[Wiki] [HOWTO] Настройка Samba 3(PDC)+OpenLDAP2.4+Gosa2.6.11 в Ubuntu 10.04

[OlegRa]

Добрый день.
Немного был занят. суффикс - точно такой же как и прописывал dc=most
Запустил заново установку, думал, что не нравится что только most, сделал most.local
Результат - опять та же козья морда.

Причём на этапе установки "LDAP connection setup" пишет:
"Bind as user 'cn=admin,dc=most,dc=local' to server 'ldap://ldap-srv.most.local:389' succeeded!" 

(Proxmox -> ubuntu server 10.04 LTS -> DNS + LAMP)

[bigov]

У вас в описании нет расширения в имени модуля:

... создаём файл db.ldif

>db.ldif

следующего содержания:

dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulepath: /usr/lib/ldap
olcModuleload: back_hdb

У меня работает только при указании имени модуля с раширением:

Код: [Выделить]

...
olcModuleload: back_hdb.la
...

Может об этом уже и говорилось где-то н одной из 19 страниц, но я не нашел 

[OlegRa]

Печально, но факт.
Fatal error - Это просто глюк. 
"Ничего не сдалал, да?" - только переустановил всё заново.
- заработало   
Даже понять где-что пропустил - не могу, как в букваре "пальчиком водил", но результат налицо - работает.
(может действительно, не любит имена доменов без .local ?)
Раз пошла такая пьянка... - буду пробовать поставить gosa 2.7

[vovan1982]

(может действительно, не любит имена доменов без .local ?)

к сожалению по этому поводу ничего сказать не могу, сам ни разу не пробовал задавать имя домена состоящее из одного уровня, а на эксперименты к сожалению сейчас нет времени.

Раз пошла такая пьянка... - буду пробовать поставить gosa 2.7

Удачи

[bigov]

может действительно, не любит имена доменов без .local ?

У меня аналогичный случай. Только в моей сети технологический домен первого уровня - все серваки я именую: sr1.local, sr2.local, но это так - несущественные детали. Смысл в том, что мне не удалось в таком виде поднять описанный сервис - пришлось расширять имя домена до третьего уровня.

Коллеги, я не получил ответ - в файле "db.ldif" в строке с именем модуля надо ли указывать расширение

Код: [Выделить]

...
olcModuleload: back_hdb.la
...
 или в используемой автором версии работает без указания расширения -

Код: [Выделить]

...
olcModuleload: back_hdb
...
Хочется выяснить - это мой глюк, особенности свежей версии или просто описка у автора статьи?

[vovan1982]

Ну то что это не описка это точно, я уже не однократно проходил все этапы в статье и всегда эту строку указывал без расширения.
Если у вас непонятно почему не хочет работать без расширения тогда указывайте его, суть этой строки в том чтоб ldap подгрузил модуль back_hdb, если у вас по какой то причине модуль подгружается только при указании расширения то думаю в этом нет ничего критичного.
Вот только я с такой проблемой пока ещё не сталкивался, по этому сказать с чем это связано не могу.

[OlegRa]

Код:
...
olcModuleload: back_hdb
...

Честно говоря, я не ручками забивал, а просто копировал, сначала в текстовый файл, исправлял на свои реквизиты потом вставлял в командную строку.
Соответственно - имя без расширения. как есть.

[yujin1st]

Доброго времени суток.
После стомиллионной попытки наконец вроде работает, но есть несколько  моментов:
1. По ходу инсталляции мы устанавливаем сначала пароль на ldap, потом на самбу - однако у вас он один и тот же идет  - secret. В принципе - ничего страшного.
1.1  В самом начале в файл db.ldif мы вставляем результат slappasswd -h {MD5} -s secret.
Потом на этапе добавления ldapadd -x -D cn=admin,dc=home,dc=net -W -f sambadb.ldif возникает ошибка  ldap_bind: Invalid credentials (49) и вы советуете поменять хеш пароля в файле /etc/ldap/slapd.d/cn=config/olcDatabase={1}hdb.ldif - а ведь это же другой файл. Оно, конечно, заработало, но, тем не менее, не понятно что откуда берется.

2. Некоторое время назад я спрашивал про встроенную справку - возникала ошибка. Проблема оказалась  в том что русской справки не существует ни в дистрибутивах (/usr/share/gosa/core/ru/html/users/ ), где он ее ищет (ибо мы установили русскую версию), ни на сайте. Доступны - английская, немецкая, французкая и испанская. Выбрав для себя английскую я просто скопировал файлы из нее в русский каталог: cp -r /usr/share/gosa/core/en /usr/share/gosa/core/ru

3. Можете посоветовать хороший материал по Ldap?
После установки в Отделениях (Departments) есть две записи - Computers и Idmap.
Насколько понимаю сюда добавляются сами отделы: ИТ, бухгалтерия, менеждеры, это так?
И здесь возникаем вопрос: при добавлении нового отдела - нужно указать  Базу (Base) - там по умолчанию стоит корень ("/") и можно выбрать как раз те две записи Computers и Idmap, то есть в итого это что такое?


4. Домашние папки и перемещаемые профили...  и acl вместе с ними. -  где есть хорошие мануалы на данную тематику?
Вопрос в следующем:
В госе объявляю, что домашняя папка в \\DOMAIN\home\user (диск z:) а профиль в \\DOMAIN\profiles
Windows не ругается при входе в систему, но "материться" при выходе - нет доступа. Ставил права в файловой системе на 777 - то же самое
Папка тоже не доступна, хотя диск видит.
При этом как указать что владелец папки пользователь созданный в госе?
И насколько понимаю все это перекликается с тем, что на этапе заполнения установки smbldap-tools мы отказывались от домашних папок.

5. Мы в ldap добавляли информацию о сертификатах.
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem

Вопрос в том как это сделать через файл, ибо набирать руками... Проблема в том что если все добавить в файл, скажем, key.ldif, то потом выполнять ldapmodify -Y EXTERNAL -H ldapi:/// -f key.ldif он не хочет.

7. Был ли опыт подключения Mac OS к доменам на самбе?

[vovan1982]

Здравствуйте yujin1st

1. Один и тот же для того чтоб было легче при настройке в первый раз, после того как разобрался это уже личное дело каждого какие пароли где ставить, главное не запутаться в них, из-за чего может вылезти куча ошибок.

1.1 Что то я уже забыл где и когда это было, напомните по подробней для восстановления полной картины.

2. Спасибо вам за работу, думаю кому нибудь это обязательно пригодится

3. В конце статьи указаны ссылки, там есть неплохие материалы по ldap, но если вы хотите действительно разобраться в ldap то купите книгу, на сколько я знаю они есть на русском, на мой взгляд ни одна статья в интернете не поможет разобраться так как поможет книга.
На счёт Computers и Idmap вы не правильно поняли. в них ничего создавать не нужно да и трогать их вообще не надо, в Computers хранятся данные о компьютерах добавленных в домен, Idmap нужен для samba и прописывается в конфиге samba. Просто при мигрировании данных в процессе настройки gosa эти параметры определяются как Departments. В принципе их можно и не мигрировать, Computers мы указываем при настройке gosa в разделе GOsa settings 2/3, а Idmap непосредственно к gosa отношения не имеет.

4. Как я уже говорил ранее, к сожалению ни чем помочь не могу, так как ни домашними папками ни переносимыми профилями ни acl  не пользуюсь.

5.

Код: [Выделить]

dn: cn=config
changetype: modify
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem

dn: cn=config
changetype: modify
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/твой_сертификат.pem

dn: cn=config
changetype: modify
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/твой_ключ.pemтока лишних пробелов в пустых строках не наставь, а то работать не будет

6. А где 6-й вопрос

7. Лично у меня, нет.
Пользователь решил продолжить мысль 08 Июля 2011, 14:40:27:Сегодня копался на своём сервере и наткнулся на скрипт который я написал при написании статьи, этот скрипт автоматизирует 1-й раздел статьи по настройке ldap. При написании статьи приходилось часто ставить всё с нуля, для проверки, и для того чтоб не выполнять одни и те же действия по настройке ldap и был написан этот скрипт.

Представляю этот скрипт вашему внимаю

Перед выполнение этого скрипта зайдите в него и измените начальные значения на свои.

ВНИМАНИЕ!!!!!!!!!!!!!!!
Скрипт не имеет контроля ошибок, если при выполнении на каком либо этапе возникнет ошибка, скрипт не остановит свою работу что приведёт к ещё большим ошибкам.
Результат выполнения скрипта не возможно откатит автоматически, все сделанные изменения скриптом придётся удалять в ручную.
Используйте скрипт только на свежеустановленной системе.
Не используйте скрипт на уже работающей системе.
Используйте данный скрипт на свой страх и риск.

Если есть желающие довести данный скрипт до ума, то буду только признателен
К сожалению сам на данный момент довести его до ума не могу, нет времени.

[yujin1st]

Доброго времени суток vovan1982
1.1 Первый раздел, после изменения кучи файлов мы создаем db.ldif

3. А можете что-то кокретное, проверенное, подсказать
5. Эх, я в man'е увидел что нужно эти дефисы ставить  (-), но не сработало
6. А шестой я сам пропустил =)

Где же вы раньше со скриптом были? Я не знал как файлы можно редактировать было... приходилось ручками, а так остается вопрос как автоматизировать  две вещи:
- apt-get install libnss-ldap
- перл-скрипт /usr/share/doc/smbldap-tools/configure.pl  

8. (new) При всем этом возникал вопрос, что произойдет если устанавливать госу пакетом через apt?
9. (new) В конце установке, для того чтобы госа могла исполнять файлы, мы даем пользователю www-data возможность повышать права, при этом без пароля. Не кажется ли это немного небезопасным? Ладно если сервер виден только в локалке, но если обратная ситуация, да еще если подняты сайты...

[kolyan_k]

день добрый! неужели ни у кого нету  клиентов  на  windows 7 ??
как вводить  7 в  домен??

[yujin1st]

день добрый! неужели ни у кого нету  клиентов  на  windows 7 ??
как вводить  7 в  домен??

Win 7 У меня есть =)
В отличие от XP, на текущий момент вводиться не хочет. (Причину точно сейчас не помню - кажется, после проверки пароля говорит что нет такого сервера).
Сейчас я разбираюсь с сетевыми профилями, позже с клиентами на mac os и после буду искать решение для семерки.

[kolyan_k]

день добрый! неужели ни у кого нету  клиентов  на  windows 7 ??
как вводить  7 в  домен??

Win 7 У меня есть =)
В отличие от XP, на текущий момент вводиться не хочет. (Причину точно сейчас не помню - кажется, после проверки пароля говорит что нет такого сервера).
Сейчас я разбираюсь с сетевыми профилями, позже с клиентами на mac os и после буду искать решение для семерки.

да вы правы  говорит что указанный домен не существует или к нему невозможно подключиться

[yujin1st]

Думаю окажется полезным:

Через несколько дней после подъема сервер возникла проблема: Клиенты XP начали при загрузке перед входом в систему выдавать ошибку "В сети обнаружены совпадающие имена". И отказывались входить под учетной записью  домена. Однако войдя под локальной, все прекрасно видели, и входили по сетевой записью.
Проблема оказалась в том что в smb.conf совпадали два параметра - они должны быть разными не только по регистру.

Код: [Выделить]

[global]
        workgroup = EXAMPLE
        netbios name = example
Хотя в статье было правильно указано

Код: [Выделить]

[global]
        workgroup = EXAMPLE
        netbios name = pdc
То есть по факту мы входим в домен workgroup, а позже входим на сервер и прикрепляем сетевые профили по адресу \netbios_name.


В процессе поисков была также обнаружена команда для консоли Windows "nbtstat", которая показывает dns, netbios и wins преобразования ip-адресов в сети.

Пользователь решил продолжить мысль 15 Июля 2011, 15:05:58:Возник вопрос: может ли GOsa работать с параметрами samba? По крайней мере мне не удалось их завести.
В результате привязку домашних каталогов, профилей и скриптов я сделал правкой  в smb.conf:

Код: [Выделить]

  logon home = \\DOMAIN\home\%U
  logon path = \\DOMAIN\home\%U\$a #разные профили для разных клиентов
Плюсом этой правки служит то, что теперь не надо переопределять в GOse эти поля (хотя и можно было сделать это шаблонами)

PS:
1. Интересно как именно GOsa переопределяет различные данные от самбы своими?
2. Позже напишу про отделение документов, рабочего стола от профилей разных систем, а также стартовые скрипты.

[kolyan_k]

Люди  дак что  делать  с  это  windows 7 ? никто не знает как с ней  бороться ??
после  манипуляций  с реестром "[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters]
DomainCompatibilityMode=dword:00000001
DNSNameResolutionRequired=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Netlogon\Parameters]
RequireSignOrSeal=dword:00000001
RequireStrongKey=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces]
Domain=example.ru
NV Domain=example.ru
Где example.ru - это имя домена вашей сети. "
7 входит в домен НО НО
когда  пытаюсь зайти под  доменной  записью  выдает  следущие
" не удается установить доверительные отношения между этой рабочий станцией и основным доменом"
на  sambe   дает такую ошибку 

rejecting auth read_fd_with_timeout