[Wiki] [HOWTO] Настройка Samba 3(PDC)+OpenLDAP2.4+Gosa2.6.11 в Ubuntu 10.04

[vovan1982]

вроде всё нормально, даже не знаю что посоветовать, но раз это ошибка есть, значит где то бок, попробуй выполнить как советует сам лдап

slapd -d 16383

и покажи вывод

[igr0ck]

Вывод

(Нажмите, чтобы показать/скрыть)

slapd startup: initiated.
backend_startup_one: starting "cn=config"
config_back_db_open
backend_startup_one: starting "dc=test,dc=local"
hdb_db_open: "dc=test,dc=local"
hdb_db_open: database "dc=test,dc=local": dbenv_open(/var/lib/ldap).
slapd starting
daemon: added 4r listener=(nil)
daemon: added 7r listener=0xb88b1250
daemon: added 8r listener=0xb88b1318
daemon: epoll: listen=7 active_threads=0 tvp=zero
daemon: epoll: listen=8 active_threads=0 tvp=zero
daemon: activity on 1 descriptor
daemon: activity on:
daemon: epoll: listen=7 active_threads=0 tvp=zero
daemon: epoll: listen=8 active_threads=0 tvp=zero

И больше ничего не выдает.

[ruhlyada]

зайдите в папку /usr/share/gosa и выполните

./update-gosa rescan-i18n

фигня какая-то. выдает такое:

root@ds1:/usr/share/gosa# ./update-gosa rescan-i18n
Updating internationalization...
sh: msgcat: not found
Merging of message files failed - abortedroot@ds1:/usr/share/gosa#

будем разбираться. результат сообщу

[vovan1982]

зайдите в папку /usr/share/gosa и выполните

./update-gosa rescan-i18n

фигня какая-то. выдает такое:

root@ds1:/usr/share/gosa# ./update-gosa rescan-i18n
Updating internationalization...
sh: msgcat: not found
Merging of message files failed - abortedroot@ds1:/usr/share/gosa#

будем разбираться. результат сообщу

у тебя не установлена msgcat, выполни эту команду в консоли, Ubuntu скажет какой пакет нужно установить
Пользователь решил продолжить мысль 15 Февраля 2011, 10:56:59:

Вывод

(Нажмите, чтобы показать/скрыть)

slapd startup: initiated.
backend_startup_one: starting "cn=config"
config_back_db_open
backend_startup_one: starting "dc=test,dc=local"
hdb_db_open: "dc=test,dc=local"
hdb_db_open: database "dc=test,dc=local": dbenv_open(/var/lib/ldap).
slapd starting
daemon: added 4r listener=(nil)
daemon: added 7r listener=0xb88b1250
daemon: added 8r listener=0xb88b1318
daemon: epoll: listen=7 active_threads=0 tvp=zero
daemon: epoll: listen=8 active_threads=0 tvp=zero
daemon: activity on 1 descriptor
daemon: activity on:
daemon: epoll: listen=7 active_threads=0 tvp=zero
daemon: epoll: listen=8 active_threads=0 tvp=zero

И больше ничего не выдает.

попробуй в etc/ldap/slapd.d/cn=config.ldif

в параметре "olcLogLevel", значение "none" заменить на "-1", по идее должно в syslog побольше информации выдать

так же можешь попробовать в этом же файле удалить строки

olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
olcTLSCertificateFile: /etc/ssl/certs/server_slapd_cert.pem
olcTLSCertificateKeyFile: /etc/ssl/private/server_slapd_key.pem

и попробовать стартануть ldpa, чтоб проверить сертификаты ли виноваты в том что ldap не стартует.

[ruhlyada]

у тебя не установлена msgcat, выполни эту команду в консоли, Ubuntu скажет какой пакет нужно установить

Не хватало пакета gettext. После его установки все заработало. Появился русский интерфейс.
Пока-что все работает нормально.
Спасибо.

[neutrolino]

Люди добрые, кхе, кхе. А подскажите как подключить к домену, настроенному по данной схеме машину с сервером ubuntu?
Т.е. дано: контроллер домена, настроенный по этой статье (т.е. пользователи в БД openLDAP) и Samba в качестве PDC. Нужно ввести в домен компьютер, на котором установлена ОС Ubuntu 10.x Пользователи домена должны иметь доступ к этой машине, ну и все в этом духе...
Думал не составит труда, но после поисков по просторам интернета что-то запутался.
Пробывал выполнить данную процедуру малой кровью, т.е. с помощью samba в качестве клиента и winbind. Закончилось все плачевно - теперь даже под root-ом не пускает  
Может есть какая то внятная статья, которая подойдет к данному случаю? Где будет описано как подключить линуксовую машину (ubuntu server) к контроллеру домена на Samba с базой пользователей в openLDAP. Буду признателен!
Я делал примерно по вот этой схеме:

(Нажмите, чтобы показать/скрыть)

Устанавливаем пакеты: samba, winbind.

    # apt-get samba winbind

Редактируем файл со статическими адресами, добавляем адрес контроллера домена.

    # mcedit /etc/hosts

Редактируем файл настроек Samba (здесь PDC – имя первичного контроллера домена).

    # mcedit /etc/samba/smb.conf

[global]
  workgroup = MYDOMAIN
  netbios name = TESTCOMP
  wins server = pdc
  password server = pdc
  idmap uid = 10000-20000
  idmap gid = 10000-20000
  template shell = /bin/bash
  template homedir = /home/%D/%U
  security = domain



Перезапускаем службы Samba и Winbind.

    # service samba restart
    # service winbind restart

Чтобы при пропадании сети сервис winbind не подвисал: создаем файл, перезапускающий winbind.

    # mcedit /etc/network/if-up.d/winbind

#!/bin/sh
/etc/init.d/winbind restart

    # chmod +x /etc/network/if-up.d/winbind

Настраиваем службу аутентификации.

    # mcedit /etc/nsswitch.conf

passwd: compat winbind
group: compat winbind

    # mcedit /usr/share/pam-configs/winbind

Name: Winbind authentication
Default: yes
Priority: 100
Auth-Type: Primary
Auth:
   [success=end default=ignore] pam_winbind.so try_first_pass
Auth-Initial:
   [success=end default=ignore] pam_winbind.so
Account-Type: Primary
Account:
   [success=end default=ignore] pam_winbind.so
Session-Type: Additional
Session:
   required pam_mkhomedir.so umask=0022 skel=/etc/skel

    # pam-auth-update

И все, логин root, пароль - пароль и досвидания, доступ запрещен.
 
Если оффтом - извините!!! Направляйте в нужное русло!

[vovan1982]

Люди добрые, кхе, кхе. А подскажите как подключить к домену, настроенному по данной схеме машину с сервером ubuntu?
Т.е. дано: контроллер домена, настроенный по этой статье (т.е. пользователи в БД openLDAP) и Samba в качестве PDC. Нужно ввести в домен компьютер, на котором установлена ОС Ubuntu 10.x Пользователи домена должны иметь доступ к этой машине, ну и все в этом духе...
Думал не составит труда, но после поисков по просторам интернета что-то запутался.
Пробывал выполнить данную процедуру малой кровью, т.е. с помощью samba в качестве клиента и winbind. Закончилось все плачевно - теперь даже под root-ом не пускает  
Может есть какая то внятная статья, которая подойдет к данному случаю? Где будет описано как подключить линуксовую машину (ubuntu server) к контроллеру домена на Samba с базой пользователей в openLDAP. Буду признателен!
Я делал примерно по вот этой схеме:

(Нажмите, чтобы показать/скрыть)

Устанавливаем пакеты: samba, winbind.

    # apt-get samba winbind

Редактируем файл со статическими адресами, добавляем адрес контроллера домена.

    # mcedit /etc/hosts

Редактируем файл настроек Samba (здесь PDC – имя первичного контроллера домена).

    # mcedit /etc/samba/smb.conf

[global]
  workgroup = MYDOMAIN
  netbios name = TESTCOMP
  wins server = pdc
  password server = pdc
  idmap uid = 10000-20000
  idmap gid = 10000-20000
  template shell = /bin/bash
  template homedir = /home/%D/%U
  security = domain



Перезапускаем службы Samba и Winbind.

    # service samba restart
    # service winbind restart

Чтобы при пропадании сети сервис winbind не подвисал: создаем файл, перезапускающий winbind.

    # mcedit /etc/network/if-up.d/winbind

#!/bin/sh
/etc/init.d/winbind restart

    # chmod +x /etc/network/if-up.d/winbind

Настраиваем службу аутентификации.

    # mcedit /etc/nsswitch.conf

passwd: compat winbind
group: compat winbind

    # mcedit /usr/share/pam-configs/winbind

Name: Winbind authentication
Default: yes
Priority: 100
Auth-Type: Primary
Auth:
   [success=end default=ignore] pam_winbind.so try_first_pass
Auth-Initial:
   [success=end default=ignore] pam_winbind.so
Account-Type: Primary
Account:
   [success=end default=ignore] pam_winbind.so
Session-Type: Additional
Session:
   required pam_mkhomedir.so umask=0022 skel=/etc/skel

    # pam-auth-update

И все, логин root, пароль - пароль и досвидания, доступ запрещен.
 
Если оффтом - извините!!! Направляйте в нужное русло!

Здравствуйте neutrolino.
Я конечно не пробовал добавлять в домен самба, линукс машину, поэтому здесь врядли чем то смогу помочь, но
если посмотреть на это с другой стороны, у вас есть ldpa сервер с пользователями, настройте вашу Ubuntu на авторизацию
через этот лдап сервер. Как это сделать описано во 2-м пункте статьи (только учтите что ldap сервер находится на другой машине, а не локально).
В итоге база пользователей будет единой и для windows и для linux.
Ну а дальше можно копать в сторону pam+ldap
Если конечно это вам подойдёт.

[neutrolino]

настройте вашу Ubuntu на авторизацию
через этот лдап сервер. Как это сделать описано во 2-м пункте статьи (только учтите что ldap сервер находится на другой машине, а не локально).

Такс, ну перед началом операции "единая база"   пара вопросов по 2-му пункту:
LDAP server Uniform Resource Identifier: ldaps://«hostname -f вашего сервера»
ldaps://«hostname -f вашего сервера» - имя хоста который является PDC, так?
Make local root Database admin: Yes
Yes - точно Yes?
LDAP account for root: cn=admin,dc=example,dc=com
LDAP root account password: secret
Т.е. с этой машины, чтобы прочитать базу данных пользователей нужен аккаунт и пароль администратора LDAP, так?
А как быть с SSL? Генерить ключи для локальной машины? Тут не понятно...

Хорошо. А какие настройки будут для Samba? Т.е. нужно миниму для файлового сервера, он не будет BDC. Где ему сказать искать пользователе, тоже в ldap? Как описано в статье?
Уф...
Ну хотя бы с openLDAP разобраться!
Как я понял, ввода линукс машины в домен не будет. Ну ладно, для сервера пойдет. А вот как быть, ну, допустим с линукс машиной с иксами??? На которой сидят злобные бухи  

[vovan1982]

ldaps://«hostname -f вашего сервера» - имя хоста который является PDC, так?

да, только для начала здесь укажите ldap://«hostname -f вашего сервера»
чтоб не заморачиваться с ssl.

Yes - точно Yes?

точно

Т.е. с этой машины, чтобы прочитать базу данных пользователей нужен аккаунт и пароль администратора LDAP, так?

Да

А как быть с SSL?

пока не использовать, с ним могут возникнуть нюансы

А какие настройки будут для Samba? Т.е. нужно миниму для файлового сервера, он не будет BDC.

самбу устанавливайте после того как настроите авторизацию в ldap, а остальные настройки самба делаете как вам нужно, права на доступ к шарам уже будете раздавать пользователям из ldap, хотя не исключено что доступ к ldap в конфиге самба всё таки прописывать нужно, я не пробовал такое делать, поэтому ничего сказать не могу

А вот как быть, ну, допустим с линукс машиной с иксами???

точно так же.
А вообще для линукс машин советую настроить NFS, ни кто не запрещает давать доступ к шаре одновременно и через SMB и через NFS.
И раз уже вы собрались работать в этом направлении всё таки советую почитать про pam+ldap

[neutrolino]

И раз уже вы собрались работать в этом направлении всё таки советую почитать про pam+ldap

Обязательно!!! Как же так, не прочитать то. Вот. Вводную получил, будем копать!
Как всегда большое спасибо за оперативность и ответы. Завтра начну пробовать данную схему.

[vovan1982]

neutrolino если я правильно понял то вы хотите сделать отдельный файл сервер самба с общими пользователями из ldap.

Теоретически такая настройка мало чем отличается от настройки BDC, которая описывалась в моей статье

https://help.ubuntu.ru/wiki/samba_bdc_ldap_ubuntu_10_04

за исключением некоторых моментов.

Теоретически алгоритм настройки должен быть следующим:

В статье https://help.ubuntu.ru/wiki/samba_bdc_ldap_ubuntu_10_04
переходим сразу к пункту 4 и настраиваем аутентификацию на ldap сервере, с учётом того что ldap сервер находится на другой машине, также не используем
ssl
После того как аутентификация настроена и в мс появились ldap пользователи и группы, приступаем к настройке samba.
В конфиге самба изменяем параметры (в отличие от статьи)

passdb backend = ldapsam:ldap://"hostname -f сервера ldap"
local master = no
os level = 0
domain master = no
preferred master = no
time server = no
ldap ssl = off

соответственно ldap suffix и  ldap admin dn указываем из ldap сервера.

Также наверное, админ самба должен быть такой же как и на PDC.
Если всё вдруг пройдёт  удачно , то всёравно не помешает проверить лог на наличие ошибок.

Всё выше сказанное это мои предположения, ничего из этого я не проверял.

[Nikopol]

Здравствуйте уважаемый автор
все делал по мануалу
при попытки   определить SiD (net getlocalsid srv)

выдает passdb/secrets.c:806(fetch_ldap_pw)  fetch_ldap_pw: neither ldap secret retrieved!
lib/smbldap.c:1107(smbldap_connect_system)  ldap_connect_system: Failed to retrieve password from secrets.tdb

SID for domain srv is: S-1-5-21-3274117542-1895943073-247567142

как исправить ?

[vovan1982]

Здравствуйте уважаемый автор
все делал по мануалу
при попытки   определить SiD (net getlocalsid srv)

выдает passdb/secrets.c:806(fetch_ldap_pw)  fetch_ldap_pw: neither ldap secret retrieved!
lib/smbldap.c:1107(smbldap_connect_system)  ldap_connect_system: Failed to retrieve password from secrets.tdb

SID for domain srv is: S-1-5-21-3274117542-1895943073-247567142

как исправить ?

Складывается впечатление что вы забежали вперёд и отредактировали конфиг самбы.

Ошибка связана с тем что самба не может получить доступ к ldap, эта ошибка возможна только при отредактированном конфиге самба,
но команда "net getlocalsid" выполняется намного раньше чем редактирование конфига самба.

Не стоит забегать вперёд.

[neutrolino]

Если всё вдруг пройдёт  удачно

Итак, уважаемый vovan1982, мои изыскания в течении дня все же увенчались успехом.  
Как я добился ввода машины, под управлением ОС Linux к домену, настроенному по данной статье.
На авторство не претендую

1. При установке операционной системы в качестве имени пользователя и пароля был использован аналогичный при настройке контроллера домена, он же использовался и как администратор SAMBA Это было сделано для чистоты эксперимента.

2. Настроим аутентификацию через LDAP

   Установим необходимый пакет

Код: [Выделить]

aptitude install libnss-ldap
   И отвечаем на вопросы:
    Should debconf manage LDAP configuration?: Yes
    LDAP server Uniform Resource Identifier: ldap://«hostname -f контроллера домена»
    Distinguished name of the search base: dc=example,dc=com
    LDAP version to use: 3
    Make local root Database admin: Yes
    Does the LDAP database require login? No
    LDAP account for root: cn=ldapadmin,dc=example,dc=com
    LDAP root account password: ПАРОЛЬ

   Вносим изменения в аутентификацию на сервере

Код: [Выделить]

auth-client-config -t nss -p lac_ldap
   Настраиваем pam аутентификацию, для этого выполняем

Код: [Выделить]

pam-auth-update   и активируем профили аутентификации LDAP и UNIX.

3. Настраиваем SAMBA

  Устанавливаем SAMBA

Код: [Выделить]

aptitude install samba samba-doc
   Делаем резервную копию файла настроек SAMBA

Код: [Выделить]

cp /etc/samba/smb.conf /etc/samba/smb.conf.orig
  Вносим в файл настроек SAMBA следующее:

(Нажмите, чтобы показать/скрыть)

[global]
        server string =
        workgroup = EXAMPLE
        netbios name = server
#=============================================================================
        passdb backend = ldapsam:ldap://«hostname -f контроллера домена»
        obey pam restrictions = no
        security = user
        encrypt passwords = true
        unix extensions  = no
#=============================================================================
        local master = no
        os level = 0
        domain master = no
        preferred master = no
        time server = no
        admin users = smbadmin
#=============================================================================
        log level = 1
        log file = /var/log/samba/workstations/%m.log
        max log size = 50
#=============================================================================
        socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384
        getwd cache = yes
        read raw = yes
        write raw = yes
        max xmit = 65536
        wins server = IP-адрес контроллера домена
        wins support = no
        #т.к. в роли wins сервера выступает контроллер домена, то укажем его IP
        #и выключим роль wins сервера здесь
        wins proxy = yes
        dns proxy = yes
        #так как у меня настроен DNS, это значение выставлено в yes
        name resolve order = wins hosts bcast lmhosts
        wide links = yes
        hosts allow = 192.168. 127.0.0.1 127.0.1.1
        hosts deny = 0.0.0.0/0
        idmap uid = 10000-20000
        idmap gid = 10000-20000
#=============================================================================
        logon path =

        ldap suffix = dc=example,dc=com
        ldap user suffix = ou=Users
        ldap group suffix = ou=Groups
        ldap machine suffix = ou=Computers
        ldap idmap suffix = ou=Idmap
        ldap admin dn = cn=ldapadmin,dc=examplel,dc=com
        ldap ssl = off
        ldap passwd sync = yes
        ldap delete dn = no
        domain logons = yes

        invalid users = root
        load printers = no
        enhanced browsing = Yes
        remote announce = IP-адрес контроллера домена/EXAMPLE

   Создаем необходимые каталоги для логов, в данном случае так:

Код: [Выделить]

mkdir /var/log/samba/workstations/
   Перезапустим службы

Код: [Выделить]

service smbd restart

Код: [Выделить]

service nmbd restart
   Указываем пароль администратора openLDAP

Код: [Выделить]

smbpasswd -w ПАРОЛЬ
   Создаем и указываем пароль сетевого пользователя, который является администратором SAMBA,
   в моем примере это smbadmin, у Вас свой.

Код: [Выделить]

smbpasswd -a smbadmin
   Получаем SID с контроллера домена

Код: [Выделить]

net rpc getsid
   Добавляем машину в домен

Код: [Выделить]

net rpc join -S ubuntu-server -U smbadmin%ПАРОЛЬ
Не забываем заменять в строчках, где указаны учетные данный администраторов SAMBA и openLDAP своими, это же относится и к записям типа cn=ВашАдмин,dc=Ваш,dc=Домен

Несомненно, на путь истинный меня подталкнул vovan1982, большое ему за это спасибо!

[Xacker82]

Уважаемый vovan1982!!!
Как у Вас обстоят дела по подготовке обновленного релиза статьи настройки Gosa?