[Wiki] [HOWTO] Настройка Samba 3(PDC)+OpenLDAP2.4+Gosa2.6.11 в Ubuntu 10.04

[vovan1982]

При любых попытках захода никаких логов не ведет. Печаль. Пробую снести систему и поставить все заново. Спасибо за такую подробную статью!
Может я не правильно пробую внести виндовую машину в домен, я делаю так: Свойства моего компьютера-имя компьютера-изменить, там выбрать домен, вписать название, Ок, далее имя пользователя и пароль. Так надо?

да, всё правильно.

И вы пробывал изменять группы "Domain admins"? Просто у меня он не хочет их сохранять, если даже изменений не производилось, ругается на имя, сохраняет только при изменении "Group name" на domainadmins, у вас не возникало такой проблемы?
У вас поднят какой-либо dns сервер?

DNS у меня поднят, но на самбу он не влияет так как в настройках самбы не указанно использовать dns.

а на счёт

И вы пробывал изменять группы "Domain admins"? Просто у меня он не хочет их сохранять, если даже изменений не производилось, ругается на имя, сохраняет только при изменении "Group name" на domainadmins, у вас не возникало такой проблемы?

можно по подробней не совсем понял о чём речь.
Пользователь решил продолжить мысль 11 Апреля 2011, 17:36:28:

а можешь ошибку  "ldap_bind: Invalid credentials (49)" целиком показать

В общем делаю не по этому гайду, а от сюда OpenLDAP Server
Выполняю:

• Installation
• Populating LDAP
• LDAP Authentication

Перехожу к Samba and LDAP
Выполняю:

• OpenLDAP Configuration

И встаю на 5ом пункте, при занесении в бд LDAP схем для самбы

Код: [Выделить]

#ldapadd -x -D cn=admin,cn=config -W -f /tmp/cn\=samba.ldif
Enter LDAP Password:
ldap_bind: Invalid credentials (49)

При чем пасс храню без шифрования, на виртуалке то все равно, и

Код: [Выделить]

#cat /etc/ldap.secret
secret
в dpkg-reconfigure ldap-auth-config, где спрашивается URI перепробовал все

• ldaps://<hostname -f>/
• ldap://127.0.0.1/
• ldapi:///
• и т.д. везде по разному наисано, что вставлять

ldap-auth-config здесь совершенно не причём
попробуйте внести схему самба следующей командой

ldapadd -Y EXTERNAL -H ldapi:/// -f /tmp/cn\=samba.ldif

[homoliber]

Насчет "Domain admins", в Gosa когда заходишь в группы, выбираешь изменение этой группы и сразу сохраняешь, ничего не меняя. У меня выводит ошибку что нельзя использовать пробелы и заглавные буквы в именах групп. У вас такое не возникает?

[Mrusful]

Привет, прошел гайд до четвертого пункта, пропустил все что связано со сертификатами, подключаю WinXP к домену, выдает окно авторизации. Какого пользователя вводить? По гайду, admins получается?

[yujin1st]

1.

Пожалуйста подскажите:
На этапе установки пароля администратору samba в LDAP ввожу
root@dc:/etc/ldap# smbldap-passwd -a username
и получаю в ответ:
Could not start_tls: ssl connect attempt failed with unknown errorerror:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed at /usr/share/perl5/smbldap_tools.pm line 341

 

Судя по ошибке, smbldap_tools не смог подключиться к ldap, причина этому сертификат указанный в smbldap-tools не прошёл проверку подлинности
зайди в /etc/smbldap-tools/smbldap.conf найди параметры в которых прописаны пути к сертификатам и проверь правильность названий сертификатов и путей к ним.

Пути проверял
Первый раз возникала ошибка как в этом посте

htCould not start_tls: Failed to open Private Keyerror:02001002:system library:fopen:Нет такого файла  at /usr/share/perl5/smbldap_tools.pm line 341.

и тут как раз я ошибся. Исправил и вылезла ошибка
Вот кусок конфига. Может быть глаз замылился... =(

(Нажмите, чтобы показать/скрыть)

# CA certificate
# see "man Net::LDAP" in start_tls section for more details
cafile="/etc/ssl/certs/cacert.pem"

# certificate to use to connect to the ldap server
# see "man Net::LDAP" in start_tls section for more details
clientcert="/etc/ssl/certs/beta_slapd_cert.pem"

# key certificate to use to connect to the ldap server
# see "man Net::LDAP" in start_tls section for more details
clientkey="/etc/ssl/private/beta_slapd_key.pem"

Собственно весь файл если нужно:

(Нажмите, чтобы показать/скрыть)

# $Source: /opt/cvs/samba/smbldap-tools/configure.pl,v
# smbldap-tools.conf : Q & D configuration file for smbldap-tools

#  This code was developped by IDEALX (http://IDEALX.org/) and
#  contributors (their names can be found in the CONTRIBUTORS file).
#
#                 Copyright (C) 2001-2002 IDEALX
#
#  This program is free software; you can redistribute it and/or
#  modify it under the terms of the GNU General Public License
#  as published by the Free Software Foundation; either version 2
#  of the License, or (at your option) any later version.
#
#  This program is distributed in the hope that it will be useful,
#  but WITHOUT ANY WARRANTY; without even the implied warranty of
#  MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
#  GNU General Public License for more details.
#
#  You should have received a copy of the GNU General Public License
#  along with this program; if not, write to the Free Software
#  Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307,
#  USA.

#  Purpose :
#       . be the configuration file for all smbldap-tools scripts

##############################################################################
#
# General Configuration
#
##############################################################################

# Put your own SID. To obtain this number do: "net getlocalsid".
# If not defined, parameter is taking from "net getlocalsid" return
SID="S-1-5-21-787730193-1489722906-1607919151"

# Domain name the Samba server is in charged.
# If not defined, parameter is taking from smb.conf configuration file
# Ex: sambaDomain="IDEALX-NT"
sambaDomain="BETA"

##############################################################################
#
# LDAP Configuration
#
##############################################################################

# Notes: to use to dual ldap servers backend for Samba, you must patch
# Samba with the dual-head patch from IDEALX. If not using this patch
# just use the same server for slaveLDAP and masterLDAP.
# Those two servers declarations can also be used when you have
# . one master LDAP server where all writing operations must be done
# . one slave LDAP server where all reading operations must be done
#   (typically a replication directory)

# Slave LDAP server
# Ex: slaveLDAP=127.0.0.1
# If not defined, parameter is set to "127.0.0.1"
slaveLDAP="127.0.0.1"

# Slave LDAP port
# If not defined, parameter is set to "389"
slavePort="389"

# Master LDAP server: needed for write operations
# Ex: masterLDAP=127.0.0.1
# If not defined, parameter is set to "127.0.0.1"
masterLDAP="127.0.0.1"

# Master LDAP port
# If not defined, parameter is set to "389"
masterPort="389"

# Use TLS for LDAP
# If set to 1, this option will use start_tls for connection
# (you should also used the port 389)
# If not defined, parameter is set to "1"
ldapTLS="1"

# How to verify the server's certificate (none, optional or require)
# see "man Net::LDAP" in start_tls section for more details
verify="require"

# CA certificate
# see "man Net::LDAP" in start_tls section for more details
cafile="/etc/ssl/certs/cacert.pem"

# certificate to use to connect to the ldap server
# see "man Net::LDAP" in start_tls section for more details
clientcert="/etc/ssl/certs/beta_slapd_cert.pem"

# key certificate to use to connect to the ldap server
# see "man Net::LDAP" in start_tls section for more details
clientkey="/etc/ssl/private/beta_slapd_key.pem"

# LDAP Suffix
# Ex: suffix=dc=IDEALX,dc=ORG
suffix="dc=zabcdo,dc=ru"

# Where are stored Users
# Ex: usersdn="ou=Users,dc=IDEALX,dc=ORG"
# Warning: if 'suffix' is not set here, you must set the full dn for usersdn
usersdn="ou=Users,${suffix}"

# Where are stored Computers
# Ex: computersdn="ou=Computers,dc=IDEALX,dc=ORG"
# Warning: if 'suffix' is not set here, you must set the full dn for computersdn
computersdn="ou=Computers,${suffix}"

# Where are stored Groups
# Ex: groupsdn="ou=Groups,dc=IDEALX,dc=ORG"
# Warning: if 'suffix' is not set here, you must set the full dn for groupsdn
groupsdn="ou=Groups,${suffix}"

# Where are stored Idmap entries (used if samba is a domain member server)
# Ex: groupsdn="ou=Idmap,dc=IDEALX,dc=ORG"
# Warning: if 'suffix' is not set here, you must set the full dn for idmapdn
idmapdn="ou=Idmap,${suffix}"

# Where to store next uidNumber and gidNumber available for new users and groups
# If not defined, entries are stored in sambaDomainName object.
# Ex: sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
# Ex: sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}"
sambaUnixIdPooldn="sambaDomainName=BETA,${suffix}"

# Default scope Used
scope="sub"

# Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT)
hash_encrypt="MD5"

# if hash_encrypt is set to CRYPT, you may set a salt format.
# default is "%s", but many systems will generate MD5 hashed
# passwords if you use "$1$%.8s". This parameter is optional!
crypt_salt_format=""

##############################################################################
#
# Unix Accounts Configuration
#
##############################################################################

# Login defs
# Default Login Shell
# Ex: userLoginShell="/bin/bash"
userLoginShell="/bin/bash"

# Home directory
# Ex: userHome="/home/%U"
userHome="/users/%U"

# Default mode used for user homeDirectory
userHomeDirectoryMode="700"

# Gecos
userGecos="System User"

# Default User (POSIX and Samba) GID
defaultUserGid="513"

# Default Computer (Samba) GID
defaultComputerGid="515"

# Skel dir
skeletonDir="/etc/skel"

# Default password validation time (time in days) Comment the next line if
# you don't want password to be enable for defaultMaxPasswordAge days (be
# careful to the sambaPwdMustChange attribute's value)
defaultMaxPasswordAge=""

##############################################################################
#
# SAMBA Configuration
#
##############################################################################

# The UNC path to home drives location (%U username substitution)
# Just set it to a null string if you want to use the smb.conf 'logon home'
# directive and/or disable roaming profiles
# Ex: userSmbHome="\\PDC-SMB3\%U"
userSmbHome="\\Beta\%U"

# The UNC path to profiles locations (%U username substitution)
# Just set it to a null string if you want to use the smb.conf 'logon path'
# directive and/or disable roaming profiles
# Ex: userProfile="\\PDC-SMB3\profiles\%U"
userProfile="\\Beta\profiles\%U"

# The default Home Drive Letter mapping
# (will be automatically mapped at logon time if home directory exist)
# Ex: userHomeDrive="H:"
userHomeDrive=""

# The default user netlogon script name (%U username substitution)
# if not used, will be automatically username.cmd
# make sure script file is edited under dos
# Ex: userScript="startup.cmd" # make sure script file is edited under dos
userScript=""

# Domain appended to the users "mail"-attribute
# when smbldap-useradd -M is used
# Ex: mailDomain="idealx.com"
mailDomain=""

##############################################################################
#
# SMBLDAP-TOOLS Configuration (default are ok for a RedHat)
#
##############################################################################

# Allows not to use smbpasswd (if with_smbpasswd == 0 in smbldap_conf.pm) but
# prefer Crypt::SmbHash library
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"

# Allows not to use slappasswd (if with_slappasswd == 0 in smbldap_conf.pm)
# but prefer Crypt:: libraries
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"

# comment out the following line to get rid of the default banner
# no_banner="1"

2. Если адрес сервера server.example.com то суффиксы должны быть dc=example,dc=com или вначале еще должен быть dc=server?

3. Еще не дошел до домашних папок для пользователей, но есть пару вопросов: В этом конфиге задается пути к папкам пользователе и еще к папке /etc/skel/ Насколько понял она задает структуру для домашних папок то есть ~/documets ~/desktop и прочих. Или не так? Если так, то возникает вопрос как быть если клиенты с разных систем(win, ubuntu, mac)?

[homoliber]

Делаю все до 4 шага, пробую внести виндовую машину в домен, ответ:"Имя пользователя или пароль неопознаны".
Надо что бы виндовая машина пинговала машину с лдап не только по ип, а еще по url, типо ldap.example.com?

Настраивали ли вы Kerberos или что то в этом роде? Как настроен DNS?

[vovan1982]

Насчет "Domain admins", в Gosa когда заходишь в группы, выбираешь изменение этой группы и сразу сохраняешь, ничего не меняя. У меня выводит ошибку что нельзя использовать пробелы и заглавные буквы в именах групп. У вас такое не возникает?

Да это так, в Gosa есть такое ограничение, но дефолтные группы изменять не стоит.

Привет, прошел гайд до четвертого пункта, пропустил все что связано со сертификатами, подключаю WinXP к домену, выдает окно авторизации. Какого пользователя вводить? По гайду, admins получается?

По гайду это admins но у тебя должен быть свой, нужно использовать админа samba.

1.
Пути проверял
Первый раз возникала ошибка как в этом посте

htCould not start_tls: Failed to open Private Keyerror:02001002:system library:fopen:Нет такого файла  at /usr/share/perl5/smbldap_tools.pm line 341.

и тут как раз я ошибся. Исправил и вылезла ошибка

2. Если адрес сервера server.example.com то суффиксы должны быть dc=example,dc=com или вначале еще должен быть dc=server?

3. Еще не дошел до домашних папок для пользователей, но есть пару вопросов: В этом конфиге задается пути к папкам пользователе и еще к папке /etc/skel/ Насколько понял она задает структуру для домашних папок то есть ~/documets ~/desktop и прочих. Или не так? Если так, то возникает вопрос как быть если клиенты с разных систем(win, ubuntu, mac)?

1. С путями вроде всё нормально, с названиями файлов сертификатов тебе видней, но ошибка говорит что сертификат не прошёл проверку, скорей всего проблема в самом сертификате. покажи содержимое ldap01.info

2. суффикс может быть каким угодно, почитай про суффиксы ЛДАП чтоб понимать что такое суффикс и зачем он вообще нужен.

3. Если для администрирования ты будешь пользоваться Gosa то содержимое этого параметров не имеет значения, в данной статье smbldap-tools используется только на этапе настройки, для заполнения ЛДАП начальными значениями. Если же ты планируешь администрировать сервак с помощью
smbldap-tools то когда дойдёшь до домашних папок пользователей думаю разберёшься сам , я с данным параметром не разбирался в связи с ненадобностью.

Делаю все до 4 шага, пробую внести виндовую машину в домен, ответ:"Имя пользователя или пароль неопознаны".
Надо что бы виндовая машина пинговала машину с лдап не только по ип, а еще по url, типо ldap.example.com?

нет, это не обязательно.
покажи вывод команды
pdbedit -Lw
и скажи логин пользователя который используешь для добавления машины в домен

Настраивали ли вы Kerberos или что то в этом роде?

нет

Как настроен DNS?

отвечает за локальную зону и кеширует запросы в инет,
но как я уже говорил это не имеет значения, потому что в данном случае samba не использует dns.

[homoliber]

Вывод pdbedit -Lw:
chewbacca:1000:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:3DBDE697D71690A769204BEB12283678:[U          ]:LCT-4DA3DE40:
nobody:65534:NO PASSWORDXXXXXXXXXXXXXXXXXXXXX:B03BBC9CDB7F0000C053BC9CDB7F0000:[NDU        ]:LCT-00000000:
jopa:1001:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:3DBDE697D71690A769204BEB12283678:[UX         ]:LCT-4DA3DD69:
pdc$:1002:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:5E32B6816B5B11813C72C8283707D8E8:[S          ]:LCT-4DA3E2FF:

Пробую добавить через любого пользователя из этого списка!
А разве в smb.conf параметр hosts deny = 0.0.0.0/0 не делать самбу недоступной отовсюду?

[vovan1982]

Вывод pdbedit -Lw:
chewbacca:1000:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:3DBDE697D71690A769204BEB12283678:[U          ]:LCT-4DA3DE40:
nobody:65534:NO PASSWORDXXXXXXXXXXXXXXXXXXXXX:B03BBC9CDB7F0000C053BC9CDB7F0000:[NDU        ]:LCT-00000000:
jopa:1001:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:3DBDE697D71690A769204BEB12283678:[UX         ]:LCT-4DA3DD69:
pdc$:1002:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:5E32B6816B5B11813C72C8283707D8E8:[S          ]:LCT-4DA3E2FF:

Пробую добавить через любого пользователя из этого списка!
А разве в smb.conf параметр hosts deny = 0.0.0.0/0 не делать самбу недоступной отовсюду?

в твоём случае админ самба это "chewbacca" и везде где в статье говорится об админе samba ты должен был использовать его, ты так и делал?

hosts deny = 0.0.0.0/0 конечно же запрещает доступ с самба всем но предварительно стоит параметр
hosts allow = 192.168. 127.0.0.1 127.0.1.1 в нём указано какие подсети имеют доступ к самба
в результате имеем правило "запретить доступ всем кроме тех кто в hosts allow"

[homoliber]

Да, я так и делал. Так понятно насчет закрытия и открытия. У меня если пробывать присоединятся к существующему домену, то просит ввода логин/пароль, а если ввести несуществующее имя, то уже не находит такой домен. Клиента хп никак не надо донастраивать? Просто Идентификация-Домен- логин chewbacca и пароль? В Windows клиенте какой днс прописан?

[vovan1982]

Клиента хп никак не надо донастраивать?

нет

Просто Идентификация-Домен- логин chewbacca и пароль?

да, но я использую "Изменить-Домен- логин и пароль админа самба"

В Windows клиенте какой днс прописан?

у меня прописан мой собственный, если у тебя такового нет то никакой.

покажи smb.conf

[homoliber]

Днс поднят, прописываю его. Конфиг самбы пока показать не могу, ставлю всё заново.

До конца установить не смог, внимательность спала. Затык вот на чем:
chewbacca@ldap:/etc/ldap$ sudo smbldap-passwd -a chewbacca
Changing UNIX and samba passwords for chewbacca
New password:
Retype new password:
Failed to modify SMB password: modifications require authentication at /usr/sbin/smbldap-passwd line 238, <STDIN> line 2.
Failed to modify UNIX password: modifications require authentication at /usr/sbin/smbldap-passwd line 285, <STDIN> line 2.

[Mrusful]

Привет, прошел гайд до четвертого пункта, пропустил все что связано со сертификатами, подключаю WinXP к домену, выдает окно авторизации. Какого пользователя вводить? По гайду, admins получается?

По гайду это admins но у тебя должен быть свой, нужно использовать админа samba.

Привет Вован, вчера как не пытался своего админа самбы вводить ни фига не получалось, а сейчас виртуалки загрузил хоп я в домене. Думаю это из-за того что я пропустил сертификаты. Сделал изменения в реестре, что бы XP не проверял их, а виртуалку не перезагрузил. Хотя хз. Странно как то. В общем спасибки, за поддержку. Пойду дальше пробовать.

[vovan1982]

Днс поднят, прописываю его. Конфиг самбы пока показать не могу, ставлю всё заново.

До конца установить не смог, внимательность спала. Затык вот на чем:
chewbacca@ldap:/etc/ldap$ sudo smbldap-passwd -a chewbacca
Changing UNIX and samba passwords for chewbacca
New password:
Retype new password:
Failed to modify SMB password: modifications require authentication at /usr/sbin/smbldap-passwd line 238, <STDIN> line 2.
Failed to modify UNIX password: modifications require authentication at /usr/sbin/smbldap-passwd line 285, <STDIN> line 2.

проверь "/etc/smbldap-tools/smbldap_bind.conf" всё ли там правильно указано

[homoliber]

После семи переустановок вроде заработало. Теперь вопрос другой, в домен может зайти лишь пользователь который состоит в группе "Domain admins"? Если да, то чем это грозит для домена? Или как это можно изменить?

[Mrusful]

Крутая серия гайдов, спасибо большое Вове Но все наверно пока не освою...
Единственное, несколько проблем:

• net rpc join -U admins%secret
  выходит сообщение, Connection failed: NT_STATUS_INVALID_NETWORK_RESPONSE
  решил так net rpc join -S <hostname -f>.example.com -U admins%secret
  host allow = 127.0.0.1 127.0.1.1 10.
  
• net rpc testjoin
  Connection failed: NT_STATUS_INVALID_NETWORK_RESPONSE
  Join to domain 'EXAMPLE' is not valid: NT_STATUS_INVALID_NETWORK_RESPONSE
  
• созданный пользователь входит в домен с ошибками
  не удалось найти путь к перемещаемому профилю, будет создан временный профиль.
  Т.е. после выхода, все данные пользователя стираются.