PDC Samba + LDAP, howto

[BliZZ]

А что за переносимые профили ?

Roaming profiles - переносимые профили пользователей. Тоесть профиль пользователя храниться на сервере. Когда юзверь логиниться он загружает профиль с сервака. Такое хранение профилей дает возможность загрузить свой профиль с личными настройками и документами. Установленный софт привязан к машине
Рухнула машина юзера - пошел на свободный комп и работает как ни в чем не бывало ))

[BliZZ]

строчки самбы для роуминг профилей (smb.conf)

Код: [Выделить]

   domain logons = yes
   domain master = yes
   preferred master = yes
   os level = 44
   logon path = \\%L\profiles\%U
   logon drive = Z:
   logon home = \\%L\%U
   logon script = logon.bat

[profiles]
comment = Roaming Profiles
path = /var/lib/samba/profiles
create mask = 0600
directory mask = 0700
browseable = No
guest ok = Yes
force user = %U
valid users = %U "Domain Admins"
read only = No
profile acls = Yes

папку создал и chmod 1777 /var/lib/samba/profiles


smbldap.conf

Код: [Выделить]

userSmbHome="\\PDC\homes\%U"
userProfile="\\PDC\profiles\%U"
userHomeDrive="Z:"
userScript="%U.bat"

юзеры заведены идентичные как в ldap так и в samba

Код: [Выделить]

вывод команды - net groupmap list

Domain Admins (S-1-5-21-1527884580-3617118792-119382974-512) -> Domain Admins
Domain Users (S-1-5-21-1527884580-3617118792-119382974-513) -> Domain Users
Domain Guests (S-1-5-21-1527884580-3617118792-119382974-514) -> Domain Guests
Domain Computers (S-1-5-21-1527884580-3617118792-119382974-515) -> Domain Computers
Administrators (S-1-5-32-544) -> Administrators
Account Operators (S-1-5-32-548) -> Account Operators
Print Operators (S-1-5-32-550) -> Print Operators
Backup Operators (S-1-5-32-551) -> Backup Operators
Replicators (S-1-5-32-552) -> Replicators

log подключения пользователя

Код: [Выделить]


[2008/09/15 13:03:37, 1] smbd/service.c:make_connection_snum(1033)

  ito (192.168.0.18) connect to service odmin initially as user odmin (uid=30003, gid=513) (pid 5847)

[2008/09/15 13:03:38, 0] auth/auth_util.c:create_builtin_users(758)

  create_builtin_users: Failed to create Users

[2008/09/15 13:03:43, 0] param/loadparm.c:load_usershare_shares(4858)

  load_usershare_shares: stat of /var/lib/samba/usershares failed. No such file or directory

[2008/09/15 13:03:44, 1] smbd/service.c:make_connection_snum(1033)

  ito (192.168.0.18) connect to service profiles initially as user odmin (uid=30003, gid=513) (pid 5847)

[2008/09/15 13:03:44, 0] auth/auth_util.c:create_builtin_users(758)

  create_builtin_users: Failed to create Users

[2008/09/15 13:04:04, 0] auth/auth_util.c:create_builtin_users(758)

  create_builtin_users: Failed to create Users

[2008/09/15 13:04:08, 0] auth/auth_util.c:create_builtin_users(758)

  create_builtin_users: Failed to create Users

[2008/09/15 13:04:21, 0] auth/auth_util.c:create_builtin_users(758)

  create_builtin_users: Failed to create Users

[2008/09/15 13:04:36, 0] auth/auth_util.c:create_builtin_users(758)

  create_builtin_users: Failed to create Users

[2008/09/15 13:04:43, 0] auth/auth_util.c:create_builtin_users(758)

  create_builtin_users: Failed to create Users

[2008/09/15 13:05:12, 0] auth/auth_util.c:create_builtin_users(758)

  create_builtin_users: Failed to create Users

[2008/09/15 13:05:18, 1] smbd/service.c:close_cnum(1230)

  ito (192.168.0.18) closed connection to service odmin

[2008/09/15 13:05:22, 0] auth/auth_util.c:create_builtin_users(758)

  create_builtin_users: Failed to create Users

[2008/09/15 13:05:28, 1] smbd/service.c:close_cnum(1230)

  ito (192.168.0.18) closed connection to service profiles

[2008/09/15 13:05:28, 0] auth/auth_util.c:create_builtin_users(758)

  create_builtin_users: Failed to create Users

[2008/09/15 13:05:29, 0] auth/auth_util.c:create_builtin_users(758)

  create_builtin_users: Failed to create Users

[2008/09/15 13:05:29, 1] smbd/service.c:make_connection_snum(1033)

  ito (192.168.0.18) connect to service netlogon initially as user odmin (uid=30003, gid=513) (pid 5847)

[2008/09/15 13:05:29, 1] smbd/service.c:close_cnum(1230)

  ito (192.168.0.18) closed connection to service netlogon

[2008/09/15 13:05:33, 0] auth/auth_util.c:create_builtin_users(758)

  create_builtin_users: Failed to create Users

[2008/09/15 13:05:33, 1] smbd/service.c:make_connection_snum(1033)


как итог юзер авторизируеться в домене но профиль на серваке держать не может, вместо этого он висит в C:\Documents and settings\TEMP
еще непонятно почему обращение идет на /var/lib/samba/usershares если папку для профилей я определил совсем другую

[BliZZ]

up

[dobradmin]

А что за переносимые профили ?

Roaming profiles - переносимые профили пользователей. Тоесть профиль пользователя храниться на сервере. Когда юзверь логиниться он загружает профиль с сервака. Такое хранение профилей дает возможность загрузить свой профиль с личными настройками и документами. Установленный софт привязан к машине
Рухнула машина юзера - пошел на свободный комп и работает как ни в чем не бывало ))

а теперь представь что профиль весит гигов десять:)(а легко...)
человек тебе весь мозг сгрызет пока войдет в систему.
имхо: приятней монтировать просто сетевой диск в который перенаправлены "мои документы"(если венда....с линем тоже саоме сделать можно). политиками запрещено сохранять на рабочем столе.

[BliZZ]

а теперь представь что профиль весит гигов десять:)(а легко...)
человек тебе весь мозг сгрызет пока войдет в систему.
имхо: приятней монтировать просто сетевой диск в который перенаправлены "мои документы"(если венда....с линем тоже саоме сделать можно). политиками запрещено сохранять на рабочем столе.

1) никто и не говорит что у юзверя будет профиль в 10гб ))) (200-700мб)
2) со вторым предложением вполне согласен, все файлы планируеться розмещать на файлопомойке
3) проблема заключалась правах доступа к юзверьским с профилем и к хомякам и скриптами smbldap-tools. щяс розкручиваю контроллер под FreeBSD) все замечательно завелось..... с пинка 20го ))) для роботы с пользователями в лдап советую использовать ldapscripts

[cactys]

после ввода команды

Код: [Выделить]

smbldap-populate -u 30000 -g 30000
выдает следующее

Код: [Выделить]

Populating LDAP directory for domain ALEKS (S-1-5-21-2181636976-3219566652-2254667469)
(using builtin directory structure)

adding new entry: dc=aleks,dc=invest
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 499, <GEN1> line 7.
adding new entry: ou=Users,dc=aleks,dc=invest
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 499, <GEN1> line 12.
adding new entry: ou=Groups,dc=aleks,dc=invest
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 499, <GEN1> line 17.
adding new entry: ou=Computers,dc=aleks,dc=invest
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 499, <GEN1> line 22.
adding new entry: ou=Idmap,dc=aleks,dc=invest
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 499, <GEN1> line 27.
adding new entry: uid=root,ou=Users,dc=aleks,dc=invest
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 499, <GEN1> line 55.
adding new entry: uid=nobody,ou=Users,dc=aleks,dc=invest
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 499, <GEN1> line 83.
adding new entry: cn=Domain Admins,ou=Groups,dc=aleks,dc=invest
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 499, <GEN1> line 95.
adding new entry: cn=Domain Users,ou=Groups,dc=aleks,dc=invest
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 499, <GEN1> line 106.
adding new entry: cn=Domain Guests,ou=Groups,dc=aleks,dc=invest
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 499, <GEN1> line 117.
adding new entry: cn=Domain Computers,ou=Groups,dc=aleks,dc=invest
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 499, <GEN1> line 128.
adding new entry: cn=Administrators,ou=Groups,dc=aleks,dc=invest
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 499, <GEN1> line 173.
adding new entry: cn=Account Operators,ou=Groups,dc=aleks,dc=invest
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 499, <GEN1> line 195.
adding new entry: cn=Print Operators,ou=Groups,dc=aleks,dc=invest
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 499, <GEN1> line 206.
adding new entry: cn=Backup Operators,ou=Groups,dc=aleks,dc=invest
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 499, <GEN1> line 217.
adding new entry: cn=Replicators,ou=Groups,dc=aleks,dc=invest
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 499, <GEN1> line 228.
adding new entry: sambaDomainName=ALEKS,dc=aleks,dc=invest
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 499, <GEN1> line 236.

Please provide a password for the domain root:
No such object at /usr/share/perl5/smbldap_tools.pm line 353.

от чего это может быть? Куда копать?

[ufik]

после ввода команды
...
от чего это может быть? Куда копать?

Прав нет каких-то. У меня была такая проблема когда я неправильно ввёл пароль админский на одном из шагов.
Этот случай не лечил просто заново всё перенастроил.

[N_F]

блин...
а у меня не работает(
при попытке ввести виндовую машину в домен выдаёт ошибку:

DNS успешно запросила запись ресурса размещения службы (SRV), используемой для выяснения размещения контроллера домена Active Directory для домена "test.ru":
Опрос проводился для SRV-записи для _ldap._tcp.dc._msdcs.test.ru
Этим запросом были идентифицированы следующие контроллеры домена Active Directory:
127.0.0.1.test.ru
К возможным причинам этой ошибки относятся:
- Записи узлов (A), которые сопоставляют имя контроллера домена Active Directory его IP-адресам, утеряны или содержат неправильные адреса.
- Контроллеры доменов Active Directory, зарегистрированные в DNS не подключены к сети или не запущены.

я понимаю что проблема в днс, но не могу понять чему нужно сопоставить 127.0.0.1.test.ru... localhost'у? пробовал. не помогло...
хэлп ми, подскажите что нужно ещё и в днс-е донастроить!

[ufik]

блин...
а у меня не работает(
при попытке ввести виндовую машину в домен выдаёт ошибку:

DNS успешно запросила запись ресурса размещения службы (SRV), используемой для выяснения размещения контроллера домена Active Directory для домена "test.ru":
Опрос проводился для SRV-записи для _ldap._tcp.dc._msdcs.test.ru
Этим запросом были идентифицированы следующие контроллеры домена Active Directory:
127.0.0.1.test.ru
К возможным причинам этой ошибки относятся:
- Записи узлов (A), которые сопоставляют имя контроллера домена Active Directory его IP-адресам, утеряны или содержат неправильные адреса.
- Контроллеры доменов Active Directory, зарегистрированные в DNS не подключены к сети или не запущены.

я понимаю что проблема в днс, но не могу понять чему нужно сопоставить 127.0.0.1.test.ru... localhost'у? пробовал. не помогло...
хэлп ми, подскажите что нужно ещё и в днс-е донастроить!

Выше в постах есть видео которое полностью показывает от начала до конца как.

[N_F]

видео весит много...
да и я с этим уже разобрался - у меня теперь другая проблема

в общем когда завожу машину в домен сначала выскакивает ошибка что то типа что нет такой машины в домене. затем машина автодобавляется (ну в самбе же выставлен скрипт) и предлагает ввести пароль. ввожу, пишет - такая машина уже есть в домене!
захожу с другого боку. убираю скрипт на автодобавление, удаляю машину из базы. теперь при вводе машины в домен пишет - не найдено учётной записи машины!!! если снова добавляю вручную снова пишет - Ошибка! такая машина уже есть!!!
блин какой то замкнутый круг...

что я опять где не так сделал? 

[krush]

Подскажите пожалуйста все перекопал, все делал по инструкции.
домен завел как ubuntu-S.dom.local
 
root@ubuntu-S:~# smbldap-useradd -a -m -P username
Error looking for next uid in sambaDomainName=DOM,dc=dom,dc=local:invalid DN at /usr/share/perl5/smbldap_tools.pm line 1071.

[krush]

после ввода команды

Код: [Выделить]

smbldap-populate -u 30000 -g 30000
выдает следующее

Код: [Выделить]

Populating LDAP directory for domain ALEKS (S-1-5-21-2181636976-3219566652-2254667469)
(using builtin directory structure)

adding new entry: dc=aleks,dc=invest
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 499, <GEN1> line 7.

Please provide a password for the domain root:
No such object at /usr/share/perl5/smbldap_tools.pm line 353.

от чего это может быть? Куда копать?

Привет, ну как ты разобрался от чего данная ошибка?
У меня то же самое понять не могу где проблема, все переделал повторно, тоже самое.

[ufik]

после ввода команды

Код: [Выделить]

smbldap-populate -u 30000 -g 30000
выдает следующее

Код: [Выделить]

Populating LDAP directory for domain ALEKS (S-1-5-21-2181636976-3219566652-2254667469)
(using builtin directory structure)

adding new entry: dc=aleks,dc=invest
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 499, <GEN1> line 7.

Please provide a password for the domain root:
No such object at /usr/share/perl5/smbldap_tools.pm line 353.

от чего это может быть? Куда копать?

Привет, ну как ты разобрался от чего данная ошибка?
У меня то же самое понять не могу где проблема, все переделал повторно, тоже самое.

"Please provide a password for the domain root:
No such object at /usr/share/perl5/smbldap_tools.pm line 353."

Нехватает прав для популейта.  Непроходит авторизация. Соответственно попробуй поставить всё с один паролём на все учётки. на root домен админа и пароль на доступ к лдапу.

[krush]

после ввода команды

Код: [Выделить]

smbldap-populate -u 30000 -g 30000
выдает следующее

Код: [Выделить]

Populating LDAP directory for domain ALEKS (S-1-5-21-2181636976-3219566652-2254667469)
(using builtin directory structure)

adding new entry: dc=aleks,dc=invest
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 499, <GEN1> line 7.


Please provide a password for the domain root:
No such object at /usr/share/perl5/smbldap_tools.pm line 353.

от чего это может быть? Куда копать?

Привет, ну как ты разобрался от чего данная ошибка?
У меня то же самое понять не могу где проблема, все переделал повторно, тоже самое.

"Please provide a password for the domain root:
No such object at /usr/share/perl5/smbldap_tools.pm line 353."

Нехватает прав для популейта.  Непроходит авторизация. Соответственно попробуй поставить всё с один паролём на все учётки. на root домен админа и пароль на доступ к лдапу.

Да да, у меня один пароль стоит на админские учетки. admin - доменный пароль тот же что и у локального рута.
все равно не проходит. где то косяк. пока не пойму где.

[ufik]

после ввода команды

Код: [Выделить]

smbldap-populate -u 30000 -g 30000
выдает следующее

Код: [Выделить]

Populating LDAP directory for domain ALEKS (S-1-5-21-2181636976-3219566652-2254667469)
(using builtin directory structure)

adding new entry: dc=aleks,dc=invest
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 499, <GEN1> line 7.


Please provide a password for the domain root:
No such object at /usr/share/perl5/smbldap_tools.pm line 353.

от чего это может быть? Куда копать?

Привет, ну как ты разобрался от чего данная ошибка?
У меня то же самое понять не могу где проблема, все переделал повторно, тоже самое.

"Please provide a password for the domain root:
No such object at /usr/share/perl5/smbldap_tools.pm line 353."

Нехватает прав для популейта.  Непроходит авторизация. Соответственно попробуй поставить всё с один паролём на все учётки. на root домен админа и пароль на доступ к лдапу.

Да да, у меня один пароль стоит на админские учетки. admin - доменный пароль тот же что и у локального рута.
все равно не проходит. где то косяк. пока не пойму где.

Возможно съехали права на запись файлов в лдапе... и соответственно не может внести изменения в файл... какойто точно не поню но вроде методом тыка а выставлением chmod 777 находил где косяк но щас уже не помню.