[HOWTO] Ubuntu Small Buisness Server (LDAP + Samba)

[Yden]

есть вопросец всегда когда настраивал домен парметр 
security = domain
а в этом hawto
security = user
объясните почему

[$Alchemist]

Присоединение линуксового клиента к домену Samba+LDAP, с прозрачной авторизацией на шарах:

Код: [Выделить]

aptitude install ldap-auth-config samba

Код: [Выделить]

cat /etc/ldap.conf | grep -v ^#

base dc=domain,dc=local
uri ldap://192.168.0.1
ldap_version 3
binddn cn=ldap_proxy,dc=domain,dc=local
bindpw 666
rootbinddn cn=ldapadmin,dc=domain,dc=local
pam_password md5
nss_initgroups_ignoreusers avahi,backup,bin,daemon,dhcp,games,gnats,irc,klog,libuuid,list,lp,mail,man,messagebus,mysql,news,proxy,root,sshd,sync,sys,syslog,uucp,www-data


Код: [Выделить]

nano /etc/auth-client-config/profile.d/open_ldap

Код: [Выделить]

[open_ldap]
nss_passwd=passwd: files ldap
nss_group=group: files ldap
nss_shadow=shadow: files ldap
nss_netgroup=netgroup: files ldap
pam_auth=auth       required     pam_env.so
        auth       sufficient   pam_unix.so likeauth nullok
#the following line (containing pam_group.so) must be placed before pam_ldap.so
#for ldap users to be placed in local groups such as fuse, plugdev, scanner, etc ...
        auth       required     pam_group.so use_first_pass
        auth       sufficient   pam_ldap.so use_first_pass
        auth       required     pam_deny.so
pam_account=account    sufficient   pam_unix.so
        account    sufficient   pam_ldap.so
        account    required     pam_deny.so
pam_password=password   sufficient   pam_unix.so nullok md5 shadow
        password   sufficient   pam_ldap.so use_first_pass
        password   required     pam_deny.so
pam_session=session    required     pam_limits.so
        session    required     pam_mkhomedir.so skel=/etc/skel/
        session    required     pam_unix.so
        session    optional     pam_ldap.so


Код: [Выделить]

auth-client-config -a -p open_ldap

Код: [Выделить]

reboot

Код: [Выделить]

id alexander
uid=1001(alexander) gid=1001(alexander) groups=512(Domain Admins),1001(alexander)



Пользователь решил продолжить мысль: 17 Марта 2009, 12:22:36Дальше интересует гибкий механизм разграничения прав на шарах.

[.life.deb]

Код: [Выделить]

aptitude install ldap-auth-config samba

хм... а к чему тут самба?
я ставил libnss-ldap и libpam-ldap и они там уже сами подтягивали ldap-auth-config и чего то там ещё... но точно не самбу.

у меня следующие вопросы появились к автору темы, да и вообще кто знает 
1. дело в том что машинка с бунтой заходит по лдап учётке ТОЛЬКО если в сети работает сервер. иначе ругается на несуществующего пользователя. т.е. к примеру у меня ноут, и я хочу поработать дома. я его забираю домой и всё... под доменной учёткой я зайти уже не могу.
2. машина с бунтой, в отличие от вендовой, даже под доменной учёткой продолжает спрашивать пассы при входе на шары на сервере - почему?
подозреваю что ответ на оба вопроса один - нужен какой то кэш имён для пользователей (ну что то типа Kerberos-билетика в Win AD) я так понял что это nscd? если да, то как нужно его настраивать? а если нет то для чего нужен nscd и что умеет кэшировать?

[$Alchemist]

Поднял PDC по данной статье, два вопроса появилось:
1) При логоне на виндовом клиенте root почему-то не имеет прав доменного админа. Как пофиксить?
2) Импортировал в базу ldap кучу юзверей из другого домена (изменил ldif под новый домен). Как теперь завести пользователей samba?
Пользователь решил продолжить мысль: 25 Марта 2009, 14:38:22

1. дело в том что машинка с бунтой заходит по лдап учётке ТОЛЬКО если в сети работает сервер. иначе ругается на несуществующего пользователя. т.е. к примеру у меня ноут, и я хочу поработать дома. я его забираю домой и всё... под доменной учёткой я зайти уже не могу.

Хм... я дома на ноут без проблем залогиниваюсь. Windows должна сама кеширование отрабатывать.

[.life.deb]

Хм... я дома на ноут без проблем залогиниваюсь. Windows должна сама кеширование отрабатывать.

под вендой залогиниваетесь или под бунтой?

[$Alchemist]

Хм... я дома на ноут без проблем залогиниваюсь. Windows должна сама кеширование отрабатывать.

под вендой залогиниваетесь или под бунтой?

под виндой

[.life.deb]

под виндой

)))
$Alchemist вы просто невнимательно прочитали мой пост, а же так и писал

1. дело в том что машинка с бунтой заходит по лдап учётке ТОЛЬКО если в сети работает сервер. иначе ругается на несуществующего пользователя. т.е. к примеру у меня ноут, и я хочу поработать дома. я его забираю домой и всё... под доменной учёткой я зайти уже не могу.

ключевое слово "с бунтой", вендовые то нормально заходят...
в том же посте ниже я и писал

2. ...подозреваю что ответ на оба вопроса один - нужен какой то кэш имён для пользователей (ну что то типа Kerberos-билетика в Win AD)...

собственно в этом и заключается вопрос: как научить бунту кэшировать пароли юзверей? что й бы при отсутсвии сервера можно было логиться под доменной учёткой а-ля Windows?

[Yden]

Проделал всё по инструкции дошел до auth-client-config и наткнулся на ошибку

Код: [Выделить]

den@dc-ubuntu:~$ auth-client-config -a -p open_ldap
** WARNING: Skipping 'open_ldap' (couldn't process)
Usage: auth-client-config -p PROFILE -a -t TYPE [-dn -f FILE]
       auth-client-config -p PROFILE -a -t TYPE -r [-n -f FILE]
       auth-client-config -p PROFILE -a -t TYPE -s [-f FILE]

auth-client-config: error: option -p: invalid choice: 'open_ldap' (choose from 'ldap_example', 'lac_ldap', 'kerberos_example', 'cracklib')

просматриваю доступные профили

Код: [Выделить]

den@dc-ubuntu:~$ auth-client-config -l
** WARNING: Skipping 'open_ldap' (couldn't process)
Available profiles are:
  cracklib
  kerberos_example
  lac_ldap
  ldap_example

пропущен нужный профиль не существует процесс какой процесс ? в чём проблема подскажите плиз

[$Alchemist]

Профиль-то open_ldap создавался?

[Yden]

Профиль-то open_ldap создавался?

Конечно создавался !!! проблема была в том что файл профилей очень критичен к лишним пробелам лишним табам лишим переводам строки удалил профиль создал заново один в один как в хауту и всё заработало!!! виндовые машины подключаются к домену и автоизуются, а вот с самого сервера зайти по учётке с лдап не получается видать где то с аворизацией не всё гладко (хотя на сколько я понял все настройки отвечающие за авторизацию как раз и выполняет команда auth-client-config -a -p open_ldap )
да и вот ещё вопрос при подключении компа с виндой в домен нужно водить пользователя admin пасс 12345 у меня этот вариант не отрабатывает а отрабатывает логин  root  пасс 12345 

да Спасибо за отличное хауту!! давно искал нечто подобное написанное адекватным языком


Пользователь решил продолжить мысль 06 Апреля 2009, 14:45:09:Да вот что ещё хотелось бы сказать считаю что надо развивать данную тему и по возможности общими усилиями продолжить хауту!!!
Расмореть такие вопросы как: настройка прокси  Squid для авторизации по пользователям из  ldap и почтовой системы скажем вот такой postfix + dovecot  так же завязанной на учётках ldap  Получилось бы хаутут как перейти скажем  с win2003 + ISA + Mdemon на Samba+ldap+ squid + (postfix +dovecot )
Пользователь решил продолжить мысль 07 Апреля 2009, 19:39:03:

Код: [Выделить]

aptitude install ldap-auth-config samba

хм... а к чему тут самба?
я ставил libnss-ldap и libpam-ldap и они там уже сами подтягивали ldap-auth-config и чего то там ещё... но точно не самбу.

у меня следующие вопросы появились к автору темы, да и вообще кто знает 
1. дело в том что машинка с бунтой заходит по лдап учётке ТОЛЬКО если в сети работает сервер. иначе ругается на несуществующего пользователя. т.е. к примеру у меня ноут, и я хочу поработать дома. я его забираю домой и всё... под доменной учёткой я зайти уже не могу.
2. машина с бунтой, в отличие от вендовой, даже под доменной учёткой продолжает спрашивать пассы при входе на шары на сервере - почему?
подозреваю что ответ на оба вопроса один - нужен какой то кэш имён для пользователей (ну что то типа Kerberos-билетика в Win AD) я так понял что это nscd? если да, то как нужно его настраивать? а если нет то для чего нужен nscd и что умеет кэшировать?

ну навернео хотя бы к тому что нужно настроить конфиг самбы для подключения к домену
при выполнении команды net join -U root без самбы не получится
или вы как то по другому к домену подъсодиняетесь ?

[.life.deb]

Расмореть такие вопросы как: настройка прокси  Squid для авторизации по пользователям из  ldap и почтовой системы скажем вот такой postfix + dovecot  так же завязанной на учётках ldap

Код: [Выделить]

http://www.google.com/search?hl=ru&client=opera&rls=ru&q=Ldap%2BPostfix%2BDovecot&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&lr=lang_ruпервая же ссылка

ну навернео хотя бы к тому что нужно настроить конфиг самбы для подключения к домену
при выполнении команды net join -U root без самбы не получится
или вы как то по другому к домену подъсодиняетесь ?

т.е. на сервере я ставлю самбу (как эмулятор Win AD что й бы загнать в домен вендовые машинки), а потом ещё и на остальных Linux-рабочих станциях тоже ставлю самбу как эмулятор для входа в эмулируемый домен??
как то всё слишком запутано разве нет пути проще?

[lsa]

всем привет! Очень хорошая статья, спасибо автору, поднял домен, Windows машины вводятся в LDAP.
А как ввести линукс клиента, чтобы он видел и других линукс клиентов и мог общаться с Windows машинами?

[dok217]

вроде разобрался) все заработало.
но появился следующий вопрос:...

Ты не мог бы подробнее разьяснить как именно "разобрался"? А то у кого-нибудь возникнет данная проблема, а решения тут нет =)
(я, возможно, скоро тоже соберусь данное how-to попробовать, поэтому и спросил) 

[.life.deb]

Ты не мог бы подробнее разьяснить как именно "разобрался"? А то у кого-нибудь возникнет данная проблема, а решения тут нет =)

я бы описал) но просто "Разобрался" означало что снёс подчистую тестовую систему (на которой чего до этого только не ставил) и уже на чистой новой сделал всё с нуля)
а какая собственно проблема возникла? если знаю - подскажу

[dok217]

я бы описал) но просто "Разобрался" означало что снёс подчистую тестовую систему (на которой чего до этого только не ставил) и уже на чистой новой сделал всё с нуля)
а какая собственно проблема возникла? если знаю - подскажу

Я заранее спросил дабы уберечь себя от этой ошибки при будущей установке