та же статья.. Samba + ldap +...

[f0s]

нет, это не влияет.. вот мое:

Код: Выделить всё

[f0s@mail] /home/f0s/> id f0s
uid=1001(f0s) gid=36385(people) groups=36385(people), 0(wheel), 17905(it), 56226(export), 5204(real_it), 10811(terminal02)
[f0s@mail] /home/f0s/> wbinfo -i f0s
:*:1001:0::/home/ARTPAINT/:/bin/false
[f0s@mail] /home/f0s/> id ivanova
uid=5992(ivanova) gid=36385(people) groups=36385(people), 14953(marketing), 4774(real_administration), 2989(terminal01)
[f0s@mail] /home/f0s/> wbinfo -i ivanova
:*:5992:0::/home/ARTPAINT/:/bin/false
[f0s@mail] /home/f0s/> id lukov
uid=17011(lukov) gid=36385(people) groups=36385(people), 59578(reklama), 27565(real_reklama), 2989(terminal01)
[f0s@mail] /home/f0s/> wbinfo -i lukov
:*:17011:0::/home/ARTPAINT/:/bin/false
[f0s@mail] /home/f0s/>

правда wbinfo показыает группу у всех юзеров "0"

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[spy]

вот млин... я уже все конфиги переписал, все перепроверил... все равно нифига...

[f0s]

вообще id лдапа не должны пересекаться с систмеными и wbinfo
попрлбуй эту темку посмотри.. http://forum.lissyara.su/viewtopic.php? ... 0s#p100759

[spy]

вообще id лдапа не должны пересекаться с систмеными и wbinfo
попрлбуй эту темку посмотри.. http://forum.lissyara.su/viewtopic.php? ... 0s#p100759

Код: Выделить всё

Все сделал как там сказано.
а именно добавил в конфиг самбы 
idmap uid = 1000-2000
idmap gid = 1000-2000

удалил *.tdb из /var/db/samba
перезапустил самбу 

localhost# ldapadduser test people
Successfully added user test to LDAP

localhost# id test
uid=20007(test) gid=10002(people) groups=10002(people)
l
ocalhost# smbpasswd -a test
Added user test.

localhost# wbinfo -i test
test:*:20007:10002:test:/home/KINOMAX24/test:/bin/false

localhost# id test
uid=20007(test) gid=10002(people) groups=10002(people)

Все равно пишет что локальный профиль не найден и в доступе отказано.

[f0s]

не 1000-2000, а 10000-20000

и даже при таком раскладе , wbinfo должен выдавать id не пересекающие с тем, что дает id. вот смотри:

Код: Выделить всё

[f0s@fileserver] /home/f0s/> id f0s
uid=1001(f0s) gid=36385(people) groups=36385(people), 0(wheel), 17905(it), 56226(export), 5204(real_it), 10811(terminal02)
[f0s@fileserver] /home/f0s/> wbinfo -i f0s
f0s:*:8001:8000:Фролов Дмитрий Александрович:/home/ARTPAINT/f0s:/bin/false
[f0s@fileserver] /home/f0s/> id ivanova
uid=5992(ivanova) gid=36385(people) groups=36385(people), 14953(marketing), 4774(real_administration), 2989(terminal01)
[f0s@fileserver] /home/f0s/> wbinfo -i ivanova
ivanova:*:8000:8000:Иванова Ольга Евгеньевна:/home/ARTPAINT/ivanova:/bin/false
[f0s@fileserver] /home/f0s/>

[spy]

В чет может быть еще проблема, никак не могу соброзить
smb.conf

Код: Выделить всё

idmap uid = 30000-65000
idmap gid = 30000-65000

ldapscripts.conf

Код: Выделить всё

GIDSTART="1000" # Group ID
UIDSTART="1000" # User ID
MIDSTART="2000" # Machine ID

Код: Выделить всё

localhost# ldapadduser tester people
Successfully added user tester to LDAP

localhost# id tester
uid=20007(tester) gid=10002(people) groups=10002(people)

ocalhost# ldapsearch -LLL -x -b 'dc=kinomax24,dc=ru' 'uid=tester'
dn: uid=tester,ou=users,dc=kinomax24,dc=ru
objectClass: account
objectClass: posixAccount
cn: tester
uid: tester
uidNumber: 20007
gidNumber: 10002
homeDirectory: /home/tester
loginShell: /usr/sbin/nologin
gecos: tester
description: User account

localhost# smbpasswd -a tester
Added user tester.

localhost# ldapsearch -LLL -x -b 'dc=kinomax24,dc=ru' 'uid=tester'
dn: uid=tester,ou=users,dc=kinomax24,dc=ru
objectClass: account
objectClass: posixAccount
objectClass: sambaSamAccount
cn: tester
uid: tester
uidNumber: 20007
gidNumber: 10002
homeDirectory: /home/tester
loginShell: /usr/sbin/nologin
gecos: tester
description: User account
sambaSID: S-1-5-21-2337356645-214085716-1661979135-41014
displayName: tester
sambaLMPassword: EBD223B61F8C259CAAD3B435B51404EE
sambaNTPassword: 98BB35737013AAFF03181D0FE9FDA09E
sambaPasswordHistory: 00000000000000000000000000000000000000000000000000000000
 00000000
sambaPwdLastSet: 1228192054
sambaAcctFlags: [U          ]

localhost# wbinfo -i tester
tester:*:20007:10002:tester:/home/KINOMAX24/tester:/bin/false
localhost# id tester
uid=20007(tester) gid=10002(people) groups=10002(people)
localhost#

[spy]

Почемуто он берет уид не из конфига а плюс один к последнему
uidNumber: 20007
gidNumber: 10002

[spy]

нихочу все с нуля переставлять...

[Andrew21]

Здравствуйте уважаемые!

Начну с банального - Я все делал по статье кроме ДНС и ДХЦП. Они мне не нужны.

Все шло хорошо до момента добавления машины в домен.

Код: Выделить всё

[root@diablo]# net rpc join -S diablo -U admin%jabutnm
Creation of workstation account failed
Unable to join domain DOMAIN.
[root@diablo]#

Код: Выделить всё

[root@diablo]# net rpc join -S 192.168.0.2 -U admin%jabutnm
Creation of workstation account failed
Unable to join domain DOMAIN.
[root@diablo]#

В догонку еще и вот это.

Код: Выделить всё

[root@diablo ~]# net rpc testjoin -U admin
Password:
[2008/12/01 12:28:04, 0] rpc_client/cli_pipe.c:get_schannel_session_key_common(2445)
get_schannel_session_key: could not fetch trust account password for domain 'DOMAIN'
[2008/12/01 12:28:04, 0] utils/net_rpc_join.c:net_rpc_join_ok(81)
net_rpc_join_ok: failed to get schannel session key from server DIABLO for domain DOMAIN. Error was NT_STATUSIN' is not valid
[root@diablo ~]#

Подскажите куда копать.

Я поставил на FreeBSD 7:
openldap-server-2.3.43
samba-3.0.32_1.1
nss_ldap-1.257

Если надо могу выложить логи.

P.S.
Самое интересное, что в июле я по этой статье поднял PDC без проблем. Конфиги на обоих серваках идентичные.

[Andrew21]

Все нашел глюк.
http://forum.lissyara.su/viewtopic.php? ... 34#p121234

[Dzirt]

у меня все заработало! правда пришлось кое что напильником обработать!
У меня только возникла одна сложность!!!

Я не могу заставть ползователя при первом входе сменить пароль
в лдапе у меня такое
sambaLMPassword: 6BA2730853FC2C19AAD3B435B51404EE
sambaNTPassword: 75F1D23F3A2527C6BFAADA3E93B32A8B
sambaPrimaryGroupSID: S-1-5-21-1765417224-928132378-1552185347-513
sambaPwdLastSet: 1228899097
sambaPwdMustChange: 0

я так понимаю что последняя строчка должна говорить самбе "а попросика ты сменить пароль у пользователя!"

я не понимаю как оно должно работать а в нете инфы больше не нашол.
Если кто сталкивался помогите пожалуста. Может чего в конфиге самой самбы нужно прописать или еще чего.

Всем зарание благодарен!

[Andrew21]

Я поступил проще. Установил самбу, скачал с сайта майкрософт UserManager и не парился. Можно не скачивать, а найти на диске с 2003сервером.

[Dzirt]

Всем пасиба решение нашол!
кого интересует подробней пишите!

[izvorot]

Всем пасиба решение нашол!
кого интересует подробней пишите!

меня интерисует-опиши как решил плиз!

[izvorot]

подскажите такой момент-я хочу чтобы у меня помимо группы people были группы пользователей boss , managers - но не могу понять при добавлении их в самбу net groupmap add unixgroup=people type=domain
у групп boss , managers будет тот же rid=513 или я должен его поменять,если поменять то подскажите плиз на какой лучше?

[f0s]

делай через ldapadmin
RID им можешь любой оставить (сгенерированный прогой)
а в группу people засунуть принудительно всех (чтобы права урезать)

[izvorot]

делай через ldapadmin
RID им можешь любой оставить (сгенерированный прогой)
а в группу people засунуть принудительно всех (чтобы права урезать)

смысл создавать еще группы boss,managers если запихнуть "нужно" всех в группу people???я хочу разделить пользователей по группам и потом раздавать в зависимости от группы права на папки и прочие блага.

[luchinskym]

Уважаемые. Плиз, нид хелп... Всю неделю бьюсь - решения не нашел...
Поднял домен по статье. Спасибо, все вроде работает. Только не до конца )
Хочу, чтобы у пользователей netlogon скрипт отрабатывался, да и политики привинтить бы не помешало.
Однако, папка netlogon недоступна из под винды никакими средствами - вылетает ошибка "не найден сетевой путь или нет доступа". Заходить пытаюсь под логином доменного админа.
Конфиг самбы:

Код: Выделить всё

[global]

workgroup = schenker
server string = main.schenker
netbios name = main

security = user
hosts allow = 10.0.1. 127.
load printers = no
log file = /var/log/samba/log.%m
log level = 0
syslog = 0
printing = bsd
printcap name = /dev/null
max log size = 50
acl compatibility = win2k

encrypt passwords = yes
admin users = admin
passdb backend = ldapsam:ldap://127.0.0.1/
password level = 0
username level = 0
ldap passwd sync = yes

ldap suffix = dc=schenker,dc=local
ldap user suffix = ou=users
ldap group suffix = ou=groups
ldap machine suffix = ou=computers
ldap admin dn = "cn=root,dc=schenker,dc=local"
ldap delete dn = no
ldap ssl = off
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind separator = @
winbind use default domain = yes

socket options = TCP_NODELAY
local master = yes
os level = 64
domain master = yes
preferred master = yes

domain logons = yes
load printers = no
log file = /var/log/samba/log.%m
log level = 0
syslog = 0
printing = bsd
printcap name = /dev/null
max log size = 50
acl compatibility = win2k

encrypt passwords = yes
admin users = admin
passdb backend = ldapsam:ldap://127.0.0.1/
password level = 0
username level = 0
ldap passwd sync = yes

ldap suffix = dc=schenker,dc=local
ldap user suffix = ou=users
ldap group suffix = ou=groups
ldap machine suffix = ou=computers
ldap admin dn = "cn=root,dc=schenker,dc=local"
ldap delete dn = no
ldap ssl = off
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind separator = @
winbind use default domain = yes

socket options = TCP_NODELAY
local master = yes
os level = 64
domain master = yes
preferred master = yes
domain logons = yes

logon script = allusers.bat
logon script = allusers.bat

logon path =

logon home =
logon drive =

wins support = yes
dns proxy = yes


display charset = koi8-r
unix charset = koi8-r
dos charset = cp866
timeserver = yes

add machine script = /usr/local/sbin/ldapaddmachine '%u' computers
add user script = /usr/local/sbin/ldapadduser '%u' users
add group script = /usr/local/sbin/ldapaddgroup '%g'
add user to group script = /usr/local/sbin/ldapaddusertogroup '%u' '%g'
delete user script = /usr/local/sbin/ldapdeleteuser '%u'
delete group script = /usr/local/sbin/ldapdeletegroup '%g'
delete user from group script = /usr/local/sbin/ldapdeleteuserfromgroup '%u' '%g'
set primary group script = /usr/local/sbin/ldapsetprimarygroup '%u' '%g'
rename user script = /usr/local/sbin/ldaprenameuser '%uold' '%unew'


[netlogon]
   comment = Network Logon Service
   path = /usr/local/etc/samba/netlogon
   guest ok = yes
   writable = no
   share modes = yes
   browseable = yes

Папка с самбой:

Код: Выделить всё

/usr/local/etc/samba/>ll
total 14
drwxrwxrwx  2 luchinskym  users   512 Dec 11 14:01 netlogon
-rw-------  1 root        wheel  4096 Dec 15 14:38 schannel_store.tdb
-rw-------  1 root        wheel  8192 Dec 10 11:51 secrets.tdb

В логах на мою WS вылетает:

Код: Выделить всё

[2008/12/11 00:40:00, 0] smbd/service.c:make_connection_snum(1003)
  '/usr/local/etc/samba/netlogon' does not exist or permission denied when connecting to [netlogon] Error was Permission denied

[spy]

почитай вот эту тему http://forum.lissyara.su/viewtopic.php?f=8&t=12651

[f0s]

делай через ldapadmin
RID им можешь любой оставить (сгенерированный прогой)
а в группу people засунуть принудительно всех (чтобы права урезать)

смысл создавать еще группы boss,managers если запихнуть "нужно" всех в группу people???я хочу разделить пользователей по группам и потом раздавать в зависимости от группы права на папки и прочие блага.

ну и раздашь права на папки по группам. в группу people Всех пихать ради RID-а. ну и сделать ее основной для всех. это удобно.. что-то типа группа "Пользователи домена".

[izvorot]

блин!чем дальше в лес-тем толще партизаны
есть такой вопрос-я когда захожу под доменным пользователем и лезу по сети на сервак-то в расшаренных папках у него видны папки профилей других пользователей,зайти на них нельзя-но и висят они как то совсем некрасиво.подскажите как сделать так чтобы пользователи не видели этих профилей?
мой конфиг относительно папок расшаренных
[homes]
comment = Home Directories
browseable = no
writable = yes

[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon/
guest ok = yes
writable = no
share modes = no
browseable = no

[Profiles]
create mode = 600
directory mode = 700
path = /home
browseable = no
public = no
guest ok = no

[бухгалтерия ]
comment = общий ресурс для бухгалтерии
path = /home/office/buh
create mode = 660
directory mode = 770
guest ok = no
public = yes
writeable = yes
write list = @admins @buh @boss
read list = @admins @buh @boss

и еще такой вопрос-у меня есть папка 1 в ней папка 2 и в ней папка 3.как мне можно показать в самбе что эти папки вложены одна в другую-а то как не пишу -у меня они все сразу в корне сервера.

[f0s]

решение есть. вооспользроваться моим конфигом из статьи:

Код: Выделить всё

# путь к перемещаемому профилю
logon path = \\%L\profiles

# путь к хомякам юзеров
logon home = \\%L\HOME
logon drive = H:
[skip]

# делаем шару на хомяки
[HOME]
   comment = Home Directories
   path = /home/samba/homes/%U
   read only = no
   public = no
   writable = yes
   create mask = 0600
   browseable = no
   directory mask = 0700

# делаем шару на нетлогон (для запуска скриптов)
[netlogon]
   comment = Network Logon Service
   path = /usr/local/etc/samba/netlogon
   guest ok = yes
   writable = no
   share modes = no
   browseable = no

# делаем шару на перемещаемые профили
[profiles]
    create mask = 0600
    directory mask = 0700
    path = /home/samba/profiles/%u
    writeable = yes
    browseable = no
    locking = no
    csc policy = disable # эта строчка необходима чтобы отключить автономное кеширование

[izvorot]

случайно обнаружил большую дыру в безопасности своих шар!помогите исправить!!!значит прикол в том что пользователи не вошедшие в домен-могут тупо лазить,записывать,читать всю инфу на шарах.каким параметром всех не в домене и гостей от шар подальше послать в Бобруйск????

[f0s]

сделай через chmod.
на папку с шарой выставь права 770. дай владельца admin:people
естесвенно все доменный пользователи должны состоять в основной группе people.. соотвесвенно все остальные будут в обломе

[izvorot]

думается мне причина в следующем:
новый контроллер стоит отдельно от сети-настраиваю через ноутбук(кросом соеденил).на днях переставил на нотике винду-по умолчанию он теперь в рабочей группе.подключил снова к серваку-позже заметил что при входе(у меня висит папка с профилем админа)-а с правами вот:
rwxr-x--- root people office
пока что не понял каким макаром сервак сразу меня на новой винде принял как админа???