Вести с полей
Плагин и программа Pgina работают, авторизация при входе в систему берет учетку из 389. - это решение.
http://www.linuxjournal.com/article/9517?page=0,2
Но комп ессно не в домене...
Да для Xp качать нужно PGINA 1.8 и плагин ldap.
Я вот даже и не знаю что мне самому хотелось бы просто авторизацию или домен с профилями перемещаемыми ибо есть ситуации когда они нужны,
в общем ладно подведем итог.
389+PGINA - вендовая авторизация
389+PAM - линуха
Оргнизацию доступа и менеджмент мне еще учить, но нужно поднимать домен на самбе. Ибо этому делу я не доверяю.
Итак, полазив по форумам увидал что бывает проблема с конвертацией samba.scheme .
Может ктонить правильную выложит я делал по следующему
http://directory.fedoraproject.org/wiki/Howto:Samba
Код: Выделить всё
perl ol-schema-migrate.pl -b /usr/share/doc/samba-*/LDAP/samba.schema > /etc/dirsrv/slapd-<server>/schema/61samba.ldif
Так же замечу по этой же статье предлагают пиды групп - 2512 2513 и т.д. Хотя в статьях где ребята поднимал с
smbldap-tools в конфиге указывается 512 юз и 513 группа. Есть разница и в чем, понятно дело в uid gid имеется ли она для самбы. и вендо тачек.
Так как допустить радикальную ошибку в
/etc/pam.d/system-auth-ac
/etc/ldap.conf
/etc/nsswitch.conf
/etc/smbldap-tools/*
Сложно, то оставим их на потом.
Начнем с простова с конфига самбы. Самый правильны конфиг под 389 или как он думаете подойдет под 389 кто нить может, чтобы не думали что я ниче не делаю выкладываю оригинал по которому я свой делал.
Плюсы, минусы подводные камни...
Код: Выделить всё
[global]
workgroup = amber
netbios name = neptun
realm = amber.global.com
nt acl support = yes
acl compatibility = win2k
map acl inherit = yes
server string = Samba Server %v
interfaces = eth0
bind interfaces only = yes
hosts allow = 192.168.7. 127.
log file = /var/log/samba/log.%m
debug level = 9
max log size = 500
socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192
security = user
os level = 250
passdb backend = ldapsam:"ldap://127.0.0.1/"
enable privileges = yes
passwd program = /usr/sbin/smbldap-passwd "%u"
passwd chat = *new*password* %n\n *new*password* %n\n *successfully*
passdb expand explicit = no
unix password sync = no
ldap passwd sync = no
ldap suffix = dc=amber,dc=global,dc=com
ldap admin dn = cn=Manager,dc=amber,dc=global,dc=com
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
# Т.к. для самбы компьютеры и пользователи - одно и то же,
# и искать она в дальнейшем записи компьютеров будет в пользователях,
# то для избежания дальнейших проблем при добавлении рабочих станций
# к домену мы вместо следующей строки
#
# ldap machine suffix = ou=Computers
#
# напишем другую:
ldap machine suffix = ou=Users
ldap idmap suffix = ou=Idmap
idmap backend = ldapsam:ldap://127.0.0.1/
idmap uid = 10000-20000
idmap gid = 10000-20000
ldap delete dn = Yes
ldap ssl = no
add user script = /usr/sbin/smbldap-useradd -n -a "%u"
delete user script = /usr/sbin/smbldap-userdel "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
delete group script = /usr/sbin/smbldap-userdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
add machine script = /usr/sbin/smbldap-useradd -w "%u"
#PDC
domain master = yes
preferred master = yes
#BDC
# domain master = no
# preferred master = no
domain logons = Yes
logon script =
# Если хотите, что бы профили всех пользователей были перемещаемыми
# и хранились на сервере (со всеми гигабайтами фильмов и личных фотографий)
# то укажите такое значение следующего параметра:
#
# logon path = \\%L\Profiles\%a\%U
#
# Если вы не хотите гонять профили по сети, оставьте значение пустым,
# (но ни в коем случае не комментируйте эту строку, она просто получит
# значение по умолчанию), вот так:
logon path =
logon drive = U:
logon home = \\%L\users\%U
#============================ Share Definitions ==============================
[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon
browseable = yes
guest ok = yes
writable = no
share modes = no
[Profiles]
admin users = admin
create mode = 600
directory mode = 700
path = /var/lib/samba/profiles
browseable = yes
guest ok = yes
writable = yes
[homes]
comment = Home Directories
browseable = no
read only = no
[public]
path = /pub
guest ok = yes
read only = no
[users]
path = /home/users
writable = yes
printable = no
Думаю а может ли косячить сам smbldap-tools коли обычную схему приходилось конверить для 389...