[Wiki] [HOWTO] Настройка Samba 3(PDC)+OpenLDAP2.4+Gosa2.6.11 в Ubuntu 10.04

[yujin1st]

Моя цель сделать единый сервер для клиентов разных систем ( win,mac, nix)
И если поднятый домен работает хорошо для windows клиентов, то вот с маками пока облом.


Я вижу две возможых ситуации:
1. Mac,nix работают напрямую c базой Ldap, win клиенты работают через самбу (в роле домена)
В этом случае для всех нужны свои схемы и следовательно свои параметры. Возникают вопрос, как это админстрировать?

2. Все клиенты работают через самбу (в роле домена).
Макинтоши думают что они в среде Windows поэтому не требуют дополнительных настроек.
Когда мак подключается к домену ему нужен Kerberos.
Я, если быть честным, не совсем понял как он работает: Керберос работает постоянно между самбой и клиентами или он работает только на аутентификацию? Вопрос в том, как настраивать его:  привязать самбу к базе кербероса, а его самого к базе Ldap ?

И еще одни глупый вопрос: В каком месте самба узнает что нужно брать данные из базы ldap? Как понимаю сточка  passdb backend = ldapsam:ldap://localhost означает лишь аутентификацию. Да, мы ставили smbldap-tools, но где связь?

[ram3z]

Ubuntu 10.04
При попытке установить пароль для администратора самба в LDAP выдал ошибку:
Could not start_tls: Failed to open Private Keyerror:02001002:system library:fopen:Нет такого файла  at /usr/share/perl5/smbldap_tools.pm line 341.
Поправил /etc/smbldap-tools/smbldap.conf
При следующей попытке выдал ошибку
No such object at /usr/share/perl5/smbldap_tools.pm line 406, <DATA> line 466
Может кто помочь?

[Wtulich]

Не получается завести домен в домен, уже наверное раз 15 пробовал, один и тот же результат:
root@dc:/home/vtulich# net rpc join -U vtulich
Enter vtulich's password:
Creation of workstation account failed
Unable to join domain TERRA

root@dc:/home/vtulich# testparm
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC

root@dc:/home/vtulich# net groupmap list
Domain Admins (S-1-5-21-3176657001-3851809016-485406465-512) -> 512
Domain Users (S-1-5-21-3176657001-3851809016-485406465-513) -> 513
Domain Guests (S-1-5-21-3176657001-3851809016-485406465-514) -> 514
Domain Computers (S-1-5-21-3176657001-3851809016-485406465-515) -> 515
Administrators (S-1-5-32-544) -> 544
Account Operators (S-1-5-32-548) -> 548
Print Operators (S-1-5-32-550) -> 550
Backup Operators (S-1-5-32-551) -> 551
Replicators (S-1-5-32-552) -> 552

pdbedit -Lw vtulich -v    - показывает правильный SID

[FristaiL]

РЕШЕНО:
в самом начале статьи, там где "Копируем в /usr/share/gosa" скопировалось целым каталогом "gosa-complete-2.6.12". Видимо из-за того что раньше уже баловался с GOSA. Таким образом эта ошибка вылазит если ранее стояла древняя GOSA и новые файлы не переписались вместо старых.

В общем то решение в этом посте так и не прочел, что я сделал, когда у меня образовалась подобная ошибка Fatal error: Cannot redeclare class writeexcel_biffwriter in /usr/share/gosa/include/utils/excel/class.writeexcel_biffwriter.inc.php on line 27 после установки по статье снес все в каталоге /usr/share/gosa/ (естественно под root), выполнил повторно несколько шагов инструкции:

(Нажмите, чтобы показать/скрыть)

1.Первым делом скачиваем Gosa 2.6.13 с оф. сайта. В ней находится ряд схем которые понадобятся при настройке LDAP.
wget -P /tmp http://oss.gonicus.de/pub/gosa/gosa-combined-2.6.13.tar.bz2
2. Распаковываем содержимое архива
tar xjf /tmp/gosa-combined-2.6.13.tar.bz2 -C /tmp
Следующий шаг у меня скопировал не содержимое папки gosa-combined-2.6.13 в папку /usr/share/gosa а именно саму папку с содержимым (хотя файлы GOSA находились в папке как и должны, так и не понял откуда взялись):
Копируем в /usr/share/gosa
cp -R /tmp/gosa-combined-2.6.13 /usr/share/gosa
Поэтому я его пропустил, зашел под root через mc и вручную скопировал содержимое папки /tmp/gosa-combined-2.6.13 в папку /usr/share/gosa
3. Заходим в каталог с gosa и запускаем update-gosa
cd /usr/share/gosa/ && ./update-gosa
4. Обновляем интернационализацию gosa
./update-gosa rescan-i18n
5. Перезагружаем apache
/etc/init.d/apache2 restart
6. Заходим на сервер через браузер
http://ваш_сервер/gosa
Вводим логин, пароль.
Вуаля!!! Все работает!!!
Естественно файл настроек как по инструкции должен быть на месте

Поправьте пожалуйста HOWTO пункт "Копируем в /usr/share/gosa
cp -R /tmp/gosa-combined-2.6.13 /usr/share/gosa" - строка некорректна!

P.S. 4 сутки курение [Wiki] [HOWTO] Настройка Samba 3(PDC)+OpenLDAP2.4+Gosa2.6.11 в Ubuntu 10.04 продолжается, костыли: 1 перестановка сервера, 1 восстановление GRAB после некорректной очистки винчестера от Linux+игр с винтами, вход win систем в домен сопровождается руганью на невозможность открыть/сохранить профиль - поиграл с пунктом ХАУТУ Запускаем скрипт конфигурации smbldap-tools результат еще не смотрел.
Результат: остановился на строчке Ну вот собственно и всё. Надеюсь кому нибудь эта информация пригодится уфффф... теперь рулим вэб-мордой gosa и результатом полученного сервера.

АФтору статьи огромный респект!

[toretto-90]

Когда добавляю db.ldif, получаю сообщение :
ldap_add: Other (e.q., implementation specific) error (80)
             additional info: <olcModuleLoad> handler exited with 1
в /etc/ldap/slapd.h/cn=conf/cn=schema все пятнадцать с 0 до 14
как быть?

[lioncub]

не знаю, может кто делился ссылочкой, но есть ответвление проекта www.fusiondirectory.org

[funakoshi]

Всем привет.
Пытаюсь настроить все по мануалу из вики. Дохожу до пункта



"Вводим в консоли
ldapmodify -Y EXTERNAL -H ldapi:///
затем вставляем следующее:
dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap01_slapd_cert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_slapd_key.pem
После чего жмём дважды enter должна появится надпись modifying entry «cn=config» и Ctrl+D для выхода."


Но вместо  "появится надпись modifying entry «cn=config» и Ctrl+D для выхода"  пишет следующее:
modifying entry "cn=config"
ldap_modify: Inappropriate matching (18)
additional info: modify/add: olcTLSCertificateKeyFile: no equality matching rule


Гугл выдает результаты на вражеском, а у меня с ним не очень.
Чего хочет эта зараза?

[niksan321]

нашёл неточность в мануале там где написано:
Дадим группе Domain Admins права администратора домена для этого выполним следующее:

net rpc rights grant "Domain Admins" SeMachineAccountPrivilege SeTakeOwnershipPrivilege \
SeBackupPrivilege SeRestorePrivilege SeRemoteShutdownPrivilege SePrintOperatorPrivilege \
SeAddUsersPrivilege SeDiskOperatorPrivilege -Uadmins%secret

в последней строчке должно быть:
SeAddUsersPrivilege SeDiskOperatorPrivilege -U admins%secret      (пробел забыли)

и коли написал пост, спрошу, у вас в некоторых местах встречается пользователь admin, а в некоторых admins, я так понимаю admins это админ самбы?

ЗЫ: только с 3го раза дошёл до этого места, вечно из-за недосмотров что-то не пахало :-) тяжёлый мануал, длинный, СПАСПАСИБО вам за труд

[KapitanNemo]

Доброго времени суток.
Откуда гоша NTP берет?
При добавлении записи типа "рабочая станция" ругается на его отсутствие. В списке на добавление пусто.
Интересует как и где он прописывается.
 
Пользователь решил продолжить мысль 17 Ноября 2011, 12:10:42:Уже нашел.
Просто надо добавить сервер и там указать Servises добавить NTP.

[KapitanNemo]

Пытаюсь добавить машинку или сервер через Гошу. Получаю:

LDAP modify operation failed!

Object: cn=samba,ou=servers,ou=systems,ou=Computers,dc=apexltd,dc=com,dc=ua,dc=inc

Error: Invalid syntax - objectClass: FAIobject (objectClass: value #4 invalid per syntax, while operating on 'cn=samba,ou=servers,ou=systems,ou=Computers,dc=apexltd,dc=com,dc=ua,dc=inc' using LDAP server 'ldap://localhost:389')


LDAP modify operation failed!

Object: cn=nautilus,ou=workstations,ou=systems,ou=Computers,dc=apexltd,dc=com,dc=ua,dc=inc

Error: Invalid syntax - objectClass: FAIobject (objectClass: value #3 invalid per syntax, while operating on 'cn=nautilus,ou=workstations,ou=systems,ou=Computers,dc=apexltd,dc=com,dc=ua,dc=inc' using LDAP server 'ldap://localhost:389')

Получается ou ненужные добавляются. Где копать?

[stasikus]

Здравствуйте, столкнулся с проблемой на уровне установки sambа, а именно "Запускаем скрипт конфигурации smbldap-tools" и на скрипт
perl /usr/share/doc/smbldap-tools/configure.pl

оно мне выдает
Global symbol "$SID" requires explicit package name at /usr/share/doc/smbldap-tools/configure.pl line 350.
Execution of /usr/share/doc/smbldap-tools/configure.pl aborted due to compilation errors.

подскажите в чем там ошибка может быть!?

[KapitanNemo]

1)apt-get install samba samba-doc smbldap-tools
2)gzip -d /usr/share/doc/smbldap-tools/configure.pl.gz
3)perl /usr/share/doc/smbldap-tools/configure.pl
На первом втором пункте все чисто ничего не ругается?
Второе скрипт запускается под sudo?
Третье самба запустилась или нет?
Четвертое зайди в /ect/smbldap-tools/smbldap.conf
И поправить руками SID:
Его значение возьми командой getlocalsid
Вообщемто этот скрипт просто правит этот файлик, его можно и руками править там хорошие комментарии.
Но думаю что всетаки проблемы с Самбой.

[stasikus]

ну во-первых у меня нету файла configure.pl.gz.... не знаю почему... таки да, я установил самбу и ошибок не было... и еще в дирректории /ect/smbldap-tools/ пусто... я сам создал файлы

[KapitanNemo]

Не могло не ругаться если нет configure.pl.gz. Если его нет то у тебя либо нет соединения с инетом, либо проблем при закачке файла.
gzip -d /usr/share/doc/smbldap-tools/configure.pl.gz
Он просто распаковывает то что ты скачал
apt-get install

[stasikus]

действительно была где-то наверно ошибка, но сейчас я делаю на Ubuntu 10.04 и все там прошло гладко... но теперь у меня возникла ошибка в другом месте не далеко убежал, сразу же после заполнения данных самбы, я пытаюсь делать все так как на примере, нигде своих хостов не ставлю и т.п. ну тобишь у меня хост ldap01 ну и на запрос
net getlocalsid ldap01 ответ

root@stasikus:/etc/ldap# net getlocalsid ldap01
[2011/11/26 16:17:17,  0] utils/net.c:166(net_getlocalsid)
  Can't fetch domain SID for name: ldap01