samba pdc

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
naehi8sh
рядовой
Сообщения: 43
Зарегистрирован: 2008-02-10 2:57:58
Откуда: урал
Контактная информация:

samba pdc

Непрочитанное сообщение naehi8sh » 2008-08-15 12:39:18

Поднимаю самба как контролер домена.
Конфиги:

Код: Выделить всё

#======================= Global Settings =====================================
[global]
    workgroup = pdc.xxx
    netbios name = pdc
    server string =
   security = users

    encrypt passwords = yes
    load printers = no
    admin users = gadenysh
    hosts allow = 192.168.0. 127.
    log file = /var/log/samba/samba.log
    max log size = 50000
    passdb backend = ldapsam:ldap://127.0.0.1
    ldap suffix = dc=xxxx,dc=ru
    ldap user suffix = ou=users
    ldap group suffix = ou=groups
    ldap machine suffix = ou=computers
    ldap admin dn = "cn=adm,dc=xxxx,dc=ru"
    ldap delete dn = no
    ldap ssl = off
    winbind uid = 10000-20000
    winbind gid = 10000-20000
    winbind separator = @
    winbind use default domain = yes
    socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
    local master = yes
    os level = 255
    domain master = yes
    preferred master = yes
    domain logons = yes
    local master = yes

# Пустое значение - неперемещаемые профили.
    logon path =

    logon home = \\%L\homes
    logon drive = H:
    add machine script = /usr/local/bin/ldapaddmachine '%u' computers
    add user script = /usr/local/bin/ldapadduser '%u' users
    add group script = /usr/local/bin/ldapaddgroup '%g'
    add user to group script = /usr/local/bin/ldapaddusertogroup '%u' '%g'
    delete user script = /usr/local/bin/ldapdeleteuser '%u'
    delete group script = /usr/local/bin/ldapdeletegroup '%g'
    delete user from group script = /usr/local/bin/ldapdeleteuserfromgroup '%u' '%g'
    set primary group script = /usr/local/bin/ldapsetprimarygroup '%u' '%g'
    rename user script = /usr/local/bin/ldaprenameuser '%uold' '%unew
    wins support = yes
    wins proxy = yes
    dns proxy = no
    display charset = koi8-r
    unix charset = koi8-r
    dos charset = cp866
    time server = yes

#============================ Share Definitions ==============================
[homes]
 comment = Home Directories
 path = /samba/homes/%U
 browseable = no
 writable = yes
 public = no
 read only = no
 create mask = 0600
 directory mask = 0700
 valid users = %S
 volume = home

[netlogon]
 comment = Network Logon Service
 path = /samba/netlogon
 browseable = no
 guest ok = yes
 writable = no
 share modes = no
 volume = NETLOGON

[profiles]
 create mode = 0600
 directory mode = 700
 path = /samba/profiles/%u
 browseable = yes
 guest ok = yes
 writeable = yes
 volume = profiles

[pub]
 comment = Папка общего пользования
 path = /samba/pub
# valid users = @users
 create mode = 666
 directory mode = 777
 public = yes
 writable = yes
 printable = no
 browseable = yes

[IPC$]
 path = /samba/ipc
 hosts allow = 192.168.0.0/24 127.0.0.1
 hosts deny = 0.0.0.0/0
Настройки скатываю из: http://www.lissyara.su/?id=1713

Виндовую машину подключить получилось....
net rpc join -S pdc.xxxxx.ru -U yyyyyy
тоже прокатило... а воть добавдение SUSE11... говарит что не возможно использовать рабочую группу ХХХХ для аутентификации Linux... подскажите куда копать...

Иногда ругаеться так:
[2008/08/15 17:04:27, 0] nsswitch/idmap.c:idmap_init(388)
idmap_init: Ignoring domain PDC.XXXX

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

vic
проходил мимо

Re: samba pdc

Непрочитанное сообщение vic » 2008-09-09 16:11:39

На счёт этой ошибки - всё что найти удалось - это некорректная версия samba
Рекомендация - пересобрать


snorlov
подполковник
Сообщения: 3702
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: samba pdc

Непрочитанное сообщение snorlov » 2008-09-10 9:12:46

Зачем в конфиге winbind совать у тебя же это PDC на базе ldap, отредактировать nsswitch.conf добавив туда ldap

naehi8sh
рядовой
Сообщения: 43
Зарегистрирован: 2008-02-10 2:57:58
Откуда: урал
Контактная информация:

Re: samba pdc

Непрочитанное сообщение naehi8sh » 2008-09-10 9:45:19

В этом вопросе меня больше интересует аутентификация пользователей на десктопах, которые тоже под линукс, я рассматривал SUSE 11.
Так же интересует доступ к файлам на сервере. а ACL пока поддерживает тока самба... сейчас работает схема: LDAP+UFS. но это как то не интересно и не защищенно. Нужно еще добиться чтобы регистрация была бы только один раз... чтоб регистрация сохранялась до завершения сеанса(т.е. при обращении к данным на сервере не запрашивался пароль)...
Хотя может есть другие решения для разграничения доступа к файлам... но пока их не нашел.

vic
проходил мимо

Re: samba pdc

Непрочитанное сообщение vic » 2008-09-11 8:33:47

:to snorlov
у меня та же трабла, но в ...

Код: Выделить всё

cat /nsswitch.conf
passwd:     files ldap winbind
shadow:     files ldap winbind
group:      files ldap winbind
hosts:      files dns
bootparams: nisplus [NOTFOUND=return] files
ethers:     files
netmasks:   files
networks:   files
protocols:  files
rpc:        files
services:   files
netgroup:   files ldap
publickey:  nisplus
automount:  files ldap
aliases:    files nisplus
или я где не прав?!?
И фишка таже ... nix-клиенты ...
Последний раз редактировалось Alex Keda 2008-09-11 9:13:35, всего редактировалось 1 раз.
Причина: Товарищщи, юзайте кнопочку [code], цените чужое время...

vic
проходил мимо

Re: samba pdc

Непрочитанное сообщение vic » 2008-09-12 10:27:40

самба была 3,0,30
после обновы до 3,0,31 - всё ОК

Не зареген
проходил мимо

Re: samba pdc

Непрочитанное сообщение Не зареген » 2009-07-31 10:36:54

Уважаемый автор не могли бы вы объяснить зачем нужен winbind на PDC? Вроде он нужен для аутинтификации unix-клиентов на самом клиенте

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: samba pdc

Непрочитанное сообщение fox » 2009-09-06 15:51:00

Добрый День Господа!
Начал на тестовых машинах ставить PDC по статье:
http://www.lissyara.su/?id=1713
Вроде всё получилось только вот воткнуть не получается сам PDC, Вот что пишет:

Код: Выделить всё

[root@PDC /etc]# net rpc join -S pdc -U fox%1234567
[2009/09/06 14:18:44, 0] lib/util_sock.c:read_socket_with_timeout(497)
  read_socket_with_timeout: timeout read. read error = Connection reset by peer.
[2009/09/06 14:18:44, 0] libsmb/clientgen.c:cli_receive_smb(111)
  Receiving SMB: Server stopped responding
Could not connect to server pdc
[2009/09/06 14:18:44, 0] lib/util_sock.c:read_socket_with_timeout(497)
  read_socket_with_timeout: timeout read. read error = Connection reset by peer.
[2009/09/06 14:18:44, 0] libsmb/clientgen.c:cli_receive_smb(111)
  Receiving SMB: Server stopped responding
Connection failed: NT_STATUS_INVALID_NETWORK_RESPONSE
[2009/09/06 14:18:44, 0] lib/util_sock.c:read_socket_with_timeout(497)
  read_socket_with_timeout: timeout read. read error = Connection reset by peer.
[2009/09/06 14:18:44, 0] libsmb/clientgen.c:cli_receive_smb(111)
  Receiving SMB: Server stopped responding
Could not connect to server pdc
Connection failed: NT_STATUS_INVALID_NETWORK_RESPONSE
Что это может быть? Подскажите, буду очень признателен!
За ранние спасибо!
Да пребудет с нами сила!!!
Всех убью, один останусь!

snorlov
подполковник
Сообщения: 3702
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: samba pdc

Непрочитанное сообщение snorlov » 2009-09-06 18:03:02

fox писал(а):Добрый День Господа!
Начал на тестовых машинах ставить PDC по статье:
http://www.lissyara.su/?id=1713
Вроде всё получилось только вот воткнуть не получается сам PDC:
Перестартовать самбу не пробовали...

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: samba pdc

Непрочитанное сообщение fox » 2009-09-06 18:11:36

пробовали без результата
Да пребудет с нами сила!!!
Всех убью, один останусь!

snorlov
подполковник
Сообщения: 3702
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: samba pdc

Непрочитанное сообщение snorlov » 2009-09-06 19:39:21

fox писал(а):пробовали без результата
А если просто на консоли pdc дать net join -U ....

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: samba pdc

Непрочитанное сообщение fox » 2009-09-06 20:36:40

тоже самое будет, с join я перепробовал все комбинации
Да пребудет с нами сила!!!
Всех убью, один останусь!

snorlov
подполковник
Сообщения: 3702
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: samba pdc

Непрочитанное сообщение snorlov » 2009-09-07 8:13:00

fox писал(а):тоже самое будет, с join я перепробовал все комбинации
Остается только огласить версию самбы, с какими параметрами она была установлена, smb.conf.
Можно еще скачать LdapAdmin и посмотреть содержимое базы Ldap'a...

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: samba pdc

Непрочитанное сообщение fox » 2009-09-07 15:04:18

Добрый день!
Вот версия самбы:

Код: Выделить всё

samba-3.0.36,1      A free SMB and CIFS client and server for UNIX
Конфиг файла smb.conf:

Код: Выделить всё

#======================= Global Settings =====================================
[global]
    workgroup = fer.com
    netbios name = pdc
    server string = pdc-server
    security = user
    encrypt passwords = yes
    load printers = no
    admin users = fox
    hosts allow = 192.168.254. 192.168.216. 127.
    log file = /var/log/samba/samba.log
    max log size = 50000
    passdb backend = ldapsam:ldap://127.0.0.1
    ldap suffix = dc=fer,dc=com
    ldap user suffix = ou=users
    ldap group suffix = ou=groups
    ldap machine suffix = ou=computers
    ldap admin dn = "cn=root,dc=fer,dc=com"
    ldap delete dn = no
    ldap ssl = off
    winbind uid = 10000-20000
    winbind gid = 10000-20000
    winbind separator = @
    winbind use default domain = yes
    socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
    local master = yes
    os level = 255
    domain master = yes
    preferred master = yes
    domain logons = yes

# Пустое значение - неперемещаемые профили.
    logon path =

    logon home = \\%L\homes
    logon drive = H:
    add machine script = /usr/local/bin/ldapaddmachine '%u' computers
    add user script = /usr/local/bin/ldapadduser '%u' users
    add group script = /usr/local/bin/ldapaddgroup '%g'
    add user to group script = /usr/local/bin/ldapaddusertogroup '%u' '%g'
    delete user script = /usr/local/bin/ldapdeleteuser '%u'
    delete group script = /usr/local/bin/ldapdeletegroup '%g'
    delete user from group script = /usr/local/bin/ldapdeleteuserfromgroup '%u' '%g'
    set primary group script = /usr/local/bin/ldapsetprimarygroup '%u' '%g'
    rename user script = /usr/local/bin/ldaprenameuser '%uold' '%unew
    wins support = yes
    wins proxy = yes
    dns proxy = no
    display charset = koi8-r
    unix charset = koi8-r
    dos charset = cp866
    time server = yes
#============================ Share Definitions ==============================
[homes]
 comment = Home Directories
 path = /home/samba/homes/%U
 browseable = no
 writable = yes
 public = no
 read only = no
 create mask = 0600
 directory mask = 0700
 valid users = %S

[netlogon]
 comment = Network Logon Service
 path = /usr/local/etc/samba/netlogon
 browseable = no
 guest ok = yes
 writable = no
 share modes = no
 volume = NETLOGON

[profiles]
 create mode = 0600
 directory mode = 700
 path = /home/samba/profiles/%u
 browseable = no
 guest ok = yes
 writeable = yes

[pub]
 comment = Папка общего пользования
 path = /home/samba/pub
 valid users = @users
 create mode = 666
 directory mode = 777
 public = yes
 writable = yes
 printable = no
 browseable = yes

[IPC$]
 path = /tmp
 hosts allow = 192.168.245.0/24 192.168.216.0/24 127.0.0.1
 hosts deny = 0.0.0.0/0
Ставил Админ ЛДАП но не чего там для себя пока что не увидел не слишком я с ним знаком, то что туда не включилось ПДЦ это понятно, а вот прикол на самбу зайти не получается вообще через косые, мне кажется дело в самбе!
Да пребудет с нами сила!!!
Всех убью, один останусь!

snorlov
подполковник
Сообщения: 3702
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: samba pdc

Непрочитанное сообщение snorlov » 2009-09-07 15:42:52

Строчку бы запуска самого ldap'a, пусть он все твои интерфейсы слушает, и именно по этому ip и подключайся через LdapAdmin под учеткой cn=root,dc=fer,dc=com с паролем который ты заводил через smbpasswd -w, после подключению должен увидеть структуру. О своем старте ldap пишет в /var/log/debug.log.Самба кстати это домен в стиле NT4, а там ограничение на имя домена fer.com, лучше пусть он будет просто fer...
Небольшое замечание, а зачем тебе winbind? У тебя что на этой машине еще что-то крутиться...
В nsswitch.conf добавил юзанье ldap'а, не забыл...

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: samba pdc

Непрочитанное сообщение fox » 2009-09-08 23:33:53

Спасибо огромное!
Я разобрался, не пинайте меня ногами, но моя ошибка была, досадная очепятка!
Всё классно заработало, ну точнее я одну пока машину PDC сделал, ну вот пока играюсь на тестовой есть вопросы, подскажите пожалуйста:
В данной статье, по которой я делал:
http://www.lissyara.su/?id=1713
Сказано что у автора есть филиал, а вот о чём подумал, в моём случае нет филиала, но зачем мне кластер, а в случае если я уеду далеко ляжет контроллер пока я приеду они сума сойдут, можно ли это статью применить для одной сети только с двумя серверами, с двумя контроллерами???
Вы понимаете о чём я, насколько надо изменить конф или можно ли вообще, ну вы меня понимаете, как сделать что бы две машины синхронно работали, но у меня есть ещё переменные среды как быть с ними? Кто что думает по поводу два серванта в одной сети?
Буду очень признателен за аудиенцию! :smile: :smile: :smile: :smile: :smile:
Да пребудет с нами сила!!!
Всех убью, один останусь!

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: samba pdc

Непрочитанное сообщение fox » 2009-09-13 17:33:18

Добрый день, добрался я до установки второго сервера, вроде заработал домен в 2 машины ну вот Репликации увы нет у меня, не могу разобраться, чуть сума не сошёл, напрягать вас стесняюсь, а вот буду очень благодарен если кто то выложит конфиги ЛДАПА, с рабочих действующих машин..
Пожалуйста выложите конфиги slapd.conf Master and Slave где чётко работает репликация.
Буду безмерно благодарен!!!
За ранние огромное спасибо!
Да пребудет с нами сила!!!
Всех убью, один останусь!

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: samba pdc

Непрочитанное сообщение princeps » 2009-09-13 21:20:14

fox писал(а):ну вот Репликации увы нет у меня
С чего ты это взял? логи давай
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: samba pdc

Непрочитанное сообщение fox » 2009-09-13 22:59:42

Добрый вечер, да логи не дам я там конфиги уже перекрутил так, что в лом возвращать всё наместо легче переделать конф ибо у автора статья то хорошая а вот ошибок реально не мало! С чего я взял, да репликации нет) Через ЛДАП админ вижу что данные не переносятся а в лог сливает что не перенесено тот-то тот-то… Конфы мне для образца лучше дайте, буду очень признателен!
Да пребудет с нами сила!!!
Всех убью, один останусь!

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: samba pdc

Непрочитанное сообщение princeps » 2009-09-14 8:45:04

fox писал(а):а в лог сливает что не перенесено тот-то тот-то…
ну так и надо смотреть что не перенесено, почему не перенесено. Навряд ли конфиги дадут
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: samba pdc

Непрочитанное сообщение fox » 2009-09-14 21:38:51

Добрый вечер!
Ну вот, восстановил всё как по этой статье:
http://www.lissyara.su/?id=1713
Затем всё хорошо до пункта где настраиваем репликатор!
Как только надо после изменения конфа slapd.conf - Slave стартовать, вот что он выдаёт в логи, естественно деман не стартует!

Код: Выделить всё

cat debug.log
Sep 14 18:12:22 S2 slapd[888]: @(#) $OpenLDAP: slapd 2.3.43 (Sep 14 2009 19:34:16) $    root@S2:/usr/ports/net/openldap23-server/work/openldap-2.3.43/servers/slapd
Sep 14 18:12:22 S2 slapd[888]: /usr/local/etc/openldap/slapd.conf: line 94: bad DN "uid=replicator,ou=users,fer,dc=com" in by DN clause
Sep 14 18:12:22 S2 slapd[888]: <access clause> ::= access to <what> [ by <who> [ <access> ] [ <control> ] ]+  <what> ::= * | dn[.<dnstyle>=<DN>] [filter=<filter>] [attrs=<attrspec>] <attrspec> ::= <attrname> [val[/<matchingRule>][.<attrstyle>]=<value>] | <attrlist> <attrlist> ::= <attr> [ , <attrlist> ] <attr> ::= <attrname> | @<objectClass> | !<objectClass> | entry | children <who> ::= [ * | anonymous | users | self | dn[.<dnstyle>]=<DN> ]      [ realanonymous | realusers | realself | realdn[.<dnstyle>]=<DN> ]   [dnattr=<attrname>]     [realdnattr=<attrname>]         [group[/<objectclass>[/<attrname>]][.<style>]=<group>]       [peername[.<peernamestyle>]=<peer>] [sockname[.<style>]=<name>]         [domain[.<domainstyle>]=<domain>] [sockurl[.<style>]=<url>]     [ssf=<n>] [transport_ssf=<n>] [tls_ssf=<n>] [sasl_ssf=<n>] <style> ::= exact | regex | base(Object) <dnstyle> ::= base(Object) | one(level) | sub(tree) | children | exact | regex <attrstyle> ::= exact | regex | base(Object) | one(level) | sub(tree) | children <peernamestyle> ::=
Sep 14 18:12:22 S2 slapd[888]: slapd stopped.
Sep 14 18:12:22 S2 slapd[888]: connections_destroy: nothing to destroy.
А вот конф Slave:

Код: Выделить всё

#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#
include         /usr/local/etc/openldap/schema/core.schema
include         /usr/local/etc/openldap/schema/cosine.schema
include         /usr/local/etc/openldap/schema/inetorgperson.schema
include         /usr/local/etc/openldap/schema/misc.schema
include         /usr/local/etc/openldap/schema/nis.schema
include         /usr/local/etc/openldap/schema/openldap.schema
include         /usr/local/etc/openldap/schema/samba.schema

# Define global ACLs to disable default read access.

# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral       ldap://root.openldap.org

pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args

allow bind_v2

# Load dynamic backend modules:
modulepath      /usr/local/libexec/openldap
#moduleload     back_bdb
# moduleload    back_ldap
moduleload      back_ldbm
# moduleload    back_passwd
# moduleload    back_shell

# Sample security restrictions
#       Require integrity protection (prevent hijacking)
#       Require 112-bit (3DES or better) encryption for updates
#       Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64

# Sample access control policy:
#       Root DSE: allow anyone to read it
#       Subschema (sub)entry DSE: allow anyone to read it
#       Other DSEs:
#               Allow self write access
#               Allow authenticated users read access
#               Allow anonymous users to authenticate
#       Directives needed to implement policy:
# access to dn.base="" by * read
# access to dn.base="cn=Subschema" by * read
# access to *
#       by self write
#       by users read
#       by anonymous auth
#
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn.  (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!

#######################################################################
# BDB database definitions
#######################################################################

database        ldbm
suffix          "dc=fer,dc=com"
rootdn          "cn=root,dc=fer,dc=com"
# Cleartext passwords, especially for the rootdn, should
# be avoid.  See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
rootpw          {SSHA}deCX2l8StY538UhASBMOe7r7f1NKEvpR

loglevel        256

# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd and slap tools.
# Mode 700 recommended.
directory       /var/db/openldap-data
# Indices to maintain
#index  objectClass     eq

index   objectClass,uid,uidNumber,gidNumber     eq
index   cn,mail,surname,givenname               eq,subinitial

index   sambaSID                                eq
index   sambaPrimaryGroupSID                    eq
index   sambaDomainName                         eq

updatedn "uid=replicator,ou=users,dc=fer,dc=com"
updateref ldap://192.168.245.10:389

access to attrs=userPassword
    by self write
    by dn="uid=replicator,ou=users,fer,dc=com" write
    by anonymous auth
    by * none [b]!!!94 линия[/b]

access to attrs=sambaLMPassword,sambaNTPassword
    by dn="cn=root,dc=fer,dc=com" write
    by dn="uid=replicator,ou=users,dc=fer,dc=com" write
    by * none

access to *
    by dn="uid=replicator,ou=users,dc=fer,dc=com" write
    by self write
    by anonymous read
    by * none
Ругается, судя по логам на 94ю линию, я её пометил!
Что не так??? Я просто ещё не очень дружу с OpenLDAP, так что не пинайте ногами! :-)
За ранние спасибо!!!
Да пребудет с нами сила!!!
Всех убью, один останусь!

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: samba pdc

Непрочитанное сообщение fox » 2009-09-15 0:32:48

Доброй ночи!
Я разобрался в чём дело, потанцевал с бубном перед богами FreeBSD, и они мне дали прозрение! ))))
Ну во-первых та ошибка из-за снова очепятки, ну да ладно, когда я её убрал..
Было:

Код: Выделить всё

access to attrs=userPassword
    by self write
    by dn="uid=replicator,ou=users,fer,dc=com" write
    by anonymous auth
    by * none
Стало:

Код: Выделить всё

access to attrs=userPassword
    by self write
    by dn="uid=replicator,ou=users,dc=fer,dc=com" write
    by anonymous auth
    by * none
Ошибка, ушла и демон стартовал!
Ну, потом репликации не было всё равно!
Тогда я предположил что у меня не правильно в базу добавлен пользователь репликатора!
Не бейте меня сильно, я новичок в OpenLDAP… :smile: :smile: :smile: :smile: :smile: :smile: :smile:
И тогда я репликационного пользователя заменил на root пользователя.
Получилось вот так вот:
Master conf:

Код: Выделить всё

#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#
include         /usr/local/etc/openldap/schema/core.schema
include         /usr/local/etc/openldap/schema/cosine.schema
include         /usr/local/etc/openldap/schema/inetorgperson.schema
include         /usr/local/etc/openldap/schema/misc.schema
include         /usr/local/etc/openldap/schema/nis.schema
include         /usr/local/etc/openldap/schema/openldap.schema
include         /usr/local/etc/openldap/schema/samba.schema

# Define global ACLs to disable default read access.

# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral       ldap://root.openldap.org

pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args

allow bind_v2

# Load dynamic backend modules:
modulepath      /usr/local/libexec/openldap
#moduleload     back_bdb
# moduleload    back_ldap
moduleload      back_ldbm
# moduleload    back_passwd
# moduleload    back_shell

# Sample security restrictions
#       Require integrity protection (prevent hijacking)
#       Require 112-bit (3DES or better) encryption for updates
#       Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64

# Sample access control policy:
#       Root DSE: allow anyone to read it
#       Subschema (sub)entry DSE: allow anyone to read it
#       Other DSEs:
#               Allow self write access
#               Allow authenticated users read access
#               Allow anonymous users to authenticate
#       Directives needed to implement policy:
# access to dn.base="" by * read
# access to dn.base="cn=Subschema" by * read
# access to *
#       by self write
#       by users read
#       by anonymous auth
#
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn.  (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!

#######################################################################
# BDB database definitions
#######################################################################

database        ldbm
suffix          "dc=fer,dc=com"
rootdn          "cn=root,dc=fer,dc=com"
# Cleartext passwords, especially for the rootdn, should
# be avoid.  See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
rootpw          {SSHA}1QXD45/Q/10VSxbpujy/vfQaKs4gfzfu

loglevel        256

# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd and slap tools.
# Mode 700 recommended.
directory       /var/db/openldap-data
# Indices to maintain
#index  objectClass     eq

index   objectClass,uid,uidNumber,gidNumber     eq
index   cn,mail,surname,givenname               eq,subinitial

index   sambaSID                                eq
index   sambaPrimaryGroupSID                    eq
index   sambaDomainName                         eq

replogfile /var/log/ldap/replica.log

replica uri=ldap://192.168.245.20:389
    binddn="cn=root,dc=fer,dc=com"
    bindmethod=simple credentials=fortero

access to attrs=userPassword
    by self write
    by anonymous auth
    by * none

access to attrs=sambaLMPassword,sambaNTPassword
    by dn="cn=root,dc=fer,dc=com" write
    by * none

access to *
    by self write
    by anonymous read
    by * none
Slave conf:

Код: Выделить всё

#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#
include         /usr/local/etc/openldap/schema/core.schema
include         /usr/local/etc/openldap/schema/cosine.schema
include         /usr/local/etc/openldap/schema/inetorgperson.schema
include         /usr/local/etc/openldap/schema/misc.schema
include         /usr/local/etc/openldap/schema/nis.schema
include         /usr/local/etc/openldap/schema/openldap.schema
include         /usr/local/etc/openldap/schema/samba.schema

# Define global ACLs to disable default read access.

# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral       ldap://root.openldap.org

pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args

allow bind_v2

# Load dynamic backend modules:
modulepath      /usr/local/libexec/openldap
#moduleload     back_bdb
# moduleload    back_ldap
moduleload      back_ldbm
# moduleload    back_passwd
# moduleload    back_shell

# Sample security restrictions
#       Require integrity protection (prevent hijacking)
#       Require 112-bit (3DES or better) encryption for updates
#       Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64

# Sample access control policy:
#       Root DSE: allow anyone to read it
#       Subschema (sub)entry DSE: allow anyone to read it
#       Other DSEs:
#               Allow self write access
#               Allow authenticated users read access
#               Allow anonymous users to authenticate
#       Directives needed to implement policy:
# access to dn.base="" by * read
# access to dn.base="cn=Subschema" by * read
# access to *
#       by self write
#       by users read
#       by anonymous auth
#
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn.  (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!

#######################################################################
# BDB database definitions
#######################################################################

database        ldbm
suffix          "dc=fer,dc=com"
rootdn          "cn=root,dc=fer,dc=com"
# Cleartext passwords, especially for the rootdn, should
# be avoid.  See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
rootpw          {SSHA}deCX2l8StY538UhASBMOe7r7f1NKEvpR

loglevel        256

# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd and slap tools.
# Mode 700 recommended.
directory       /var/db/openldap-data
# Indices to maintain
#index  objectClass     eq

index   objectClass,uid,uidNumber,gidNumber     eq
index   cn,mail,surname,givenname               eq,subinitial

index   sambaSID                                eq
index   sambaPrimaryGroupSID                    eq
index   sambaDomainName                         eq

updatedn "cn=root,dc=fer,dc=com"
updateref ldap://192.168.245.10:389

access to attrs=userPassword
    by self write
    by dn="cn=root,dc=fer,dc=com" write
    by anonymous auth
    by * none

access to attrs=sambaLMPassword,sambaNTPassword
    by dn="cn=root,dc=fer,dc=com" write
    by * none

access to *
    by dn="cn=root,dc=fer,dc=com" write
    by self write
    by anonymous read
    by * none
И представьте себе, репликация заработала, о чудо! :smile: :smile: :smile: :smile: :smile: :smile: :smile: :smile: :smile: :smile: :smile: :smile:
Люди добрые, подскажите пожалуйста как теперь правильно добавить пользователя для репликации, и что-то может не правильно в моих конфах???
Буду ждать ответа, спасибо за внимание!
:smile: :smile: :smile: :smile: :smile: :smile: :smile: :smile: :smile: :smile: :smile: :smile:
Да пребудет с нами сила!!!
Всех убью, один останусь!

snorlov
подполковник
Сообщения: 3702
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: samba pdc

Непрочитанное сообщение snorlov » 2009-09-15 8:48:21

Посмотрите внимательнее как вы прописываете репликатора

Код: Выделить всё

 "uid=replicator,ou=users,dc=fer,dc=com"
Мне кажется должно быть
"cn=replicator,ou=users,dc=fer,dc=com"

Аватара пользователя
fox
ст. лейтенант
Сообщения: 1154
Зарегистрирован: 2008-07-24 0:25:31
Откуда: Ukraine, Donetsk

Re: samba pdc

Непрочитанное сообщение fox » 2009-09-15 12:19:24

Добрый день!
Ну я же говорю не бейте меня сильно я здесь только начинающий..
Я тоже так подумал на работать кажется не будет, в статье ошибка, а вы можете ещё выложить код добавления пользователя репликатора в базу, только правильный?
Буду безмерно признателен, за ранние спасибо!
Да пребудет с нами сила!!!
Всех убью, один останусь!