[Wiki] [HOWTO] Настройка Samba 3(PDC)+OpenLDAP2.4+Gosa2.6.11 в Ubuntu 10.04

[vovan1982]

Исправьте в созданном файле имя домена. Например, если ваш сервер называется servak.kontora.ru, то вам нужно заменить dc=example,dc=com на dc=kontora,dc=ru во всём тексте.

Редактируем /etc/ldap/ldap.conf Указываем суффикс базы, в данном случае это dc=example,dc=com
BASE   dc=example,dc=com
URI     ldap://localhost ldaps://«hostname -f вашего сервера»
TLS_CACERT      /etc/ssl/certs/cacert.pem

вот здесь надо подставлять dc=kontora,dc=ru или оставить dc=example,dc=com

надо подставлять dc=kontora,dc=ru

[Braind]

спасибо большое, надо наверное в начале статьи сразу написать что везде надо подставлять свой домен, а то в некоторых случаях не понятно.

[donser]

Спасибо за отличную статью,но как всегда есть некоторые вопросы ,собственно по сохранению профилей,
сначала получал сообщение что профиль не будет сохранен и данные будут утеряны,потом прочитал ваше сообщение на 12 странице

vovan1982, огромное спасибо за статью!
Настроил все по статье на Ubuntu 10.10, все работает, крутится, но при заходе с виндовой машинки появляются сообщения, что нет доступа к сетевому и локальному профилям, собственно, оные не сохраняются. Где копать?
В идеале, хотелось бы понять, что нужно для работы с локальными профилями и с удаленными.

добавь в smb.conf параметр

logon path =

если его оставить без значения тогда профили будут храниться локально, ну и собственно в этом направлении и копай, чтоб разобраться как хранить профили

это мне очень помогло,но и запутало,я думал что вот эта часть smbldap.conf должна отвечать за это
##############################################################################
#
# SAMBA Configuration
#
##############################################################################

# The UNC path to home drives location (%U username substitution)
# Just set it to a null string if you want to use the smb.conf 'logon home'
# directive and/or disable roaming profiles
# Ex: userSmbHome="\\PDC-SMB3\%U"
userSmbHome="\\pdc\%U"

# The UNC path to profiles locations (%U username substitution)
# Just set it to a null string if you want to use the smb.conf 'logon path'
# directive and/or disable roaming profiles
# Ex: userProfile="\\PDC-SMB3\profiles\%U"
userProfile="\\pdc\profiles\%U"

# The default Home Drive Letter mapping
# (will be automatically mapped at logon time if home directory exist)
# Ex: userHomeDrive="H:"
userHomeDrive=""

# The default user netlogon script name (%U username substitution)
# if not used, will be automatically username.cmd
# make sure script file is edited under dos
# Ex: userScript="startup.cmd" # make sure script file is edited under dos
userScript=""

# Domain appended to the users "mail"-attribute
# when smbldap-useradd -M is used
# Ex: mailDomain="idealx.com"
mailDomain=""
 
Пожалуйста если у Вас будет время напишите об этом поподробнее.

[vovan1982]

Спасибо за отличную статью,но как всегда есть некоторые вопросы ,собственно по сохранению профилей,
сначала получал сообщение что профиль не будет сохранен и данные будут утеряны,потом прочитал ваше сообщение на 12 странице

vovan1982, огромное спасибо за статью!
Настроил все по статье на Ubuntu 10.10, все работает, крутится, но при заходе с виндовой машинки появляются сообщения, что нет доступа к сетевому и локальному профилям, собственно, оные не сохраняются. Где копать?
В идеале, хотелось бы понять, что нужно для работы с локальными профилями и с удаленными.

добавь в smb.conf параметр

logon path =

если его оставить без значения тогда профили будут храниться локально, ну и собственно в этом направлении и копай, чтоб разобраться как хранить профили

это мне очень помогло,но и запутало,я думал что вот эта часть smbldap.conf должна отвечать за это
##############################################################################
#
# SAMBA Configuration
#
##############################################################################

# The UNC path to home drives location (%U username substitution)
# Just set it to a null string if you want to use the smb.conf 'logon home'
# directive and/or disable roaming profiles
# Ex: userSmbHome="\\PDC-SMB3\%U"
userSmbHome="\\pdc\%U"

# The UNC path to profiles locations (%U username substitution)
# Just set it to a null string if you want to use the smb.conf 'logon path'
# directive and/or disable roaming profiles
# Ex: userProfile="\\PDC-SMB3\profiles\%U"
userProfile="\\pdc\profiles\%U"

# The default Home Drive Letter mapping
# (will be automatically mapped at logon time if home directory exist)
# Ex: userHomeDrive="H:"
userHomeDrive=""

# The default user netlogon script name (%U username substitution)
# if not used, will be automatically username.cmd
# make sure script file is edited under dos
# Ex: userScript="startup.cmd" # make sure script file is edited under dos
userScript=""

# Domain appended to the users "mail"-attribute
# when smbldap-useradd -M is used
# Ex: mailDomain="idealx.com"
mailDomain=""
 
Пожалуйста если у Вас будет время напишите об этом поподробнее.

эта часть smbldap.conf отвечает за внесение этих параметров в ldap при создании пользователя при помощи smbldap-tools.
т.е если пользоваться Gosa для администрирования сервера эта часть не имеет ни какого значения.

подробней к сожалению не опишу, потому как не использую переносимые профили, но в инете на этот счёт много информации,
так что думаю google тебе поможет

[MOPKOB]

vovan1982, добрый день.

Третий день бьюсь. Благодарен за статью и за терпение, проявленное в объяснениях на форуме. Посты помогли разрешить большую часть ошибок.

Основную часть преодолел. Остановился на:

Код: [Выделить]

net rpc join -U katerina
Connection failed: NT_STATUS_INVALID_NETWORK_RESPONSE
Enter katerina's password:
Could not connect to server PDC
Connection failed: NT_STATUS_INVALID_NETWORK_RESPONSEПрочитал посты про  hosts allow в smb.conf
Не помогло пока... Если будет возможно - поясните как справиться.

Код: [Выделить]

hosts allow = 192.168.0.3 ххх.ххх.ххх.ххх 127.0.0.1 127.0.1.1
где ххх.ххх.ххх.ххх - реальный адрес

[vovan1982]

vovan1982, добрый день.

Третий день бьюсь. Благодарен за статью и за терпение, проявленное в объяснениях на форуме. Посты помогли разрешить большую часть ошибок.

Основную часть преодолел. Остановился на:

Код: [Выделить]

net rpc join -U katerina
Connection failed: NT_STATUS_INVALID_NETWORK_RESPONSE
Enter katerina's password:
Could not connect to server PDC
Connection failed: NT_STATUS_INVALID_NETWORK_RESPONSEПрочитал посты про  hosts allow в smb.conf
Не помогло пока... Если будет возможно - поясните как справиться.

Код: [Выделить]

hosts allow = 192.168.0.3 ххх.ххх.ххх.ххх 127.0.0.1 127.0.1.1
где ххх.ххх.ххх.ххх - реальный адрес

Насчёт добавления в домен попробуй сначала так

net rpc join -U katerina%пароль_пользователя_katerina

если не поможет то попробуй так

net rpc join -S ТВОЙ_ДОМЕН -U katerina%пароль_пользователя_katerina

а на счёт hosts allow, попробуй указывать подсети

hosts allow = 192.168.0 ххх.ххх.ххх 127.0.0.1 127.0.1.1
где ххх.ххх.ххх - подсеть реального адреса

[kolyan_k]

День добрый!! система работает  ! но возникли вопросы , как  быть с клиентами  которые  на windows 7 она совершенно не видит домен!!?? что  посоветуете??

[vovan1982]

День добрый!! система работает  ! но возникли вопросы , как  быть с клиентами  которые  на windows 7 она совершенно не видит домен!!?? что  посоветуете??

лично я ничего не посоветую т.к. у меня 7-й вянды нет, но этот вопрос уже поднимался в интернете, так что думаю гугл поможет

[yujin1st]

Доброго времени суток. Поставил я в прошлый раз все по статье. Некоторое время вообще ничего не делал по этому направлению. Сейчас решив возобновить работу, включив сервер и зайдя на myserver/gosa, вошел под пользователем, и gosa на местое иконок и меню ничего не выводит (скриншот)

[MOPKOB]

vovan1982,

спасибо за предыдущий ответ. Действительно, нужно быть внимательнее. Домен отличать от домена (в том случае если они разные) и пользоваться.

Код: [Выделить]

hostname -f
После настройки LDAP, у меня с Gosa возникла та же задача, что и в посте у yujin1st. Я погрешил на специфическую настройку Apache, взял чистый компьютер в той же сети. Поставил Apachе "из коробки", но теперь не могу авторизовать Gosa.
При этом Base Gosa берет на сервере. (сервер с настроенным LDAP 192.168.0.3, компьютер с APACHE 192.168.0.1, сриншот прикреплен в файле)
vovan1982, не могли бы вы пояснить почему не авторизуется, если apache и ldap на разных компьютерах и куда могут деваться иконки (как у yujin1st) если делать apache и ldap на одном компьютере...

[bmu77]

Добрый день! Пробовал по вышеуказанный статье ставить несколько раз, но момент подключения базы (db.ldif) все время не проходит. Все схемы подключены, все пятнадцать файлов с 0 по 15 имеются, пароль кодировал сам и вносил полученный. Да и ругается то на участок, который казалось бы при установке мы не трогаем.
мой db.ldif:

(Нажмите, чтобы показать/скрыть)

dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulepath: /usr/lib/ldap
olcModuleload: back_hdb
 
dn: olcDatabase={1}hdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: {1}hdb
olcSuffix: dc=ei,dc=local
olcDbDirectory: /var/lib/ldap
olcRootDN: cn=admin,dc=ei,dc=local
olcRootPW: {MD5}pIJtzRk7QWE2XXRX5n2lOA==
olcDbConfig: set_cachesize 0 2097152 0
olcDbConfig: set_lk_max_objects 1500
olcDbConfig: set_lk_max_locks 1500
olcDbConfig: set_lk_max_lockers 1500
olcDbIndex: objectClass eq
olcLastMod: TRUE
olcDbCheckpoint: 512 30
olcAccess: to attrs=sambaNTPassword,sambaLMPassword,sambaPwdMustChange,sambaPwdLastSet,userPassword by dn="cn=admin,dc=ei,dc=local" write by anonymous auth by self write by * none
olcAccess: to attrs=shadowLastChange by self write by * read
olcAccess: to dn.base="" by * read
olcAccess: to dn.subtree="" by * read
olcAccess: to * by dn="cn=admin,dc=ei,dc=local" write by * read

а это ответ на попытку загрузки конфигурации:

(Нажмите, чтобы показать/скрыть)

root@server:/etc/ldap# ldapadd -Y EXTERNAL -H ldapi:/// -f db.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
ldapadd: attributeDescription "dn": (possible missing newline after line 7, entry "cn=module,cn=config"?)
adding new entry "cn=module,cn=config"
ldap_add: Invalid syntax (21)
        additional info: objectClass: value #2 invalid per syntax

Или у меня уже глаз замылился или я что-то не понимаю. Наставьте на путь истинный.

[vovan1982]

Доброго времени суток. Поставил я в прошлый раз все по статье. Некоторое время вообще ничего не делал по этому направлению. Сейчас решив возобновить работу, включив сервер и зайдя на myserver/gosa, вошел под пользователем, и gosa на местое иконок и меню ничего не выводит (скриншот)

для восстановления иконок нажми Main в верхней части страницы
собственно что и на писано на самом скрине во второй части последнего предложения
Пользователь решил продолжить мысль 20 Мая 2011, 17:47:22:

vovan1982,

спасибо за предыдущий ответ. Действительно, нужно быть внимательнее. Домен отличать от домена (в том случае если они разные) и пользоваться.

Код: [Выделить]

hostname -f
После настройки LDAP, у меня с Gosa возникла та же задача, что и в посте у yujin1st. Я погрешил на специфическую настройку Apache, взял чистый компьютер в той же сети. Поставил Apachе "из коробки", но теперь не могу авторизовать Gosa.
При этом Base Gosa берет на сервере. (сервер с настроенным LDAP 192.168.0.3, компьютер с APACHE 192.168.0.1, сриншот прикреплен в файле)
vovan1982, не могли бы вы пояснить почему не авторизуется, если apache и ldap на разных компьютерах и куда могут деваться иконки (как у yujin1st) если делать apache и ldap на одном компьютере...

На счёт авторизации в ldap
галочку "Automatically append LDAP base to admin DN" надо ставить после указания пароля, если сначала поставил галочку а после указал пароль то сними и заново поставь галочку если не помогает установи ldap-utils на APACHE 192.168.0.1 и попробуй выполнить запрос к ldap серверу

ldapsearch -x -b ou=Users,dc=ituse,dc=ru -D "cn=katerina,dc=ituse,dc=ru" -w "пароль_админа_ldap(у тебя это "katerina" если я правильно понял )" "uid=*" -v 3 -h 192.168.0.3

ответом должен быть список пользователей ldap если всё хорошо то значит ошибся в пароле если нет то смотри ошибку и ищи проблему.

На счёт исчезновения иконок читай выше.
Пользователь решил продолжить мысль 20 Мая 2011, 17:52:21:

Добрый день! Пробовал по вышеуказанный статье ставить несколько раз, но момент подключения базы (db.ldif) все время не проходит. Все схемы подключены, все пятнадцать файлов с 0 по 15 имеются, пароль кодировал сам и вносил полученный. Да и ругается то на участок, который казалось бы при установке мы не трогаем.
мой db.ldif:

(Нажмите, чтобы показать/скрыть)

dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulepath: /usr/lib/ldap
olcModuleload: back_hdb
 
dn: olcDatabase={1}hdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: {1}hdb
olcSuffix: dc=ei,dc=local
olcDbDirectory: /var/lib/ldap
olcRootDN: cn=admin,dc=ei,dc=local
olcRootPW: {MD5}pIJtzRk7QWE2XXRX5n2lOA==
olcDbConfig: set_cachesize 0 2097152 0
olcDbConfig: set_lk_max_objects 1500
olcDbConfig: set_lk_max_locks 1500
olcDbConfig: set_lk_max_lockers 1500
olcDbIndex: objectClass eq
olcLastMod: TRUE
olcDbCheckpoint: 512 30
olcAccess: to attrs=sambaNTPassword,sambaLMPassword,sambaPwdMustChange,sambaPwdLastSet,userPassword by dn="cn=admin,dc=ei,dc=local" write by anonymous auth by self write by * none
olcAccess: to attrs=shadowLastChange by self write by * read
olcAccess: to dn.base="" by * read
olcAccess: to dn.subtree="" by * read
olcAccess: to * by dn="cn=admin,dc=ei,dc=local" write by * read

а это ответ на попытку загрузки конфигурации:

(Нажмите, чтобы показать/скрыть)

root@server:/etc/ldap# ldapadd -Y EXTERNAL -H ldapi:/// -f db.ldif
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
ldapadd: attributeDescription "dn": (possible missing newline after line 7, entry "cn=module,cn=config"?)
adding new entry "cn=module,cn=config"
ldap_add: Invalid syntax (21)
        additional info: objectClass: value #2 invalid per syntax

Или у меня уже глаз замылился или я что-то не понимаю. Наставьте на путь истинный.

покажи результат команды

ls -1 /etc/ldap/slapd.d/cn\=config

и прикрепи db.ldif который добавляешь, хочу на оригинал глянуть.

[bmu77]

Спасибо за ответ. К сожалению я уже ушел с работы, но присоединяемый db.ldif в первом спойлере моего сообщения. Вторую рекомендацию пока, к сожалению выполнить не могу.

[vovan1982]

Спасибо за ответ. К сожалению я уже ушел с работы, но присоединяемый db.ldif в первом спойлере моего сообщения. Вторую рекомендацию пока, к сожалению выполнить не могу.

мне нужен сам файл db.ldif, оригинал так сказать.

в спойлере вроде всё ок, но из-за чего то эта ошибка появляется, вот и хочу посмотреть непосредственно сам файл.

[bmu77]

что-то не отсылается сообщение, отсылаю повторно.

Быстро  дома повторил установку на вирт бокс, результат тот же буква в букву. Выполняю рекомендации:

вывод команды ls -1 /etc/ldap/slapd.d/cn\=config


root@server:/etc/ldap# ls -1 /etc/ldap/slapd.d/cn\=config
cn=schema
cn=schema.ldif
olcDatabase={0}config.ldif
olcDatabase={-1}frontend.ldif