[Wiki] [HOWTO] Настройка Samba 3(PDC)+OpenLDAP2.4+Gosa2.6.11 в Ubuntu 10.04

[vovan1982]

Добавим нового пользователя

smbldap-useradd -a -P username

пытаюсь  добавить нового пользователя  и  выдает
Error: modifications require authentication at /usr/share/perl5/smbldap_tools.pm line 1187, <DATA> line 466.

если  пытаюсь  сменить пароль то  выдает
Failed to modify SMB password: modifications require authentication at /usr/sbin/smbldap-passwd line 238, <STDIN> line 2

исходя из ошибок, у тебя smbldap-tools не проходит аутентификацию в ldap
просмотри содержимое файлов в каталоге /etc/smbldap-tools
убедись что в них всё указано правильно, скорей всего ошибка в логине или пароле админа ldap

[kolyan_k]

неподскажите  вот  dn="cn=admin,dc=example,dc=com" везде  где  мы  пишем   admin  это  пользователь  подкоторым  я  в  системе??
а   кто  это admins:1000:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:[U          ]:LCT-00000000:??
что то   я запутался  в  пользователях.....

[vovan1982]

неподскажите  вот  dn="cn=admin,dc=example,dc=com" везде  где  мы  пишем   admin  это  пользователь  подкоторым  я  в  системе??
а   кто  это admins:1000:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:[U          ]:LCT-00000000:??
что то   я запутался  в  пользователях.....

cn=admin,dc=example,dc=com - это админ ldap, под этим пользователем осуществляется доступ к ldap, в системе его не видно, даже после того как будет настроена аутентификация пользователей из ldap в разделе 2

admins - это локальный пользователь, который также является админом samba и имеет права для перехода в режим суперпользователя root

[Xacker82]

Уважаемый автор поста, как можно поставить GoSa-2.7 с нуля, т.к. предыдущей версии нет?

на 4 странице же все подробно описано. Впринципе можно делать по мануалу. Единственное переконвертировать схемы в ldif. Как это сделать на 4 странице.

serb-ufa всё правильно сказал.
Статью под gosa 2.7 пока переделывать не буду, подожду пока 2.7 несколько раз обновится.

На странице 4 описан ход перехода, а мне нужно с нуля. С конвертацией схем немного не догоняю, может кто подскажет тупому что, от куда и куда ?!

[vovan1982]

Уважаемый автор поста, как можно поставить GoSa-2.7 с нуля, т.к. предыдущей версии нет?

на 4 странице же все подробно описано. Впринципе можно делать по мануалу. Единственное переконвертировать схемы в ldif. Как это сделать на 4 странице.

serb-ufa всё правильно сказал.
Статью под gosa 2.7 пока переделывать не буду, подожду пока 2.7 несколько раз обновится.

На странице 4 описан ход перехода, а мне нужно с нуля. С конвертацией схем немного не догоняю, может кто подскажет тупому что, от куда и куда ?!

с нуля это в смысле ldap ещё не настроен?

[Xacker82]

Уважаемый автор поста, как можно поставить GoSa-2.7 с нуля, т.к. предыдущей версии нет?

на 4 странице же все подробно описано. Впринципе можно делать по мануалу. Единственное переконвертировать схемы в ldif. Как это сделать на 4 странице.

serb-ufa всё правильно сказал.
Статью под gosa 2.7 пока переделывать не буду, подожду пока 2.7 несколько раз обновится.

На странице 4 описан ход перехода, а мне нужно с нуля. С конвертацией схем немного не догоняю, может кто подскажет тупому что, от куда и куда ?!

с нуля это в смысле ldap ещё не настроен?

Да Вы меня правильно поняли, у меня прежде чем система заработает стабильно приходится по 200 раз её сносить под ноль, а иначе как её можно  понять...
Таким способом изучаю систему и выявляю глюки

[kolyan_k]

День  добрый!
правильно ли   у меня   вывод

net groupmap list
Domain Admins (S-1-5-21-218666294-311616733-3604433847-512) -> 512
Domain Users (S-1-5-21-218666294-311616733-3604433847-513) -> 513
Domain Guests (S-1-5-21-218666294-311616733-3604433847-514) -> 514
Domain Computers (S-1-5-21-218666294-311616733-3604433847-515) -> 515
Administrators (S-1-5-32-544) -> 544
Account Operators (S-1-5-32-548) -> 548
Print Operators (S-1-5-32-550) -> 550
Backup Operators (S-1-5-32-551) -> 551
Replicators (S-1-5-32-552) -> 552

когда  хочу добавить  группы
net rpc rights grant "Domain Admins" SeMachineAccountPrivilege SeTakeOwnershipPrivilege \
SeBackupPrivilege SeRestorePrivilege SeRemoteShutdownPrivilege SePrintOperatorPrivilege \
SeAddUsersPrivilege SeDiskOperatorPrivilege -Uadmins%secret
выдает

Could not connect to server 127.0.0.1
The username or password was not correct.
Connection failed: NT_STATUS_LOGON_FAILURE


и  последний  вопрос  кода  хочу  ввести компьютер в  домен  какую мне  учетку  использовать??

[vovan1982]

Уважаемый автор поста, как можно поставить GoSa-2.7 с нуля, т.к. предыдущей версии нет?

на 4 странице же все подробно описано. Впринципе можно делать по мануалу. Единственное переконвертировать схемы в ldif. Как это сделать на 4 странице.

serb-ufa всё правильно сказал.
Статью под gosa 2.7 пока переделывать не буду, подожду пока 2.7 несколько раз обновится.

На странице 4 описан ход перехода, а мне нужно с нуля. С конвертацией схем немного не догоняю, может кто подскажет тупому что, от куда и куда ?!

с нуля это в смысле ldap ещё не настроен?

Да Вы меня правильно поняли, у меня прежде чем система заработает стабильно приходится по 200 раз её сносить под ноль, а иначе как её можно  понять...
Таким способом изучаю систему и выявляю глюки

Ну раз вы занимаетесь изучением системы то опишу логику как использовать gosa 2.7 , подробное описание будет в статье, после того как gosa 2.7 несколько раз обновится.

Ну собственно всё очень просто:

Качаем, распаковываем и копируем gosa 2.7 так как это указано на странице 4, вместо того что написано в статье.

Далее конвертируем схемы т.к. это указано на странице 4, начиная со слов "Переходим в /etc/ldap и Копируем новые схемы" и заканчивая "конвертируем схемы".

после чего у вас в папке /tmp/ldif_output/cn=config/cn=schema будут находится ldif файлы схем, все схемы gosa и схему samba необходимо переименовать в стандартные название, к примеру в каталоге файл называется "cn={8}gosystem.ldif" значит его необходимо переименовать в "gosystem.ldif" и т.д.
После чего все переименованные схемы нужно скопировать в каталог /usr/share/gosa/contrib/openldap/

Все остальные действия выполняем по статье, за исключением конвертирования схемы samba так как она уже сконвертирована, но отредактировать её как указанно в статье всё равно нужно.

При настройке самой госа как я уже говорил отсутствуют 3-и пункта, они перенесены раздел Preferens в самой госа, так что после входа в госа необходимо зайти в Preferens и проставить все необходимые параметры.

Пользователь решил продолжить мысль 28 Января 2011, 11:47:58:

День  добрый!
правильно ли   у меня   вывод

net groupmap list
Domain Admins (S-1-5-21-218666294-311616733-3604433847-512) -> 512
Domain Users (S-1-5-21-218666294-311616733-3604433847-513) -> 513
Domain Guests (S-1-5-21-218666294-311616733-3604433847-514) -> 514
Domain Computers (S-1-5-21-218666294-311616733-3604433847-515) -> 515
Administrators (S-1-5-32-544) -> 544
Account Operators (S-1-5-32-548) -> 548
Print Operators (S-1-5-32-550) -> 550
Backup Operators (S-1-5-32-551) -> 551
Replicators (S-1-5-32-552) -> 552

когда  хочу добавить  группы
net rpc rights grant "Domain Admins" SeMachineAccountPrivilege SeTakeOwnershipPrivilege \
SeBackupPrivilege SeRestorePrivilege SeRemoteShutdownPrivilege SePrintOperatorPrivilege \
SeAddUsersPrivilege SeDiskOperatorPrivilege -Uadmins%secret
выдает

Could not connect to server 127.0.0.1
The username or password was not correct.
Connection failed: NT_STATUS_LOGON_FAILURE


и  последний  вопрос  кода  хочу  ввести компьютер в  домен  какую мне  учетку  использовать??

net groupmap list - показывает всё верно

Could not connect to server 127.0.0.1 - у вас что админ самба "admins" и пароль у него "secret"?

для ввода машины в домен необходимо использовать учётку админа samba.

[kolyan_k]

Спасибо!!!
 
с  группами  получилось))) а  вот  ввод  в домен  не  получается   в   Windows xp   пишет   "Не найдено  имя пользователя"
ввожу   имя=admins   пароль=12345(это локальный пользователь)
 

[vovan1982]

Спасибо!!!
 
с  группами  получилось))) а  вот  ввод  в домен  не  получается   в   Windows xp   пишет   "Не найдено  имя пользователя"
ввожу   имя=admins   пароль=12345(это локальный пользователь)
 

использовать нужно тот же логин и пароль что и для назначения прав группе, т.е. использовать нужно админа samba

[ruhlyada]

Проблема при добавлении машины в домен выдает такое сообщение:

Creation of workstation account failed
Unable to join domain TEST.

Юзеры добавляются нормально. Команда:

ldapsearch -Zx -b ou=Users,dc=test,dc=com -D "cn=admin,dc=test,dc=com" "uid=*" -W

выполняется без ошибок, показывает всех юзеров как положено. Хотя система ни групп ни юзеров не видит.

Полез в лог samba нашел такое ругательство:

 passdb/pdb_interface.c:pdb_default_create_user(329)
  _samr_create_user: Running the command `/usr/sbin/smbldap-useradd -w "ds1$"' gave 9

Собственно смущает два момента:
- почему не видятся пользователи и группы домена?
- как добавить машину в домен?

[vovan1982]

Проблема при добавлении машины в домен выдает такое сообщение:

Creation of workstation account failed
Unable to join domain TEST.

Юзеры добавляются нормально. Команда:

ldapsearch -Zx -b ou=Users,dc=test,dc=com -D "cn=admin,dc=test,dc=com" "uid=*" -W

выполняется без ошибок, показывает всех юзеров как положено. Хотя система ни групп ни юзеров не видит.

Полез в лог samba нашел такое ругательство:

 passdb/pdb_interface.c:pdb_default_create_user(329)
  _samr_create_user: Running the command `/usr/sbin/smbldap-useradd -w "ds1$"' gave 9

Собственно смущает два момента:
- почему не видятся пользователи и группы домена?
- как добавить машину в домен?

пока система не увидит группы и пользователей из ldap samba нормально работать не будет.

попробуй ещё раз пройти пункт 2 из статьи, мож там где ошибся

[ruhlyada]

пока система не увидит группы и пользователей из ldap samba нормально работать не будет.

попробуй ещё раз пройти пункт 2 из статьи, мож там где ошибся

спасибо. вечером попробую. результат сообщу.

[kolyan_k]

снова  привет  никакк  не могу  в домен  зайти  сам  сервер и тот   зашел  а   комп не может  вот  что   log  говорит
Jan 28 15:42:35 pdc smbd[969]: [2011/01/28 15:42:35,  0] passdb/pdb_interface.c:342(pdb_default_create_user)
Jan 28 15:42:35 pdc smbd[969]:   _samr_create_user: Running the command `sudo /usr/sbin/smbldap-useradd -t 0 -w "ncore$"'  gave 9


пробывал  Добавление компьютера в домен: smbldap-useradd -t 0 -w username
выдает 
root@pdc:~# smbldap-useradd -t 0 -w ncore
/usr/sbin/smbldap-useradd: user ncore$ exists

[vovan1982]

снова  привет  никакк  не могу  в домен  зайти  сам  сервер и тот   зашел  а   комп не может  вот  что   log  говорит
Jan 28 15:42:35 pdc smbd[969]: [2011/01/28 15:42:35,  0] passdb/pdb_interface.c:342(pdb_default_create_user)
Jan 28 15:42:35 pdc smbd[969]:   _samr_create_user: Running the command `sudo /usr/sbin/smbldap-useradd -t 0 -w "ncore$"'  gave 9


пробывал  Добавление компьютера в домен: smbldap-useradd -t 0 -w username
выдает 
root@pdc:~# smbldap-useradd -t 0 -w ncore
/usr/sbin/smbldap-useradd: user ncore$ exists

а у вас система видит группы и пользователей из ldap?