[Wiki] [HOWTO] Настройка Samba 3(PDC)+OpenLDAP2.4+Gosa2.6.11 в Ubuntu 10.04

[vovan1982]

Уважаемый vovan1982!!!
Как у Вас обстоят дела по подготовке обновленного релиза статьи настройки Gosa?

пока ни как, нового релиза gosa 2.7 не было, так что пока не известно стоит на неё переходить или нет.

[ruhlyada]

Кто нибудь плагин DNS прикручивал к этой системе?
DHCP я прикрутил работает нормально, а DNS (bind9) сам демон стартует, но зон не видит. Делал все по этому мануалу https://oss.gonicus.de/labs/gosa/wiki/PluginInstallationDNS. Теперь не могу одуплить где ошибка.

[safetek]

Отличное руководство! Спасибо за ваш труд. Это очень помогает при переходе с виндовозных технологий. Помогите плз. На этапе добавления схем (из второй группы) у меня одна и таже ошибка:

user@ubuntus:~$ sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/gosystem.ldif

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=gosystem,cn=schema,cn=config"
ldap_add: Constraint violation (19)
        additional info: structuralObjectClass: no user modification allowed

Вот что блин за фигня такая? Полазил по английским форумам, но толком не понял что делать, чтобы продолжить.
Эти схемы добавились:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/cosine.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/nis.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/inetorgperson.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/openldap.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/misc.ldif

И еще каким-то чудом samba3 тоже добавилась. А остальные нет, пишут Constraint violation (19) additional info: structuralObjectClass: no user modification allowed

Пользователь решил продолжить мысль 02 Марта 2011, 13:56:19:Понял, тупость была в том, что я во всех последующих схемах не удалял текст в конце:

structuralObjectClass: olcSchemaConfig
entryUUID: fbafdc48-f065-102e-960d-79233977c302
creatorsName: cn=config
createTimestamp: 20100510095600Z
entryCSN: 20100510095600.855485Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20100510095600Z

Решив, что самое главное, это не забыть добавлять cn=schema,cn=config Я думал, что все делаю внимательно..
Но, пока искал закосячил немного свою настройку. Удали их папки со схемами схему самба 3 и теперь при повторной попытки добавить ее вижу это:

user@ubuntus:~$ sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/samba3.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=samba3,cn=schema,cn=config"
ldap_add: Other (e.g., implementation specific) error (80)
        additional info: olcAttributeTypes: Duplicate attributeType: "1.3.6.1.4.1.7165.2.1.24"


user@ubuntus:~$ sudo ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/samba3.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=samba3,cn=schema,cn=config"
ldap_add: Other (e.g., implementation specific) error (80)
        additional info: olcAttributeTypes: Duplicate attributeType: "1.3.6.1.4.1.7165.2.1.24"

[vovan1982]

safetek

а ldap пробовал рестартовать после удаления схемы?

[safetek]

safetek

а ldap пробовал рестартовать после удаления схемы?

Блин, точно. Ща попробую так -  /etc/init.d/slapd restart

[den4o]

Большое спасибо за такое подробное руководство.

И если не затруднит, пожалуйста помогите. на этапе установки пароля администратору samba в LDAP ввожу:
root@dc:/etc/ldap# smbldap-passwd -a denbur
получаю:
Could not start_tls: Failed to open Private Keyerror:02001002:system library:fopen:Нет такого файла  at /usr/share/perl5/smbldap_tools.pm line 341.

заранее спасибо!

[vovan1982]

Большое спасибо за такое подробное руководство.

И если не затруднит, пожалуйста помогите. на этапе установки пароля администратору samba в LDAP ввожу:
root@dc:/etc/ldap# smbldap-passwd -a denbur
получаю:
Could not start_tls: Failed to open Private Keyerror:02001002:system library:fopen:Нет такого файла  at /usr/share/perl5/smbldap_tools.pm line 341.

заранее спасибо!

Здравствуйте.

Насколько я вижу проблема в том что smbldap-tools не смог установить tls соединение с ldap
проверь правильность указания сертификатов в файле /etc/smbldap-tools/smbldap.conf
параметры "cafile", "clientcert", "clientkey".
Так же можешь попробовать отключить TLS присвоив параметру "ldapTLS" занчение "0" (ldapTLS="0")
если после этого ошибка исчезнет значит проблема однозначно с сертификатами.

[den4o]

Здравствуйте.

Насколько я вижу проблема в том что smbldap-tools не смог установить tls соединение с ldap
проверь правильность указания сертификатов в файле /etc/smbldap-tools/smbldap.conf
параметры "cafile", "clientcert", "clientkey".
Так же можешь попробовать отключить TLS присвоив параметру "ldapTLS" занчение "0" (ldapTLS="0")
если после этого ошибка исчезнет значит проблема однозначно с сертификатами.

Большое спасибо! Действительно, указывая путь для clientkey случайно опечатался 
Пользователь решил продолжить мысль 03 Марта 2011, 14:07:11:едем...едем...опять беда

при добавлении сервера в домен получается:

root@dc:~# net rpc join -U denbur
Connection failed: NT_STATUS_INVALID_NETWORK_RESPONSE
Enter denbur's password:
Could not connect to server DC
Connection failed: NT_STATUS_INVALID_NETWORK_RESPONSE

видовая машина нормально добавилась в домен и залогинилась под новосозданном юзером

[igr0ck]

Добрый день. Разобрался с ошибками - это из-за установки (верней неустановки ) LAMP сервера. Скажите, пожалуйста, что не надо делать, чтобы не прикручивать GOSA, т.е. настроить просто LDAP и SAMBA?

[ruhlyada]

Интересует такой вопрос: почему для управления была выбрана Gosa? Сравнивая, например, Gosa и Mandriva Directory Server (MDS) я больше склоняюсь к MDS, так как в нем более дружественный интерфейс.
Собственно какие критерии выбора Gosa?  Пришло время выбирать, чем пользоваться, а я не могу выбрать, пока склоняюсь к MDS, но хотелось бы исключить, после внедрения, появления всяких неприятных подводных камней.

[vovan1982]

Добрый день. Разобрался с ошибками - это из-за установки (верней неустановки ) LAMP сервера. Скажите, пожалуйста, что не надо делать, чтобы не прикручивать GOSA, т.е. настроить просто LDAP и SAMBA?

Здравствуйте.

Если Gosa не нужна тогда не нужно подключать схемы и индексы Gosa (схему samba3 подключать обязательно, индексы для samba тоже), и не нужен 5-й раздел статьи.
Пользователь решил продолжить мысль 04 Марта 2011, 12:04:01:

едем...едем...опять беда

при добавлении сервера в домен получается:

root@dc:~# net rpc join -U denbur
Connection failed: NT_STATUS_INVALID_NETWORK_RESPONSE
Enter denbur's password:
Could not connect to server DC
Connection failed: NT_STATUS_INVALID_NETWORK_RESPONSE

видовая машина нормально добавилась в домен и залогинилась под новосозданном юзером

а что у вас в smb.conf в параметре "hosts allow" прописано?
Пользователь решил продолжить мысль 04 Марта 2011, 12:18:41:

Интересует такой вопрос: почему для управления была выбрана Gosa? Сравнивая, например, Gosa и Mandriva Directory Server (MDS) я больше склоняюсь к MDS, так как в нем более дружественный интерфейс.
Собственно какие критерии выбора Gosa?  Пришло время выбирать, чем пользоваться, а я не могу выбрать, пока склоняюсь к MDS, но хотелось бы исключить, после внедрения, появления всяких неприятных подводных камней.

Gosa я выбрал потому что, мне нужен был просто вебинтерфейс к моей связке samba+ldap, ни какие MDS, FDS и тому подобное я не рассматривал.
После внедрения подводные камни по любому появятся не зависимо от того что вы выберите, поэтому сначала попробуйте оба варианта и решите
какой из них вам наиболее подходит, я бы именно так и сделал.

[den4o]

а что у вас в smb.conf в параметре "hosts allow" прописано?

Ай спасибо друг за наводку! Все отлично!!!
Пользователь решил продолжить мысль 04 Марта 2011, 12:42:19:

Интересует такой вопрос: почему для управления была выбрана Gosa? Сравнивая, например, Gosa и Mandriva Directory Server (MDS) я больше склоняюсь к MDS, так как в нем более дружественный интерфейс.
Собственно какие критерии выбора Gosa?  Пришло время выбирать, чем пользоваться, а я не могу выбрать, пока склоняюсь к MDS, но хотелось бы исключить, после внедрения, появления всяких неприятных подводных камней.

Кстати, тоже интересует этот вопрос. MDS с точки зрения юзабилити получше gosa , наверное, будет...хотя кто знае. Нужно будет и то , и то попробовать!

[ruhlyada]

Gosa я выбрал потому что, мне нужен был просто вебинтерфейс к моей связке samba+ldap, ни какие MDS, FDS и тому подобное я не рассматривал.

Дело в том, что MDS тоже только веб морда.

[vovan1982]

Gosa я выбрал потому что, мне нужен был просто вебинтерфейс к моей связке samba+ldap, ни какие MDS, FDS и тому подобное я не рассматривал.

Дело в том, что MDS тоже только веб морда.

Тогда полюбому надо оба варианта попробовать и было бы хорошо если бы вы после того как попробуете отписались, думаю это многим будет интересно.

[ruhlyada]

Тогда полюбому надо оба варианта попробовать и было бы хорошо если бы вы после того как попробуете отписались, думаю это многим будет интересно.

Отпишусь.
На данный момент настроена связка Ubuntu 10.10 + Samba + Ldap + MDS. Пока полет нормальный. Пользователи, группы создаются/редактируются/добавляются без проблем. Машины (пока токо виндовые, до линуксовых еще не дощел) в домен входят/выходят нормально. Добавил сюда плагины: DNS и DHCP. С DHCP проблем нет все работает отлично, а вот с DNS (bind9) есть маленькое но, на данный момент работает как DNS, а хочу настроить как DDNS.
В планах подключить сюда mail  и прокси. Ближайшее время этим займусь.
По ощущениям: работает вроде быстрее, интерфейс простой и понятный, более-менее нормально переведено на русский (покрайней мере не знающему человеку будет понятно).