Страница 1 из 2
samba pdc
Добавлено: 2008-08-15 12:39:18
naehi8sh
Поднимаю самба как контролер домена.
Конфиги:
Код: Выделить всё
#======================= Global Settings =====================================
[global]
workgroup = pdc.xxx
netbios name = pdc
server string =
security = users
encrypt passwords = yes
load printers = no
admin users = gadenysh
hosts allow = 192.168.0. 127.
log file = /var/log/samba/samba.log
max log size = 50000
passdb backend = ldapsam:ldap://127.0.0.1
ldap suffix = dc=xxxx,dc=ru
ldap user suffix = ou=users
ldap group suffix = ou=groups
ldap machine suffix = ou=computers
ldap admin dn = "cn=adm,dc=xxxx,dc=ru"
ldap delete dn = no
ldap ssl = off
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind separator = @
winbind use default domain = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
local master = yes
os level = 255
domain master = yes
preferred master = yes
domain logons = yes
local master = yes
# Пустое значение - неперемещаемые профили.
logon path =
logon home = \\%L\homes
logon drive = H:
add machine script = /usr/local/bin/ldapaddmachine '%u' computers
add user script = /usr/local/bin/ldapadduser '%u' users
add group script = /usr/local/bin/ldapaddgroup '%g'
add user to group script = /usr/local/bin/ldapaddusertogroup '%u' '%g'
delete user script = /usr/local/bin/ldapdeleteuser '%u'
delete group script = /usr/local/bin/ldapdeletegroup '%g'
delete user from group script = /usr/local/bin/ldapdeleteuserfromgroup '%u' '%g'
set primary group script = /usr/local/bin/ldapsetprimarygroup '%u' '%g'
rename user script = /usr/local/bin/ldaprenameuser '%uold' '%unew
wins support = yes
wins proxy = yes
dns proxy = no
display charset = koi8-r
unix charset = koi8-r
dos charset = cp866
time server = yes
#============================ Share Definitions ==============================
[homes]
comment = Home Directories
path = /samba/homes/%U
browseable = no
writable = yes
public = no
read only = no
create mask = 0600
directory mask = 0700
valid users = %S
volume = home
[netlogon]
comment = Network Logon Service
path = /samba/netlogon
browseable = no
guest ok = yes
writable = no
share modes = no
volume = NETLOGON
[profiles]
create mode = 0600
directory mode = 700
path = /samba/profiles/%u
browseable = yes
guest ok = yes
writeable = yes
volume = profiles
[pub]
comment = Папка общего пользования
path = /samba/pub
# valid users = @users
create mode = 666
directory mode = 777
public = yes
writable = yes
printable = no
browseable = yes
[IPC$]
path = /samba/ipc
hosts allow = 192.168.0.0/24 127.0.0.1
hosts deny = 0.0.0.0/0
Настройки скатываю из:
http://www.lissyara.su/?id=1713
Виндовую машину подключить получилось....
net rpc join -S pdc.xxxxx.ru -U yyyyyy
тоже прокатило... а воть добавдение SUSE11... говарит что не возможно использовать рабочую группу ХХХХ для аутентификации Linux... подскажите куда копать...
Иногда ругаеться так:
[2008/08/15 17:04:27, 0] nsswitch/idmap.c:idmap_init(388)
idmap_init: Ignoring domain PDC.XXXX
Re: samba pdc
Добавлено: 2008-09-09 16:11:39
vic
На счёт этой ошибки - всё что найти удалось - это некорректная версия samba
Рекомендация - пересобрать
Re: samba pdc
Добавлено: 2008-09-09 16:14:15
vic
Re: samba pdc
Добавлено: 2008-09-10 9:12:46
snorlov
Зачем в конфиге winbind совать у тебя же это PDC на базе ldap, отредактировать nsswitch.conf добавив туда ldap
Re: samba pdc
Добавлено: 2008-09-10 9:45:19
naehi8sh
В этом вопросе меня больше интересует аутентификация пользователей на десктопах, которые тоже под линукс, я рассматривал SUSE 11.
Так же интересует доступ к файлам на сервере. а ACL пока поддерживает тока самба... сейчас работает схема: LDAP+UFS. но это как то не интересно и не защищенно. Нужно еще добиться чтобы регистрация была бы только один раз... чтоб регистрация сохранялась до завершения сеанса(т.е. при обращении к данным на сервере не запрашивался пароль)...
Хотя может есть другие решения для разграничения доступа к файлам... но пока их не нашел.
Re: samba pdc
Добавлено: 2008-09-11 8:33:47
vic
:to snorlov
у меня та же трабла, но в ...
Код: Выделить всё
cat /nsswitch.conf
passwd: files ldap winbind
shadow: files ldap winbind
group: files ldap winbind
hosts: files dns
bootparams: nisplus [NOTFOUND=return] files
ethers: files
netmasks: files
networks: files
protocols: files
rpc: files
services: files
netgroup: files ldap
publickey: nisplus
automount: files ldap
aliases: files nisplus
или я где не прав?!?
И фишка таже ... nix-клиенты ...
Re: samba pdc
Добавлено: 2008-09-12 10:27:40
vic
самба была 3,0,30
после обновы до 3,0,31 - всё ОК
Re: samba pdc
Добавлено: 2009-07-31 10:36:54
Не зареген
Уважаемый автор не могли бы вы объяснить зачем нужен winbind на PDC? Вроде он нужен для аутинтификации unix-клиентов на самом клиенте
Re: samba pdc
Добавлено: 2009-09-06 15:51:00
fox
Добрый День Господа!
Начал на тестовых машинах ставить PDC по статье:
http://www.lissyara.su/?id=1713
Вроде всё получилось только вот воткнуть не получается сам PDC, Вот что пишет:
Код: Выделить всё
[root@PDC /etc]# net rpc join -S pdc -U fox%1234567
[2009/09/06 14:18:44, 0] lib/util_sock.c:read_socket_with_timeout(497)
read_socket_with_timeout: timeout read. read error = Connection reset by peer.
[2009/09/06 14:18:44, 0] libsmb/clientgen.c:cli_receive_smb(111)
Receiving SMB: Server stopped responding
Could not connect to server pdc
[2009/09/06 14:18:44, 0] lib/util_sock.c:read_socket_with_timeout(497)
read_socket_with_timeout: timeout read. read error = Connection reset by peer.
[2009/09/06 14:18:44, 0] libsmb/clientgen.c:cli_receive_smb(111)
Receiving SMB: Server stopped responding
Connection failed: NT_STATUS_INVALID_NETWORK_RESPONSE
[2009/09/06 14:18:44, 0] lib/util_sock.c:read_socket_with_timeout(497)
read_socket_with_timeout: timeout read. read error = Connection reset by peer.
[2009/09/06 14:18:44, 0] libsmb/clientgen.c:cli_receive_smb(111)
Receiving SMB: Server stopped responding
Could not connect to server pdc
Connection failed: NT_STATUS_INVALID_NETWORK_RESPONSE
Что это может быть? Подскажите, буду очень признателен!
За ранние спасибо!
Re: samba pdc
Добавлено: 2009-09-06 18:03:02
snorlov
fox писал(а):Добрый День Господа!
Начал на тестовых машинах ставить PDC по статье:
http://www.lissyara.su/?id=1713
Вроде всё получилось только вот воткнуть не получается сам PDC:
Перестартовать самбу не пробовали...
Re: samba pdc
Добавлено: 2009-09-06 18:11:36
fox
пробовали без результата
Re: samba pdc
Добавлено: 2009-09-06 19:39:21
snorlov
fox писал(а):пробовали без результата
А если просто на консоли pdc дать net join -U ....
Re: samba pdc
Добавлено: 2009-09-06 20:36:40
fox
тоже самое будет, с join я перепробовал все комбинации
Re: samba pdc
Добавлено: 2009-09-07 8:13:00
snorlov
fox писал(а):тоже самое будет, с join я перепробовал все комбинации
Остается только огласить версию самбы, с какими параметрами она была установлена, smb.conf.
Можно еще скачать LdapAdmin и посмотреть содержимое базы Ldap'a...
Re: samba pdc
Добавлено: 2009-09-07 15:04:18
fox
Добрый день!
Вот версия самбы:
Код: Выделить всё
samba-3.0.36,1 A free SMB and CIFS client and server for UNIX
Конфиг файла smb.conf:
Код: Выделить всё
#======================= Global Settings =====================================
[global]
workgroup = fer.com
netbios name = pdc
server string = pdc-server
security = user
encrypt passwords = yes
load printers = no
admin users = fox
hosts allow = 192.168.254. 192.168.216. 127.
log file = /var/log/samba/samba.log
max log size = 50000
passdb backend = ldapsam:ldap://127.0.0.1
ldap suffix = dc=fer,dc=com
ldap user suffix = ou=users
ldap group suffix = ou=groups
ldap machine suffix = ou=computers
ldap admin dn = "cn=root,dc=fer,dc=com"
ldap delete dn = no
ldap ssl = off
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind separator = @
winbind use default domain = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
local master = yes
os level = 255
domain master = yes
preferred master = yes
domain logons = yes
# Пустое значение - неперемещаемые профили.
logon path =
logon home = \\%L\homes
logon drive = H:
add machine script = /usr/local/bin/ldapaddmachine '%u' computers
add user script = /usr/local/bin/ldapadduser '%u' users
add group script = /usr/local/bin/ldapaddgroup '%g'
add user to group script = /usr/local/bin/ldapaddusertogroup '%u' '%g'
delete user script = /usr/local/bin/ldapdeleteuser '%u'
delete group script = /usr/local/bin/ldapdeletegroup '%g'
delete user from group script = /usr/local/bin/ldapdeleteuserfromgroup '%u' '%g'
set primary group script = /usr/local/bin/ldapsetprimarygroup '%u' '%g'
rename user script = /usr/local/bin/ldaprenameuser '%uold' '%unew
wins support = yes
wins proxy = yes
dns proxy = no
display charset = koi8-r
unix charset = koi8-r
dos charset = cp866
time server = yes
#============================ Share Definitions ==============================
[homes]
comment = Home Directories
path = /home/samba/homes/%U
browseable = no
writable = yes
public = no
read only = no
create mask = 0600
directory mask = 0700
valid users = %S
[netlogon]
comment = Network Logon Service
path = /usr/local/etc/samba/netlogon
browseable = no
guest ok = yes
writable = no
share modes = no
volume = NETLOGON
[profiles]
create mode = 0600
directory mode = 700
path = /home/samba/profiles/%u
browseable = no
guest ok = yes
writeable = yes
[pub]
comment = Папка общего пользования
path = /home/samba/pub
valid users = @users
create mode = 666
directory mode = 777
public = yes
writable = yes
printable = no
browseable = yes
[IPC$]
path = /tmp
hosts allow = 192.168.245.0/24 192.168.216.0/24 127.0.0.1
hosts deny = 0.0.0.0/0
Ставил Админ ЛДАП но не чего там для себя пока что не увидел не слишком я с ним знаком, то что туда не включилось ПДЦ это понятно, а вот прикол на самбу зайти не получается вообще через косые, мне кажется дело в самбе!
Re: samba pdc
Добавлено: 2009-09-07 15:42:52
snorlov
Строчку бы запуска самого ldap'a, пусть он все твои интерфейсы слушает, и именно по этому ip и подключайся через LdapAdmin под учеткой cn=root,dc=fer,dc=com с паролем который ты заводил через smbpasswd -w, после подключению должен увидеть структуру. О своем старте ldap пишет в /var/log/debug.log.Самба кстати это домен в стиле NT4, а там ограничение на имя домена fer.com, лучше пусть он будет просто fer...
Небольшое замечание, а зачем тебе winbind? У тебя что на этой машине еще что-то крутиться...
В nsswitch.conf добавил юзанье ldap'а, не забыл...
Re: samba pdc
Добавлено: 2009-09-08 23:33:53
fox
Спасибо огромное!
Я разобрался, не пинайте меня ногами, но моя ошибка была, досадная очепятка!
Всё классно заработало, ну точнее я одну пока машину PDC сделал, ну вот пока играюсь на тестовой есть вопросы, подскажите пожалуйста:
В данной статье, по которой я делал:
http://www.lissyara.su/?id=1713
Сказано что у автора есть филиал, а вот о чём подумал, в моём случае нет филиала, но зачем мне кластер, а в случае если я уеду далеко ляжет контроллер пока я приеду они сума сойдут, можно ли это статью применить для одной сети только с двумя серверами, с двумя контроллерами???
Вы понимаете о чём я, насколько надо изменить конф или можно ли вообще, ну вы меня понимаете, как сделать что бы две машины синхронно работали, но у меня есть ещё переменные среды как быть с ними? Кто что думает по поводу два серванта в одной сети?
Буду очень признателен за аудиенцию!
Re: samba pdc
Добавлено: 2009-09-13 17:33:18
fox
Добрый день, добрался я до установки второго сервера, вроде заработал домен в 2 машины ну вот Репликации увы нет у меня, не могу разобраться, чуть сума не сошёл, напрягать вас стесняюсь, а вот буду очень благодарен если кто то выложит конфиги ЛДАПА, с рабочих действующих машин..
Пожалуйста выложите конфиги slapd.conf Master and Slave где чётко работает репликация.
Буду безмерно благодарен!!!
За ранние огромное спасибо!
Re: samba pdc
Добавлено: 2009-09-13 21:20:14
princeps
fox писал(а):ну вот Репликации увы нет у меня
С чего ты это взял? логи давай
Re: samba pdc
Добавлено: 2009-09-13 22:59:42
fox
Добрый вечер, да логи не дам я там конфиги уже перекрутил так, что в лом возвращать всё наместо легче переделать конф ибо у автора статья то хорошая а вот ошибок реально не мало! С чего я взял, да репликации нет) Через ЛДАП админ вижу что данные не переносятся а в лог сливает что не перенесено тот-то тот-то… Конфы мне для образца лучше дайте, буду очень признателен!
Re: samba pdc
Добавлено: 2009-09-14 8:45:04
princeps
fox писал(а):а в лог сливает что не перенесено тот-то тот-то…
ну так и надо смотреть что не перенесено, почему не перенесено. Навряд ли конфиги дадут
Re: samba pdc
Добавлено: 2009-09-14 21:38:51
fox
Добрый вечер!
Ну вот, восстановил всё как по этой статье:
http://www.lissyara.su/?id=1713
Затем всё хорошо до пункта где настраиваем репликатор!
Как только надо после изменения конфа slapd.conf - Slave стартовать, вот что он выдаёт в логи, естественно деман не стартует!
Код: Выделить всё
cat debug.log
Sep 14 18:12:22 S2 slapd[888]: @(#) $OpenLDAP: slapd 2.3.43 (Sep 14 2009 19:34:16) $ root@S2:/usr/ports/net/openldap23-server/work/openldap-2.3.43/servers/slapd
Sep 14 18:12:22 S2 slapd[888]: /usr/local/etc/openldap/slapd.conf: line 94: bad DN "uid=replicator,ou=users,fer,dc=com" in by DN clause
Sep 14 18:12:22 S2 slapd[888]: <access clause> ::= access to <what> [ by <who> [ <access> ] [ <control> ] ]+ <what> ::= * | dn[.<dnstyle>=<DN>] [filter=<filter>] [attrs=<attrspec>] <attrspec> ::= <attrname> [val[/<matchingRule>][.<attrstyle>]=<value>] | <attrlist> <attrlist> ::= <attr> [ , <attrlist> ] <attr> ::= <attrname> | @<objectClass> | !<objectClass> | entry | children <who> ::= [ * | anonymous | users | self | dn[.<dnstyle>]=<DN> ] [ realanonymous | realusers | realself | realdn[.<dnstyle>]=<DN> ] [dnattr=<attrname>] [realdnattr=<attrname>] [group[/<objectclass>[/<attrname>]][.<style>]=<group>] [peername[.<peernamestyle>]=<peer>] [sockname[.<style>]=<name>] [domain[.<domainstyle>]=<domain>] [sockurl[.<style>]=<url>] [ssf=<n>] [transport_ssf=<n>] [tls_ssf=<n>] [sasl_ssf=<n>] <style> ::= exact | regex | base(Object) <dnstyle> ::= base(Object) | one(level) | sub(tree) | children | exact | regex <attrstyle> ::= exact | regex | base(Object) | one(level) | sub(tree) | children <peernamestyle> ::=
Sep 14 18:12:22 S2 slapd[888]: slapd stopped.
Sep 14 18:12:22 S2 slapd[888]: connections_destroy: nothing to destroy.
А вот конф Slave:
Код: Выделить всё
#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#
include /usr/local/etc/openldap/schema/core.schema
include /usr/local/etc/openldap/schema/cosine.schema
include /usr/local/etc/openldap/schema/inetorgperson.schema
include /usr/local/etc/openldap/schema/misc.schema
include /usr/local/etc/openldap/schema/nis.schema
include /usr/local/etc/openldap/schema/openldap.schema
include /usr/local/etc/openldap/schema/samba.schema
# Define global ACLs to disable default read access.
# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral ldap://root.openldap.org
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
allow bind_v2
# Load dynamic backend modules:
modulepath /usr/local/libexec/openldap
#moduleload back_bdb
# moduleload back_ldap
moduleload back_ldbm
# moduleload back_passwd
# moduleload back_shell
# Sample security restrictions
# Require integrity protection (prevent hijacking)
# Require 112-bit (3DES or better) encryption for updates
# Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64
# Sample access control policy:
# Root DSE: allow anyone to read it
# Subschema (sub)entry DSE: allow anyone to read it
# Other DSEs:
# Allow self write access
# Allow authenticated users read access
# Allow anonymous users to authenticate
# Directives needed to implement policy:
# access to dn.base="" by * read
# access to dn.base="cn=Subschema" by * read
# access to *
# by self write
# by users read
# by anonymous auth
#
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn. (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!
#######################################################################
# BDB database definitions
#######################################################################
database ldbm
suffix "dc=fer,dc=com"
rootdn "cn=root,dc=fer,dc=com"
# Cleartext passwords, especially for the rootdn, should
# be avoid. See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
rootpw {SSHA}deCX2l8StY538UhASBMOe7r7f1NKEvpR
loglevel 256
# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd and slap tools.
# Mode 700 recommended.
directory /var/db/openldap-data
# Indices to maintain
#index objectClass eq
index objectClass,uid,uidNumber,gidNumber eq
index cn,mail,surname,givenname eq,subinitial
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
updatedn "uid=replicator,ou=users,dc=fer,dc=com"
updateref ldap://192.168.245.10:389
access to attrs=userPassword
by self write
by dn="uid=replicator,ou=users,fer,dc=com" write
by anonymous auth
by * none [b]!!!94 линия[/b]
access to attrs=sambaLMPassword,sambaNTPassword
by dn="cn=root,dc=fer,dc=com" write
by dn="uid=replicator,ou=users,dc=fer,dc=com" write
by * none
access to *
by dn="uid=replicator,ou=users,dc=fer,dc=com" write
by self write
by anonymous read
by * none
Ругается, судя по логам на 94ю линию, я её пометил!
Что не так??? Я просто ещё не очень дружу с OpenLDAP, так что не пинайте ногами! :-)
За ранние спасибо!!!
Re: samba pdc
Добавлено: 2009-09-15 0:32:48
fox
Доброй ночи!
Я разобрался в чём дело, потанцевал с бубном перед богами FreeBSD, и они мне дали прозрение! ))))
Ну во-первых та ошибка из-за снова очепятки, ну да ладно, когда я её убрал..
Было:
Код: Выделить всё
access to attrs=userPassword
by self write
by dn="uid=replicator,ou=users,fer,dc=com" write
by anonymous auth
by * none
Стало:
Код: Выделить всё
access to attrs=userPassword
by self write
by dn="uid=replicator,ou=users,dc=fer,dc=com" write
by anonymous auth
by * none
Ошибка, ушла и демон стартовал!
Ну, потом репликации не было всё равно!
Тогда я предположил что у меня не правильно в базу добавлен пользователь репликатора!
Не бейте меня сильно, я новичок в OpenLDAP…
И тогда я репликационного пользователя заменил на root пользователя.
Получилось вот так вот:
Master conf:
Код: Выделить всё
#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#
include /usr/local/etc/openldap/schema/core.schema
include /usr/local/etc/openldap/schema/cosine.schema
include /usr/local/etc/openldap/schema/inetorgperson.schema
include /usr/local/etc/openldap/schema/misc.schema
include /usr/local/etc/openldap/schema/nis.schema
include /usr/local/etc/openldap/schema/openldap.schema
include /usr/local/etc/openldap/schema/samba.schema
# Define global ACLs to disable default read access.
# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral ldap://root.openldap.org
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
allow bind_v2
# Load dynamic backend modules:
modulepath /usr/local/libexec/openldap
#moduleload back_bdb
# moduleload back_ldap
moduleload back_ldbm
# moduleload back_passwd
# moduleload back_shell
# Sample security restrictions
# Require integrity protection (prevent hijacking)
# Require 112-bit (3DES or better) encryption for updates
# Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64
# Sample access control policy:
# Root DSE: allow anyone to read it
# Subschema (sub)entry DSE: allow anyone to read it
# Other DSEs:
# Allow self write access
# Allow authenticated users read access
# Allow anonymous users to authenticate
# Directives needed to implement policy:
# access to dn.base="" by * read
# access to dn.base="cn=Subschema" by * read
# access to *
# by self write
# by users read
# by anonymous auth
#
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn. (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!
#######################################################################
# BDB database definitions
#######################################################################
database ldbm
suffix "dc=fer,dc=com"
rootdn "cn=root,dc=fer,dc=com"
# Cleartext passwords, especially for the rootdn, should
# be avoid. See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
rootpw {SSHA}1QXD45/Q/10VSxbpujy/vfQaKs4gfzfu
loglevel 256
# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd and slap tools.
# Mode 700 recommended.
directory /var/db/openldap-data
# Indices to maintain
#index objectClass eq
index objectClass,uid,uidNumber,gidNumber eq
index cn,mail,surname,givenname eq,subinitial
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
replogfile /var/log/ldap/replica.log
replica uri=ldap://192.168.245.20:389
binddn="cn=root,dc=fer,dc=com"
bindmethod=simple credentials=fortero
access to attrs=userPassword
by self write
by anonymous auth
by * none
access to attrs=sambaLMPassword,sambaNTPassword
by dn="cn=root,dc=fer,dc=com" write
by * none
access to *
by self write
by anonymous read
by * none
Код: Выделить всё
#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#
include /usr/local/etc/openldap/schema/core.schema
include /usr/local/etc/openldap/schema/cosine.schema
include /usr/local/etc/openldap/schema/inetorgperson.schema
include /usr/local/etc/openldap/schema/misc.schema
include /usr/local/etc/openldap/schema/nis.schema
include /usr/local/etc/openldap/schema/openldap.schema
include /usr/local/etc/openldap/schema/samba.schema
# Define global ACLs to disable default read access.
# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral ldap://root.openldap.org
pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args
allow bind_v2
# Load dynamic backend modules:
modulepath /usr/local/libexec/openldap
#moduleload back_bdb
# moduleload back_ldap
moduleload back_ldbm
# moduleload back_passwd
# moduleload back_shell
# Sample security restrictions
# Require integrity protection (prevent hijacking)
# Require 112-bit (3DES or better) encryption for updates
# Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64
# Sample access control policy:
# Root DSE: allow anyone to read it
# Subschema (sub)entry DSE: allow anyone to read it
# Other DSEs:
# Allow self write access
# Allow authenticated users read access
# Allow anonymous users to authenticate
# Directives needed to implement policy:
# access to dn.base="" by * read
# access to dn.base="cn=Subschema" by * read
# access to *
# by self write
# by users read
# by anonymous auth
#
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn. (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!
#######################################################################
# BDB database definitions
#######################################################################
database ldbm
suffix "dc=fer,dc=com"
rootdn "cn=root,dc=fer,dc=com"
# Cleartext passwords, especially for the rootdn, should
# be avoid. See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
rootpw {SSHA}deCX2l8StY538UhASBMOe7r7f1NKEvpR
loglevel 256
# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd and slap tools.
# Mode 700 recommended.
directory /var/db/openldap-data
# Indices to maintain
#index objectClass eq
index objectClass,uid,uidNumber,gidNumber eq
index cn,mail,surname,givenname eq,subinitial
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
updatedn "cn=root,dc=fer,dc=com"
updateref ldap://192.168.245.10:389
access to attrs=userPassword
by self write
by dn="cn=root,dc=fer,dc=com" write
by anonymous auth
by * none
access to attrs=sambaLMPassword,sambaNTPassword
by dn="cn=root,dc=fer,dc=com" write
by * none
access to *
by dn="cn=root,dc=fer,dc=com" write
by self write
by anonymous read
by * none
И представьте себе, репликация заработала, о чудо!
Люди добрые, подскажите пожалуйста как теперь правильно добавить пользователя для репликации, и что-то может не правильно в моих конфах???
Буду ждать ответа, спасибо за внимание!
Re: samba pdc
Добавлено: 2009-09-15 8:48:21
snorlov
Посмотрите внимательнее как вы прописываете репликатора
Мне кажется должно быть
"cn=replicator,ou=users,dc=fer,dc=com"
Re: samba pdc
Добавлено: 2009-09-15 12:19:24
fox
Добрый день!
Ну я же говорю не бейте меня сильно я здесь только начинающий..
Я тоже так подумал на работать кажется не будет, в статье ошибка, а вы можете ещё выложить код добавления пользователя репликатора в базу, только правильный?
Буду безмерно признателен, за ранние спасибо!