Форум русскоязычного сообщества Ubuntu


Автор Тема: [Wiki] [HOWTO] Настройка Samba 3(PDC)+OpenLDAP2.4+Gosa2.6.11 в Ubuntu 10.04  (Прочитано 68671 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн fyourr

  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
все прошло вроде без ошибок , пользователи  заводятся но зайти под ними не могу и в группах нет этих групп

Оффлайн vovan1982

  • Автор темы
  • Участник
  • *
  • Сообщений: 186
    • Просмотр профиля
все прошло вроде без ошибок , пользователи  заводятся но зайти под ними не могу и в группах нет этих групп

зайти куда? где смотришь группы?

Оффлайн fyourr

  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
при перезарузки пытаюсь зайти в систему под новым пользователем которого создал с помощью команды smbldap-useradd -a -P username пишет acceess denied а захожу группы смотреть: в mc выбрав любой файл перейти в меню Файл → Права (расширенные) и развернуть список групп

Оффлайн vovan1982

  • Автор темы
  • Участник
  • *
  • Сообщений: 186
    • Просмотр профиля
при перезарузки пытаюсь зайти в систему под новым пользователем которого создал с помощью команды smbldap-useradd -a -P username пишет acceess denied а захожу группы смотреть: в mc выбрав любой файл перейти в меню Файл → Права (расширенные) и развернуть список групп

в статье пункт

2. Конфигурируем сервер на использование LDAP аутентификации

выполнял?

если выполнял, то вполне возможно мог ошибиться
попробуй пройти настройки ещё раз, запусти команду

dpkg-reconfigure ldap-auth-config

и всё что после неё в данном разделе

и на вопрос

LDAP server Uniform Resource Identifier:

ответь

ldaps://127.0.0.1

Оффлайн lioncub

  • Участник
  • *
  • Сообщений: 172
    • Просмотр профиля
1. GOsa не показывает календарь при добавлении пользователя (поле: Date of birth).
2. Там же при добавлении ip адреса (сети) в Restrict login to, не удаляется.
как побороть?

Оффлайн vovan1982

  • Автор темы
  • Участник
  • *
  • Сообщений: 186
    • Просмотр профиля
1. GOsa не показывает календарь при добавлении пользователя (поле: Date of birth).
2. Там же при добавлении ip адреса (сети) в Restrict login to, не удаляется.
как побороть?

Да, это действительно так, но мне эти поля не нужны поэтому я с этим не разбирался, проблема однозначно в Госа,
попробуй посмотреть логи апача, мож что интересное найдёшь.

Если решишь эти проблемы напиши, думаю кому нибудь прегодиться  :)

Оффлайн fyourr

  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
при perl /usr/share/doc/smbldap-tools/configure.pl

пишет в  sambaUnixIdPooldn object (relative to ${suffix}) [sambaDomainName=DEPFILE] >
Use of uninitialized value $server in substitution (s///) at /usr/share/doc/smbldap-tools/configure.pl line 244, <STDIN> line 17.
. ldap master server: IP adress or DNS name of the master (writable) ldap server
Use of uninitialized value $example_value in concatenation (.) or string at /usr/share/doc/smbldap-tools/configure.pl line 161, <STDIN> line 17.
Use of uninitialized value $example_value in string at /usr/share/doc/smbldap-tools/configure.pl line 162, <STDIN> line 17.

Оффлайн vovan1982

  • Автор темы
  • Участник
  • *
  • Сообщений: 186
    • Просмотр профиля
при perl /usr/share/doc/smbldap-tools/configure.pl

пишет в  sambaUnixIdPooldn object (relative to ${suffix}) [sambaDomainName=DEPFILE] >
Use of uninitialized value $server in substitution (s///) at /usr/share/doc/smbldap-tools/configure.pl line 244, <STDIN> line 17.
. ldap master server: IP adress or DNS name of the master (writable) ldap server
Use of uninitialized value $example_value in concatenation (.) or string at /usr/share/doc/smbldap-tools/configure.pl line 161, <STDIN> line 17.
Use of uninitialized value $example_value in string at /usr/share/doc/smbldap-tools/configure.pl line 162, <STDIN> line 17.


У меня такого не было, возможно ты где то ошибся, попробуй удалить файлы в директории /etc/smbldap-tools и заново запустить configure.pl
либо попробуй в ручную создать два файла в /etc/smbldap-tools, примеры моих файлов привожу ниже

cat smbldap.conf
# $Source: /opt/cvs/samba/smbldap-tools/configure.pl,v
# smbldap-tools.conf : Q & D configuration file for smbldap-tools

#  This code was developped by IDEALX (http://IDEALX.org/) and
#  contributors (their names can be found in the CONTRIBUTORS file).
#
#                 Copyright (C) 2001-2002 IDEALX
#
#  This program is free software; you can redistribute it and/or
#  modify it under the terms of the GNU General Public License
#  as published by the Free Software Foundation; either version 2
#  of the License, or (at your option) any later version.                                                                                                                           
#                                                                                                                                                                                   
#  This program is distributed in the hope that it will be useful,                                                                                                                 
#  but WITHOUT ANY WARRANTY; without even the implied warranty of                                                                                                                   
#  MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the                                                                                                                   
#  GNU General Public License for more details.                                                                                                                                     
#                                                                                                                                                                                   
#  You should have received a copy of the GNU General Public License                                                                                                               
#  along with this program; if not, write to the Free Software                                                                                                                     
#  Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307,                                                                                                           
#  USA.                                                                                                                                                                             
                                                                                                                                                                                   
#  Purpose :                                                                                                                                                                       
#       . be the configuration file for all smbldap-tools scripts                                                                                                                   
                                                                                                                                                                                   
##############################################################################                                                                                                     
#                                                                                                                                                                                   
# General Configuration                                                                                                                                                             
#                                                                                                                                                                                   
##############################################################################                                                                                                     
                                                                                                                                                                                   
# Put your own SID. To obtain this number do: "net getlocalsid".
# If not defined, parameter is taking from "net getlocalsid" return
SID="S-1-5-21-2302747472-2920907650-383109413"

# Domain name the Samba server is in charged.
# If not defined, parameter is taking from smb.conf configuration file
# Ex: sambaDomain="IDEALX-NT"
sambaDomain="EXAMPLE"

##############################################################################
#
# LDAP Configuration
#
##############################################################################

# Notes: to use to dual ldap servers backend for Samba, you must patch
# Samba with the dual-head patch from IDEALX. If not using this patch
# just use the same server for slaveLDAP and masterLDAP.
# Those two servers declarations can also be used when you have
# . one master LDAP server where all writing operations must be done
# . one slave LDAP server where all reading operations must be done
#   (typically a replication directory)

# Slave LDAP server
# Ex: slaveLDAP=127.0.0.1
# If not defined, parameter is set to "127.0.0.1"
slaveLDAP="127.0.0.1"

# Slave LDAP port
# If not defined, parameter is set to "389"
slavePort="389"

# Master LDAP server: needed for write operations
# Ex: masterLDAP=127.0.0.1
# If not defined, parameter is set to "127.0.0.1"
masterLDAP="127.0.0.1"

# Master LDAP port
# If not defined, parameter is set to "389"
masterPort="389"

# Use TLS for LDAP
# If set to 1, this option will use start_tls for connection
# (you should also used the port 389)
# If not defined, parameter is set to "1"
ldapTLS="1"

# How to verify the server's certificate (none, optional or require)
# see "man Net::LDAP" in start_tls section for more details
verify="require"

# CA certificate
# see "man Net::LDAP" in start_tls section for more details
cafile="/etc/ssl/certs/cacert.pem"

# certificate to use to connect to the ldap server
# see "man Net::LDAP" in start_tls section for more details
clientcert="/etc/ssl/certs/slapd_cert.pem"

# key certificate to use to connect to the ldap server
# see "man Net::LDAP" in start_tls section for more details
clientkey="/etc/ssl/private/slapd_key.pem"

# LDAP Suffix
# Ex: suffix=dc=IDEALX,dc=ORG
suffix="dc=example,dc=com"

# Where are stored Users
# Ex: usersdn="ou=Users,dc=IDEALX,dc=ORG"
# Warning: if 'suffix' is not set here, you must set the full dn for usersdn
usersdn="ou=Users,${suffix}"

# Where are stored Computers
# Ex: computersdn="ou=Computers,dc=IDEALX,dc=ORG"
# Warning: if 'suffix' is not set here, you must set the full dn for computersdn
computersdn="ou=Computers,${suffix}"

# Where are stored Groups
# Ex: groupsdn="ou=Groups,dc=IDEALX,dc=ORG"
# Warning: if 'suffix' is not set here, you must set the full dn for groupsdn
groupsdn="ou=Groups,${suffix}"

# Where are stored Idmap entries (used if samba is a domain member server)
# Ex: groupsdn="ou=Idmap,dc=IDEALX,dc=ORG"
# Warning: if 'suffix' is not set here, you must set the full dn for idmapdn
idmapdn="ou=Idmap,${suffix}"

# Where to store next uidNumber and gidNumber available for new users and groups
# If not defined, entries are stored in sambaDomainName object.
# Ex: sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
# Ex: sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}"
sambaUnixIdPooldn="sambaDomainName=EXAMPLE,${suffix}"

# Default scope Used
scope="sub"

# Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT)
hash_encrypt="MD5"

# if hash_encrypt is set to CRYPT, you may set a salt format.
# default is "%s", but many systems will generate MD5 hashed
# passwords if you use "$1$%.8s". This parameter is optional!
crypt_salt_format="$1$%.8s"

##############################################################################
#
# Unix Accounts Configuration
#
##############################################################################

# Login defs
# Default Login Shell
# Ex: userLoginShell="/bin/bash"
userLoginShell="/bin/bash"

# Home directory
# Ex: userHome="/home/%U"
userHome="/bin/false"

# Default mode used for user homeDirectory
userHomeDirectoryMode="700"

# Gecos
userGecos="System User"

# Default User (POSIX and Samba) GID
defaultUserGid="513"

# Default Computer (Samba) GID
defaultComputerGid="515"

# Skel dir
skeletonDir="/etc/skel"

# Default password validation time (time in days) Comment the next line if
# you don't want password to be enable for defaultMaxPasswordAge days (be
# careful to the sambaPwdMustChange attribute's value)
# defaultMaxPasswordAge=""

##############################################################################
#
# SAMBA Configuration
#
##############################################################################

# The UNC path to home drives location (%U username substitution)
# Just set it to a null string if you want to use the smb.conf 'logon home'
# directive and/or disable roaming profiles
# Ex: userSmbHome="\\PDC-SMB3\%U"
userSmbHome=""

# The UNC path to profiles locations (%U username substitution)
# Just set it to a null string if you want to use the smb.conf 'logon path'
# directive and/or disable roaming profiles
# Ex: userProfile="\\PDC-SMB3\profiles\%U"
userProfile=""

# The default Home Drive Letter mapping
# (will be automatically mapped at logon time if home directory exist)
# Ex: userHomeDrive="H:"
userHomeDrive=""

# The default user netlogon script name (%U username substitution)
# if not used, will be automatically username.cmd
# make sure script file is edited under dos
# Ex: userScript="startup.cmd" # make sure script file is edited under dos
userScript="%U.cmd"

# Domain appended to the users "mail"-attribute
# when smbldap-useradd -M is used
# Ex: mailDomain="idealx.com"
mailDomain="example.com"

##############################################################################
#
# SMBLDAP-TOOLS Configuration (default are ok for a RedHat)
#
##############################################################################

# Allows not to use smbpasswd (if with_smbpasswd == 0 in smbldap_conf.pm) but
# prefer Crypt::SmbHash library
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"

# Allows not to use slappasswd (if with_slappasswd == 0 in smbldap_conf.pm)
# but prefer Crypt:: libraries
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"

# comment out the following line to get rid of the default banner
# no_banner="1"

cat smbldap_bind.conf
############################
# Credential Configuration #
############################
# Notes: you can specify two differents configuration if you use a
# master ldap for writing access and a slave ldap server for reading access
# By default, we will use the same DN (so it will work for standard Samba
# release)
slaveDN="cn=admin,dc=example,dc=com"
slavePw="пароль админа ldap"
masterDN="cn=admin,dc=example,dc=com"
masterPw="пароль админа ldap"

Оффлайн lioncub

  • Участник
  • *
  • Сообщений: 172
    • Просмотр профиля
3. При добавлении пользователя во вкладке UNIX Оболочка только /bin/bash, а где /bin/false?

Оффлайн vovan1982

  • Автор темы
  • Участник
  • *
  • Сообщений: 186
    • Просмотр профиля
3. При добавлении пользователя во вкладке UNIX Оболочка только /bin/bash, а где /bin/false?

в кталоге /etc/gosa создай файлик с названием shells
и запиши в него все необходимые оболочки, вот пример содержимого этого файла

cat shells

/bin/false
/bin/ash
/bin/bash
/bin/csh
/bin/sh
/bin/ksh
/bin/tcsh

Оффлайн fyourr

  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
certificate to use to connect to the ldap server [/etc/smbldap-tools//smbldap-tools.pem] > /etc/ssl/certs/ldap01_slapd_cert.pem
(файл, содержащий клиентский сертификат)
и
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap01_slapd_cert.pem

 , где ldap01  меняем hostname_моего _сервера ?

Оффлайн vovan1982

  • Автор темы
  • Участник
  • *
  • Сообщений: 186
    • Просмотр профиля
certificate to use to connect to the ldap server [/etc/smbldap-tools//smbldap-tools.pem] > /etc/ssl/certs/ldap01_slapd_cert.pem
(файл, содержащий клиентский сертификат)
и
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap01_slapd_cert.pem

 , где ldap01  меняем hostname_моего _сервера ?

да, а вообще можешь вместо ldap01_slapd_cert написать что хочешь тока потом не запутайся, внимательно указывай название файлов сертификатов

Оффлайн serb-ufa

  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
 Автор выручай 2 день бьюсь. Все шаги по мануалу сделаны. На этапе 4. Назначаем права администратору домена и добавляем сервер в домен
начинается засада. После выполнения net rpc rights grant "Domain Admins" SeMachineAccountPrivilege SeTakeOwnershipPrivilege \
SeBackupPrivilege SeRestorePrivilege SeRemoteShutdownPrivilege SePrintOperatorPrivilege \
SeAddUsersPrivilege SeDiskOperatorPrivilege -U
Выходит
Receiving SMB: Server stopped responding
Could not connect to server 127.0.0.1
Connection failed: NT_STATUS_IO_TIMEOUT
Самба включена и работает. Но както не так) smb.conf как в мануале с изменеными именами под свои.
 netstat -an | grep LISTEN
stat -an | grep LISTEN
tcp        0      0 0.0.0.0:389             0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN
tcp        0      0 10.2.1.6:53             0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:636             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN
порты LDAP прослушиваются. В какую сторону копать?
ЗЫ Есть еще не большая проблемка при запуске команд начинающихся c net выдает вначале
[2011/01/24 17:03:49,  0] lib/smbldap.c:690(smb_ldap_start_tls)
  Failed to issue the StartTLS instruction: Connect error
Пример:
 net groupmap list
[2011/01/24 17:03:49,  0] lib/smbldap.c:690(smb_ldap_start_tls)
  Failed to issue the StartTLS instruction: Connect error
[2011/01/24 17:03:50,  0] lib/smbldap.c:690(smb_ldap_start_tls)
  Failed to issue the StartTLS instruction: Connect error
Domain Admins (S-1-5-21-1088836471-1903168424-442404029-512) -> 512
Domain Users (S-1-5-21-1088836471-1903168424-442404029-513) -> 513
Domain Guests (S-1-5-21-1088836471-1903168424-442404029-514) -> 514
Domain Computers (S-1-5-21-1088836471-1903168424-442404029-515) -> 515
Administrators (S-1-5-32-544) -> 544
Account Operators (S-1-5-32-548) -> 548
Print Operators (S-1-5-32-550) -> 550
Backup Operators (S-1-5-32-551) -> 551
Replicators (S-1-5-32-552) -> 552


Оффлайн vovan1982

  • Автор темы
  • Участник
  • *
  • Сообщений: 186
    • Просмотр профиля
Автор выручай 2 день бьюсь. Все шаги по мануалу сделаны. На этапе 4. Назначаем права администратору домена и добавляем сервер в домен
начинается засада. После выполнения net rpc rights grant "Domain Admins" SeMachineAccountPrivilege SeTakeOwnershipPrivilege \
SeBackupPrivilege SeRestorePrivilege SeRemoteShutdownPrivilege SePrintOperatorPrivilege \
SeAddUsersPrivilege SeDiskOperatorPrivilege -U
Выходит
Receiving SMB: Server stopped responding
Could not connect to server 127.0.0.1
Connection failed: NT_STATUS_IO_TIMEOUT
Самба включена и работает. Но както не так) smb.conf как в мануале с изменеными именами под свои.
 netstat -an | grep LISTEN
stat -an | grep LISTEN
tcp        0      0 0.0.0.0:389             0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:3306          0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN
tcp        0      0 10.2.1.6:53             0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:636             0.0.0.0:*               LISTEN
tcp        0      0 0.0.0.0:445             0.0.0.0:*               LISTEN
порты LDAP прослушиваются. В какую сторону копать?
ЗЫ Есть еще не большая проблемка при запуске команд начинающихся c net выдает вначале
[2011/01/24 17:03:49,  0] lib/smbldap.c:690(smb_ldap_start_tls)
  Failed to issue the StartTLS instruction: Connect error
Пример:
 net groupmap list
[2011/01/24 17:03:49,  0] lib/smbldap.c:690(smb_ldap_start_tls)
  Failed to issue the StartTLS instruction: Connect error
[2011/01/24 17:03:50,  0] lib/smbldap.c:690(smb_ldap_start_tls)
  Failed to issue the StartTLS instruction: Connect error
Domain Admins (S-1-5-21-1088836471-1903168424-442404029-512) -> 512
Domain Users (S-1-5-21-1088836471-1903168424-442404029-513) -> 513
Domain Guests (S-1-5-21-1088836471-1903168424-442404029-514) -> 514
Domain Computers (S-1-5-21-1088836471-1903168424-442404029-515) -> 515
Administrators (S-1-5-32-544) -> 544
Account Operators (S-1-5-32-548) -> 548
Print Operators (S-1-5-32-550) -> 550
Backup Operators (S-1-5-32-551) -> 551
Replicators (S-1-5-32-552) -> 552



Привет

Покажи содержимое /etc/ldap/ldap.conf

Оффлайн serb-ufa

  • Новичок
  • *
  • Сообщений: 13
    • Просмотр профиля
#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE   dc=example,dc=com
#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          never
BASE    dc=bashpristav,dc=local
URI     ldap://localhost ldaps://abaddon ldap://abaddon
TLS_CACERT      /etc/ssl/certs/cacert.pem

 

Страница сгенерирована за 0.071 секунд. Запросов: 25.