forum.lissyara.su

Добавлено: **2012-01-17 11:24:04**

Прошу помощи. переделываю домен samba с backend tbdsam на ldap. Использовал разные инструкции, в принципе все получается, но есть две проблемы. Не работает usrmanager из srvtools windows NT, пишет что нет доступа к домену. При этом утилита net в WinXp нормально работает, выдает и пользователей и группы. Вторая проблема уже на PDC Samba. Для прозрачной авторизации на squid используется winbind (вернее хелпер, который требует его наличия). Так вот он не хочет нормально работать, а именно wbinfo -g выдает группы, как положено, а вот wbinfo -u ничего не выдает. Т.е. получается что он пользователей не видит.

По конфигурации. Server Ubuntu 10.04.3, samba 3.4.7, openldap 2.4.21
Клиент Windows XP SP3

На обоих машинах отключены сетевые фильтры, антивирусов нет.

Конфиг самбы

Код: Выделить всё

# Global parameters
[global]
	workgroup = MY
	server string = Samba Server
	netbios name = mysrv
    interfaces = eth1
	bind interfaces only = Yes

# passwd backend
	encrypt passwords = yes
	passdb backend = ldapsam:ldap://127.0.0.1
	enable privileges = yes
	pam password change= Yes
	passwd program = /usr/bin/passwd %u
	passwd chat = *New*UNIX*password* %nn *ReType*new*UNIX*password* %nn * passwd:*all*authentication*tokens*updated*successfully*
	unix password sync = Yes

# Log options
	log level = 1
	log file = /var/log/samba/%m
	max log size = 50
	syslog = 0

# Name resolution
	name resolve order = wins bcast host

# misc
	timeserver = Yes
	socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192	

# printers - configured to use CUPS and automatically load them
	load printers = no
	show add printer wizard = No

# scripts invoked by samba
	add user script               = /usr/local/sbin/smbldap-useradd -m %u
	delete user script            = /usr/local/sbin/smbldap-userdel %u
	add group script              = /usr/local/sbin/smbldap-groupadd -p %g
	delete group script           = /usr/local/sbin/smbldap-groupdel %g
	add user to group script      = /usr/local/sbin/smbldap-groupmod -m %u %g
	delete user from group script = /usr/local/sbin/smbldap-groupmod -x %u %g
	set primary group script      = /usr/local/sbin/smbldap-usermod -g %g %u
	add machine script            = /usr/local/sbin/smbldap-useradd -w %m

# LDAP-iConfiguration
	ldap delete dn                = Yes
	ldap ssl                      = off
	ldap passwd sync              = Yes
	ldap suffix                   = dc=my,dc=local
	ldap machine suffix           = ou=Computers
	ldap user suffix              = ou=People
	ldap group suffix             = ou=Groups
	ldap idmap suffix             = ou=Idmap
	ldap admin dn                 = cn=admin,dc=my,dc=local
	idmap backend                 = ldap:ldap://my.kafla.local
	idmap uid                     = 10000-20000
	idmap gid                     = 10000-20000

# logon options
#	logon script = logon.bat
#	logon path = \%Lprofiles%u
#	logon path =
#	logon home = \%L%U
#	logon drive = H:

# setting up as domain controller
#	username map = /usr/local/samba/usermap
	preferred master = Yes
	wins support = Yes
	domain logons = Yes
	domain master = Yes
	local master = Yes
	os level = 64
	map acl inherit = Yes
#	unix charset     = UTF8

Добавлено: **2012-01-30 19:11:09**

Вот тебе в помощь толковая статья более мение смотри аналогию http://www.lissyara.su/articles/freebsd ... +bdc+ldap/
а вообще Линупсы это не наши методы BSD правельная ось!

Добавлено: **2012-01-30 19:35:17**

Попробуйте добавить в интерфейсы localhost, ну и конечно посмотреть что слушает ldap, у вас фигурируют 2-а адреса 127.0.0.1 и //my.kafla.local...

Добавлено: **2012-01-30 22:54:11**

snorlov писал(а):Попробуйте добавить в интерфейсы localhost, ну и конечно посмотреть что слушает ldap, у вас фигурируют 2-а адреса 127.0.0.1 и //my.kafla.local...

Когда конфиг публиковал допустил несколько ошибок. В интерфейсах есть lo и слушаем только localhost, разумеется.

Возможно я недостаточно четко сформулировал свою проблему, поэтому повторю. Машины в домен входят, пользователи заводятся с помощью утилиты net из windows и из linux. Не работает srvmgr.exe из состава srvtools windows nt. Также не возвращается список пользователей командой net rpc user.

Но главная проблема в том, что некорректно работает winbind, wbinfo -u не возвращает список пользователей. А он мне нужен для прозрачной аутентификации на squid-е.

Добавлено: **2012-01-31 0:59:54**

Помоему если только localhost в роли контролерра он работать не будет нужно ещё и разшарить на интрефейс который смотрит в лок. сигмент.

Добавлено: **2012-01-31 10:09:16**

fox писал(а):Помоему если только localhost в роли контролерра он работать не будет нужно ещё и разшарить на интрефейс который смотрит в лок. сигмент.

исправляю опечатки

Код: Выделить всё

interfaces eth1, lo
passdb backend =ldapsam: ldap://localhost
idmap backend = ldap:ldap://localhost

Добавлено: **2012-01-31 10:10:35**

mikhail писал(а): Возможно я недостаточно четко сформулировал свою проблему, поэтому повторю. Машины в домен входят, пользователи заводятся с помощью утилиты net из windows и из linux. Не работает srvmgr.exe из состава srvtools windows nt. Также не возвращается список пользователей командой net rpc user.
Но главная проблема в том, что некорректно работает winbind, wbinfo -u не возвращает список пользователей. А он мне нужен для прозрачной аутентификации на squid-е.

Если не работает svrmgr, то не должен работать и usrmgr, я бы вам рекомендовал использовать их из поставки XP, в противном случае проверяйте конфиг самбы, также посмотрите, что вам выдает

Код: Выделить всё

id <пользователь самбы>
getent passwd 
getent group

если ничего не находит проверяйте настройки nsswitch, nss_ldap, как в ubuntu он обзывается не знаю, второе сам хелпер(ntlm_auth) надо использовать не из поставки сквида, а из поставки самбы, ну и наконец проверил бы права сквида на winbindd_privileges, кажется так...

Добавлено: **2012-01-31 10:54:42**

snorlov писал(а): Если не работает svrmgr, то не должен работать и usrmgr, я бы вам рекомендовал использовать их из поставки XP, в противном случае проверяйте конфиг самбы, также посмотрите, что вам выдает
Код: Выделить всё
id <пользователь самбы>
getent passwd 
getent group
если ничего не находит проверяйте настройки nsswitch, nss_ldap, как в ubuntu он обзывается не знаю, второе сам хелпер(ntlm_auth) надо использовать не из поставки сквида, а из поставки самбы, ну и наконец проверил бы права сквида на winbindd_privileges, кажется так...

Прошу прощения я продолжаю тупить

Видимо ближе к вечеру уже плохо соображаю. Конечно не работает usrmgr, srvmgr как раз работает, что странно ибо ошибка гласит что нет доступа. id, getent работают нормально, пользователей и группы видно. Видимо проблемы с доступом именно через rpc ибо net rpc user пользователей не выдает, а net rap user выдает.

Squid пока не ставил, ибо нет пока смысла, если не получается список пользователей получить через winbind, то очевидно что хелпер не будет работать.

Добавлено: **2012-01-31 11:04:20**

Смотри на настройки smbldap-tools....

Добавлено: **2012-01-31 11:17:31**

snorlov писал(а):Смотри на настройки smbldap-tools....

А что там смотреть?

Добавлено: **2012-01-31 11:27:52**

Как что, там ведь настройки к хождению к самому ldap, контейнеры где пользователи, компьютеры, может они у тебя не в People, а в другом месте, у меня например в Users...

Добавлено: **2012-01-31 11:52:51**

snorlov писал(а):Как что, там ведь настройки к хождению к самому ldap, контейнеры где пользователи, компьютеры, может они у тебя не в People, а в другом месте, у меня например в Users...

Посмотрел, там все нормально. Ну и кроме того, ведь командой net rpc user add пользователи добавляются, как бы они добавлялись если бы контейнер был указан неверно?

Добавлено: **2012-01-31 12:20:58**

ldap в каких напровлениях слушает?

Добавлено: **2012-02-01 9:41:20**

fox писал(а):ldap в каких напровлениях слушает?

lo и eth1 (временно).

Добавлено: **2012-02-01 21:19:32**

Ldap должен слушать во внутреннюю сеть, виндовозу нужно же логинется к нему тоже...

Добавлено: **2012-02-07 13:34:24**

Почти все решил, несколько не корректно работает usrmgr в диалоге свойств пользователя не вызывается окно "Группы", пишет, что нет доступа. Можно тему закрывать.

Добавлено: **2012-11-21 16:15:31**

я решал проблему с неработающим wbinfo -r так: переписал функцию хелпера wbinfo_group.pl:

Код: Выделить всё

sub check {
        local($user, $group) = @_;
	if ($opt{K} && ($user =~ m/\@/)) {
		@tmpuser = split(/\@/, $user);
		$user = "$tmpuser[1]\\$tmpuser[0]";
	}			
	@m_=split(/\\/,$user);
	$user = $m_[1];
	$s=`/usr/local/bin/net ads search 'cn=$user' -U user%password -P | grep memberOf | grep -Eo ' CN=[A-Za-z-]+' | sed 's/ CN=//'`;
	if ($s=~/$group/){
	    return 'OK';
	};
        return 'ERR';
}

forum.lissyara.su

samba проблемы с winbind

samba проблемы с winbind

Re: samba проблемы с winbind

Re: samba проблемы с winbind

Re: samba проблемы с winbind

Re: samba проблемы с winbind

Re: samba проблемы с winbind

Re: samba проблемы с winbind

Re: samba проблемы с winbind

Re: samba проблемы с winbind

Re: samba проблемы с winbind

Re: samba проблемы с winbind

Re: samba проблемы с winbind

Re: samba проблемы с winbind

Re: samba проблемы с winbind

Re: samba проблемы с winbind

Re: samba проблемы с winbind

Re: samba проблемы с winbind