[Wiki] [HOWTO] Samba4 в качестве DC на Ubuntu Server 14.04

[AnrDaemon]

Прежде чем что-то добавлять, надо посмотреть существующие записи.

Код: [Выделить]

net groupmap listmem $(net getlocalsid | net getlocalsid | cut -d " " -f 6)-512И ещё, имя 512-й группы "Domain Admins", а не "123".

[Starcomputer]

Код: [Выделить]

root@PDCFS:/home/starcomputer# net groupmap list
<пусто>
root@PDCFS:/home/starcomputer# net groupmap listmem $(net getlocalsid | net getlocalsid | cut -d " " -f 6)-512
Failed to remove Domain IDs protection
Could not list members for sid S-1-5-21-1107646387-3526801833-843013929-512

Код: [Выделить]

root@PDCFS:/home/starcomputer# cat /etc/group
root:x:0:
daemon:x:1:
bin:x:2:
sys:x:3:
adm:x:4:syslog,starcomputer
tty:x:5:
disk:x:6:
lp:x:7:
mail:x:8:
news:x:9:
uucp:x:10:
man:x:12:
proxy:x:13:
kmem:x:15:
dialout:x:20:
fax:x:21:
voice:x:22:
cdrom:x:24:starcomputer
floppy:x:25:
tape:x:26:
sudo:x:27:starcomputer
audio:x:29:
dip:x:30:starcomputer
www-data:x:33:
backup:x:34:
operator:x:37:
list:x:38:
irc:x:39:
src:x:40:
gnats:x:41:
shadow:x:42:
utmp:x:43:
video:x:44:
sasl:x:45:
plugdev:x:46:starcomputer
staff:x:50:
games:x:60:
users:x:100:
nogroup:x:65534:
libuuid:x:101:
netdev:x:102:
crontab:x:103:
syslog:x:104:
fuse:x:105:
messagebus:x:106:
mlocate:x:107:
ssh:x:108:
landscape:x:109:
starcomputer:x:1000:
lpadmin:x:110:starcomputer
sambashare:x:111:starcomputer
ssl-cert:x:112:
avahi:x:113:
scanner:x:114:
ntp:x:115:
bind:x:116:
colord:x:117:
123:x:1004:Я так понимаю, что у группы 123 rid=1004 ?

Код: [Выделить]

root@PDCFS:/home/starcomputer# net groupmap add rid=1004 ntgroup="123" unixgroup=123
adding entry for group 123 failed!
Пользователь решил продолжить мысль 25 Января 2015, 13:50:41:

Код: [Выделить]

root@PDCFS:/etc/samba# groupadd nt_admins
root@PDCFS:/etc/samba# net groupmap add rid=512 ntgroup="Domain Admins" unixgroup=nt_admins
adding entry for group Domain Admins failed!
Так тоже не мапится

[AnrDaemon]

У группы "123" unix gid 1004
RID - это чисто виндовый термин, Relative ID. Относительный ID (относительно домена)

Вы лучше скажите, что вы хотите сделать, своими словами. Сложно советовать вслепую.

[Starcomputer]

Своими словами это совсем просто
Мне нужно создать NT-группы пользователей и сопоставить их с Unix-группами.
WEBMIN это не может сделать (там все через smbgroupedit, а такого файла нет).
Поэтому придется ручками, но и ручками не выходит.

[AnrDaemon]

Во-первых, учите команду getent. /etc/group может не содержать и половины нужной вам информации.
Во-вторых, поймите, чего от вас хотят.

unixgroup - Name of the UNIX group
ntgroup - Name of the Windows NT group (must be resolvable to a SID
rid - Unsigned 32-bit integer
sid - Full SID in the form of "S-1-..."
type - Type of the group; either ´domain´, ´local´, or ´builtin´
comment - Freeform text description of the group

https://www.samba.org/samba/docs/man/Samba3-HOWTO/groupmapping.html
net groupmap add ntgroup="Domain Admins" unixgroup=domadm rid=512 type=d

Добавляет связь между UNIX группой "domadm" и доменной группой "Domain Admins" (RID 512) на уровене домена (type=d[omain]).
Естественно, обе группы должны уже существовать на момент установки связи.

[Starcomputer]

Хорошо, поставим вопрос по другому.
Как создать группу пользователей SAMBA 4 ?
Только не надо мне отвечать, что в SAMBA нет групп и она использует группы Unix.
В Webmin есть опция создать группу самба, только она не работает увы
Или это осталось от прежних версий и в самба-4 этого уже нет ? (ну команды smbgroupedit точно нет).

[AnrDaemon]

net group add
же ж.

P.S.
smbgroup*** сам никогда не пользовался.
smbldap-* только.

[Starcomputer]

net group add ....
а дальше ?
Пример можете привести ? Рабочий.
Ибо как я писал выше

Код: [Выделить]

net groupmap add rid=1004 ntgroup="123" unixgroup=123не работает.
Дабы были понятны мои путаные мысли давайте на примере попробуем
Допустим мне нужно создать группу "Ха-ха" которой в Unix соответствует такая-же (уже созданная) группа Ха-ха.
Мои действия ?

[AnrDaemon]

NET GROUP
не GROUPMAP

"создать группу", и "которой соотвествует" - это ДВА ДЕЙСТВИЯ!

Алгоритмизация входит в обязательную программу высшей школы и профессионального образования.

[Starcomputer]

Да я уже сам сообразил, что туплю
Тяжелый день был
Пользователь решил продолжить мысль [time]26 Январь 2015, 09:44:39[/time]:

Код: [Выделить]

root@PDCFS:/home/starcomputer# net group add 12345
ads_connect: No logon serversЭто что за хрень ?

Пользователь решил продолжить мысль 26 Января 2015, 10:40:27:

Код: [Выделить]

root@PDCFS:/var/lib/samba/private# net rpc testjoin
Join to 'VOSTOK' is OK
но net group add не проходит.
В smb.conf

Код: [Выделить]

security = user

[AnrDaemon]

У вас домен RPC или ADS? Кто DC? Windows или Самба?
Не в этом дело. Вы залогинены под рутом. Юниксовым рутом.
Попробуйте указать имя доменного администратора в командной строке. (net -U …)

[Starcomputer]

DC - samba
Домен я специально не настраивал ни на ADS ни на RPC (собственно я это не умею, а в статье про это ничего не сказано).
Судя по всему домен RPC.
server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate

smb.conf

Код: [Выделить]

[global]
<------>server role = active directory domain controller
<------>local master = yes
<------>domain master = yes
<------>preferred master = yes
<------>domain logons = yes
<------>wins support = yes
<------>name resolve order = wins lmhosts host bcast
<------>dns proxy = no
<------>hide unreadable = yes
<------>hide dot files = yes
<------>map to guest = Bad User
<------>netbios name = PDCFS
<------>encrypt passwords = yes
<------>os level = 65
<------>idmap_ldb:use rfc2307 = yes
<------>server string = VOSTOK File Server
<------>realm = VOSTOK.DNR
<------>workgroup = VOSTOK
<------>unix password sync = yes
<------>passwd program = /etc/passwd %u
<------>server services = s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate
<------>store dos attributes = yes
<------>map readonly = no
<------>map hidden = no
<------>map system = no
<------>map acl inherit = yes
<------>map archive = no
<------>admin users = Sergey.Taranchenko
<------>socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
<------>security = user
<------>username map = /etc/samba/smbusers
<------>hosts allow = 192.168.43. 127.0.1.
<------>bind interfaces only = yes
<------>winbind enum groups = yes
<------>winbind enum users = yes
<------>winbind use default domain = yes
<------>winbind refresh tickets = yes
<------>idmap config * : range = 10000-20000

[netlogon]
<------>path = /var/lib/samba/sysvol/vostok.dnr/scripts
<------>read only = No
<------>browseable = no

[sysvol]
<------>path = /var/lib/samba/sysvol
<------>read only = No
<------>browseable = no
winbind не установлен.
Пользователь решил продолжить мысль [time]26 Январь 2015, 16:58:16[/time]:

Код: [Выделить]

root@PDCFS:/etc/samba# net group add 123 -U administrator
Enter administrator's password:
ads_connect: No logon servers
ads_connect: No logon serversНе хочет.

Пользователь решил продолжить мысль 26 Января 2015, 16:02:18:

Код: [Выделить]

root@PDCFS:/etc/samba# net rpc group add 123 -U administrator
Enter administrator's password:
Failed to add group '123' with error: failed to open PIPE \samr: NT_STATUS_OBJECT_NAME_NOT_FOUND.
Под RPC тоже не хочет, но ошибка другая

[AnrDaemon]

В статье описывается подъём ADS.
У вас разрешение DNS, похоже, не работает.
Больше не подскажу, извините. Сам пока с ADS не возился.

[Starcomputer]

DNS вроде работает, по крайней мере комп, с которого я хожу на форум, подключен через сервер, и в свойствах IP-соединения адрес DNS указан адрес сервера.

[AnrDaemon]

Для AD домена недостаточно "просто работы" DNS.