[Wiki] [HOWTO] Настройка Samba 3(PDC)+OpenLDAP2.4+Gosa2.6.11 в Ubuntu 10.04

[vovan1982]

Крутая серия гайдов, спасибо большое Вове Но все наверно пока не освою...
Единственное, несколько проблем:

• net rpc join -U admins%secret
  выходит сообщение, Connection failed: NT_STATUS_INVALID_NETWORK_RESPONSE
  решил так net rpc join -S <hostname -f>.example.com -U admins%secret
  host allow = 127.0.0.1 127.0.1.1 10.
  
• net rpc testjoin
  Connection failed: NT_STATUS_INVALID_NETWORK_RESPONSE
  Join to domain 'EXAMPLE' is not valid: NT_STATUS_INVALID_NETWORK_RESPONSE
  
• созданный пользователь входит в домен с ошибками
  не удалось найти путь к перемещаемому профилю, будет создан временный профиль.
  Т.е. после выхода, все данные пользователя стираются.
  

если не ошибаюсь,
если в домен добавлял с опцией "-S" то и тестить надо так же,
а на счёт профилей я здесь уже писал, на предыдущей странице.

добавь в smb.conf параметр
logon path =

[Mrusful]

После семи переустановок вроде заработало. Теперь вопрос другой, в домен может зайти лишь пользователь который состоит в группе "Domain admins"? Если да, то чем это грозит для домена? Или как это можно изменить?

Подождите, сейчас в gosa проверил, открыл пользователя, там слева членство в группах, добавил Domain admins теперь он мог админить на тачке. А так шастал с правами пользователя под группой "garik" с username'ом "garik"

добавь в smb.conf параметр
logon path =

сорри не прочитал, просто не гуглил еще...надо больше по smb.conf почитать...Спасибо

[yujin1st]

С путями вроде всё нормально, с названиями файлов сертификатов тебе видней, но ошибка говорит что сертификат не прошёл проверку, скорей всего проблема в самом сертификате. покажи содержимое ldap01.info

вот ldap01.info (у меня beta.info)

(Нажмите, чтобы показать/скрыть)

organization = ZabCDO
cn = beta.zabcdo.ru
tls_www_server
encryption_key
signing_key

и ca.info

(Нажмите, чтобы показать/скрыть)

cn = ZabCDO
ca
cert_signing_key

[vovan1982]

С путями вроде всё нормально, с названиями файлов сертификатов тебе видней, но ошибка говорит что сертификат не прошёл проверку, скорей всего проблема в самом сертификате. покажи содержимое ldap01.info

вот ldap01.info (у меня beta.info)

(Нажмите, чтобы показать/скрыть)

organization = ZabCDO
cn = beta.zabcdo.ru
tls_www_server
encryption_key
signing_key

и ca.info

(Нажмите, чтобы показать/скрыть)

cn = ZabCDO
ca
cert_signing_key

у тебя параметр cn = beta.zabcdo.ru,

"beta.zabcdo.ru" соответствует результату команды "hostname -f" выполненной на этом сервере?

[homoliber]

Машины с хп входят в домен нормально, а вот с вин7 проблемы, не видит домен. И машины входят в домен только с пользователем который в группе "Domain admins". Или надо что то сделать зайдя таким пользователем, что бы потом могли заходить другие?

[vovan1982]

Машины с хп входят в домен нормально, а вот с вин7 проблемы, не видит домен. И машины входят в домен только с пользователем который в группе "Domain admins". Или надо что то сделать зайдя таким пользователем, что бы потом могли заходить другие?

а вот в вин7 в домен я загонять не пробовал, у меня к счастью пока таковых машин нет, так что к сожалению ничем помочь не могу.

То что касается

И машины входят в домен только с пользователем который в группе "Domain admins".

что понимается под входом в домен, добавление машины в домен или вход в систему на уже добавленной в домен машине.

[sh_vit]

SAMBA=OK, LDAP=OK. Проблемы с GOSA...
Настройка GOSA прошла нормально. При попытке войти выдает ошибку:
Fatal error: Cannot redeclare class writeexcel_biffwriter in /usr/share/gosa/gosa-complete-2.6.12/include/utils/excel/class.writeexcel_biffwriter.inc.php on line 27
Ошибка только при вводе правильных данных. если пароль указать неверно, то ошибки нет (ругается на неправильный пароль).
Где копать?
 

РЕШЕНО:
в самом начале статьи, там где "Копируем в /usr/share/gosa" скопировалось целым каталогом "gosa-complete-2.6.12". Видимо из-за того что раньше уже баловался с GOSA. Таким образом эта ошибка вылазит если ранее стояла древняя GOSA и новые файлы не переписались вместо старых.

[homoliber]

Значит делаем так: входим в домен админом самбы, перезагружаемся, он входит уже под админом самбы, его меняем на любого другого пользователя? Так?
Если так то выдает сообщение:"Интерактивный вход на данном компьютере запрещен локальной политикой"! А где ее поменять?

РЕШЕНО:
Зайти через админа самбы и добавить нужого пользователя в "Удаленные пользователи".

[vovan1982]

Значит делаем так: входим в домен админом самбы, перезагружаемся, он входит уже под админом самбы, его меняем на любого другого пользователя? Так?
Если так то выдает сообщение:"Интерактивный вход на данном компьютере запрещен локальной политикой"! А где ее поменять?

РЕШЕНО
Зайти через админа самбы и добавить нужого пользователя в "Удаленные пользователи".

странно это как то, у меня такого никогда небыло

[yujin1st]

С путями вроде всё нормально, с названиями файлов сертификатов тебе видней, но ошибка говорит что сертификат не прошёл проверку, скорей всего проблема в самом сертификате. покажи содержимое ldap01.info

вот ldap01.info (у меня beta.info)

(Нажмите, чтобы показать/скрыть)

organization = ZabCDO
cn = beta.zabcdo.ru
tls_www_server
encryption_key
signing_key

и ca.info

(Нажмите, чтобы показать/скрыть)

cn = ZabCDO
ca
cert_signing_key

у тебя параметр cn = beta.zabcdo.ru,

"beta.zabcdo.ru" соответствует результату команды "hostname -f" выполненной на этом сервере?

Да соответствует. А нормально что в одном файле cn = beta.zabcdo.ru (hostname -f) а в  другом просто название?

[vovan1982]

Да соответствует. А нормально что в одном файле cn = beta.zabcdo.ru (hostname -f) а в  другом просто название?

да нормально, сейчас тестирую gosa 2.7.1 в связи с чем полностью с нуля прошёлся по статье, никаких проблем не возникло.

немного погуглил по этой проблеме, вроде виноват корневой сертификат это cacert.pem который, попробуй его пересоздать,
а лучше попробуй создать заново все сертификаты.
Пользователь решил продолжить мысль 14 Апреля 2011, 16:17:36:Закончил тестирование gosa 2.7.1 пакет gosa-combined-2.7.1.

На мой взгляд пока ещё рано её использовать.

1. При запуске скрипта ./update-gosa по прежнему вываливается куча варнингов
2. После прохождения всех этапов настройки, при входе в gosa появляется предупреждение о нехватке 4-x классов в ldap, это предупреждение связанно с нехваткой 4-х схем, при этом 2 схемы конфликтуют между собой и одновременно не могут быть установлены, а ещё 2-е схема отсутствуют в поставке gosa
из-за лицензионных ограничений. В результате нужно либо в ручную править конфликтующие схемы и искать не достающие либо отключать плагины которые требуют эти схемы.
3. Не работает переключение языка интерфейса, настройки все прописаны, файлы с переводом присутствуют, но язык постоянно английский.
4. Нет возможности автоматически мигрировать уже созданных пользователей (как это делалось при настройке в версии 2.6), в результате приходится либо самому каждого пользователя мигрировать либо писать скрипт для миграции всех пользователей.

дальше я разбираться не стал, для меня достаточно и этого чтоб пока не использовать версию 2.7.
Единственное что мне понравилось в 2.7.1 это то что все присутствующие схемы имеют формат ldif и не требуют редактирования, сразу готовы для добавления в ldap.

[BestiAA]

пытаюсь установить db.ldif.
Выдает такое сообщение.

root@ds1:/etc/ldap# ldapadd -Y EXTERNAL -H ldapi:/// -f db.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=module,cn=config"

adding new entry "olcDatabase={1}hdb,cn=config"
ldap_add: Other (e.g., implementation specific) error (80)
        additional info: <olcAccess> handler exited with 1


В каталоге /etc/ldap/slapd.d/cn=config/cn=schema  15 схем с нумерацией от 0 до 14

Пользователь решил продолжить мысль 12 Февраля 2011, 14:15:13:

пытаюсь установить db.ldif.
Выдает такое сообщение.

root@ds1:/etc/ldap# ldapadd -Y EXTERNAL -H ldapi:/// -f db.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=module,cn=config"

adding new entry "olcDatabase={1}hdb,cn=config"
ldap_add: Other (e.g., implementation specific) error (80)
        additional info: <olcAccess> handler exited with 1


В каталоге /etc/ldap/slapd.d/cn=config/cn=schema  15 схем с нумерацией от 0 до 14

проблему решил. в файле db.ldif параметр olcModuleload: back_hdb поменял на olcModuleload: back_hdb.la

такой вариант решения тоже не прошел.
подскажите в чем еще может быть проблема

[yujin1st]

немного погуглил по этой проблеме, вроде виноват корневой сертификат это cacert.pem который, попробуй его пересоздать,
а лучше попробуй создать заново все сертификаты.

1. Создал заново - сработало, дальше он на tsl не ругался.

2. После перезагрузки самбы, пытаюсь добавить машину (xp, sp2) в домен, но не получается: после того как он спрашивает логин и пароль (я пишу DOMAIN\admins и secret) возникает ошибка: "Указанное сетевое имя более не доступно"

3. Обнаружил что в созданной схеме /etc/ldap/db.ldif строчку с паролем оставил в открытом виде, т.е: olcRootPW: secret
это как-то меняется?

4. Если хочется начать все заново, но не переустанавливая саму систему, что нужно сделать? (удалить самбу, ldap...)

[vovan1982]

немного погуглил по этой проблеме, вроде виноват корневой сертификат это cacert.pem который, попробуй его пересоздать,
а лучше попробуй создать заново все сертификаты.

1. Создал заново - сработало, дальше он на tsl не ругался.

2. После перезагрузки самбы, пытаюсь добавить машину (xp, sp2) в домен, но не получается: после того как он спрашивает логин и пароль (я пишу DOMAINadmins и secret) возникает ошибка: "Указанное сетевое имя более не доступно"

3. Обнаружил что в созданной схеме /etc/ldap/db.ldif строчку с паролем оставил в открытом виде, т.е: olcRootPW: secret
это как-то меняется?

4. Если хочется начать все заново, но не переустанавливая саму систему, что нужно сделать? (удалить самбу, ldap...)

Если хочется начать все заново то лучше именно переустановить систему, потому как важно устанавливать samba на систему которая видит пользователей из ldap, в противном случае начинает появляться куча нюансов из-за которых нормальная работа не гарантируется, лично у меня всё заработало нормально именно при настройке в такой последовательности как указанно в статье.

В твоём случае советую именно начать всё с нуля, с чистой системы.
Пользователь решил продолжить мысль 18 Апреля 2011, 12:55:18:

пытаюсь установить db.ldif.
Выдает такое сообщение.

root@ds1:/etc/ldap# ldapadd -Y EXTERNAL -H ldapi:/// -f db.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=module,cn=config"

adding new entry "olcDatabase={1}hdb,cn=config"
ldap_add: Other (e.g., implementation specific) error (80)
        additional info: <olcAccess> handler exited with 1


В каталоге /etc/ldap/slapd.d/cn=config/cn=schema  15 схем с нумерацией от 0 до 14

Пользователь решил продолжить мысль 12 Февраля 2011, 14:15:13:

пытаюсь установить db.ldif.
Выдает такое сообщение.

root@ds1:/etc/ldap# ldapadd -Y EXTERNAL -H ldapi:/// -f db.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=module,cn=config"

adding new entry "olcDatabase={1}hdb,cn=config"
ldap_add: Other (e.g., implementation specific) error (80)
        additional info: <olcAccess> handler exited with 1


В каталоге /etc/ldap/slapd.d/cn=config/cn=schema  15 схем с нумерацией от 0 до 14

проблему решил. в файле db.ldif параметр olcModuleload: back_hdb поменял на olcModuleload: back_hdb.la

такой вариант решения тоже не прошел.
подскажите в чем еще может быть проблема

покажи твою ошибку и содержимое db.ldif

[mom1]

Люди хелп вторую неделю бьюсь с PDC по этому мануалу. Снуля начинал раз 15 каждый раз где то ошибаюсь или чегото не получается максимум дошел до создания username пользователя ппц. не входит под ним и все а сейчас начил заново и заметил что установка ldap заканчивается словами ldconfig deferred processing now taking place.
немного Googl внес ястности но решения так и не нашел может здесь поможет кто.