dc=padl,dc=com?one
#nss_base_netmasks ou=Networks,dc=padl,dc=com?ne
#nss_base_bootparams ou=Ethers,dc=padl,dc=com?one
#nss_base_aliases ou=Aliases,dc=padl,dc=com?one
#nss_base_netgroup ou=Netgroup,dc=padl,dc=com?one

# attribute/objectclass mapping
# Syntax:
#nss_map_attribute rfc2307attribute mapped_attribute
#nss_map_objectclass rfc2307objectclass mapped_objectclass

# configure --enable-nds is no longer supported.
# NDS mappings
#nss_map_attribute uniqueMember member

# Services for UNIX 3.5 mappings
#nss_map_objectclass posixAccount User
#nss_map_objectclass shadowAccount User
#nss_map_attribute uid msSFU30Name
#nss_map_attribute uniqueMember msSFU30PosixMember
#nss_map_attribute userPassword msSFU30Password
#nss_map_attribute homeDirectory msSFU30HomeDirectory
#nss_map_attribute homeDirectory msSFUHomeDirectory
#nss_map_objectclass posixGroup Group
#pam_login_attribute msSFU30Name
#pam_filter objectclass=User
#pam_password ad

# configure --enable-mssfu-schema is no longer supported.
# Services for UNIX 2.0 mappings
#nss_map_objectclass posixAccount User
#nss_map_objectclass shadowAccount user
#nss_map_attribute uid msSFUName
#nss_map_attribute uniqueMember posixMember
#nss_map_attribute userPassword msSFUPassword
#nss_map_attribute homeDirectory msSFUHomeDirectory
#nss_map_attribute shadowLastChange pwdLastSet
#nss_map_objectclass posixGroup Group
#nss_map_attribute cn msSFUName
#pam_login_attribute msSFUName
#pam_filter objectclass=User
#pam_password ad

# RFC 2307 (AD) mappings
#nss_map_objectclass posixAccount user
#nss_map_objectclass shadowAccount user
#nss_map_attribute uid sAMAccountName
#nss_map_attribute homeDirectory unixHomeDirectory
#nss_map_attribute shadowLastChange pwdLastSet
#nss_map_objectclass posixGroup group
#nss_map_attribute uniqueMember member
#pam_login_attribute sAMAccountName
#pam_filter objectclass=User
#pam_password ad

# configure --enable-authpassword is no longer supported
# AuthPassword mappings
#nss_map_attribute userPassword authPassword

# AIX SecureWay mappings
#nss_map_objectclass posixAccount aixAccount
#nss_base_passwd ou=aixaccount,?one
#nss_map_attribute uid userName
#nss_map_attribute gidNumber gid
#nss_map_attribute uidNumber uid
#nss_map_attribute userPassword passwordChar
#nss_map_objectclass posixGroup aixAccessGroup
#nss_base_group ou=aixgroup,?one
#nss_map_attribute cn groupName
#nss_map_attribute uniqueMember member
#pam_login_attribute userName
#pam_filter objectclass=aixAccount
#pam_password clear

# For pre-RFC2307bis automount schema
#nss_map_objectclass automountMap nisMap
#nss_map_attribute automountMapName nisMapName
#nss_map_objectclass automount nisObject
#nss_map_attribute automountKey cn
#nss_map_attribute automountInformation nisMapEntry

# Netscape SDK LDAPS
#ssl on

# Netscape SDK SSL options
#sslpath /etc/ssl/certs

# OpenLDAP SSL mechanism
# start_tls mechanism uses the normal LDAP port, LDAPS typically 636
#ssl start_tls
#ssl on

# OpenLDAP SSL options
# Require and verify server certificate (yes/no)
# Default is to use libldap's default behavior, which can be configured in
# /etc/openldap/ldap.conf using the TLS_REQCERT setting. The default for
# OpenLDAP 2.0 and earlier is "no", for 2.1 and later is "yes".
#tls_checkpeer yes

# CA certificates for server certificate verification
# At least one of these are required if tls_checkpeer is "yes"
#tls_cacertfile /etc/ssl/ca.cert
#tls_cacertdir /etc/ssl/certs

# Seed the PRNG if /dev/urandom is not provided
#tls_randfile /var/run/egd-pool

# SSL cipher suite
# See man ciphers for syntax
#tls_ciphers TLSv1

# Client certificate and key
# Use these, if your server requires client authentication.
#tls_cert
#tls_key

# Disable SASL security layers. This is needed for AD.
#sasl_secprops maxssf=0

# Override the default Kerberos ticket cache location.
#krb5_ccname FILE:/etc/.ldapcache

______________________________________________________________________________________________

ldapscripts.conf

# Copyright (C) 2005 Ganaлl LAPLANCHE - Linagora
#
# This program is free software; you can redistribute it and/or
# modify it under the terms of the GNU General Public License
# as published by the Free Software Foundation; either version 2
# of the License, or (at your option) any later version.
#
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
# GNU General Public License for more details.
#
# You should have received a copy of the GNU General Public License
# along with this program; if not, write to the Free Software
# Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307,
# USA.

# LDAP Configuration
SERVER="192.168.1.198"
BINDDN="cn=root,dc=britain,dc=com"
# The following file contains the raw password of the binddn
# Create it with something like : echo -n 'secret' > $BINDPWDFILE
# WARNING !!!! Be careful not to make this file world-readable
#BINDPWDFILE="/usr/local/etc/ldapscripts/ldapscripts.passwd"
# For older versions of OpenLDAP, it is still possible to use
# unsecure command-line passwords by defining the following option
# AND commenting the previous one (BINDPWDFILE takes precedence)
BINDPWD="123"

SUFFIX="dc=britain,dc=com" # Global suffix
GSUFFIX="ou=groups" # Groups ou (just under $SUFFIX)
USUFFIX="ou=users" # Users ou (just under $SUFFIX)
MSUFFIX="ou=computers" # Machines ou (just under $SUFFIX)

# Start with these IDs *if no entry found in LDAP*
GIDSTART="10000" # Group ID
UIDSTART="10000" # User ID
MIDSTART="20000" # Machine ID

# User properties
USHELL="/usr/sbin/nologin"
UHOMES="/home/samba/homes/%u" # You may use %u for username here
ASKGECOS="no"
CREATEHOMES="yes" # Create home directories and set rights ?
HOMESKEL="/etc/skel" # Directory where the skeleton files are located. Ignored if undefined or nonexistant.
HOMEPERMS="700" # Default permissions for home directories

# User passwords generation
# Command-line used to generate a password for added users (you may use %u for username here)
# WARNING !!!! This is evaluated, everything specified here will be run !
# Special value "<ask>" will ask for a password interactively
#PASSWORDGEN="cat /dev/random | LC_ALL=C tr -dc 'a-zA-Z0-9' | head -c8"
PASSWORDGEN="head -c8 /dev/random | uuencode -m - | sed -n '2s|=*$||;2p' | sed -e 's|+||g' -e 's|/||g'"
#PASSWORDGEN="pwgen"
#PASSWORDGEN="echo changeme"
#PASSWORDGEN="echo %u"
#PASSWORDGEN="<ask>"

# User passwords recording
# you can keep trace of generated passwords setting PASSWORDFILE and RECORDPASSWORDS
# (useful when performing a massive creation / net rpc vampire)
# WARNING !!!! DO NOT FORGET TO DELETE THE GENERATED FILE WHEN DONE !
# WARNING !!!! DO NOT FORGET TO TURN OFF RECORDING WHEN DONE !
RECORDPASSWORDS="yes"
PASSWORDFILE="/var/log/ldapscripts_passwd.log"

# Where to log
LOGFILE="/var/log/ldapscripts.log"

# Temporary folder
TMPDIR="/tmp"

# Various binaries used within the scripts
# Warning : they also use uuencode, date, grep, sed, cut, expr, which...
# Please check they are installed before using these scripts
# Note that many of them should come with your OS

# OpenLDAP client commands
LDAPSEARCHBIN="/usr/local/bin/ldapsearch"
LDAPADDBIN="/usr/local/bin/ldapadd"
LDAPDELETEBIN="/usr/local/bin/ldapdelete"
LDAPMODIFYBIN="/usr/local/bin/ldapmodify"
LDAPMODRDNBIN="/usr/local/bin/ldapmodrdn"
LDAPPASSWDBIN="/usr/local/bin/ldappasswd"

# Character set conversion : $ICONVCHAR <-> UTF-8
# Comment ICONVBIN to disable UTF-8 conversion
#ICONVBIN="/usr/local/bin/iconv"
#ICONVCHAR="ISO-8859-15"

# Base64 decoding
# Comment UUDECODEBIN to disable Base64 decoding
#UUDECODEBIN="/usr/bin/uudecode"

# Getent command to use - choose the ones used
# on your system. Leave blank or comment for auto-guess.
# GNU/Linux
#GETENTPWCMD="getent passwd"
#GETENTGRCMD="getent group"
# FreeBSD
#GETENTPWCMD="pw usershow"
#GETENTGRCMD="pw groupshow"
# Auto
GETENTPWCMD=""
GETENTGRCMD=""

# You can specify custom LDIF templates here
# Leave empty to use default templates
# See *.template.sample for default templates
#GTEMPLATE="/path/to/ldapaddgroup.template"
#UTEMPLATE="/path/to/ldapadduser.template"
#MTEMPLATE="/path/to/ldapaddmachine.template"
#GTEMPLATE=""
#UTEMPLATE=""
#MTEMPLATE=""

kerber
рядовой
Сообщения: 19
Зарегистрирован: 2011-05-06 6:26:37

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение kerber » 2011-06-17 6:43:14

Ну что у кого нибудь есь какие нибудь мысли по поводу этого вопроса ??

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение fox » 2011-06-17 11:49:02

kerber писал(а):Ну что у кого нибудь есь какие нибудь мысли по поводу этого вопроса ??
Мучают меня сомнения по поводу твоих конфигов. Но так как они не четабельны у меня мало времени в них ковырятся. Ищи там траблу.
А net join rpс -S pdc -U admin получается?
Да пребудет с нами сила!!!
Всех убью, один останусь!

kerber
рядовой
Сообщения: 19
Зарегистрирован: 2011-05-06 6:26:37

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение kerber » 2011-06-17 13:52:20

Так тоже не идёт выдаёт.....

pdc# net join rpc -S pdc -U admin
Password:
Creation of workstation account failed
Unable to join domain BRITAIN.
pdc#

cad2206
рядовой
Сообщения: 27
Зарегистрирован: 2007-11-30 15:32:24

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение cad2206 » 2011-07-21 9:12:30

kerber: ну что? решилась проблема с соответствиями групп? у меня аналогичная беда, бьюсь третий день...

kerber
рядовой
Сообщения: 19
Зарегистрирован: 2011-05-06 6:26:37

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение kerber » 2011-07-24 15:15:34

Вы знаете уважаемый cad2206, я парился над этой темой долгое время, а мне необходимо было в быстрый срок поставить Контроллер домена на Фре, все успехи не увенчались успехом и я бросил это гиблое дело))) и со второго раза настроил PDC ( За что большое спасибо автору..... ) без этого Ldapa по статье :

Самба как контроллер домена без использования LDAP (http://www.lissyara.su/articles/freebsd ... hout_ldap/).
Советую....
И всё прекрасно ставиться, настраивается без приколов всяких там))) и функции те же сохраняются и администрирование учёток не создаёт проблем , потом немного после поднятия PDC почитай про Samba и как управлять учётками в самба и юзай наздоровье .....

А с LDAP у меня уже терпения не хватило...... возиться, запарило..

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение fox » 2011-07-24 16:57:05

По моему вы просто где то ошиблись и создали неправельное мнение. У LDAP гаразда больше приймуществ чем без него и класстер не поднять без ldap или дочерний контроллер домена. А главное beckup без ldap гиблое и бубнове дело. А с ldap, достаточно только ldap базу забекапить что бы без болезненно развернуть занова контроллер.
И я не могу понять как Вы умудрились там зарыться совсем недавно ещё один контроллер подымал без балезненно и легко опираясь на данные 2 статьи с этого сайта...
Да пребудет с нами сила!!!
Всех убью, один останусь!

kerber
рядовой
Сообщения: 19
Зарегистрирован: 2011-05-06 6:26:37

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение kerber » 2011-07-25 7:44:29

Согласен что больше, но для выполнения моих должностных обязанностей хватило и на самбе pdc поднять, да и времени у меня уже не было, а с ldap не справился (пока-что), признаю, мож ошибся где , хотя я чего только не пробовал делать откатывая вирт машину в начальное состояние. А документацию я беру из разных источников .... и не только от сюда ..

Попробую заного на лдапе запилить в свободное время , мож получиться ))))))

cad2206
рядовой
Сообщения: 27
Зарегистрирован: 2007-11-30 15:32:24

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение cad2206 » 2011-07-25 8:25:00

Ну вот я тоже, 2 раза с нуля ставил по этой статье, пять раз все перепроверял.. а стопорился на одной и той-же проблеме маппинга груп.. в итоге тоже забил и поставил без ldap'a... думаю, может разница в сборке самой фри.. но времени разбираться тоже небыло..

Аватара пользователя
ADRE
майор
Сообщения: 2641
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение ADRE » 2011-08-23 6:49:11

kerber писал(а):Вы знаете уважаемый cad2206, я парился над этой темой долгое время, а мне необходимо было в быстрый срок поставить Контроллер домена на Фре, все успехи не увенчались успехом и я бросил это гиблое дело))) и со второго раза настроил PDC ( За что большое спасибо автору..... ) без этого Ldapa по статье :

Самба как контроллер домена без использования LDAP (http://www.lissyara.su/articles/freebsd ... hout_ldap/).
Советую....
И всё прекрасно ставиться, настраивается без приколов всяких там))) и функции те же сохраняются и администрирование учёток не создаёт проблем , потом немного после поднятия PDC почитай про Samba и как управлять учётками в самба и юзай наздоровье .....

А с LDAP у меня уже терпения не хватило...... возиться, запарило..
зато туда потом можно всякого говна накрутить до кучи
//del

snorlov
подполковник
Сообщения: 3744
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение snorlov » 2011-08-23 9:26:44

cad2206 писал(а):Ну вот я тоже, 2 раза с нуля ставил по этой статье, пять раз все перепроверял.. а стопорился на одной и той-же проблеме маппинга груп.. в итоге тоже забил и поставил без ldap'a... думаю, может разница в сборке самой фри.. но времени разбираться тоже небыло..
У меня тоже была подобная ситуация, вот только я забил на использование ldapscripts, а ушел на smbldap-tools...

Аватара пользователя
ADRE
майор
Сообщения: 2641
Зарегистрирован: 2007-07-26 8:53:49
Контактная информация:

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение ADRE » 2011-08-24 4:12:45

snorlov писал(а):
cad2206 писал(а):Ну вот я тоже, 2 раза с нуля ставил по этой статье, пять раз все перепроверял.. а стопорился на одной и той-же проблеме маппинга груп.. в итоге тоже забил и поставил без ldap'a... думаю, может разница в сборке самой фри.. но времени разбираться тоже небыло..
У меня тоже была подобная ситуация, вот только я забил на использование ldapscripts, а ушел на smbldap-tools...
достаточно 1 раз установить и просто разобраться с конфигами.
//del

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: статья ldap+samba+ddns+dhcp [бета-версия]

Непрочитанное сообщение fox » 2012-02-18 23:04:24

Вопрос по dhcp, как можно в конфиге прописать для пары юзверов индивидуальный шлюз???
Просто прописать опцию routers 192.168.224.254 не катит(((
Да пребудет с нами сила!!!
Всех убью, один останусь!