[Wiki] [HOWTO] Настройка Samba 3(PDC)+OpenLDAP2.4+Gosa2.6.11 в Ubuntu 10.04

[therox]

vovan1982, огромное спасибо за статью!
Настроил все по статье на Ubuntu 10.10, все работает, крутится, но при заходе с виндовой машинки появляются сообщения, что нет доступа к сетевому и локальному профилям, собственно, оные не сохраняются. Где копать?
В идеале, хотелось бы понять, что нужно для работы с локальными профилями и с удаленными.

[vovan1982]

vovan1982, огромное спасибо за статью!
Настроил все по статье на Ubuntu 10.10, все работает, крутится, но при заходе с виндовой машинки появляются сообщения, что нет доступа к сетевому и локальному профилям, собственно, оные не сохраняются. Где копать?
В идеале, хотелось бы понять, что нужно для работы с локальными профилями и с удаленными.

добавь в smb.conf параметр

logon path =

если его оставить без значения тогда профили будут храниться локально, ну и собственно в этом направлении и копай, чтоб разобраться как хранить профили

[therox]

Ага, разобрался.

Ставлю эту систему теперь на сервер 10.4 и подумал, что, может быть  добавить в статью

Теперь пользователь openldap дорлжен иметь доступ к сертификату (не забываем менять ldap01 на своё)

adduser openldap ssl-cert && chgrp ssl-cert /etc/ssl/private/ldap01_slapd_key.pem && chmod g+r /etc/ssl/private/ldap01_slapd_key.pem

строчку об установке пакета ssl-cert, поскольку без LAMP его нет и мне как новичку сначала даже не совсем понятно было, откуда брать эту группу

[kolyan_k]

Ага, разобрался.

Ставлю эту систему теперь на сервер 10.4 и подумал, что, может быть  добавить в статью

Теперь пользователь openldap дорлжен иметь доступ к сертификату (не забываем менять ldap01 на своё)

adduser openldap ssl-cert && chgrp ssl-cert /etc/ssl/private/ldap01_slapd_key.pem && chmod g+r /etc/ssl/private/ldap01_slapd_key.pem

строчку об установке пакета ssl-cert, поскольку без LAMP его нет и мне как новичку сначала даже не совсем понятно было, откуда брать эту группу

Вначале  статьи 

"И так, имеется свежеустановленная Ubuntu 10.04 в процессе установки был выбран LAMP сервер, в связи с этим я здесь не буду описывать настройку apache2 + php5."

[yujin1st]

Пожалуйста подскажите:
На этапе установки пароля администратору samba в LDAP ввожу
root@dc:/etc/ldap# smbldap-passwd -a username
и получаю в ответ:
Could not start_tls: ssl connect attempt failed with unknown errorerror:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed at /usr/share/perl5/smbldap_tools.pm line 341

 

[vovan1982]

Пожалуйста подскажите:
На этапе установки пароля администратору samba в LDAP ввожу
root@dc:/etc/ldap# smbldap-passwd -a username
и получаю в ответ:
Could not start_tls: ssl connect attempt failed with unknown errorerror:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed at /usr/share/perl5/smbldap_tools.pm line 341

 

Судя по ошибке, smbldap_tools не смог подключиться к ldap, причина этому сертификат указанный в smbldap-tools не прошёл проверку подлинности
зайди в /etc/smbldap-tools/smbldap.conf найди параметры в которых прописаны пути к сертификатам и проверь правильность названий сертификатов и путей к ним.

[homoliber]

Доброго дня! Всё настроил по мануалу, но всё "как бы работает". В GOsa пользователи добавляются и удаляются. Но при входе в домен с виндовых машин выдает ошибку "Имя пользователя или пароль неопознаны". В какую сторону копать?

[Mrusful]

Привет,
тоже пытаюсь на виртуалке по тестить ldap+samba...Но по любым гайдам, после использования утилиты ldap-auth-config пропадает связь/доступ к серверу ldap. При использовании "двух паролей" ко всему (учетка-123456, rootpw-secret), еще умудряется сказать, что пароль не правильный...Сейчас попробую passwd root secret и для юзера тоже secret поставлю...
Все равно ldap_bind: Invalid credentials (49), помогите разобраться что я упускаю...

[vovan1982]

Доброго дня! Всё настроил по мануалу, но всё "как бы работает". В GOsa пользователи добавляются и удаляются. Но при входе в домен с виндовых машин выдает ошибку "Имя пользователя или пароль неопознаны". В какую сторону копать?

в smbd.log ошибок связанных с LDAP нет?
Пользователь решил продолжить мысль 11 Апреля 2011, 15:52:23:

Привет,
тоже пытаюсь на виртуалке по тестить ldap+samba...Но по любым гайдам, после использования утилиты ldap-auth-config пропадает связь/доступ к серверу ldap. При использовании "двух паролей" ко всему (учетка-123456, rootpw-secret), еще умудряется сказать, что пароль не правильный...Сейчас попробую passwd root secret и для юзера тоже secret поставлю...
Все равно ldap_bind: Invalid credentials (49), помогите разобраться что я упускаю...

а можешь ошибку  "ldap_bind: Invalid credentials (49)" целиком показать

[homoliber]

Эм, такого файла лога нету, в логе log.smbd только написано про старт smbd. В логе workstations/ип_ХР_машины_с_которого_мы_пытаемся_войти_в_домен.log написано:
 
 lib/access.c:410(check_access)
  Denied connection from ип_клиента (ип_клиента)
 smbd/process.c:2058(smbd_process)
  Connection denied from ип_клиента

Причем написал при старых попытках подключения, если еще пробывать, то больше ничего не пишет.

При пробывании добавить в домен любую другую машину, создает так же лог файл в workstations, но ничего туда не пишет.
Надо заходить в домен с учетной записи пользователя, который должен быть в группе "Domain admins"?

[vovan1982]

Эм, такого файла лога нету, в логе log.smbd только написано про старт smbd. В логе workstations/ип_ХР_машины_с_которого_мы_пытаемся_войти_в_домен.log написано:
 
 lib/access.c:410(check_access)
  Denied connection from ип_клиента (ип_клиента)
 smbd/process.c:2058(smbd_process)
  Connection denied from ип_клиента

Причем написал при старых попытках подключения, если еще пробывать, то больше ничего не пишет.

При пробывании добавить в домен любую другую машину, создает так же лог файл в workstations, но ничего туда не пишет.
Надо заходить в домен с учетной записи пользователя, который должен быть в группе "Domain admins"?

вот именно в workstations и должен быть smbd.log.

Надо заходить в домен с учетной записи пользователя, который должен быть в группе "Domain admins"?

да, но лично я для заведения машины в домен использую непосредственно администратора samba

[homoliber]

Извиняюсь за свою невнимательность. Нашел я smbd.log. При перезапуске smbd в syslog, daemon, smbd.log пишет:

Apr 11 16:19:19 ldap smbd[9053]: [2011/04/11 16:19:19,  0] smbd/server.c:1115(main)
Apr 11 16:19:19 ldap smbd[9053]:   standard input is not a socket, assuming -D option

Роли не играет что домен называется "WORKGROUP"? И то что пароль состоит лишь из 3 символов?

[vovan1982]

Извиняюсь за свою невнимательность. Нашел я smbd.log. При перезапуске smbd в syslog, daemon, smbd.log пишет:

Apr 11 16:19:19 ldap smbd[9053]: [2011/04/11 16:19:19,  0] smbd/server.c:1115(main)
Apr 11 16:19:19 ldap smbd[9053]:   standard input is not a socket, assuming -D option

Роли не играет что домен называется "WORKGROUP"? И то что пароль состоит лишь из 3 символов?

ни WORKGROUP ни пароль из 3-х символов роли не играет.

попробуй завести машину в домен от samba администратора и если появится ошибка посмотри smbd.log нет ли там на этот счёт записей

[homoliber]

При любых попытках захода никаких логов не ведет. Печаль. Пробую снести систему и поставить все заново. Спасибо за такую подробную статью!
Может я не правильно пробую внести виндовую машину в домен, я делаю так: Свойства моего компьютера-имя компьютера-изменить, там выбрать домен, вписать название, Ок, далее имя пользователя и пароль. Так надо?
И вы пробывал изменять группы "Domain admins"? Просто у меня он не хочет их сохранять, если даже изменений не производилось, ругается на имя, сохраняет только при изменении "Group name" на domainadmins, у вас не возникало такой проблемы?
У вас поднят какой-либо dns сервер?

[Mrusful]

а можешь ошибку  "ldap_bind: Invalid credentials (49)" целиком показать

В общем делаю не по этому гайду, а от сюда OpenLDAP Server
Выполняю:

• Installation
• Populating LDAP
• LDAP Authentication

Перехожу к Samba and LDAP
Выполняю:

• OpenLDAP Configuration

И встаю на 5ом пункте, при занесении в бд LDAP схем для самбы

Код: [Выделить]

#ldapadd -x -D cn=admin,cn=config -W -f /tmp/cn\=samba.ldif
Enter LDAP Password:
ldap_bind: Invalid credentials (49)

При чем пасс храню без шифрования, на виртуалке то все равно, и

Код: [Выделить]

#cat /etc/ldap.secret
secret
в dpkg-reconfigure ldap-auth-config, где спрашивается URI перепробовал все

• ldaps://<hostname -f>/
• ldap://127.0.0.1/
• ldapi:///
• и т.д. везде по разному наисано, что вставлять