[Wiki] [HOWTO] Настройка Samba 3(PDC)+OpenLDAP2.4+Gosa2.6.11 в Ubuntu 10.04

[krirll_025]

Всем привет!

Делаю настройку сервера согласно инструкции, и добрался до момента

"Заполняем нашу базу
ldapadd -x -D cn=admin,dc=example,dc=com -W -f sambadb.ldif\
ввел пароль выдало
adding new entry "dc=example,dc=com"
ldap_add: Already exists (68)

Устанавливаем пароль администратору samba в LDAP
smbldap-passwd -a admins
А вот после этой команды вышла ошибка

Changing UNIX and samba passwords for admins
New password:
Retype new password:
Argument "" isn't numeric in multiplication (*) at /usr/sbin/smbldap-passwd line 218, <STDIN> line 2.
Failed to modify UNIX password: shadowMax: value #0 invalid per syntax at /usr/sbin/smbldap-passwd line 285, <STDIN> line 2.
root@server01:/etc/ldap#

В следующем шаге тоже ошибка
Добавим нового пользователя
smbldap-useradd -a -P username"

root@server01:/etc/ldap# smbldap-useradd -a -P user1
Error looking for next uid in sambaDomainName=EXAMPLE,dc=example,dc=com:No such object at /usr/share/perl5/smbldap_tools.pm line 1174, <DATA> line 466.

Вроде до этого места все гладко шло, а тут прям не знаю куда рыть, может кто подскажет

[kolyan_k]

день  добрый!  хочу  поделиться  ситуацией  которая  возникла у меня... , а  заодно и  узнать  ответ на  вопрос сколько  времени  живут  сертификаты cakey.pem  ldap01_slapd_key.pem  ldap01_slapd_cert.pem,  настраивал  данную  систему    1,5 года назад  все  работало   без каких  либо  проблем, до  вчерашнего  дня,  весь домен  стал  в ступор  , авторизация  пользователей  проходила   очень  долго, сетевое  окружение  не  отображалось,   после  перезагрузки  PDC  вход  для  пользователей  вообще  стал  писать  что   данный  домен  не доступен или  невозможно  подключиться...
в  логах  постоянно  сыпалась  ошибка "Failed to  issue the StarrtTLS instruction connect error"  причем  на  ровном  месте....
первым  делом  отключил  в  samba  пункт
ldap ssl = off  желаемого  результата не  дало, стал перебирать   конфигурацию остановился   на  моменте smbldap-passwd -a admins  в  котором  сыпалась  ошибка
Could not start_tls: Failed to open Private Keyerror:02001002:system library:fopen:Нет такого файла  at /usr/share/perl5/smbldap_tools.pm line 341.
в  одном из  постов  Автор  писал  про  не  правильность  путей  выше   памянутых  сертификатов, решено  было проделать  данную часть  мануала заново

apt-get install gnutls-bin
Создаём ключ для Certificate Authority (CA)
sh -c "certtool --generate-privkey > /etc/ssl/private/cakey.pem"
Создаём файл /etc/ssl/ca.info
cd /etc/ssl && >ca.info
следующего содержания
cn = Example Company
ca
cert_signing_key
Example Company меняем на своё
Теперь создаём self-signed CA сертификат
certtool --generate-self-signed --load-privkey /etc/ssl/private/cakey.pem \
--template  /etc/ssl/ca.info --outfile /etc/ssl/certs/cacert.pem
Создаём закрытый ключ для нашего сервера При создании замените ldap01 на hostname вашего сервера
sh -c "certtool --generate-privkey > /etc/ssl/private/ldap01_slapd_key.pem"
Чтобы подписать сертификат сервера с СА, создадим файл /etc/ssl/ldap01.info
>/etc/ssl/ldap01.info
следующего содержания (При создании замените ldap01 на hostname вашего сервера):
organization = Example Company
cn = ldap01.example.com
tls_www_server
encryption_key
signing_key
Создаём сертификат для сервера (При создании замените ldap01 на hostname вашего сервера)
certtool --generate-certificate --load-privkey /etc/ssl/private/ldap01_slapd_key.pem \
--load-ca-certificate /etc/ssl/certs/cacert.pem --load-ca-privkey /etc/ssl/private/cakey.pem \
--template /etc/ssl/ldap01.info --outfile /etc/ssl/certs/ldap01_slapd_cert.pem
Теперь мы имеем certificate, key, и CA cert для установки, используем утилиту ldapmodify для добавления новых опций в конфигурацию
Вводим в консоли
ldapmodify -Y EXTERNAL -H ldapi:///
затем вставляем следующее:
dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap01_slapd_cert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_slapd_key.pem

после  сей операции  домен  заработал  в  прежнем  режиме!!
Соответственно можно  узнать  как-нибудь срок  жизни  сертификатов? (может  я  просто не знаю )
что  касается  стабильности  нареканий   нет вообще! (за  исключением  выше  написанного)

[Zimelya]

Здравствуйте,
у меня Ubuntu 10.10
возникали проблемы при запуске ../configure.pl line 350

решил таким образом
заменил SID=/"$SID/" На SID=/"мой sid/" 
и в строках 314 и 315 , перед знаком $  поставил \
 #\$Source: /opt/cvs/samba/smbldap-toos/configure.pl,v \$
 #\Id: configure.pl 26 2010-11-15 14:28:01z mm1 \$
строки 527 и 532, добавил \ перед "
 #Allows not to use smbldappasswd (if with_smbpasswd=\"0\" in smbldap.conf) bat 
 #Allows not to use slappasswd ( if with_slappasswd = \"0\" in smbldap.conf)

___________________

Но у меня возникла проблема при выполнении pdbedit -Lw
выдает

nobody:65534:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:[U          ]:LCT-00000000:

когда пытаюсь добавить пользователя

smbldap-useradd -a -P admins
Could not start_tls: SSL connect attempt failed because of handshake problemserror:00000000:lib(0):func(0):reason(0) at /usr/share/perl5/smbldap_tools.pm line 341.

отключил TLS

Error looking for next uid in sambaDomainName=admixer,dc=admixer,dc=local:No such object at /usr/share/perl5/smbldap_tools.pm line 1174.

----------------------------

разобрался

выполнил
sudo adduser --shell /bin/false 'name'

и после

pdbedit -aw admins

и все появилось

[Solodoron]

Доброго всем дня.
Ребята помогите пожалуйста. Я новичок в этом.  Я застрял на настройке LDAPa.

"Копируем схему samba в каталог /etc/ldap/schema
cp /usr/share/gosa/contrib/openldap/samba3.schema /etc/ldap/schema/"

когда я копирую, он говорит, что дирекции не существует. /usr/share/gosa - в этой дирекции находится gosa-combined-2.6.13. я так понимаю в эту дирекцию он должен быть установлен ?

[nik01a]

Присоединяюсь к вопросу kolyan_k по поводу сертификатов: как увеличить срок их действия?

[ivanov_ivan]

Кто-нибудь пробовал установить это на ubuntu 12.04?

[l.pasha.v]

Здравствуйте,
спасибо vovan1982 за подробное руководство и  neutrolino за мануал ввода linux в домен.

Теперь осталось решить пару проблем:

• Win машины вводятся в домен отлично, но авторизация под  доменной учеткой проходит не сказу, т. е. после включения компа должно пройти какое-то время чтоб запустил, пишет «Не удалось подключиться к домену, либо потому, что контроллер домена не работает или недоступен по другой причине...», при этом эту же машину можно вывести из домена и ввести по новой, но доменные учетки не работают. Через некоторое время начинает запускать нормально...
  
• ubuntu server 10.04 ввел в домен без проблем, авторизация проходит сразу, правда если добавить нового пользователя, то комп надо перезагрузить чтоб он его увидел. Но не получается расшарить папки самбой, шаринги появляются но авторизация не проходит.

Никто с подобным не сталкивался?

[fluf]

Кто-нибудь пробовал запускать логон-скрипты в зависимости от участия юзера в группах?
Пробовал и через vbs-скрипты и с помощью kixtart -- не видят группы кроме праймари. При этом юзер может спокойно менять права на свой файл -- то есть все группы прекрасно видно

[linux4ever]

Где взять файл createuserfolder.sh ?

[kolyan_k]

День добрый подскажите  что  может  быть не  одна машина не может войти в домен а  syslog  следующее

_netr_ServerAuthenticate3: netlogon_creds_server_check failed

[Natan4ik]

Пробую установить на 12.04, все идет как по маслу, даже подозревать начал что где-то проблема. Так оно и вышло.
На этапе установки самбы все хорошо.

root@studentldap:/# apt-get install samba samba-doc smbldap-tools
Чтение списков пакетов… Готово
Построение дерева зависимостей       
Чтение информации о состоянии… Готово
Предлагаемые пакеты:
  openbsd-inetd inet-superserver ldb-tools ctdb samba-doc-pdf
НОВЫЕ пакеты, которые будут установлены:
  samba samba-doc smbldap-tools
обновлено 0, установлено 3 новых пакетов, для удаления отмечено 0 пакетов, и 0 пакетов не обновлено.
Необходимо скачать 0 B/10,0 MB архивов.
После данной операции, объём занятого дискового пространства возрастёт на 30,6 MB.
Предварительная настройка пакетов ...
Selecting previously unselected package samba.
(Чтение базы данных ... на данный момент установлено 37563 файла и каталога.)
Распаковывается пакет samba (из файла .../samba_2%3a3.6.3-2ubuntu2.3_i386.deb)...
Selecting previously unselected package samba-doc.
Распаковывается пакет samba-doc (из файла .../samba-doc_2%3a3.6.3-2ubuntu2.3_all.deb)...
Selecting previously unselected package smbldap-tools.
Распаковывается пакет smbldap-tools (из файла .../smbldap-tools_0.9.7-1ubuntu1_all.deb)...
Обрабатываются триггеры для ureadahead ...
Обрабатываются триггеры для ufw ...
Обрабатываются триггеры для man-db ...
Настраивается пакет samba (2:3.6.3-2ubuntu2.3) ...
Generating /etc/default/samba...
update-alternatives: используется `/usr/bin/smbstatus.samba3' для предоставления `/usr/bin/smbstatus' (smbstatus) в автоматический режим.
smbd start/running, process 1685
nmbd start/running, process 1719
Настраивается пакет samba-doc (2:3.6.3-2ubuntu2.3) ...
Настраивается пакет smbldap-tools (0.9.7-1ubuntu1) ...

Но как только начинаю выполнять второй пункт, не находит файл configure.pl.gz

root@studentldap:/# gzip -d /usr/share/doc/smbldap-tools/configure.pl.gz
gzip: /usr/share/doc/smbldap-tools/configure.pl.gz: No such file or directory

каталог /etc/smbldap-tools пуст.

что не так? где ошибка? сколько не читал форума, так ответа и не нашел. А может просто и не заметил
P.S.: извиняюсь если проглядел, буду признателен на ссылочку или совет что с этим делать...

[kolyan_k]

Пробую установить на 12.04, все идет как по маслу, даже подозревать начал что где-то проблема. Так оно и вышло.
На этапе установки самбы все хорошо.

root@studentldap:/# apt-get install samba samba-doc smbldap-tools
Чтение списков пакетов… Готово
Построение дерева зависимостей       
Чтение информации о состоянии… Готово
Предлагаемые пакеты:
  openbsd-inetd inet-superserver ldb-tools ctdb samba-doc-pdf
НОВЫЕ пакеты, которые будут установлены:
  samba samba-doc smbldap-tools
обновлено 0, установлено 3 новых пакетов, для удаления отмечено 0 пакетов, и 0 пакетов не обновлено.
Необходимо скачать 0 B/10,0 MB архивов.
После данной операции, объём занятого дискового пространства возрастёт на 30,6 MB.
Предварительная настройка пакетов ...
Selecting previously unselected package samba.
(Чтение базы данных ... на данный момент установлено 37563 файла и каталога.)
Распаковывается пакет samba (из файла .../samba_2%3a3.6.3-2ubuntu2.3_i386.deb)...
Selecting previously unselected package samba-doc.
Распаковывается пакет samba-doc (из файла .../samba-doc_2%3a3.6.3-2ubuntu2.3_all.deb)...
Selecting previously unselected package smbldap-tools.
Распаковывается пакет smbldap-tools (из файла .../smbldap-tools_0.9.7-1ubuntu1_all.deb)...
Обрабатываются триггеры для ureadahead ...
Обрабатываются триггеры для ufw ...
Обрабатываются триггеры для man-db ...
Настраивается пакет samba (2:3.6.3-2ubuntu2.3) ...
Generating /etc/default/samba...
update-alternatives: используется `/usr/bin/smbstatus.samba3' для предоставления `/usr/bin/smbstatus' (smbstatus) в автоматический режим.
smbd start/running, process 1685
nmbd start/running, process 1719
Настраивается пакет samba-doc (2:3.6.3-2ubuntu2.3) ...
Настраивается пакет smbldap-tools (0.9.7-1ubuntu1) ...

Но как только начинаю выполнять второй пункт, не находит файл configure.pl.gz

root@studentldap:/# gzip -d /usr/share/doc/smbldap-tools/configure.pl.gz
gzip: /usr/share/doc/smbldap-tools/configure.pl.gz: No such file or directory

каталог /etc/smbldap-tools пуст.

что не так? где ошибка? сколько не читал форума, так ответа и не нашел. А может просто и не заметил
P.S.: извиняюсь если проглядел, буду признателен на ссылочку или совет что с этим делать...

Поддерживаю  данный вопрос!
хотелось бы  узнать каким  образом  устанавливать на 12.04 и 12.10  в сети  нашел http://yakim.org.ua/articles/servers/133-samba-openldap-domain.html  правда  ошибок  там  много,  кто-нибудь пробовал?

[nvkryatov]

Всем доброго времени суток!
Такая ситуация, до выходных все работало, на выходных - закончилось действие сертификата
я его пересоздал

Создаём сертификат для сервера (При создании замените ldap01 на hostname вашего сервера)
certtool --generate-certificate --load-privkey /etc/ssl/private/ldap01_slapd_key.pem \
--load-ca-certificate /etc/ssl/certs/cacert.pem --load-ca-privkey /etc/ssl/private/cakey.pem \
--template /etc/ssl/ldap01.info --outfile /etc/ssl/certs/ldap01_slapd_cert.pem
Теперь мы имеем certificate, key, и CA cert для установки, используем утилиту ldapmodify для добавления новых опций в конфигурацию
Вводим в консоли
ldapmodify -Y EXTERNAL -H ldapi:///
затем вставляем следующее:
dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/ssl/certs/cacert.pem
-
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ssl/certs/ldap01_slapd_cert.pem
-
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/ssl/private/ldap01_slapd_key.pem
После чего жмём дважды enter должна появится надпись modifying entry «cn=config» и Ctrl+D для выхода.
Далее редактируем /etc/default/slapd опцию SLAPD_SERVICES
SLAPD_SERVICES="ldap:/// ldapi:/// ldaps:///"
Теперь пользователь openldap дорлжен иметь доступ к сертификату (не забываем менять ldap01 на своё)
adduser openldap ssl-cert && chgrp ssl-cert /etc/ssl/private/ldap01_slapd_key.pem && chmod g+r /etc/ssl/private/ldap01_slapd_key.pem
Перезагружаем LDAP
/etc/init.d/slapd restart

вроде все заработало, но вчера появилась необходимость добавить ПК с виндой в домен, и при добавлении в домен, машина выдает ошибку "не найдено имя пользователя", смотрю в gosa - пользователь есть, если смотреть через wbinfo -u, то среди пользователей я своего админа не нахожу - админ который все это настраивал уволился, я в линукс новичок, очень буду благодарен за помощь