(РЕШЕНО) перенос samba+LDAP (PDS) на новый хост, проблемы с пользователями LDAP

[PadonaK]

Всем привет !
Есть такая проблемка - настало время перенести контроллер домена со старенькой тачки на новое железо . Настроил samba+LDAP+smbldap-tools . Всё прекрасно работает . Пользователи на новой машине добавляются, удаляюцца, изменяюцца .  

Но столкнулся с проблемой переноса пользователей LDAPа . Всего в базе около 500 пользователей. делаю через ldapsearch .ldif файл . Заливаю на новом хосте через sladadd . Всё прекрасно - ошибок нет.
Пользователи, группы, ПК - отображаются в getent passwd и getent group . НО их не видит PDC ! Он видит только пользователей, добавленных непосредственно на локальной машине.

Код: [Выделить]

root@hudoy:~# net user
Password:
root
nobody
hudoy

Код: [Выделить]

root@hudoy:~# net group
Password:
Domain Admins
Domain Users
Domain Guests
Domain Computers

Я так понимаю это что то в SID . Но вот что конкретно надо сделать - пока не нашёл .
З.Ы. пробовал взять SID на старой машине и заменить его на новом контроллере :

Код: [Выделить]

net setlocalsid S-1-5-21-4150300746-3605771320-3559337196

SID сменился, но пользователей не видит .


или надо править SID в .ldif файле у всех записей перед заливкой в новый LDAP ?


Забыл написать -  на старой машине база LDAP в формате:

Код: [Выделить]

database ldbm
Поэтому slapcat и полное копирование /var/lib/ldap   не прокатит (ИМХО)

[AnrDaemon]

Полное копирование никогда не подходит.
Убивай базу LDAP (физически нафиг) на новом компе, перепроверяй все настройки smbldap-tools,
чтобы были идентичны старым, делай setlocalsid, не запускай инициализацию, только сделай dpkg-reconfigure - создать новую базу. Потом заливай базу и перезагружайся.
Если получится - отпиши... ну и если не получится, тоже...

[PadonaK]

Чёт не выходит каменный цветочек....   Сделал так .
1. Убил базу LDAP на новой машине :

Код: [Выделить]

эрэм эрэф /var/lib/ldap
создал новую :

Код: [Выделить]

g-reconfigure slapd
smbldap-tools не трогал, настройки и так идентичны.  Патом со старого контроллера домена взял SID и сменил на него же на новом контроллере :

Код: [Выделить]

# net getlocalsid
SID for domain REDBOX is: S-1-5-21-1555219720-3765081032-3986130024

net getlocalsid SID for domain HUDOY is: S-1-5-21-4150300746-3605771320-3559337196

net setlocalsid S-1-5-21-1555219720-3765081032-3986130024

net getlocalsid   (уже на новом)
SID for domain HUDOY is: S-1-5-21-1555219720-3765081032-3986130024  (старый SID)


заполняю базу :

Код: [Выделить]

smbldap-populate

добавляю пользователей :

Код: [Выделить]

root@hudoy:/etc/ldap# smbldap-useradd -a test
root@hudoy:/etc/ldap# smbldap-useradd -a test2
root@hudoy:/etc/ldap# smbldap-useradd -a test3

root@hudoy:/etc/ldap# net user
Password:
root
nobody
test
test2
test3

заливаю базу

Код: [Выделить]

root@hudoy:~# ldapadd -c -x -D "cn=admin,dc=DOMEN,dc=ru" -f ldap_dump_22-07-2010.ldif -W


Код: [Выделить]

root@hudoy:~# net user
Password:
root
nobody
test
test2
test3


Залитые пользователи не видны    
Пользователь решил продолжить мысль 25 Июля 2010, 16:58:34:Кстати , после проделанной работы в логах появилось вот это :

Код: [Выделить]

[2010/07/25 16:56:44, 0] smbd/server.c:main(944)
  smbd version 3.0.28a started.
  Copyright Andrew Tridgell and the Samba Team 1992-2008
[2010/07/25 16:56:44, 0] printing/print_cups.c:cups_connect(69)
  Unable to connect to CUPS server localhost:631 - Connection refused
[2010/07/25 16:56:44, 0] printing/print_cups.c:cups_connect(69)
  Unable to connect to CUPS server localhost:631 - Connection refused
[2010/07/25 16:56:44, 0] auth/auth_util.c:create_builtin_administrators(792)
  create_builtin_administrators: Failed to create Administrators
[2010/07/25 16:56:44, 0] auth/auth_util.c:create_builtin_users(758)
  create_builtin_users: Failed to create Users
[2010/07/25 16:56:44, 0] auth/auth_util.c:create_builtin_administrators(792)
  create_builtin_administrators: Failed to create Administrators
[2010/07/25 16:56:44, 0] auth/auth_util.c:create_builtin_users(758)
  create_builtin_users: Failed to create Users



Буду разбираться  - может в этом проблема....

[AnrDaemon]

А ты не замечаешь, что у тебя домены разные?

Ругань по поводу Administrators/Users - это нормально.

[PadonaK]

Домен один и тот же : MISDOM .
Дело в том , что струю машину зовут REDBOX .   Вот на ней и показывает так :

Код: [Выделить]

[root@redbox root]# net join
root's password:
Joined domain MISDOM.
[root@redbox root]# net getlocalsid
SID for domain REDBOX is: S-1-5-21-1555219720-3765081032-3986130024

Переношу на новую - имя  HUDOY:

Код: [Выделить]

root@hudoy:/var/log/samba# net join
Password:
Joined domain MISDOM.
root@hudoy:/var/log/samba# net getlocalsid
SID for domain HUDOY is: S-1-5-21-1555219720-3765081032-3986130024

Это просто имя машины.... не более .  Имя домена в самбе прописано .

[AnrDaemon]

Забавно. Не обращал внимания раньше, действительно имя машины пишет.
А LDAP браузер (тот же WebMin) видит юзеров?

[PadonaK]

Да - пользователи прекрасно видны и через ВЭБ и через ldapsearch :

Код: [Выделить]

# root, Users, domen.ru
dn: uid=root,ou=Users,dc=domen,dc=ru
cn: root
sn: root
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: sambaSamAccount
objectClass: posixAccount
objectClass: shadowAccount
gidNumber: 0
uid: root
uidNumber: 0
homeDirectory: /home/root
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
sambaPrimaryGroupSID: S-1-5-21-1555219720-3765081032-3986130024-512
sambaSID: S-1-5-21-1555219720-3765081032-3986130024-500
loginShell: /bin/false
gecos: Netbios Domain Administrator
sambaLMPassword: bla bla bla
sambaAcctFlags: [U]
sambaNTPassword: bla bla bla
sambaPwdLastSet: 1280063808
sambaPwdMustChange: 1283951808
userPassword:: bla bla bla
shadowLastChange: 14815
shadowMax: 45



# search result
search: 2
result: 0 Success

# numResponses: 440
# numEntries: 439
root@hudoy:/var/log/samba#

Пользователь решил продолжить мысль 25 Июля 2010, 18:02:29:только сейчас заметил , этого не было :

Код: [Выделить]

root@hudoy:/var/log/samba# net groupmap
net groupmap add
  Create a new group mapping
net groupmap modify
  Update a group mapping
net groupmap delete
  Remove a group mapping
net groupmap addmem
  Add a foreign alias member
net groupmap delmem
  Delete a foreign alias member
net groupmap listmem
  List foreign group members
net groupmap memberships
  List foreign group memberships
net groupmap list
  List current group map
net groupmap set
  Set group mapping
net groupmap cleanup
  Remove foreign group mapping entries



[AnrDaemon]

Итог то какой? Что надо было сделать, чтобы заработало?

[PadonaK]

Итог то какой? Что надо было сделать, чтобы заработало?

так не работает . Раньше по этой команде выдавались списки груп, их SID  и ещё что то .  А сейчас :

Код: [Выделить]

# net groupmap
net groupmap add
  Create a new group mapping
net groupmap modify
  Update a group mapping
net groupmap delete
  Remove a group mapping
net groupmap addmem
  Add a foreign alias member
net groupmap delmem
  Delete a foreign alias member
net groupmap listmem
  List foreign group members
net groupmap memberships
  List foreign group memberships
net groupmap list
  List current group map
net groupmap set
  Set group mapping
net groupmap cleanup
  Remove foreign group mapping entries


[code][/code]
Пользователь решил продолжить мысль 25 Июля 2010, 18:17:01:Итак - после группмаппинг :

Код: [Выделить]

root@hudoy:/var/log/samba#
root@hudoy:/var/log/samba# net groupmap list
Domain Admins (S-1-5-21-2139989288-483860436-2398042574-512) -> Domain Admins
Domain Users (S-1-5-21-2139989288-483860436-2398042574-513) -> Domain Users
Domain Guests (S-1-5-21-2139989288-483860436-2398042574-514) -> Domain Guests
Domain Computers (S-1-5-21-2139989288-483860436-2398042574-515) -> Domain Computers
Administrators (S-1-5-32-544) -> Administrators
Print Operators (S-1-5-32-550) -> Print Operators
Backup Operators (S-1-5-32-551) -> Backup Operators
Replicators (S-1-5-32-552) -> Replicators
rkd_pd (S-1-5-21-2139989288-483860436-2398042574-3001) -> rkd_pd
ttz_postanovki (S-1-5-21-2139989288-483860436-2398042574-3005) -> ttz_postanovki
Account Operators (S-1-5-32-548) -> Account Operators


но всё равно :

Код: [Выделить]

root@hudoy:/var/log/samba# net user
Password:
root


Хотя у "залитых" пользователей группа стоит :    sambaPrimaryGroupSID: S-1-5-21-2139989288-483860436-2398042574-513

тоесть - поидее всё нормально !!!! Но не видит !
Пользователь решил продолжить мысль 25 Июля 2010, 18:33:47:Я смотрю различия между залитыми пользователями и вновь введёными руками . Думаю в этом где то кроется проблема .
руками:

(Нажмите, чтобы показать/скрыть)

# test4, Users, domen.ru
dn: uid=test4,ou=Users,dc=domen,dc=ru
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: sambaSamAccount
cn: test4
sn: test4
givenName: test4
uid: test4
uidNumber: 1019
gidNumber: 513
homeDirectory: /home/test4
loginShell: /bin/bash
gecos: System User
userPassword:: e2NyeXB0fXg=
sambaPwdLastSet: 0
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
sambaPwdMustChange: 2147483647
displayName: test4
sambaAcctFlags: [UX]
sambaSID: S-1-5-21-1555219720-3765081032-3986130024-3038
sambaLMPassword: XXX
sambaPrimaryGroupSID: S-1-5-21-2139989288-483860436-2398042574-513
sambaNTPassword: XXX

залитый :

(Нажмите, чтобы показать/скрыть)

# abramova, Users, domen.ru
dn: uid=eabramova,ou=Users,dc=domen,dc=ru
objectClass: top
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: sambaSamAccount
objectClass: inetLocalMailRecipient
sn: eabramova
uid: eabramova
uidNumber: 1005
gidNumber: 513
homeDirectory: /home/abramova
loginShell: /bin/bash
description: System User
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
sambaSID: S-1-5-21-2139989288-483860436-2398042574-3010
sambaPrimaryGroupSID: S-1-5-21-2139989288-483860436-2398042574-513
sambaLogonScript: abramova.cmd
sambaHomeDrive: H:
mailLocalAddress: abramova
mail: abramova@domen.ru
sambaAcctFlags:
sambaPwdLastSet: 1119267052
sambaPwdMustChange: 1127820652
cn:: 0JDQsdGA0LDQvNC+0LLQsCDQldC70LXQvdCwINCS0LDRgdC40LvRjNC10LLQvdCw
sambaNTPassword: bla bla
sambaLMPassword: bla bla
gecos: Abramova
userPassword:: bla bla

sambaPrimaryGroupSID: S-1-5-21-2139989288-483860436-2398042574-513       совпадают

sambaSID: S-1-5-21-1555219720-3765081032-3986130024-3038 и sambaSID: S-1-5-21-2139989288-483860436-2398042574-3010    нет .  Хотя насколько Я понимаю - они должны различаться только последними цифрами (номер пользователя)

[AnrDaemon]

В конфиге smbldap-tools SID прописан? Не верь этой п-де, что "если не указано - берётся из net getlocalsid".

[PadonaK]

В конфиге smbldap-tools SID прописан? Не верь этой п-де, что "если не указано - берётся из net getlocalsid".

Канечно - Я руками прописал его .  :

Код: [Выделить]

vim /etc/smbldap-tools/smbldap.conf

SID="S-1-5-21-1555219720-3765081032-3986130024"


Так вот щас посмотрел вывод   ldapsearch . Пользователи которых Я залил из .ldif имеют атрибут :

Код: [Выделить]

sambaSID: S-1-5-21-2139989288-483860436-2398042574-3030
sambaSID: S-1-5-21-2139989288-483860436-2398042574-3032
sambaSID: S-1-5-21-2139989288-483860436-2398042574-3040
sambaSID: S-1-5-21-2139989288-483860436-2398042574-3052
sambaSID: S-1-5-21-2139989288-483860436-2398042574-3056
sambaSID: S-1-5-21-2139989288-483860436-2398042574-3090
sambaSID: S-1-5-21-2139989288-483860436-2398042574-3174

А тех, которых Я руками ввожу :

Код: [Выделить]

n: uid=test,ou=Users,dc=domen,dc=ru
sambaSID: S-1-5-21-1555219720-3765081032-3986130024-3020
sambaLMPassword: XXX
sambaPrimaryGroupSID: S-1-5-21-2139989288-483860436-2398042574-513


dn: uid=test2,ou=Users,dc=domen,dc=ru

sambaSID: S-1-5-21-1555219720-3765081032-3986130024-3024
sambaLMPassword: XXX
sambaPrimaryGroupSID: S-1-5-21-2139989288-483860436-2398042574-513

в этом вот пока нашёл разницу :   sambaSID различаются у них . А sambaPrimaryGroupSID одинаковая .

[AnrDaemon]

Не должен отличаться... не понимаю :/

[PadonaK]

Сейчас из дома нет ВЭБ интерфейса, а завтра на работе папробую изменить часть SIDа пользователей !   МОжет в этом кроется причина .   Хотя вот и тут небольшая загадка :

Код: [Выделить]

root@hudoy:/var/log/samba# net rpc info
Password:
Domain Name: MISDOM
Domain SID: S-1-5-21-1555219720-3765081032-3986130024
Sequence number: 1280072863
Num users: 5
Num domain groups: 0
Num local groups: 0

Странный вывод информации . 
Пользователь решил продолжить мысль 25 Июля 2010, 19:51:52:А может ваобще при заливке из LDIFa  - удалить упоминания о SID ?  Как при обычном добавлении пользователей ? Там же не указываются SID ! А только атрибуты пользователя ? 

[AnrDaemon]

Вот у тебя и не видит пользователей. SID домена не поменялся.

[PadonaK]

Вот у тебя и не видит пользователей. SID домена не поменялся.

Да нет же . Я его на новой машине поменял - взял со старого !

вот на старой машине :

Код: [Выделить]

net getlocalsid
SID for domain REDBOX is: S-1-5-21-1555219720-3765081032-3986130024

Код: [Выделить]

root@hudoy:/var/log/samba# net getlocalsid
SID for domain HUDOY is: S-1-5-21-1555219720-3765081032-3986130024
Сиды домена - идентичны . А вот при добавлении пользователей руками - sambaSID отличаецца от тех пользователей, которых заливал из LDFa.    Сейчас пробую ldapmodify - папробую у некоторых залитых пользователй сменить sambaSID.