SAMBA и LDAP

Обсуждение настройки и работы сервисов, резервирования, сетевых настроек и вопросов безопасности ОС.

Модератор: SLEDopit

Аватара пользователя
Misteri0
Сообщения: 61
ОС: Win/Debian/CentOS

SAMBA и LDAP

Сообщение Misteri0 »

Здраствуйте!
Пробую освоить новую для меня вешь как LDAP. На днях столкнулся со следующей проблемой: При попытке выполнить net getlocalsid получаю ошибку. В логах следующее:

Код: Выделить всё

Dec 14 15:33:52 mysrv net: [2007/12/14 15:33:52, 0] lib/smbldap.c:smbldap_search_suffix(1155)
Dec 14 15:33:52 mysrv net:   smbldap_search_suffix: Problem during the LDAP search:  (No such object)
Dec 14 15:33:52 mysrv net: [2007/12/14 15:33:52, 0] utils/net.c:net_getlocalsid(494)
Dec 14 15:33:52 mysrv net:   Can't fetch domain SID for name: MYSERVER

-------
конфиг /etc/openldap/slabd.conf:

Код: Выделить всё

include        /etc/openldap/schema/core.schema
include        /etc/openldap/schema/cosine.schema
include        /etc/openldap/schema/inetorgperson.schema
include        /etc/openldap/schema/nis.schema
include        /etc/openldap/schema/openldap.schema
include        /etc/openldap/schema/samba.schema
include        /etc/openldap/schema/misc.schema

allow bind_v2

pidfile        /var/run/slapd.pid
argsfile    /var/run/slapd.args


database    ldbm
suffix        "dc=mysrv,dc=com"
rootdn        "cn=Manager,dc=mysrv,dc=com"
rootpw        {SSHA}SmTnPokt1lPqSF6RpHO7kmEy5RiqHlyR
directory    /var/lib/ldap/base

index objectClass                       eq,pres
index ou,cn,mail,surname,givenname      eq,pres,sub
index uidNumber,gidNumber,loginShell    eq,pres
index uid,memberUid                     eq,pres,sub
index nisMapName,nisMapEntry            eq,pres,sub
-----
конфиг /etc/openldap/ldap.conf:
BASE    dc=mysrv, dc=com
URI    ldap://127.0.0.1/

------
конфиг /etc/samba/smb.conf

Код: Выделить всё

[global]
   workgroup = MYSRV
   netbios name = MYSERVER
   server string = My TEST Samba Server
   hosts allow = 192.168.
   printcap name = /etc/printcap
   load printers = no

cups options = raw

log file = /var/log/samba/%m.log
   max log size = 50

  security = user

  encrypt passwords = yes
  ldap passwd sync = yes
  smb passwd file = /etc/samba/smbpasswd
   socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
   local master = yes
   os level = 99
   domain master = yes
   preferred master = yes
   domain logons = yes

   wins support = yes
  wins proxy = yes

   dns proxy = no
passdb backend=ldapsam:ldap://127.0.0.1/
ldap admin dn=cn=Manager,dc=mysrv,dc=com
ldap suffix= dc=mysrv,dc=com
ldap user suffix= ou=Users
ldap group suffix= ou=Groups
ldap machine suffix= ou=Computers
ldap idmap suffix= ou=Users
ldap ssl=off
add user script= /opt/IDEALX/sbin/smbldap-useradd -m "%u"
ldap delete dn=yes
delete user script= /opt/IDEALX/sbin/smbldap-userdel "%u"
add machine script= /opt/IDEALX/sbin/smbldap-useradd -w "%u"
add group script= /opt/IDEALX/sbin/smbldap-groupadd -p "%g"
delete group script= /opt/IDEALX/sbin/smbldap-groupdel "%g"
add user to group script= /opt/IDEALX/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script= /opt/IDEALX/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script= /opt/IDEALX/sbin/smbldap-usermod -g "%g" "%u"
load printers = no
дальше шары...

-----
конфиг /etc/ldap.conf:

Код: Выделить всё

host 127.0.0.1
base dc=mysrv,dc=com
uri ldap://mysrv.com
uri ldapi:///var/run/ldapi_sock/
port 389
scope sub
timelimit 120
bind_timelimit 10
bind_policy soft
idle_timelimit 3600
pam_filter objectclass=posixAccount
pam_login_attribute uid
pam_member_attribute memberUid
pam_password crypt
pam_password crypt
nss_base_passwd    ou=Users,dc=mysrv,dc=com?one
nss_base_passwd    ou=Computers,dc=mysrv,dc=com?one
nss_base_group    ou=Groups,dc=mysrv,dc=com?one
ssl no
ssl no
tls_cacertdir /etc/openldap/cacerts
pam_password md5

---------
Понимаю, что приятного ковыряться в чужих конфигах мало, но прошу помощи т.к. бьюсь с этим LDAP-ом уже который день. До этого сталкивался с кучей проблем, но их удавалось решить самому.
PS. Дистрибутив CentOS 4.5
Project name: "FromWindows2Unix"
Спасибо сказали:
Аватара пользователя
Misteri0
Сообщения: 61
ОС: Win/Debian/CentOS

Re: SAMBA и LDAP

Сообщение Misteri0 »

При попытке проверить маппинг груп:

Код: Выделить всё

net groupmap list
получаю сл.:

Код: Выделить всё

lib/smbldap_search_suffix: Problem during the LDAP search: (No such object)
passdb/pdb_ldap.c:ldapsam_setamgrent(2458)
ldapsam_setsamgrent:LDAP search failed: No such object
passdb/pdb_ldap.c:ldap_enum_group_mapping(2523)
ldapsam_enum_group_mapping: Unable to open passdb
Project name: "FromWindows2Unix"
Спасибо сказали:
HRonik
Сообщения: 140
ОС: Debian

Re: SAMBA и LDAP

Сообщение HRonik »

Сам Лдап работает?
Пользователей из Лдапа в самбу добавил?
Спасибо сказали:
iYang
Сообщения: 41
ОС: SuSE 10.3, 11.0

Re: SAMBA и LDAP

Сообщение iYang »

Тут http://sysadminforum.com/t109897.html советуют сначала попробовать дать команду

Код: Выделить всё

net rpc info

а потом уже запросить СИД
У меня дистр OpenSuSE 10.3, настраивал связку Samba+LDAP+все остальное по этому руководству http://en.opensuse.org/Howto_setup_SUSE_10.1_as_Samba_PDC . Отличие от этого мануала с моей версией дистра только в ручной доустановке перловых компонент, из-за отсутствия которых не работали IDEALX-овские скрипты. Попробуйте сравнить на уровне конфигов хотя бы. Еще проверьте что файлы схем реально лежат там, где указано в конфиге лдап.
Спасибо сказали:
Аватара пользователя
OwnerCoder
Сообщения: 186
ОС: OpenSuSe 11, Apple OS X 10.5.8
Контактная информация:

Re: SAMBA и LDAP

Сообщение OwnerCoder »

У меня немножко другая проблема, всё делал по тем-же манам: http://en.opensuse.org/Howto_setup_SUSE_10.1_as_Samba_PDC
Всё получилось кроме последнего, при попытке запустить:

Код: Выделить всё

/usr/local/sbin/smbldap-populate

Выдаёт следующее:

Код: Выделить всё

Populating LDAP directory for domain msk.grifon (S-1-5-21-506520138-4072093132-542448483)
(using builtin directory structure)

adding new entry: dc=msk,dc=grifon
failed to add entry: modifications require authentication at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 2.
adding new entry: ou=Users,dc=msk,dc=grifon
failed to add entry: modifications require authentication at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 3.
adding new entry: ou=Groups,dc=msk,dc=grifon
failed to add entry: modifications require authentication at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 4.
adding new entry: ou=Computers,dc=msk,dc=grifon
failed to add entry: modifications require authentication at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 5.
adding new entry: ou=Idmap,dc=msk,dc=grifon
failed to add entry: modifications require authentication at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 6.
adding new entry: uid=Admin,ou=Users,dc=msk,dc=grifon
failed to add entry: modifications require authentication at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 7.
adding new entry: uid=nobody,ou=Users,dc=msk,dc=grifon
failed to add entry: modifications require authentication at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 8.
adding new entry: cn=Domain Admins,ou=Groups,dc=msk,dc=grifon
failed to add entry: modifications require authentication at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 9.
adding new entry: cn=Domain Users,ou=Groups,dc=msk,dc=grifon
failed to add entry: modifications require authentication at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 10.
adding new entry: cn=Domain Guests,ou=Groups,dc=msk,dc=grifon
failed to add entry: modifications require authentication at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 11.
adding new entry: cn=Domain Computers,ou=Groups,dc=msk,dc=grifon
failed to add entry: modifications require authentication at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 12.
adding new entry: cn=Administrators,ou=Groups,dc=msk,dc=grifon
failed to add entry: modifications require authentication at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 16.
adding new entry: cn=Account Operators,ou=Groups,dc=msk,dc=grifon
failed to add entry: modifications require authentication at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 18.
adding new entry: cn=Print Operators,ou=Groups,dc=msk,dc=grifon
failed to add entry: modifications require authentication at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 19.
adding new entry: cn=Backup Operators,ou=Groups,dc=msk,dc=grifon
failed to add entry: modifications require authentication at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 20.
adding new entry: cn=Replicators,ou=Groups,dc=msk,dc=grifon
failed to add entry: modifications require authentication at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 21.
adding new entry: sambaDomainName=msk.grifon,dc=msk,dc=grifon
failed to add entry: modifications require authentication at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 21.

Please provide a password for the domain Admin:
No such object at /usr/local/sbin//smbldap_tools.pm line 353.


Misteri0 Советую почитать один блог:
http://vasileas.livejournal.com/ все получалось только запарка при добавлении populate.
Прошу помочь! Очень, очень нужна помощь!
Спасибо сказали:
Аватара пользователя
Ленивая Бестолочь
Бывший модератор
Сообщения: 2760
ОС: Debian; gentoo

Re: SAMBA и LDAP

Сообщение Ленивая Бестолочь »

2OwnerCoder
smbpasswd -W <пароль записи лдапа, под которой самба будет в него чтото писать>
делали?
Солнце садилось в море, а люди с неоконченным высшим образованием выбегали оттуда, думая, что море закипит.
Спасибо сказали:
Аватара пользователя
OwnerCoder
Сообщения: 186
ОС: OpenSuSe 11, Apple OS X 10.5.8
Контактная информация:

Re: SAMBA и LDAP

Сообщение OwnerCoder »

JIeHb писал(а):
21.01.2008 20:08
2OwnerCoder
smbpasswd -W <пароль записи лдапа, под которой самба будет в него чтото писать>
делали?


Ты хочешь сказать что просто он не может законектиться с ldap сервером? Всмысле проблема с аутентификацией?

Тогда немножко другой вопрос где именно должны прописываться параметры аутентификации, конфиги выкладываю:


Код: Выделить всё

grifon:/etc/openldap # cat ldap.conf
#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE   dc=example, dc=com
#URI    ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT      12
#TIMELIMIT      15
#DEREF          never
TLS_REQCERT     allow
host    127.0.0.1
base    dc=msk,dc=grifon
grifon:/etc/openldap # cat slapd.conf
# Определение схем и расположения файлов
################################################################
include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/nis.schema
include         /etc/openldap/schema/samba3.schema
pidfile         /var/run/slapd/slapd.pid
argsfile        /var/run/slapd/slapd.args

# Настройка вашей базы и пользователя админа + пароль
################################################################
loglevel 0
database        bdb
suffix          "dc=msk,dc=grifon"
rootdn          "cn=Manager,dc=msk,dc=grifon"
rootpw          "{ssha}sJDmCLcvXq6CmAl8J9d1sA/DSGZDQUxXVw=="
directory       /var/lib/ldap

# Индексация для ускорения отклика ( неверный индекс может только ухудшить дело )
#################################################################
index   objectClass     eq
index cn                      pres,sub,eq
index sn                      pres,sub,eq
index uid                     pres,sub,eq
index displayName             pres,sub,eq
index uidNumber               eq
index gidNumber               eq
index memberUid               eq
index   sambaSID              eq
index   sambaPrimaryGroupSID  eq
index   sambaDomainName       eq
index   default               sub

# Настройки списков контроля доступа (ACL) для доступа к различным частям вашей
# базы. Вы можете и обойтись и без ACL, но немного безопасности не повредит
# Предотвратим просмотр пользовательских паролей, рабочих номеров ... и т.д.
######################################################################
#access to attr=userpassword,clearpassword,ldappassword
#   by anonymous auth
#   by self write
#   by dn="cn=Manager,dc=foobar,dc=tld" write
#   by * none

#access to *
#    by dn="cn=Manager,dc=foobar,dc=tld" write
#    by users read
#    by self write
#    by * read


Код: Выделить всё

# Определение имени домена и узла
####################################################
[global]
workgroup = msk.grifon
netbios name = smb

# Настройки ldapsam backend database
####################################################
passdb backend = ldapsam:ldap://127.0.0.1
username map = /etc/samba/smbusers

# Настройки системы печати
####################################################
printcap name = cups
printing = cups

# Путь к скрипту IDEALX (его коснемся позже)
####################################################
add user script = /usr/local/sbin/smbldap-useradd -m %u
delete user script = /usr/local/sbin/smbldap-userdel %u
add group script = /usr/local/sbin/smbldap-groupadd -p %g
delete group script = /usr/local/sbin/smbldap-groupdel %g
add user to group script = /usr/local/sbin/smbldap-groupmod -m %g %u
delete user from group script = /usr/local/sbin/smbldap-groupmod -x %g %u
set primary group script = /usr/local/sbin/smbldap-usermod -g %g %u
add machine script = /usr/local/sbin/smbldap-useradd -w %u


# если вы хотите добавлять машины в домен автоматически добавьте этот скрипт:
# add machine script = /usr/local/sbin/smbldap-useradd -w -i %u
# испытано на SUSE 10.0
#
# Другие разнообразные директивы ( man smb.conf )
####################################################
obey pam restrictions = Yes
logon script = scripts\logon.bat
logon path = \\%L\Profiles\%U
logon drive = H:
logon home = \\%L\%U
domain logons = Yes
os level = 44
preferred master = Yes
domain master = Yes
dont descend = /proc,/dev,/etc,/lib,/lost+found,/initrd
show add printer wizard = yes

# OpenLDAP настройки определяются здесь
###################################################
ldap suffix = dc=msk,dc=grifon
ldap machine suffix = ou=Computers
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap idmap suffix = ou=Users
ldap admin dn = cn=Manager,dc=msk,dc=grifon
ldap ssl = no
ldap passwd sync = Yes
idmap uid = 15000-20000
idmap gid = 15000-20000

# Задание настоек журналирования
####################################################
log level = 2
log file = /var/log/samba/workstation/%m.log

# Определение настроек сканирования вирусов
####################################################
vfs object = vscan-clamav
vscan-clamav: config-file = /etc/samba/vscan-clamav.conf

# Настройки домашних директорий
####################################################
[homes]
comment = Home Directories
valid users = %S
read only = No
browseable = No

# Определение принтеров
####################################################
[printers]
comment = All Printers
path = /var/spool/samba
printer admin = @"Print Operators"
read only  = Yes
guest ok = Yes
printable = Yes
browseable = No

# Драйвера для принтера
####################################################
[print$]
path = /var/lib/samba/drivers/
guest ok = No
browseable = Yes
read only = Yes
valid users = @"Print Operators"
write list = @"Print Operators"
create mask = 0664
directory mask = 0775

# Настройка службы сетевого входа (logon)
####################################################
[netlogon]
comment = NLService
path = /var/lib/samba/netlogon
guest ok = Yes
browseable = No

# Ресурс профилей ( для переносимых профилей )
####################################################
[profiles]
comment = Roaming Profiles
path = /var/lib/samba/profiles
create mask = 0600
directory mask = 0700
browseable = No
guest ok = Yes
force user = %U
valid users = %U "Domain Admins"
read only = No
profile acls = Yes

# Определение разделенных ресурсов
####################################################
[share]
comment = data share
path = /opt/stuff
valid users = %U
Спасибо сказали:
Аватара пользователя
OwnerCoder
Сообщения: 186
ОС: OpenSuSe 11, Apple OS X 10.5.8
Контактная информация:

Re: SAMBA и LDAP

Сообщение OwnerCoder »

Sorry за много постов но несколько секунд назад попробовал подправить конфиги теперь вот что:

Код: Выделить всё

grifon:/etc/openldap # /usr/local/sbin/smbldap-populate
Populating LDAP directory for domain msk.grifon (S-1-5-21-506520138-4072093132-542448483)
(using builtin directory structure)

entry dc=msk,dc=grifon already exist.
entry ou=Users,dc=msk,dc=grifon already exist.
entry ou=Groups,dc=msk,dc=grifon already exist.
entry ou=Computers,dc=msk,dc=grifon already exist.
entry ou=Idmap,dc=msk,dc=grifon already exist.
entry uid=Admin,ou=Users,dc=msk,dc=grifon already exist.
entry uid=nobody,ou=Users,dc=msk,dc=grifon already exist.
adding new entry: cn=Domain Admins,ou=Groups,dc=msk,dc=grifon
failed to add entry: attribute 'displayName' not allowed at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 9.
adding new entry: cn=Domain Users,ou=Groups,dc=msk,dc=grifon
failed to add entry: attribute 'displayName' not allowed at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 10.
adding new entry: cn=Domain Guests,ou=Groups,dc=msk,dc=grifon
failed to add entry: attribute 'displayName' not allowed at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 11.
adding new entry: cn=Domain Computers,ou=Groups,dc=msk,dc=grifon
failed to add entry: attribute 'displayName' not allowed at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 12.
adding new entry: cn=Administrators,ou=Groups,dc=msk,dc=grifon
failed to add entry: attribute 'displayName' not allowed at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 16.
adding new entry: cn=Account Operators,ou=Groups,dc=msk,dc=grifon
failed to add entry: attribute 'displayName' not allowed at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 18.
adding new entry: cn=Print Operators,ou=Groups,dc=msk,dc=grifon
failed to add entry: attribute 'displayName' not allowed at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 19.
adding new entry: cn=Backup Operators,ou=Groups,dc=msk,dc=grifon
failed to add entry: attribute 'displayName' not allowed at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 20.
adding new entry: cn=Replicators,ou=Groups,dc=msk,dc=grifon
failed to add entry: attribute 'displayName' not allowed at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 21.
entry sambaDomainName=msk.grifon,dc=msk,dc=grifon already exist. Updating it...

Please provide a password for the domain Admin:
Changing UNIX and samba passwords for Admin
New password:
Retype new password:
grifon:/etc/openldap #


В чем может быть проблема загадочного аттрибута: "displayName", сам ума дать не могу.

Кстати о чудо самба сразу смогла законнектиться с ldap вот логи:

Код: Выделить всё

grifon:/var/log/samba/workstation # cat *
[2008/01/21 21:11:24, 2] lib/interface.c:add_interface(81)
  added interface ip=192.168.0.1 bcast=192.168.0.255 nmask=255.255.255.0
[2008/01/21 21:11:24, 2] lib/interface.c:add_interface(81)
  added interface ip=192.168.1.2 bcast=192.168.1.255 nmask=255.255.255.0
[2008/01/21 21:11:24, 2] lib/tallocmsg.c:register_msg_pool_usage(61)
  Registered MSG_REQ_POOL_USAGE
[2008/01/21 21:11:24, 2] lib/dmallocmsg.c:register_dmalloc_msgs(71)
  Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED
[2008/01/21 21:11:24, 2] lib/smbldap_util.c:smbldap_search_domain_info(219)
  smbldap_search_domain_info: Searching for:[(&(objectClass=sambaDomain)(sambaDomainName=MSK.GRIFON))]
[2008/01/21 21:11:24, 2] lib/smbldap.c:smbldap_open_connection(788)
  smbldap_open_connection: connection opened
[2008/01/21 21:11:24, 2] smbd/server.c:open_sockets_smbd(384)
  waiting for a connection
Спасибо сказали:
Аватара пользователя
Ленивая Бестолочь
Бывший модератор
Сообщения: 2760
ОС: Debian; gentoo

Re: SAMBA и LDAP

Сообщение Ленивая Бестолочь »

без displayname винда правльно жить не может вроде.... так что придется разобраться.
а /etc/openldap/schema/samba3.schema можно глянуть? он стандартный?
Солнце садилось в море, а люди с неоконченным высшим образованием выбегали оттуда, думая, что море закипит.
Спасибо сказали:
Аватара пользователя
OwnerCoder
Сообщения: 186
ОС: OpenSuSe 11, Apple OS X 10.5.8
Контактная информация:

Re: SAMBA и LDAP

Сообщение OwnerCoder »

JIeHb писал(а):
22.01.2008 15:05
без displayname винда правльно жить не может вроде.... так что придется разобраться.
а /etc/openldap/schema/samba3.schema можно глянуть? он стандартный?



Да схема стандартная, для третьей самбы. И в нете не могу найти ни чего по этому поводу!
Спасибо сказали:
HRonik
Сообщения: 140
ОС: Debian

Re: SAMBA и LDAP

Сообщение HRonik »

Может попробывать в этой схеме samba3.schema атрибут DisplayName сделать не обязательным?
Спасибо сказали:
Аватара пользователя
OwnerCoder
Сообщения: 186
ОС: OpenSuSe 11, Apple OS X 10.5.8
Контактная информация:

Re: SAMBA и LDAP

Сообщение OwnerCoder »

HRonik писал(а):
23.01.2008 07:09
Может попробывать в этой схеме samba3.schema атрибут DisplayName сделать не обязательным?



В смысле удалить его? Ты думаеш что он не пригодиться, для аутентификации?
Спасибо сказали:
HRonik
Сообщения: 140
ОС: Debian

Re: SAMBA и LDAP

Сообщение HRonik »

OwnerCoder писал(а):
23.01.2008 08:22
В смысле удалить его? Ты думаеш что он не пригодиться, для аутентификации?

Нет , именно сделать не обязательным...
У каждого класса есть обязательные и возможные атрибуты, просто перенести этот атрибут из MAST в MAY...
Смотри мануалы про schema.

ЗЫ интересно какие атрибуты и классы ты задействовал, нарисуй ldapsearch какого-нибудь юзверя...
Спасибо сказали:
Аватара пользователя
OwnerCoder
Сообщения: 186
ОС: OpenSuSe 11, Apple OS X 10.5.8
Контактная информация:

Re: SAMBA и LDAP

Сообщение OwnerCoder »

HRonik писал(а):
23.01.2008 13:40
OwnerCoder писал(а):
23.01.2008 08:22
В смысле удалить его? Ты думаеш что он не пригодиться, для аутентификации?

Нет , именно сделать не обязательным...
У каждого класса есть обязательные и возможные атрибуты, просто перенести этот атрибут из MAST в MAY...
Смотри мануалы про schema.

ЗЫ интересно какие атрибуты и классы ты задействовал, нарисуй ldapsearch какого-нибудь юзверя...


Пока в ldap нет ни одного юсера, а на счет не обязательного как его сделать, подробнее пожалуйста.
Или просто он не может с ним законнектиться:

Код: Выделить всё

grifon:/etc/openldap # ldapsearch -LLL "(sn=Admin)"
SASL/DIGEST-MD5 authentication started
Please enter your password:
ldap_sasl_interactive_bind_s: Invalid credentials (49)
        additional info: SASL(-13): user not found: no secret in database


Вот кстатити что выдаёт один скрипт:

Код: Выделить всё

grifon:/opt/IDEALX/sbin # ./smbldap-usershow Admin
dn: uid=Admin,ou=Users,dc=msk,dc=grifon
objectClass: top,person,organizationalPerson,inetOrgPerson,sambaSamAccount,posixAccount,shado
wAccount
gidNumber: 0
uid: Admin
uidNumber: 0
homeDirectory: /home/Admin
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
sambaHomePath: \\SMB\homes\Admin
sambaHomeDrive: H:
sambaProfilePath: \\SMB\profiles\Admin
sambaPrimaryGroupSID: S-1-5-21-506520138-4072093132-542448483-512
sambaSID: S-1-5-21-506520138-4072093132-542448483-500
sambaLMPassword: 70C4001E1F2A094B2A4107493454DEF8
sambaAcctFlags: [U]
sambaNTPassword: 33756C6E8AC8BE014A1E4B0FED5333CE
sambaPwdLastSet: 1201086787
sambaPwdMustChange: 1209640387
userPassword: {SSHA}npmAANWPhHfW53s8W7KAEfXzx7VXeG1y
gecos: Admin,,,,
cn: Admin
sn: Admin
loginShell: /bin/false
grifon:/opt/IDEALX/sbin #
Спасибо сказали:
Аватара пользователя
Ленивая Бестолочь
Бывший модератор
Сообщения: 2760
ОС: Debian; gentoo

Re: SAMBA и LDAP

Сообщение Ленивая Бестолочь »

Или просто он не может с ним законнектиться:

йес.

скорее всего не sn=Admin, а cn=Admin,

а ваш скриптик какраз нам показывается одного заведенного юзера, правда без DisplayName.
Солнце садилось в море, а люди с неоконченным высшим образованием выбегали оттуда, думая, что море закипит.
Спасибо сказали:
Аватара пользователя
OwnerCoder
Сообщения: 186
ОС: OpenSuSe 11, Apple OS X 10.5.8
Контактная информация:

Re: SAMBA и LDAP

Сообщение OwnerCoder »

И с "cn" тоже самое. Подскажите как мне сделать это поле необязаьтельным, или этого лучьше не делать?
Спасибо сказали:
HRonik
Сообщения: 140
ОС: Debian

Re: SAMBA и LDAP

Сообщение HRonik »

OwnerCoder писал(а):
23.01.2008 15:17
И с "cn" тоже самое. Подскажите как мне сделать это поле необязаьтельным, или этого лучьше не делать?

Потому что не 'cn' , а 'uid' это раз...
SASL !! O_O это два, обязательно через sasl поднимать?
Не видел в инете ни одного нормального описания как завести ldap и sasl..
а три: команду подай правильно

Код: Выделить всё

ldapsearch -LLL -x -b "dc=blabla" "*"

вот так покажет всю твою базу...

Да еще вопрос
objectClass: top,person,organizationalPerson,inetOrgPerson,sambaSamAccount,posixAccount,shado
wAccount

кто столько классов требует ? MTA?
И последнее повтори еще раз суть твоей проблемы на данном этапе , а то что-то запутался я:)
Спасибо сказали:
Аватара пользователя
OwnerCoder
Сообщения: 186
ОС: OpenSuSe 11, Apple OS X 10.5.8
Контактная информация:

Re: SAMBA и LDAP

Сообщение OwnerCoder »

HRonik писал(а):
23.01.2008 15:32
OwnerCoder писал(а):
23.01.2008 15:17
И с "cn" тоже самое. Подскажите как мне сделать это поле необязаьтельным, или этого лучьше не делать?

Потому что не 'cn' , а 'uid' это раз...
SASL !! O_O это два, обязательно через sasl поднимать?
Не видел в инете ни одного нормального описания как завести ldap и sasl..
а три: команду подай правильно

Код: Выделить всё

ldapsearch -LLL -x -b "dc=blabla" "*"

вот так покажет всю твою базу...

Да еще вопрос
objectClass: top,person,organizationalPerson,inetOrgPerson,sambaSamAccount,posixAccount,shado
wAccount

кто столько классов требует ? MTA?
И последнее повтори еще раз суть твоей проблемы на данном этапе , а то что-то запутался я:)


Код: Выделить всё

grifon:~/soft/squid/statistics/lightsquid-1.7.1 # /usr/local/sbin/smbldap-populate
Populating LDAP directory for domain msk.grifon (S-1-5-21-506520138-4072093132-542448483)
(using builtin directory structure)

entry dc=msk,dc=grifon already exist.
entry ou=Users,dc=msk,dc=grifon already exist.
entry ou=Groups,dc=msk,dc=grifon already exist.
entry ou=Computers,dc=msk,dc=grifon already exist.
entry ou=Idmap,dc=msk,dc=grifon already exist.
entry uid=Admin,ou=Users,dc=msk,dc=grifon already exist.
entry uid=nobody,ou=Users,dc=msk,dc=grifon already exist.
adding new entry: cn=Domain Admins,ou=Groups,dc=msk,dc=grifon
failed to add entry: attribute 'displayName' not allowed at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 9.
adding new entry: cn=Domain Users,ou=Groups,dc=msk,dc=grifon
failed to add entry: attribute 'displayName' not allowed at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 10.
adding new entry: cn=Domain Guests,ou=Groups,dc=msk,dc=grifon
failed to add entry: attribute 'displayName' not allowed at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 11.
adding new entry: cn=Domain Computers,ou=Groups,dc=msk,dc=grifon
failed to add entry: attribute 'displayName' not allowed at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 12.
adding new entry: cn=Administrators,ou=Groups,dc=msk,dc=grifon
failed to add entry: attribute 'displayName' not allowed at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 16.
adding new entry: cn=Account Operators,ou=Groups,dc=msk,dc=grifon
failed to add entry: attribute 'displayName' not allowed at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 18.
adding new entry: cn=Print Operators,ou=Groups,dc=msk,dc=grifon
failed to add entry: attribute 'displayName' not allowed at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 19.
adding new entry: cn=Backup Operators,ou=Groups,dc=msk,dc=grifon
failed to add entry: attribute 'displayName' not allowed at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 20.
adding new entry: cn=Replicators,ou=Groups,dc=msk,dc=grifon
failed to add entry: attribute 'displayName' not allowed at /usr/local/sbin/smbldap-populate line 495, <GEN1> line 21.
entry sambaDomainName=msk.grifon,dc=msk,dc=grifon already exist. Updating it...

Please provide a password for the domain Admin:
Changing UNIX and samba passwords for Admin

Проблема следующая он не может добавлять с атрибутом displayName ругается @ (собака), где и как можно сделать этот атрибут не обязательным?

А вот вывод команды:

Код: Выделить всё

grifon:~/soft/squid/statistics/lightsquid-1.7.1 # ldapsearch -LLL -x -b "dc=grifon" "*"
No such object (32)
grifon:~/soft/squid/statistics/lightsquid-1.7.1 # ldapsearch -LLL -x -b "dc=msk.grifon" "*"
No such object (32)
grifon:~/soft/squid/statistics/lightsquid-1.7.1 # ldapsearch -LLL -x -b "dc=msk.grifon"
No such object (32)
grifon:~/soft/squid/statistics/lightsquid-1.7.1 # ldapsearch -LLL -x -b "cn=Admin"
No such object (32)
Спасибо сказали:
Аватара пользователя
Misteri0
Сообщения: 61
ОС: Win/Debian/CentOS

Re: SAMBA и LDAP

Сообщение Misteri0 »

Сорри народ, дело в том, что в отпуске недавно был:)
Перед отъездом пробовал ещё кучу всего с ldap и в итоге запутал и себя и систему. Пока переставляю. За ссылки big thx. Попробую как будет время(на работе завал) и отпишу, что из этого вышло.
PS Ещё раз извините за столь запоздалый пост.
Project name: "FromWindows2Unix"
Спасибо сказали:
HRonik
Сообщения: 140
ОС: Debian

Re: SAMBA и LDAP

Сообщение HRonik »

Misteri0 писал(а):
23.01.2008 17:28
PS Ещё раз извините за столь запоздалый пост.

О_О Не удивительно, что я запутался :) Не смотрел кто спрашивает...
(OwnerCoder) писал(а):Проблема следующая он не может добавлять с атрибутом displayName ругается @ (собака), где и как можно сделать этот атрибут не обязательным?

открой samba.shcema и найди там :objectclass sambaGroupMapping и покажи все что о нем написано, думаю дело не в скрипте (хотя я им не пользуюсь) а в shceme
Спасибо сказали:
Аватара пользователя
OwnerCoder
Сообщения: 186
ОС: OpenSuSe 11, Apple OS X 10.5.8
Контактная информация:

Re: SAMBA и LDAP

Сообщение OwnerCoder »

Всё получилось нашел статью по ldap прочитал что атрибут displayName читается только в том случае только когда не найден атрибут cn, потом просто закоментил "displayName", в скриптах IDEALX и о чудо всё отлично потом правда пришлось помучиться с правами на винде, но всё образумилось. Если кому нужны конфиги прошу: owner.coder@gmail.com.
Спасибо сказали:
Аватара пользователя
Misteri0
Сообщения: 61
ОС: Win/Debian/CentOS

Re: SAMBA и LDAP

Сообщение Misteri0 »

и снова здрасти. Пробую снова сделать по этой доке http://www.opennet.ru/base/net/ldap_spama_pdc.txt.html, но без использования SSL в результате при попытке сделать

Код: Выделить всё

net getlocalsid

вываливается

Код: Выделить всё

lib/smbldap.c:smbldap_connet_system(982)
failed to bind to server ldap://ldap.mysrv.com with dn="cn=root,dc=mysrv,dc=com" Error: Cant't contact LDAP server
(unknoun)
utils/net.c net_getlocalsid(622)
Can't fetch domain SID

Пробовал изменить на 127.0.0.1, но не помогло. Скажите где могут быть траблы?
Конфиги прикреплены ниже
Вложения
smb.conf
(11.01 КБ) 19 скачиваний
slapd.conf
(3.57 КБ) 21 скачивание
ldap.conf
(319 байт) 20 скачиваний
Project name: "FromWindows2Unix"
Спасибо сказали:
HRonik
Сообщения: 140
ОС: Debian

Re: SAMBA и LDAP

Сообщение HRonik »

Ты на дебиане сидишь?
Если да то добавь в /etc/default/slapd строчку SLAPD_SERVICES="ldap://127.0.0.1/"
и в конфигах используй URI ldap://127.0.0.1/

Далее в slapd.conf ты забыл modulpath и вообще у тебя slapd не работает или связка samba+ldap?
Спасибо сказали:
Аватара пользователя
Misteri0
Сообщения: 61
ОС: Win/Debian/CentOS

Re: SAMBA и LDAP

Сообщение Misteri0 »

HRonik писал(а):
29.01.2008 13:16
Ты на дебиане сидишь?
Если да то добавь в /etc/default/slapd строчку SLAPD_SERVICES="ldap://127.0.0.1/"
и в конфигах используй URI ldap://127.0.0.1/

Далее в slapd.conf ты забыл modulpath и вообще у тебя slapd не работает или связка samba+ldap?

У меня CentOS 4.6
в /etc/default/ нет slapd
а по поводу URI ldap://127.0.0.1/
я пробовал ничего не получилось(( Там строка закаменчена если ты про passdb backend
Вообще может это быть причиной того что стоит CentOS 4.6 а не 5.1 ?
Project name: "FromWindows2Unix"
Спасибо сказали:
HRonik
Сообщения: 140
ОС: Debian

Re: SAMBA и LDAP

Сообщение HRonik »

Misteri0 писал(а):
29.01.2008 13:29
в /etc/default/ нет slapd
а по поводу URI ldap://127.0.0.1/
я пробовал ничего не получилось(( Там строка закаменчена если ты про passdb backend

я не про smb.conf
про CentOs ничего сказать не могу... у тебя slapd работает сам по себе или нет?
Спасибо сказали:
Аватара пользователя
Misteri0
Сообщения: 61
ОС: Win/Debian/CentOS

Re: SAMBA и LDAP

Сообщение Misteri0 »

да, работает т.к. я добавлял базовую структуру base.ldif
Project name: "FromWindows2Unix"
Спасибо сказали:
Аватара пользователя
Misteri0
Сообщения: 61
ОС: Win/Debian/CentOS

Re: SAMBA и LDAP

Сообщение Misteri0 »

Прошу люди у кого есть нормальная и главное подробная документация по LDAP+SAMBA в особенности на основе RH и подобных дайте ссылку. Очень надо!
Project name: "FromWindows2Unix"
Спасибо сказали:
iYang
Сообщения: 41
ОС: SuSE 10.3, 11.0

Re: SAMBA и LDAP

Сообщение iYang »

да, работает т.к. я добавлял базовую структуру base.ldif

Насколько я помню, импорт из лдиф файла возможен при остановленом демоне ldapd, вывод сообщения
Error: Cant't contact LDAP server (unknoun)

как раз говорит о неработающем демоне.
Когда у меня не получалось настроить LDAP, я несколько раз прибивал базу путем удаления (бэкапа) всех файлов в каталоге БД ЛДАП (см. конфиг) и начинал импорт заново. Причем перед этим пробовал стартовать лдап, убеждался, что он стартует без ошибок, а потом только делал манипуляции с содержимым
Спасибо сказали:
HRonik
Сообщения: 140
ОС: Debian

Re: SAMBA и LDAP

Сообщение HRonik »

выдай нам следующее...

Код: Выделить всё

ps ax|grep slapd

потом попробуй сделать так

Код: Выделить всё

ldapsearch -LLL -x -b"dc=,dc=" "*"
только первые 2-3 результата, если будет:))
Спасибо сказали:
Аватара пользователя
Misteri0
Сообщения: 61
ОС: Win/Debian/CentOS

Re: SAMBA и LDAP

Сообщение Misteri0 »

Код: Выделить всё

ldapsearch -LLL -x -b"dc=,dc=" "*"

Invalid DN syntax (34)
Additional information: invalid DN
Делал при запущеном LDAP-е
Project name: "FromWindows2Unix"
Спасибо сказали:
Ответить