[HOWTO] Ubuntu Small Buisness Server (LDAP + Samba)

[sptica]

Мне кажется у вас проблема с gid нового пользователя. Попробуйте ему дать gid не 513, а, положим, 10000. Ещё не понятно, почему у вас в одном случае uid и gid по 1001, а в другом

Код: [Выделить]

...
uidNumber: 30000
gidNumber: 513
...


[sptica]

Господа, а вы настраивали tls в ldap'е?

[tremor]

 Я вот как раз настраиваю домен на сьюсе. Дак вот виндовый клиент не вводится в домен, потому что в днс сервере отсутствует запись SRV. В этом мануале я вообще такого не нашел. Там виндоклиенты вводятся в домен или в раб. группе остаются? Вобщем меня интересует SRV запись, а так днс и дхцп на шлюзе полняты. Лдап на серваке под сьюсом поднят. Хомкаталоги монтируются линуксклиентам и линуксклиенты (centos) авторизуются в лдапе на сьюссервере, осталось самый пустячок - самбодомен для виндоклиентов с забором учеток из лдапа )))

Так. Вот на этом сайте: http://technet.microsoft.com/ru-ru/library/cc738991(WS.10).aspx -- написано как проверить правильность записи SRV в днс сервере. В итоге опросами nslookup я получаю то что надо. Запись SRV резолвится теперь 100% как надо с винды. Но при вводе в домен винды опять возникает ошибка. Говорится что адрес для записи SRV найден, пишется имя компа и его ИП, но пишется что служба не запущена на компе. Я так понимаю он долбится на порт на какойто в обнаруженный адрес - а там ЛДАП на 389 порту и все (кстати оочень много строк ESTABLISHED показывает netstat от centosa на ldap-server, помоему так не должно быть). А вот кто работал с доменами винды - какие порты ему надо? Самбовые 138, 139, 445 типа? Если кто сталкивался скажите plz ))

[rtzra]

Может пробегало уже? http://linuxforum.ru/index.php?showtopic=84474
Вдруг кому пригодится...

[.life.deb]

подскажите если кто знает.
как сменить пароль пользователя под nix'овой машинкой?
т.е. создаю я пользователя - при создании пишу ему некий "стандартный" пароль. допустим это будет "123".
если пользователь работает под Win - ему сменить пароль труда не составляет.
а вот если пользователь под бунтой...  приходится ему менять пароль на самом лдап-сервере. что очень неудобно... т.к. при попытке сменить пароль локально:

Код: [Выделить]

user@virt:~$ sudo passwd user
[sudo] password for user:
New password: 456
Re-enter new password: 456
LDAP password information changed for tin
passwd: пароль успешно обновлён
и вроде бы всё красиво, НО(!) пароль обновляется только на локальной машине!
т.е. если я попробую зайти с паролем "456", скажем, на samba-шару - будет эррор, а с "123" запустит.
получается чепуха.

нарыл что за смену пароля отвечает /etc/pam.d/common-password
сейчас у меня в нём всего две строки:
password sufficient pam_ldap.so
password required pam_unix.so nullok obscure min=4 max=8 md5

раньше в  /etc/pam.d/common-password у меня было написано:
password   sufficient   pam_unix.so nullok md5 shadow use_authtok
password   sufficient   pam_ldap.so use_first_pass
password   required     pam_deny.so

но так не менялся даже локальный пароль...

Код: [Выделить]

user@virt:~$ sudo passwd user
passwd: Ошибка управления токеном аутентификации
passwd: password unchanged
подскажите что нужно прописать что бы пасс меняясь на локальной машинке менялся бы и в лдапе!
ну или какой нить сайт на котором описан принцип работы данного файла. (то что находил больше запутывало, чем разъясняло...)
спасибо!

[tremor]

Мне кажется ldap client какойто в таком случае должен быть. как в сьюсе, в котором домен я так и не настроил виндовый, так все виснет и глючит на виртуалках, ажжуть. а в слесе saslauthd отказывается работать как надо на следующий день после установки системы. в выходные сяду снова если заставлю себя.

[AnrDaemon]

Делал по этому мануалу - самба пытается пересоздать группы Users, Administrators, обламывается и в итоге не пускает никого в систему. Иожно войти только под гостем... кто-нибудь может подсказать, как вообще отлаживать LDAP? Куда смотреть, чтобы увидеть, какие запросы идут на сервер и от кого, и идут ли вообще?

[blackbumer]

Ebox + Ldap miltiple DIT's возможно?
например несколько доменов в один ldap записать
example1.net
example2.net

если в slapd.conf прописать несколько баз, как я понимаю еbох будет в веб интерфейсе отображать пользователей только внутри ebox origin'а

[lexlev]

НЕ хочется огорчать вас сильно, но зачем столько движений?
Ваша тема должна называться
How-To: Ubuntu Small Buisness Server (LDAP + Samba) и не только (почта, днс, дхцп, жаббер, принтеры)
Должна состоять из 2-3 пунктов
1. скачиваем eBox
2. исправляем 2 секции  относительно Samba
3. Входим в конфигуратор и настраиваем все.

какие секции то править относительно Samba?

[AnrDaemon]

Ыыы...
Если кто еще мучаться будет, как я... ("unable to bind to selected server" после полной настройки, хотя все шаги отработали на "ура")

/etc/ldap.conf
/etc/ldap/ldap.conf

host - закомментировать.
uri ldapi://127.0.0.1/ - закомментировать

uri ldap://127.0.0.1/ - раскомментировать

Сокеты - не самый надежный способ связи в наше время... TCP вернее...
Если LDAP сервер расположен на другой машине в сети, наверное, имеет смысл использовать ldaps:// вместо ldap://...

Делал по этому мануалу - самба пытается пересоздать группы Users, Administrators, обламывается и в итоге не пускает никого в систему. Иожно войти только под гостем... кто-нибудь может подсказать, как вообще отлаживать LDAP? Куда смотреть, чтобы увидеть, какие запросы идут на сервер и от кого, и идут ли вообще?

После долгого мытарства...
1. openldap.conf - первая настройка, SID - не верьте комментарию "если не указан, то берется из net get..." - НЕ БЕРЕТСЯ - ПРОПИСЫВАЙТЕ РУЧКАМИ!
2. ВСЕХ ПОЛЬЗОВАТЕЛЕЙ, КОТОРЫЕ БУДУТ КОННЕКТИТЬСЯ ИЗ СЕТИ, СОЗДАВАТЬ ЧЕРЕЗ smbldap-adduser.
Если надо коннектить существующих пользователей, самое простое - удалить их и заново добавить.
3. Если нужно использовать пользователя без пароля - см. п.2 плюс зайти в WebMin и поправить пользователя в плане "Не нуждается в пароле".
И проверяйте, что samba SID - вменяемая конструкция S-трам-пам-парам-пам-пам, а не какой-нибудь "-3002".

[AnrDaemon]

Как конвертировать существующего пользователя, если удалить его низьзяяяяааа!!! (первый админ, дааа?)

Собственно, да. Задача была пустить первого админа системы к шарам сервера по сети.

Код: [Выделить]

$ sudo smbldap-userdel username (не с**ть! Это удалит только из Samba и LDAP!)

Код: [Выделить]

$ sudo smbldap-useradd -Pa -- username (НЕ создавать домашний каталог - он у нас уже есть, вводите существующий пароль юзера (по сути - просто перебиваете пароль наново, это необходимо, поскольку разные сервиси используют разные системы хэширования пароля, и все хэши должны соответствовать паролю)

Код: [Выделить]

$ sudo smbldap-usermod -ou 1000 -- username (Принудительно выставить UID юзера, не смотря на его кажущуюся неуникальность)

Enjoy your stay! Остальные мелкие параметры доправляются через WebMin.

[AnrDaemon]

Делал по этому мануалу - самба пытается пересоздать группы Users, Administrators, обламывается и в итоге не пускает никого в систему. Иожно войти только под гостем... кто-нибудь может подсказать, как вообще отлаживать LDAP? Куда смотреть, чтобы увидеть, какие запросы идут на сервер и от кого, и идут ли вообще?

Ответим на собственный вопрос: http://www.mail-archive.com/samba@lists.samba.org/msg99969.html

TL;DR: наплюйте. Пока система работает нормально, вас эта ошибка беспокоить не должна. Хотя, мусор в логах напрягает...

> I am getting the following error in /var/log/messages
> when an XP Pro client enters the network:
>
> nss_wins[8369]: [2009/04/06 15:17:23, 0]
> auth/auth_util.c:create_builtin_users(810)
>
> Apr  6 15:17:23 rn1 nss_wins[8369]:
> create_builtin_users: Failed to create Users

This is a case of sharing code between things in Samba.
The error messages originates normally from the user token creation where smbd attempts to create the BUILTIN\Administrators and BUILTIN\Users groups (only possible if the system is configured to support "winbind nested groups").
This is to mimic the adding of Domain Admins to the local Administrators group that happens on Windows hosts when they join a domain (or when you run dcpromo to create a domain controller).

nss_wins does not use tokens (or has no need to I should say) and so really shouldn't be executing that code.  But because
of the the amount of shared code in Samba, you will see situations like this form time to time.

Bottom line is that you can ignore the message from nss_wins.
I think you have already discussed supported "winbind nested groups" using the idmap_uid and idmap_gid options.  So I
won't go into that.

Hope this helps to explain things some.

[Puggy]

Часть вторая

Выполните данные команды чтобы поместить схемы в нужное место

Код: [Выделить]

cp /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz /etc/ldap/schema/
gzip -d /etc/ldap/schema/samba.schema.gz
Поправим файл конфигурации OpenLDAP

Код: [Выделить]

vim /etc/ldap/slapd.conf
Добавьте данные строки под последней строкой начинаюшейся с include

Код: [Выделить]

include         /etc/ldap/schema/samba.schema
include         /etc/ldap/schema/misc.schema

У меня такого файла нет slapd.conf, только /etc/ldap/ldap.conf
может очепятка все таки

Код: [Выделить]

#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE   dc=example,dc=com
#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          never



[AnrDaemon]

Версию OS "у тебя" мы угадывать будем?

[Puggy]

ubuntu Server Edition 9.04