[Wiki] [HOWTO] Настройка Samba 3(PDC)+OpenLDAP2.4+Gosa2.6.11 в Ubuntu 10.04

[vovan1982]

1. В общем работает  ldapmodify -Y EXTERNAL -H ldapi:///
2. получается заменили мы строку из оригинального

Код: [Выделить]

olcAccess: to attrs=sambaNTPassword,sambaLMPassword,sambaPwdMustChange,sambaPwdLastSet,userPassword by dn="cn=admin,dc=example,dc=com" write by anonymous auth by self write by * none
Вопрос в том стоило ли оставлять старый вариант?
О последствиях нового результата расскажу как узнаю =)

3. не работает ldapmodify -Y EXTERNAL -H ldapi:/// -f filename,  когда вместо строк с "минусом" вставляем пустые - он обрабатывает только первый абзац...

2. А вот заменять оригинальную строку наверное не стоило
лучше вместо

replace: olcAccess
olcAccess: to attrs=userPassword,shadowLastChange,krbPrincipalKey by dn="cn=admin,dc=example,dc=com" write by anonymous auth by self write by * none

поставить

add: olcAccess
olcAccess: to attrs=shadowLastChange,krbPrincipalKey by dn="cn=admin,dc=example,dc=com" write by anonymous auth by self write by * none

т.е. добавить новый ACL для параметров схемы kerberos, в данном случае я удалил userPassword, т.к. на него уже установлен ACL, и если на shadowLastChange тоже установлен ACL его тоже надо удалить

add: olcAccess
olcAccess: to attrs=krbPrincipalKey by dn="cn=admin,dc=example,dc=com" write by anonymous auth by self write by * none

3. естественно оно так работать не будет, чтоб добавить тоже самое через ldapmodify -Y EXTERNAL -H ldapi:/// -f filename файл должен иметь вид

dn: olcDatabase={1}hdb,cn=config
changetype: modify
add: olcDbIndex
olcDbIndex: krbPrincipalName eq,pres,sub
add: olcAccess
olcAccess: to attrs=shadowLastChange,krbPrincipalKey by dn="cn=admin,dc=example,dc=com" write by anonymous auth by self write by * none
olcAccess: to * by dn="cn=admin,dc=example,dc=com" write by * read
olcAccess: to dn.base="" by * read

не исключено что в синтаксисе есть ошибка, я не проверял, но приблизительно так

[nik01a]

Добрый день.
Имею следующую проблему: настроил систему согласно мануалу, даже ввел семерку в домен - все ок. Затем попытался завести еще один комп в домен - получил ошибку доступа. Полез на pdc, выполнил pdbedit -Lw в результате вижу для админа самбы "sid S-1-5-21-4241981146-2421261280-2048020379 does not belong to our domain" как я понимаю что-то откуда-то удалилось, хотя в госе все ок. Теперь вопрос как мне вернуть админа самбы обратно?

[vovan1982]

Добрый день.
Имею следующую проблему: настроил систему согласно мануалу, даже ввел семерку в домен - все ок. Затем попытался завести еще один комп в домен - получил ошибку доступа. Полез на pdc, выполнил pdbedit -Lw в результате вижу для админа самбы "sid S-1-5-21-4241981146-2421261280-2048020379 does not belong to our domain" как я понимаю что-то откуда-то удалилось, хотя в госе все ок. Теперь вопрос как мне вернуть админа самбы обратно?

Здравствуйте.

Сам с такой проблемой не сталкивался, поэтому не видя вашего сервера трудно что либо сказать, но исходя из поиска в интернете виной может быть параметр "domain logons" в smb.conf. чему он у вас равен?

[nik01a]

Сам с такой проблемой не сталкивался, поэтому не видя вашего сервера трудно что либо сказать, но исходя из поиска в интернете виной может быть параметр "domain logons" в smb.conf. чему он у вас равен?

domain logons = yes

плюс при при попытке залогиниться под этим юзером с виндовой машины, которая уже в домене, получаю отлуп, и в логе самбы вижу строку "User dspadmin with invalid SID S-1-5-21-4241981146-2421261280-2048020379 in passdb"

[vovan1982]

Сам с такой проблемой не сталкивался, поэтому не видя вашего сервера трудно что либо сказать, но исходя из поиска в интернете виной может быть параметр "domain logons" в smb.conf. чему он у вас равен?

domain logons = yes

плюс при при попытке залогиниться под этим юзером с виндовой машины, которая уже в домене, получаю отлуп, и в логе самбы вижу строку "User dspadmin with invalid SID S-1-5-21-4241981146-2421261280-2048020379 in passdb"

вроде всё верно, к сожалению ни чем помочь не могу, нужно копаться на сервере.

[nik01a]

вот что дает pdbedit -Lw dspadmin -v

Unix username:        dspadmin
NT username:          dspadmin
Account Flags:        [U          ]
User SID:             S-1-5-21-4241981146-2421261280-2048020379
Primary Group SID:    S-1-5-21-4241981146-2421261280-2048020379-513
Full Name:            dspadmin dspadmin

тут какой-то непонятный user SID. Как посмотреть это значение в базе ldap?

[vovan1982]

вот что дает pdbedit -Lw dspadmin -v

Unix username:        dspadmin
NT username:          dspadmin
Account Flags:        [U          ]
User SID:             S-1-5-21-4241981146-2421261280-2048020379
Primary Group SID:    S-1-5-21-4241981146-2421261280-2048020379-513
Full Name:            dspadmin dspadmin

тут какой-то непонятный user SID. Как посмотреть это значение в базе ldap?

ldapsearch -x -b ou=Users,dc=твои,dc=значения "uid=dspadmin" | grep sambaSID
Пользователь решил продолжить мысль 20 Июля 2011, 14:53:05:действительно User SID не полный, не хватает окончания

к примеру должно быть так

S-1-5-21-4241981146-2421261280-2048020379-1000

[nik01a]

ldapsearch -x -b ou=Users,dc=твои,dc=значения "uid=dspadmin" | grep sambaSID выдает sambaSID:: Uy0xLTUtMjEtNDI0MTk4MTE0Ni0yNDIxMjYxMjgwLTIwNDgwMjAzNzktMzAwMCA= как это сопоставить с тем что выдает pdbedit?

[vovan1982]

ldapsearch -x -b ou=Users,dc=твои,dc=значения "uid=dspadmin" | grep sambaSID выдает sambaSID:: Uy0xLTUtMjEtNDI0MTk4MTE0Ni0yNDIxMjYxMjgwLTIwNDgwMjAzNzktMzAwMCA= как это сопоставить с тем что выдает pdbedit?

"dc=твои,dc=значения" на свои менял?

ответом должно было быть что то типа

sambaSID: S-1-5-21-2302747472-2920907650-383109413-1000

[nik01a]

ldapsearch -x -b ou=Users,dc=твои,dc=значения "uid=dspadmin" | grep sambaSID выдает sambaSID:: Uy0xLTUtMjEtNDI0MTk4MTE0Ni0yNDIxMjYxMjgwLTIwNDgwMjAzNzktMzAwMCA= как это сопоставить с тем что выдает pdbedit?

"dc=твои,dc=значения" на свои менял?

ответом должно было быть что то типа

sambaSID: S-1-5-21-2302747472-2920907650-383109413-1000

конечно менял - получил шифровку что привел выше)

[vovan1982]

складывается впечатление что sambaSID у тебя зашифрован, попробуй выполнить команду по другому пользователю

[nik01a]

складывается впечатление что sambaSID у тебя зашифрован, попробуй выполнить команду по другому пользователю

для других юзеров все ок: SID цифровой и в том формате как должен быть
Может есть способ ручками поменять юзеру SID, либо удалить его из базы и добавить, но тогда наверно и самба рухнет

[vovan1982]

складывается впечатление что sambaSID у тебя зашифрован, попробуй выполнить команду по другому пользователю

для других юзеров все ок: SID цифровой и в том формате как должен быть
Может есть способ ручками поменять юзеру SID, либо удалить его из базы и добавить, но тогда наверно и самба рухнет

удалять админа самба не стоит а вот поменять ручками конечно можно, но как перезаписать значение конкретного параметра я не вкурсе, ещё не доводилось такое делать, думаю тебе с этим гугл поможет

либо как вариант попробуй в Госа для этого пользователя зайти на вкладку samba сначала удалить самба настройки, кнопка "Remove samba settings", сохранить, а потом заново создать. За результат я не ручаюсь, делай на свой страх и риск , это всего лишь предположение.

[nik01a]

все спасибо! помог последний вариант

[ArtemSM]

Хорошая статья, очень помогла! но вопрос все же есть, по форуму:

кстати в /etc/ldap/slapd.d/cn=config/olcDatabase={1}hdb.ldif в пароле md5 не должно быть, при добавлении базы в ldap он его ещё раз шифрует,
извиняюсь  за дезинформацию ошибся

в этом месте пароль должен быть шифрованый но без {MD5}, не шефрованый или как у меня olcRootPW: {MD5}rhC7fFQr/XXXXIcUUz3fA==