[Wiki] [HOWTO] Настройка Samba 3(PDC)+OpenLDAP2.4+Gosa2.6.11 в Ubuntu 10.04

[vovan1982]

проверь smbd.log  и  nmbd.log
в каком нибудь из них присутствует "Failed to issue the StartTLS instruction"?

[serb-ufa]

да в smbd.log
2011/01/21 16:00:03,  0] smbd/server.c:1115(main)
  standard input is not a socket, assuming -D option
[2011/01/21 16:00:03,  0] lib/smbldap.c:690(smb_ldap_start_tls)
  Failed to issue the StartTLS instruction: Connect error
[2011/01/21 16:00:03,  1] lib/smbldap.c:1265(another_ldap_try)
  Connection to LDAP server failed for the 1 try!
[2011/01/21 16:00:04,  0] lib/smbldap.c:690(smb_ldap_start_tls)
  Failed to issue the StartTLS instruction: Connect error
[2011/01/21 16:00:04,  1] lib/smbldap.c:1265(another_ldap_try)
  Connection to LDAP server failed for the 1 try!

[smaharbA]

Бред какой то и ветка и статья

[vovan1982]

Вообщем суть проблемы, самба не может установить ssl соединение с ldap.

с самим ldap у тебя вроде всё нормально, единственное попробуй выполнить

ldapsearch -Zx -b ou=Users,dc=bashpristav,dc=local "uid=*"

если ошибок не выдаст тогда проблему надо искать в самба.

И ещё, ты чей пароль указывал когда выполнял команду "smbpasswd -w"?
ну и наверное покажи smb.conf вдруг где то ошибся и не замечаешь.

[serb-ufa]

пароль специально везде один и тотже использовал.
Пишу сейчас из дома и на свежую голову пришла одна мысль:
ldap admin dn = cn=admin,dc=example,dc=com
cn=admin можно было оставить? или надо было своего пользователя вписать? Если своего то тогда понятно в чем у меня проблема) у меня админ не admin)

PS Начал по мануалу делать уже по ходу начал изменять настройки и названия на близкие мне.
Очень в статье не хватает постоянных напоминаний: "здесь вводите свои названия"

[vovan1982]

пароль специально везде один и тотже использовал.
Пишу сейчас из дома и на свежую голову пришла одна мысль:
ldap admin dn = cn=admin,dc=example,dc=com
cn=admin можно было оставить? или надо было своего пользователя вписать? Если своего то тогда понятно в чем у меня проблема) у меня админ не admin)

PS Начал по мануалу делать уже по ходу начал изменять настройки и названия на близкие мне.
Очень в статье не хватает постоянных напоминаний: "здесь вводите свои названия"

ldap admin dn = cn=admin,dc=example,dc=com, здесь "cn=admin,dc=example,dc=com" это то что ты указывал при создании базы ldap, файл db.ldif, параметр
"olcRootDN:", если ты его поменял, естественно в конфиге самба ты его тоже должен поменять .

А на счёт напоминаний, честно говоря я не знаю где именно их необходимо ставить, для меня и так всё понятно ,
но если хочешь сам можешь проставить напоминания, это же WiKi, статья доступна для редактирования.

[serb-ufa]

olcRootDN у меня cn=admin,dc=bashpristav,dc=local Везде
Самбу удалил -поставил не помогло. Выкладываю конфиг. testparm проходит без ошибок
[global]
        server string =
        workgroup = BASHPRISTAV
        netbios name = abaddon
#=========================================================
        passdb backend = ldapsam:ldap://abaddon
        obey pam restrictions = no
        security = user
        encrypt passwords = yes
        unix extensions  = no
#=========================================================
        local master = yes
        os level = 255
        domain master = yes
        preferred master = yes
        time server = yes
        admin users = sspadmin
#=========================================================
        log level = 1
        log file = /var/log/samba/workstations/%m.log
        max log size = 50
#=========================================================
        socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384
        getwd cache = yes
        read raw = yes
        write raw = yes
        max xmit = 65536
        wins support = yes
        wins proxy = yes
        dns proxy = no
        name resolve order = wins hosts bcast lmhosts
        wide links = yes
        hosts allow = 10.2. 127.0.0.1 127.0.1.1
        hosts deny = 0.0.0.0/0
        idmap uid = 10000-20000
        idmap gid = 10000-20000
#=========================================================
        ldap suffix = dc=bashpristav,dc=local
        ldap user suffix = ou=Users
        ldap group suffix = ou=Groups
        ldap machine suffix = ou=Computers
        ldap idmap suffix = ou=Idmap
        ldap admin dn = cn=admin,dc=bashpristav,dc=local
        ldap ssl = start tls
        ldap passwd sync = yes
        ldap delete dn = no
        add machine script = sudo /usr/sbin/smbldap-useradd -t 0 -w "%u"
        passwd program = /usr/sbin/smbldap-passwd %u
        passwd chat = *New*password* %n
 *Retype*new*password* %n
 *all*authentication*tokens*updated*

       domain logons = yes
#      invalid users =
       load printers = no

#======================= Share Definitions =======================


Пользователь решил продолжить мысль 25 Января 2011, 08:19:13:Переустановил самбу. прогнал по мануалу. начал отваливаться вот на каком моменте.
 smbpasswd -a sspadmin
Failed to issue the StartTLS instruction: Connect error
Connection to LDAP server failed for the 1 try!
New SMB password:
Retype new SMB password:
Failed to issue the StartTLS instruction: Connect error
Connection to LDAP server failed for the 1 try!
Failed to issue the StartTLS instruction: Connect error
Connection to LDAP server failed for the 1 try!
Failed to modify entry for user sspadmin.


Пользователь решил продолжить мысль 25 Января 2011, 08:45:32:Всетаки хорошо уметь гуглить. 3 день Гугления и вот оно:
You are right. In fact, I found out that if you provide the URI as "ldaps://..." then you need to explicitly tell Samba NOT to use TLS.
The incredibly obtuse way you do this is with the following configuration in smb.conf:
ldap ssl = off
The default for ldap ssl is "Start TLS". The values of yes, no, and on or no longer valid.

Все мои пункты прошли без ошибок.
Пользователь решил продолжить мысль 25 Января 2011, 08:54:12:Продолжаем копать
если в smb.conf  прописать
ldap ssl = off то:
root@abaddon:~# net rpc join -U sspadmin
Enter sspadmin's password:
Creation of workstation account failed
Unable to join domain BASHPRISTAV.
Если вернуть
 ldap ssl = start tls
то
root@abaddon:~# net rpc join -U sspadmin
Enter sspadmin's password:
Could not connect to server ABADDON
The username or password was not correct.
Connection failed: NT_STATUS_LOGON_FAILURE


Пользователь решил продолжить мысль 25 Января 2011, 10:07:50:http://abaddon/gosa

Fatal error: Class 'session' not found in /usr/share/gosa/include/php_setup.inc on line 91

[lioncub]

кто юзал ebox и gosa.... что лучше?

[vovan1982]

olcRootDN у меня cn=admin,dc=bashpristav,dc=local Везде
Самбу удалил -поставил не помогло. Выкладываю конфиг. testparm проходит без ошибок
[global]
        server string =
        workgroup = BASHPRISTAV
        netbios name = abaddon
#=========================================================
        passdb backend = ldapsam:ldap://abaddon
        obey pam restrictions = no
        security = user
        encrypt passwords = yes
        unix extensions  = no
#=========================================================
        local master = yes
        os level = 255
        domain master = yes
        preferred master = yes
        time server = yes
        admin users = sspadmin
#=========================================================
        log level = 1
        log file = /var/log/samba/workstations/%m.log
        max log size = 50
#=========================================================
        socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384
        getwd cache = yes
        read raw = yes
        write raw = yes
        max xmit = 65536
        wins support = yes
        wins proxy = yes
        dns proxy = no
        name resolve order = wins hosts bcast lmhosts
        wide links = yes
        hosts allow = 10.2. 127.0.0.1 127.0.1.1
        hosts deny = 0.0.0.0/0
        idmap uid = 10000-20000
        idmap gid = 10000-20000
#=========================================================
        ldap suffix = dc=bashpristav,dc=local
        ldap user suffix = ou=Users
        ldap group suffix = ou=Groups
        ldap machine suffix = ou=Computers
        ldap idmap suffix = ou=Idmap
        ldap admin dn = cn=admin,dc=bashpristav,dc=local
        ldap ssl = start tls
        ldap passwd sync = yes
        ldap delete dn = no
        add machine script = sudo /usr/sbin/smbldap-useradd -t 0 -w "%u"
        passwd program = /usr/sbin/smbldap-passwd %u
        passwd chat = *New*password* %n
 *Retype*new*password* %n
 *all*authentication*tokens*updated*

       domain logons = yes
#      invalid users =
       load printers = no

#======================= Share Definitions =======================


Пользователь решил продолжить мысль 25 Января 2011, 08:19:13:Переустановил самбу. прогнал по мануалу. начал отваливаться вот на каком моменте.
 smbpasswd -a sspadmin
Failed to issue the StartTLS instruction: Connect error
Connection to LDAP server failed for the 1 try!
New SMB password:
Retype new SMB password:
Failed to issue the StartTLS instruction: Connect error
Connection to LDAP server failed for the 1 try!
Failed to issue the StartTLS instruction: Connect error
Connection to LDAP server failed for the 1 try!
Failed to modify entry for user sspadmin.


Пользователь решил продолжить мысль 25 Января 2011, 08:45:32:Всетаки хорошо уметь гуглить. 3 день Гугления и вот оно:
You are right. In fact, I found out that if you provide the URI as "ldaps://..." then you need to explicitly tell Samba NOT to use TLS.
The incredibly obtuse way you do this is with the following configuration in smb.conf:
ldap ssl = off
The default for ldap ssl is "Start TLS". The values of yes, no, and on or no longer valid.

Все мои пункты прошли без ошибок.
Пользователь решил продолжить мысль 25 Января 2011, 08:54:12:Продолжаем копать
если в smb.conf  прописать
ldap ssl = off то:
root@abaddon:~# net rpc join -U sspadmin
Enter sspadmin's password:
Creation of workstation account failed
Unable to join domain BASHPRISTAV.
Если вернуть
 ldap ssl = start tls
то
root@abaddon:~# net rpc join -U sspadmin
Enter sspadmin's password:
Could not connect to server ABADDON
The username or password was not correct.
Connection failed: NT_STATUS_LOGON_FAILURE


Пользователь решил продолжить мысль 25 Января 2011, 10:07:50:http://abaddon/gosa

Fatal error: Class 'session' not found in /usr/share/gosa/include/php_setup.inc on line 91

а вот самбу ты переустановил зря, я когда с этим всем разбирался тоже имел не осторожность переустановить самбу
после чего 3-и дня промаялся с различного рода ошибками, самба после переустановки ведёт себя непредсказуемо,
в итоге переустановил систему целиком и всё настроил с нуля.

на счёт "ldap ssl = off" когда ты выставил off должно было всё заработать, самба должна была лезть в ldap не через ssl
но учитывая что ты её переустановил, почему она не хочет соединятся с ldap я не знаю.

И ещё, запрос

ldapsearch -Zx -b ou=Users,dc=bashpristav,dc=local "uid=*"

ты выполнял, ошибки есть?
Пользователь решил продолжить мысль 25 Января 2011, 11:14:28:

кто юзал ebox и gosa.... что лучше?

присоединяюсь к вопросу, мне тоже интересно

ebox теперь называется Zentyal, оф. сайт http://www.zentyal.org/

так что если кто юзал поделитесь мнением.

[serb-ufa]

ldapsearch -Zx -b ou=Users,dc=bashpristav,dc=local "uid=*"
ошибок нет. так бы написал. выводит список пользователей.
Самбу переставил, тк имею опыт установки различных систем. бывает перестановка пакетов помагает.
Исходя из этой ошибки
root@abaddon:~# net rpc join -U sspadmin
Enter sspadmin's password:
Creation of workstation account failed
Unable to join domain BASHPRISTAV.
Невозможно создать учетку для машины. Почему это может быть?

кто юзал ebox и gosa.... что лучше?

Ставил в октябре. Невероятно глючил. Web интерфейс регулярно падал в ошибку. рестарт апача не помагал. Грешили на RADIUS.
поздние версии не ставил.
Выглядит очень симпатично и понятно. Все в одном за пол часа.
Пользователь решил продолжить мысль 25 Января 2011, 11:48:35:уже тоже думал если не получиться сейчас, то переставлю систему. И поставлю все с нуля.
Пользователь решил продолжить мысль 25 Января 2011, 11:59:56:Кстати еще я качал gosa 2.6.12.  тк 2.6.11 уже нету. Так же есть 2.7 но у него после распаковки
/usr/share/gosa/contrib/openldap/
нет файлов ldif а только схемы.
Может схема самбы 2.6.11 отличается от 2.6.12?

[vovan1982]

ldapsearch -Zx -b ou=Users,dc=bashpristav,dc=local "uid=*"
ошибок нет. так бы написал. выводит список пользователей.
Самбу переставил, тк имею опыт установки различных систем. бывает перестановка пакетов помагает.
Исходя из этой ошибки
root@abaddon:~# net rpc join -U sspadmin
Enter sspadmin's password:
Creation of workstation account failed
Unable to join domain BASHPRISTAV.
Невозможно создать учетку для машины. Почему это может быть?

Не создаёт потому что не может соеденится с ldap, а вот почему не может соеденится не понятно.

уже тоже думал если не получиться сейчас, то переставлю систему. И поставлю все с нуля.

думаю именно так и предётся сделать, к сожалению, просто других вариантов не вижу.

Кстати еще я качал gosa 2.6.12.  тк 2.6.11 уже нету. Так же есть 2.7 но у него после распаковки
/usr/share/gosa/contrib/openldap/
нет файлов ldif а только схемы.
Может схема самбы 2.6.11 отличается от 2.6.12?

нет, схемы одинаковые. изменения сделанные в 2.6.12, схем не коснулись.

Fatal error: Class 'session' not found in /usr/share/gosa/include/php_setup.inc on line 91

чтоб это исправить, запусти "./update-gosa" в каталоге с gosa
Пользователь решил продолжить мысль 25 Января 2011, 12:29:14:а для конвертации схем из gosa 2.7 можно воспользоваться тем же способом которым конвертировалась схема samba3 в статье

[serb-ufa]

начал еще раз перепроверять все с начала. нашел неточность.
db.ldif
olcAccess: to attrs=sambaNTPassword,sambaLMPassword,sambaPwdMustChange,sambaPwdLastSet,userPassword by dn="cn=admin,dc=example,dc=com" write by anonymous auth by self write by * none
Не поменял в этой строке настройки на свои.
как мне передобавить базу? сейчас ошибку выдает
root@abaddon:/etc/ldap# ldapadd -Y EXTERNAL -H ldapi:/// -f db.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=module,cn=config"
ldap_add: Other (e.g., implementation specific) error (80)
        additional info: <olcModuleLoad> handler exited with 1

[vovan1982]

начал еще раз перепроверять все с начала. нашел неточность.
db.ldif
olcAccess: to attrs=sambaNTPassword,sambaLMPassword,sambaPwdMustChange,sambaPwdLastSet,userPassword by dn="cn=admin,dc=example,dc=com" write by anonymous auth by self write by * none
Не поменял в этой строке настройки на свои.
как мне передобавить базу? сейчас ошибку выдает
root@abaddon:/etc/ldap# ldapadd -Y EXTERNAL -H ldapi:/// -f db.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=module,cn=config"
ldap_add: Other (e.g., implementation specific) error (80)
        additional info: <olcModuleLoad> handler exited with 1

передобавлять не нужно, зайди в /etc/ldap/slapd.d/cn=config/olcDatabase={1}hdb.ldif
измени в нём и перезагрузи ldap

[lioncub]

vovan1982 Gosa 2.7 вышел 2011-01-18. Ходил на демо, админка уже постабильнее... Не прикручивал еще?

[vovan1982]

vovan1982 Gosa 2.7 вышел 2011-01-18. Ходил на демо, админка уже постабильнее... Не прикручивал еще?

сейчас смотрю, если прикручу, отпишусь
Пользователь решил продолжить мысль 25 Января 2011, 19:12:28:Прикрутил gosa 2.7.

Честно говоря мне она пока не очень, потому что кроме интерфейса других глобальных изменений я не заметил. Всё что работало в 2.6 работает и здесь, всё что не работало, по прежнему не работает. К тому же при конфигурации в начале были убраны пункты "GOsa settings 1/3" "GOsa settings 2/3" "GOsa settings 3/3"
в результате всё что делалось в этих пунктах необходимо копировать из старого конфига в новый либо заходить в настройки из веб и дописывать вручную. Так же мне так и не удалось найти параметр где можно указать место хранения данных об добавленных компьютерах в ldap, в 2.6 это указывалось при настройки в "GOsa settings 2/3" параметр "Workstation container", в результате когда заходишь в раздел "Системы" не отображаются машины добавленные в домен.
Так что на мой взгляд ещё рано на неё переходить,к тому же разработчики говорят что обновления и багфиксы для версии 2.6 будут поддерживаться до конца 2011 года, но если кто-то хочет попробовать ниже опишу способ перехода на 2.7.

Собственно начнём:

Скачиваем gosa 2.7

Код: [Выделить]

wget -P /tmp http://oss.gonicus.de/pub/gosa/gosa-complete-2.7.tar.bz2распаковываем

Код: [Выделить]

tar xjf /tmp/gosa-complete-2.7.tar.bz2 -C /tmpделаем копию текущей gosa

Код: [Выделить]

cp -r /usr/share/gosa /usr/share/gosa_bak && cp /etc/gosa/gosa.conf /etc/gosa/gosa.conf.bakудаляем текущую gosa

Код: [Выделить]

rm -r /usr/share/gosa && rm /etc/gosa/gosa.confкопируем новую gosa

Код: [Выделить]

cp -r /tmp/gosa-complete-2.7 /usr/share/gosaзаходим в /usr/share/gosa и выполняем update-gosa

Код: [Выделить]

cd /usr/share/gosa && ./update-gosaв результате получим кучу варнингов но на работу самой gosa они не повлияют

установим недостающие пакеты

Код: [Выделить]

apt-get install php5-curlрестартуем апач

Код: [Выделить]

/etc/init.d/apache2 restart
Теперь необходимо заменить схемы от 2.6 на схемы от 2.7. Но сначала их необходимо конвертировать в ldif.
Чтоб не выполнять повторное добавление схем я решил их конвертировать так чтоб можно было просто заменить
существующие схемы.
Для этого выполняем следующее
Переходим в /etc/ldap и Копируем новые схемы

Код: [Выделить]

cd /etc/ldap && cp /usr/share/gosa/contrib/openldap/*.schema /etc/ldap/schema/создаём файл schema_convert.conf

Код: [Выделить]

>schema_convert.confследующего содержания

Код: [Выделить]

include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/nis.schema
include         /etc/ldap/schema/inetorgperson.schema
include         /etc/ldap/schema/openldap.schema
include         /etc/ldap/schema/misc.schema
include         /etc/ldap/schema/trust.schema
include         /etc/ldap/schema/samba3.schema
include         /etc/ldap/schema/gosystem.schema
include         /etc/ldap/schema/gofon.schema
include         /etc/ldap/schema/goto.schema
include         /etc/ldap/schema/goto-mime.schema
include         /etc/ldap/schema/gosa-samba3.schema
include         /etc/ldap/schema/gofax.schema
include         /etc/ldap/schema/goserver.schema
ВНИМАНИЕ!!!  схемы в этом файле должны размещаться в том же порядке что и одноимённые ldif схемы в каталоге /etc/ldap/slapd.d/cn=config/cn=schema
Т.е. схема core в каталоге имеет номер 0 (cn={0}core.ldif) значит в файле schema_convert.conf она должна быть первой, схема cosine имеет номер 1
(cn={1}cosine.ldif) значит в файле она должна быть второй и т.д. Если добавление схем вы выполняли по статье то файл schema_convert.conf должен быть такой же как в примере, если порядок добавления был изменён то выставьте очерёдность схем в файле в соответствии с вашим. Так же если помимо этих схем у вас в каталоге присутствуют и другие, то их тоже необходимо включить в этот файл.

создаём  каталог для конвертирования схем

Код: [Выделить]

mkdir /tmp/ldif_outputконвертируем схемы

Код: [Выделить]

slapcat -f schema_convert.conf -F /tmp/ldif_output -n0устанавливаем права на полученные схемы

Код: [Выделить]

chown -R openldap:openldap /tmp/ldif_output/cn=config/cn=schema && chmod 640 /tmp/ldif_output/cn=config/cn=schema/*.ldifДелаем копию текущих схем

Код: [Выделить]

cp -r /etc/ldap/slapd.d/cn=config/cn=schema /tmpКопируем новы схемы

Код: [Выделить]

cp -r /tmp/ldif_output/cn=config/cn=schema /etc/ldap/slapd.d/cn=configПерезагружаем ldap

Код: [Выделить]

/etc/init.d/slapd restart
Теперь открываем gosa через браузер и выполняем настройку как в статье раздел 5, начиная со слов "и приступаем к конфигурации:"
всё точно также за исключением пунктов "GOsa settings 1/3" "GOsa settings 2/3" "GOsa settings 3/3" их просто нет.

После того как поместили новый gosa.conf в каталог /etc/gosa в него необходимо скопировать часть параметров со старого конфига.
В конце конфига в разделе "<!-- Main section ****************************" необходимо скопировать параметры  из старого конфига, после строки
<main default="здесь ваше название"
и до строки
>
и поместить их в новый конфиг в тоже место, удалив при этом дублирующиеся параметры.

Так же скопировать конце конфига в разделе "<!-- Main section ****************************" параметры после строк
<!-- Location definition -->
    <location name="ваше название"
до параметра "config" (не включая его)
и поместить в тоже место в новом конфиге.

Всё, теперь можно изучать gosa 2.7

Пользователь решил продолжить мысль 26 Января 2011, 10:35:19:ещё один момент, сразу забыл сказать, во время настроек через веб gosa предложит создать нового админа, его создавать не нужно тот что был создан ранее при настройке 2.6 вполне подходит.