[HOWTO] Ubuntu Small Buisness Server (LDAP + Samba)

[Yden]

Расмореть такие вопросы как: настройка прокси  Squid для авторизации по пользователям из  ldap и почтовой системы скажем вот такой postfix + dovecot  так же завязанной на учётках ldap

Код: [Выделить]

http://www.google.com/search?hl=ru&client=opera&rls=ru&q=Ldap%2BPostfix%2BDovecot&btnG=%D0%9F%D0%BE%D0%B8%D1%81%D0%BA&lr=lang_ruпервая же ссылка

ну навернео хотя бы к тому что нужно настроить конфиг самбы для подключения к домену
при выполнении команды net join -U root без самбы не получится
или вы как то по другому к домену подъсодиняетесь ?

т.е. на сервере я ставлю самбу (как эмулятор Win AD что й бы загнать в домен вендовые машинки), а потом ещё и на остальных Linux-рабочих станциях тоже ставлю самбу как эмулятор для входа в эмулируемый домен??
как то всё слишком запутано разве нет пути проще?

в гугле можно всё найти зачем того вообще форум   я делал предложение по развёртыванию данного руководства для того что была целостоя статься и в одном месте очень многим бы людям помогло!!

а по поводу эмуляция не знаю чего вы придумали никакой умуляции нет ни на сервере не на клиентах  samba+ldap это далеко не AD, а просто организация домена на юникс подобных  системах

[.life.deb]

а по поводу эмуляция не знаю чего вы придумали никакой умуляции нет ни на сервере не на клиентах  samba+ldap это далеко не AD, а просто организация домена на юникс подобных  системах

ну вот смотрите, поднята у меня на серваке такая "организация домена на юникс подобных системах", и со стороны венды как бы всё путём. машинки в домене, юзвери тоже все доменные - короч идилия)
со стороны линя немного по другому - да, доменные юзвери так же ходят, а вот машинки не в домене.
"net join -U root" работало раньше, когда сервером был M$ Server 2003 и нужно было загнать никсовую машинку в домен где рулит вендовый сервак. сейчас доменом рулит никсовый серв и на "net join -U root" он почему то отвечает разными ругательствами.
и как тогда загонять никсовую машину в домен которым так же рулит никсовый серв?

[Yden]

а по поводу эмуляция не знаю чего вы придумали никакой умуляции нет ни на сервере не на клиентах  samba+ldap это далеко не AD, а просто организация домена на юникс подобных  системах

ну вот смотрите, поднята у меня на серваке такая "организация домена на юникс подобных системах", и со стороны венды как бы всё путём. машинки в домене, юзвери тоже все доменные - короч идилия)
со стороны линя немного по другому - да, доменные юзвери так же ходят, а вот машинки не в домене.
"net join -U root" работало раньше, когда сервером был M$ Server 2003 и нужно было загнать никсовую машинку в домен где рулит вендовый сервак. сейчас доменом рулит никсовый серв и на "net join -U root" он почему то отвечает разными ругательствами.
и как тогда загонять никсовую машину в домен которым так же рулит никсовый серв?

так вот как раз чтоб загнать никсовую машину в домен и нужно на никсовом клиенте тоже устанавливать самбу и конфигурировать её как клиента т.е другими словами кроме реализации авторизации посредством LDAP нужно ещё что то сделать для того чтоб ввести машину в домен (вы же виндовую машину вводите ? в винде просто этот компонет есть и ввод машины в домен не вызывает проблем ) вобщем я о том что нужно настраивать smb.conf  для клиента примерно вот так тогда он будет присоединяться к домену и жить в нём так же как и виндовый

Код: [Выделить]

[global]
    unix charset = UTF-8
    dos charset = cp866
    display charset = UTF-8
    workgroup = EXAMPLE
    netbios name = comp
    security = DOMAIN
    log level = 1
    syslog = 0
    log file = /var/log/samba/%m
    max log size = 50
    smb ports = 137 138 139 445
    name resolve order = wins bcast hosts
    printcap name = CUPS
    wins server = 192.168.1.15
    ldap suffix = dc=example,dc=local
    ldap machine suffix = ou=Computers
    ldap user suffix =  ou=Users
    ldap group suffix =  ou=Groups
    ldap idmap suffix = ou=Idmap
    ldap admin dn = cn=admin,dc=example,dc=local
    idmap backend = ldap:ldap://192.168.1.15
    idmap uid = 10000-20000
    idmap gid = 10000-20000
    winbind trusted domains only = Yes
    printing = cups

где 192.168.1.15 сервер где стоит LDAP имя домена example.local

кстати какую ошибку выдаёт при попытке ввести машину в домен ?

у меня вот другая проблема с виндой хорошо так же как у вас и в домена и аунтифицируется а у линукс клиент в доменн вводится но не аунтифицируется вы как настраивали аунтификацию на линукс клиенте  у меня даже пользователей доменных почему то не видит

[.life.deb]

кстати какую ошибку выдаёт при попытке ввести машину в домен ?

net join -U admin
The username or password was not correct.
пароль - точно верно пишу (пароль не настолько сложен что бы ошибиться в нём >10 раз подряд)
net join -U моя учётка
User specified does not have administrator privileges
тем более непонятно. все виндузовые машинки "загнаны" в домен именно под этой, моей учёткой - а тут оказывается что у меня правов нет... странно.
где я мог ошибиться?

у меня вот другая проблема с виндой хорошо так же как у вас и в домена и аунтифицируется а у линукс клиент в доменн вводится но не аунтифицируется вы как настраивали аунтификацию на линукс клиенте  у меня даже пользователей доменных почему то не видит

собственно всё довольно просто) ставишь вот их: auth-client-config libpam-ldap libnss-ldap
далее идёшь в /etc/auth-client-config/profile.d/open_ldap и копипаспишь туда следующее:

[open_ldap]
nss_passwd=passwd: compat ldap
nss_group=group: compat ldap
nss_shadow=shadow: compat ldap
pam_auth=auth       required     pam_env.so
 auth       sufficient   pam_unix.so likeauth nullok
 auth       sufficient   pam_ldap.so use_first_pass
 auth       required     pam_deny.so
pam_account=account    sufficient   pam_unix.so
 account    sufficient   pam_ldap.so
 account    required     pam_deny.so
pam_password=password   sufficient   pam_unix.so nullok md5 shadow use_authtok
 password   sufficient   pam_ldap.so use_first_pass
 password   required     pam_deny.so
pam_session=session    required     pam_limits.so
 session    required     pam_mkhomedir.so skel=/etc/skel/ umask=0077
 session    required     pam_unix.so
 session    optional     pam_ldap.so

потом от рута запускаешь
auth-client-config -a -p open_ldap

и финальный шаг
reboot
(ну можно наверное чего то и рестартнуть - но не стал заморачиваться, просто ребутнулся и всё)

[Yden]

попробуй при вводе машины указать пользователя не admin а root  а пароль тот что от учётки в лдапе у меня так отрабатывает c admin такая же ошибка

авторизацию делал так же но не пашет хоть убей

[.life.deb]

попробуй при вводе машины указать пользователя не admin а root  а пароль тот что от учётки в лдапе у меня так отрабатывает c admin такая же ошибка

пробовал, та же The username or password was not correct.

авторизацию делал так же но не пашет хоть убей

хз... а ось какая? на харди у меня вообще без проблем было. На интрепиде правда вроде чего то допиливать пришлось.
пишет то что?

[sptica]

Настройка клиента ПСПО для работы с eBox

Сервер на котором установлен eBox ip=192.168.15.254, созданный домен SampleDomain, клиент на котором установлен ПСПО mehost
Сервер
Добавляем в конфиг самбы для корректного отображения кириллицы

(Нажмите, чтобы показать/скрыть)

[global]
 dos charset = CP866
 display charset = UTF-8
 unix charset = UTF-8
.....

также чтоб затем при добавлении или изменении шар не происходило перезаписи
/usr/share/ebox/stubs/samba/smb.conf.mas, сразу после вхождения [global] эти же строки

(Нажмите, чтобы показать/скрыть)

.....
</%init>
[global]
 dos charset = CP866
 display charset = UTF-8
 unix charset = UTF-8
.....

Клиент
Устанавливаем необходимое ПО. (nss-ldap, pam-ldap samba-client,smbldap-tools, openldap), может чего лишнего или не хватает не помню (завтра на коиенте посмотрю что установлено).
Cоздаем файл /etc/ldap.secret выставляем на него права 600 и вписываем в него пароль, который можно посмотреть на сервере в /etc/ldap/slapd.conf  из параметра rootpw
Затем исправляем /etc/ldap_pam.conf

(Нажмите, чтобы показать/скрыть)

# network or connect timeouts (see bind_timelimit).
# host 127.0.0.1

# The distinguished name of the search base.
base dc=ebox

# Another way to specify your LDAP server is to provide an
# uri with the server name. This allows to use
# Unix Domain Sockets to connect to a local LDAP Server.
uri ldap://192.168.15.254/

# The LDAP version to use (defaults to 3
# if supported by client library)
ldap_version 3

bind_policy soft

# The distinguished name to bind to the server with
# if the effective user ID is root. Password is
# stored in /etc/ldap.secret (mode 600)
rootbindn cn=admin,dc=ebox

nss_base_passwd           ou=Users,dc=ebox?one
nss_base_passwd           ou=Computers,dc=ebox?one
nss_base_shadow           ou=Users,dc=ebox?one
nss_base_group      ou=Groups,dc=ebox?one

и /etc/nss_ldap.conf

(Нажмите, чтобы показать/скрыть)

# network or connect timeouts (see bind_timelimit).
# host 127.0.0.1

# The distinguished name of the search base.
base dc=ebox

# Another way to specify your LDAP server is to provide an
# uri with the server name. This allows to use
# Unix Domain Sockets to connect to a local LDAP Server.
uri ldap://192.168.15.254

# The LDAP version to use (defaults to 3
# if supported by client library)
ldap_version 3

bind_policy soft

# The distinguished name to bind to the server with
# if the effective user ID is root. Password is
# stored in /etc/ldap.secret (mode 600)
rootbindn cn=admin,dc=ebox
   
nss_base_passwd           ou=Users,dc=ebox?one
nss_base_passwd           ou=Computers,dc=ebox?one
nss_base_shadow           ou=Users,dc=ebox?one
nss_base_group      ou=Groups,dc=ebox?one

исправляем /etc/nsswitch.conf

(Нажмите, чтобы показать/скрыть)

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
# `info libc "Name Service Switch"' for information about this file.

passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

Правим конфиг самбы /etc/samba/smb.conf

(Нажмите, чтобы показать/скрыть)

[global]
    unix charset = UTF-8
    dos charset = cp866
    display charset = UTF-8
    workgroup = SAMPLEDOMAIN
    netbios name = MEHOST
    security = DOMAIN
    log level = 1
    syslog = 0
    log file = /var/log/samba/%m
    max log size = 50
    smb ports = 137 138 139 445
    name resolve order = wins bcast hosts
    printcap name = CUPS
    wins server = 192.168.15.254
    ldap suffix = dc=ebox
    ldap machine suffix = ou=Computers
    ldap user suffix =  ou=Users
    ldap group suffix =  ou=Groups
    ldap idmap suffix = ou=Idmap
    ldap admin dn = cn=admin,dc=ebox
    idmap backend = ldap:ldap://192.168.15.254
    idmap uid = 10000-20000
    idmap gid = 10000-20000
    winbind trusted domains only = Yes
    printing = cups

Остается только настроить pam, рекомендуется сделать бэкап изменяемых файлов
/etc/pam.d/sshd

(Нажмите, чтобы показать/скрыть)

#%PAM-1.0
auth     required   pam_userpass.so
auth     sufficient   pam_ldap.so use_first_pass
auth     required   pam_tcb.so shadow fork prefix=$2a$ count=8 nullok nodelay blank_nolog use_first_pass
auth     required   pam_nologin.so
account  include   system-auth
password include   system-auth
session  include   system-auth

/etc/pam.d/system-auth

(Нажмите, чтобы показать/скрыть)

#%PAM-1.0
auth   sufficient /lib/security/pam_ldap.so
auth     required   pam_tcb.so shadow fork prefix=$2a$ count=8 nullok use_first_pass
account   sufficient /lib/security/pam_ldap.so
account  required   pam_tcb.so shadow fork use_first_pass
password required   pam_passwdqc.so min=disabled,24,12,8,7 max=40 passphrase=3 match=4 similar=deny random=42 enforce=users retry=3
password   sufficient /lib/security/pam_ldap.so use_authtok
password required   pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb use_first_pass

session   optional /lib/security/pam_ldap.so
session  required   pam_tcb.so
session   required   /lib/security/pam_mkhomedir.so skel=/etc/skel/ umask=0077
session  required   pam_limits.so

/etc/pam.d/system-auth-use_first_pass

(Нажмите, чтобы показать/скрыть)

#%PAM-1.0
auth    sufficient   /lib/security/pam_ldap.so   use_first_pass
auth     required   pam_tcb.so shadow fork prefix=$2a$ count=8 nullok use_first_pass
password    sufficient   /lib/security/pam_ldap.so   use_first_pass
password required   pam_tcb.so use_authtok shadow fork prefix=$2a$ count=8 write_to=tcb

Присоедиямся к домену
net join -U admin
Вроде все.
PS еще раз делайте резервные копии файлов при внесении изменений.
PS PS есть удивительная вешь называется pam-mount позволяет монтировать сетевые ресурсы при авторизации клиента.

А что делать если на клиенте нет файов, хотя необходимые пакеты стоят:
/etc/ldap_pam.conf
/etc/nss_ldap.conf

?

Ubuntu 8.10 desktop

[vadim-nsk]

А что делать если на клиенте нет файов, хотя необходимые пакеты стоят:
/etc/ldap_pam.conf
/etc/nss_ldap.conf

?

Ubuntu 8.10 desktop

ничего не понял какие необходимые пакеты? что стоит? какая система? там конкретно было под ПСПО (и для Alt Linux) в качестве клиентов, если у вас Ubuntu на клиенте могу что-нибудь про это написать, только там все проще настраивалась, если надо покажу настройки, только версию конкретную укажите.

[sptica]

[ничего не понял какие необходимые пакеты? что стоит? какая система? там конкретно было под ПСПО (и для Alt Linux) в качестве клиентов, если у вас Ubuntu на клиенте могу что-нибудь про это написать, только там все проще настраивалась, если надо покажу настройки, только версию конкретную укажите.

Сервер - Ubuntu 9.04. На сервере стоит ebox. Работает.

Клиент - пробую на Ubuntu 8.10. Пытался настроить по вашим рекомендациям, но обнаружил, что у меня в /etc/ нет вот этих двух файлов:
/etc/ldap_pam.conf
/etc/nss_ldap.conf

Сначала думал, что дело в недостающих пакетах. Вы писали что нужны:

(nss-ldap, pam-ldap samba-client,smbldap-tools, openldap)

Почти всех пакетов конкретно с такими названиями (кроме smbldap-tools) synaptic не находит, но есть похожие как по названию, так и по описанию. Я поставил (в скобках я указал описание пакетов):

Код: [Выделить]

libnss-ldap (NSS module for using LDAP as a naming service)
libpam-ldap (PAM (Подключаемый Модуль Авторизации) для LDAP интерфейсов)
libsmbclient (shared library that allows applications to talk to SMB/CIFS servers)
smbclient (a LanManager-like simple client for Unix)
smbldap-tools
libldap-2.4-2 (OpenLDAP libraries)
ldap-utils (OpenLDAP utilities)
smbldap-tools (Scripts to manage Unix and Samba accounts stored on LDAP)

slapd не ставил, потому что в описании написанно что это OpenLDAP server, а я пытаюсь настроить клиент.

Так лучше?

[.life.deb]

slapd не ставил, потому что в описании написанно что это OpenLDAP server, а я пытаюсь настроить клиент.

посмотрите мой пост выше - там как раз было написано как настроить клиента

[sptica]

собственно всё довольно просто) ставишь вот их: auth-client-config libpam-ldap libnss-ldap
далее идёшь в /etc/auth-client-config/profile.d/open_ldap и копипаспишь туда следующее:

[open_ldap]
nss_passwd=passwd: compat ldap
nss_group=group: compat ldap
nss_shadow=shadow: compat ldap
pam_auth=auth       required     pam_env.so
 auth       sufficient   pam_unix.so likeauth nullok
 auth       sufficient   pam_ldap.so use_first_pass
 auth       required     pam_deny.so
pam_account=account    sufficient   pam_unix.so
 account    sufficient   pam_ldap.so
 account    required     pam_deny.so
pam_password=password   sufficient   pam_unix.so nullok md5 shadow use_authtok
 password   sufficient   pam_ldap.so use_first_pass
 password   required     pam_deny.so
pam_session=session    required     pam_limits.so
 session    required     pam_mkhomedir.so skel=/etc/skel/ umask=0077
 session    required     pam_unix.so
 session    optional     pam_ldap.so

потом от рута запускаешь
auth-client-config -a -p open_ldap

и финальный шаг
reboot
(ну можно наверное чего то и рестартнуть - но не стал заморачиваться, просто ребутнулся и всё)

Как я понял вы имели в виду вот этот вариант?

Как ни странно, но в /etc/auth-client-config/profile.d/ у меня нет файла open_ldap, есть ldap-auth-config. Это то-же самое? Пакеты auth-client-config, libpam-ldap и libnss-ldap стоят.

Я читаю последние несколько дней много информации по ldap и, как я понял из вашего примера, в нём вы прикручиваете аутентификацию при входе в систему. Я хотел бы для начала хотел попробовать аутентифицироваться на рабочем ldap-сервере только в текущем сеансе. За это же отвечает команда net join -U user?

[.life.deb]

Как ни странно, но в /etc/auth-client-config/profile.d/ у меня нет файла open_ldap, есть ldap-auth-config. Это то-же самое?

ага, оно и есть. проглядел

как я понял из вашего примера, в нём вы прикручиваете аутентификацию при входе в систему.

ну да. вначале ищется локальная учетка, и если такой нет она же ищется на лдап сервере.
можно и наоборот, но там порой такие косяки лезут - оставьте лучше так.

Я хотел бы для начала хотел попробовать аутентифицироваться на рабочем ldap-сервере только в текущем сеансе. За это же отвечает команда net join -U user?

хм... не знаю, не пробовал. а собственно зачем вам нужно находясь под одной учёткой аутентифицироваться в другой?
у меня доменные юзвери локально на лдап-сервак вообще зайти не могут. ибо нефиг.
а net join я как то юзал для присоединения линух машинки к вендовому серву... но это было давненько... когда ещё серв был виндовым... 
и там вроде писал что то типа net join имя машины -U admin (ну или что то в этом духе)

[kagen]

Подскажите пожалуйста.. делал по оригинальному английскому мануалу, виндовая машина нормально в домен заходит. попробовал подключить клиента на ubuntu 8.10 как тут написанно. Переписал конфиги.

Присоединение линуксового клиента к домену Samba+LDAP, с прозрачной авторизацией на шарах:

Код: [Выделить]

aptitude install ldap-auth-config samba

Код: [Выделить]

cat /etc/ldap.conf | grep -v ^#

base dc=domain,dc=local
uri ldap://192.168.0.1
ldap_version 3
binddn cn=ldap_proxy,dc=domain,dc=local
bindpw 666
rootbinddn cn=ldapadmin,dc=domain,dc=local
pam_password md5
nss_initgroups_ignoreusers avahi,backup,bin,daemon,dhcp,games,gnats,irc,klog,libuuid,list,lp,mail,man,messagebus,mysql,news,proxy,root,sshd,sync,sys,syslog,uucp,www-data


Код: [Выделить]

nano /etc/auth-client-config/profile.d/open_ldap

Код: [Выделить]

[open_ldap]
nss_passwd=passwd: files ldap
nss_group=group: files ldap
nss_shadow=shadow: files ldap
nss_netgroup=netgroup: files ldap
pam_auth=auth       required     pam_env.so
        auth       sufficient   pam_unix.so likeauth nullok
#the following line (containing pam_group.so) must be placed before pam_ldap.so
#for ldap users to be placed in local groups such as fuse, plugdev, scanner, etc ...
        auth       required     pam_group.so use_first_pass
        auth       sufficient   pam_ldap.so use_first_pass
        auth       required     pam_deny.so
pam_account=account    sufficient   pam_unix.so
        account    sufficient   pam_ldap.so
        account    required     pam_deny.so
pam_password=password   sufficient   pam_unix.so nullok md5 shadow
        password   sufficient   pam_ldap.so use_first_pass
        password   required     pam_deny.so
pam_session=session    required     pam_limits.so
        session    required     pam_mkhomedir.so skel=/etc/skel/
        session    required     pam_unix.so
        session    optional     pam_ldap.so


Код: [Выделить]

auth-client-config -a -p open_ldap

Код: [Выделить]

reboot

Код: [Выделить]

id alexander
uid=1001(alexander) gid=1001(alexander) groups=512(Domain Admins),1001(alexander)



Пользователь решил продолжить мысль: 17 Марта 2009, 10:22:36Дальше интересует гибкий механизм разграничения прав на шарах.

теперь пользователь заходит, но из gdm выкидывает, ругаясь.

Код: [Выделить]

/etc/gdm/Xsession: Beginning session setup...
Setting IM through im-switch for locale=ru_RU.
Start IM through /etc/X11/xinit/xinput.d/all_ALL linked to /etc/X11/xinit/xinput.d/default.
Could not get password database information for UID of current process: User "???" unknown or no memory to allocate password entry

Failed to start message bus: Memory allocation failure in message bus
EOF in dbus-launch reading address from bus daemon
при попытке зайти по ssh

Код: [Выделить]

id: cannot find name for group ID 513
I have no name!@test01:~$
пользователь в домене

Код: [Выделить]

root@pdc:/etc/opt# smbldap-usershow kagen
dn: uid=kagen,ou=Users,dc=nix,dc=lan
objectClass: top,person,organizationalPerson,inetOrgPerson,posixAccount,shadowAccount,sambaSamAccount,inetLocalMailRecipient
cn: kagen
sn: kagen
givenName: kagen
uid: kagen
uidNumber: 30000
gidNumber: 513
homeDirectory: /home/kagen
loginShell: /bin/bash
gecos: Rusakov V
sambaLogonTime: 0
sambaPwdCanChange: 0
displayName: kagen
mailLocalAddress: kagen
mail: kagen@nix.lan


и ещё не подскажите, а как можно сделать перемещаемые профили.. т.е что бы /home/username монтировался по сети с сервера.

[.life.deb]

немного не понятно зачем была установлена самба - ходить под доменными учётками можно и без самбы на клиенте, что у вас сейчас и происходит как я понял.

никаких ошибок в процессе установки/настройки не было? сталкивался с подобной ситуацией всего один раз - решилось сносом со всеми конфигами либпама с либлдапом, и последующей их переустановкой.

переносимые профили в принципе можно сделать с помощью nfs, там правда необходимо будет что-нить придумать с нормальными правами доступа, что в принципе тем же acl'ом недолго сделать.

з.ы.: мой рабочий лдап.конф (данного минимума вполне достаточно):
cat /etc/ldap.conf | grep -v ^#
base dc=net,dc=lan
uri ldap://10.10.10.1/
ldap_version 3
rootbinddn cn=admin,dc=net,dc=lan
pam_password md5
nss_initgroups_ignoreusers avahi,avahi-autoipd,backup,bin,daemon,games,gdm,gnats,haldaemon,hplip,irc,klog,libuuid,list,lp,mail,man,messagebus,news,nx,polkituser,proxy,pulse,root,saned,statd,sync,sys,syslog,uucp,www-data

[kagen]

самба была поставлена, так как есть вероятность присутсвия виндовых машин. но основное поголовье это nix.. спасибо попробую ещё раз поствить)