Samba как контроллер домена (помогите настроить)

[Pentium02]

Пробовал настраивать по этой статье, хоть и для фряхи. В общем так:

Код: Выделить всё

local-server:/# net join LOCAL-NET
Password:
Creation of workstation account failed
Unable to join domain LOCAL-NET.
local-server:/#

Что я не так сделал?

[Goodvin]

А что выдает команда testparm с твоим конфигом ?

[Pentium02]

Код:

local-server:/# testparm Load smb config files from /etc/samba/smb.conf Processing section "[homes]" Processing section "[netlogon]" params.c:Parameter() - Ignoring badly formed line in configuration file: browseable no Processing section "[profiles]" Processing section "[print$]" Loaded services file OK. Server role: ROLE_DOMAIN_PDC Press enter to see a dump of your service definitions [global] workgroup = LOCAL-NET server string = SAMBA Domain controller obey pam restrictions = Yes passdb backend = tdbsam passwd program = /usr/bin/passwd %u passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* . syslog = 0 log file = /var/log/samba/log.%m max log size = 1000 logon path = logon drive = H: logon home = domain logons = Yes dns proxy = No panic action = /usr/share/samba/panic-action %d [homes] comment = Home Directories valid users = %S create mask = 0700 directory mask = 0700 browseable = No [netlogon] comment = Network Logon Service path = /home/samba/netlogon guest ok = Yes [profiles] comment = Users profiles path = /home/samba/profiles read only = No profile acls = Yes [print$] comment = Printer Drivers path = /var/lib/samba/printers local-server:/#

[alex_suse]

1. testparm не должен давать ошибок
2. демон smb надеюсь запущен
3. Пишу по памяти, для PDC лучше так
security = user
domain master = yes
domain logons = yes
os level = 65 (можно и больше)
4. у samba свои пользователи, в том числе и админ, который включает хост в домен. Все пользователи должны зарегистрированы локально, а затем включены как samba пользователи, пароли могут не совпадать.

[Goodvin]

Все пользователи должны зарегистрированы локально, а затем включены как samba пользователи, пароли могут не совпадать.

В случае БЕЗ LDAP пароли лучше синхронизировать, это удобно.

[Pentium02]

мм а может ктонибудь объяснит как чего делать, а то я в первый раз самбу настраиваю.

P.S. Alex_suseдемон smb конечно же запущен

[alex_suse]

мм а может ктонибудь объяснит как чего делать, а то я в первый раз самбу настраиваю.

P.S. Alex_suseдемон smb конечно же запущен

Так вроде все уже объяснили.
1. Ставим самбу
2. Правим конфиг, в начале без излишеств (workgroup, netbios name, security, domain master, domain logons, smb passwd file).
3. Проверям testparm
4. создаем локальных пользователей и добавляем их через smbpasswd в самбу, админ по умолчанию root его тоже добавляем, либо надо заменить на другого через конфиг, по памяти это параметр admins users.
5. запускаем самбу
6. включаем через net join сервер в домен, делает это админ домена, н.р. root пароль тот, который указали при добавлении в самбу.
7. через smbclient -L смотрим что досутпно, на начальном этапе в конфиг можно одну шару только создать.
8. через smbclient пробуем подключится к шаре.

Это начало, дальше уже крутить можно долго, параметров у самбы море, ситуаций тоже много.

ЗЫ Лучше конкретней вопросы задавать, начальный этап описан много раз, с тонкостями уже сложнее.

[Goodvin]

6. включаем через net join сервер в домен

А это зачем ?

[Pentium02]

На шестом пункте опять затык. Таже история.

рута добавил так

Код: Выделить всё

smbpasswd -a root
smbpasswd -e root

перезапустил самбу

Код: Выделить всё

/etc/init.d/samba restart

и снова таже история

Код: Выделить всё

local-server:/# net join LOCAL-NET
Password:
Creation of workstation account failed
Unable to join domain LOCAL-NET.

[alex_suse]

что выдает команда smbclient -L hostname?
секцию global можно увидеть?

[Pentium02]

Странно както

Код:

local-server:~# smbclient -L localhost Password: Domain=[LOCAL-NET] OS=[Unix] Server=[Samba 3.0.26a] Sharename Type Comment --------- ---- ------- IPC$ IPC IPC Service (Main Domain controller) root Disk Home Directories Domain=[LOCAL-NET] OS=[Unix] Server=[Samba 3.0.26a] Server Comment --------- ------- LOCAL-SRV Main Domain controller Workgroup Master --------- ------- LOCAL-NET local-server:~# net join local-net Password: Creation of workstation account failed Unable to join domain LOCAL-NET. local-server:~# smbclient -L localhost Password: Domain=[LOCAL-NET] OS=[Unix] Server=[Samba 3.0.26a] Sharename Type Comment --------- ---- ------- IPC$ IPC IPC Service (Main Domain controller) root Disk Home Directories Domain=[LOCAL-NET] OS=[Unix] Server=[Samba 3.0.26a] Server Comment --------- ------- LOCAL-SRV Main Domain controller Workgroup Master --------- ------- LOCAL-NET LOCAL-SRV local-server:~#

Код: Выделить всё

[global]
        workgroup = LOCAL-NET
        netbios name = LOCAL-SRV
        server string = Main Domain controller
        log file = /usr/local/samba/var/log.%m
        max log size = 50
        load printers = No
        domain logons = Yes
        os level = 65
        domain master = Yes
        dns proxy = No

[alex_suse]

Чудеса какие-то. Настораживает что "Master" проявился только после второй команды smbclient, почему, видимо ms чудеса браузера?
Вместо net join, попробуйте net rpc join -U root%пароль.
Может в логах глянуть что там?

[Pentium02]

Файл: log.192.168.1.3

Код: Выделить всё

[2007/09/28 03:12:38, 0] auth/auth_util.c:create_builtin_administrators(792)
  create_builtin_administrators: Failed to create Administrators
[2007/09/28 03:12:38, 0] auth/auth_util.c:create_builtin_users(758)
  create_builtin_users: Failed to create Users
[2007/09/28 03:12:38, 0] rpc_server/srv_netlog_nt.c:get_md4pw(242)
  get_md4pw: Workstation LOCAL-SRV$: no account in domain
[2007/09/28 03:12:38, 0] rpc_server/srv_netlog_nt.c:_net_auth_2(461)
  _net_auth2: failed to get machine password for account LOCAL-SRV$: NT_STATUS_ACCESS_DENIED

Файл: log.local-srv

Код: Выделить всё

[2007/09/28 03:12:42, 0] auth/auth_util.c:create_builtin_administrators(792)
  create_builtin_administrators: Failed to create Administrators
[2007/09/28 03:12:42, 0] auth/auth_util.c:create_builtin_users(758)
  create_builtin_users: Failed to create Users

[Goodvin]

Вместо net join, попробуйте net rpc join -U root%пароль.

Товарищ, Вы можете внятно объяснить, зачем Вы настойчиво предлагаете втаскивать в домен сам контроллер домена ?

[alex_suse]

Файл: log.192.168.1.3

Код: Выделить всё

[2007/09/28 03:12:38, 0] auth/auth_util.c:create_builtin_administrators(792)
  create_builtin_administrators: Failed to create Administrators
[2007/09/28 03:12:38, 0] auth/auth_util.c:create_builtin_users(758)
  create_builtin_users: Failed to create Users
[2007/09/28 03:12:38, 0] rpc_server/srv_netlog_nt.c:get_md4pw(242)
  get_md4pw: Workstation LOCAL-SRV$: no account in domain
[2007/09/28 03:12:38, 0] rpc_server/srv_netlog_nt.c:_net_auth_2(461)
  _net_auth2: failed to get machine password for account LOCAL-SRV$: NT_STATUS_ACCESS_DENIED

Ага, опять они там в самбе намудрили с группами.
Есть такая команда net groupmap, там можно сопоставить виндовые группы и юниксовые, Administrators и Users это как раз виндовые.

[alex_suse]

Вместо net join, попробуйте net rpc join -U root%пароль.

Товарищ, Вы можете внятно объяснить, зачем Вы настойчиво предлагаете втаскивать в домен сам контроллер домена ?

Товарищ Администратор Домена. У меня такая идиотсткая видимо привычка, если чего не работает начинать с простого, как и при поднятии какой-либо службы, тем более первый раз, делать это пошагово с проверкой. Вы как настроящий Администратор Домена видимо предлагаете это делать с удаленной машины, а потом задавать идиотские вопросы вида - сеть работает, кабель какой категории, ping проходит, firewall пропускает, группы совпадают и т.д., и т.п. Мне вот как-то очевидно, что ежели он сам себя не включает, то клиентов тем более не включит.

[Pentium02]

alex_suse Так?

Код: Выделить всё

net groupmap add ntgroup="Administrators" unixgroup=ntadmins rid=512 type=d
net groupmap add ntgroup="Users" unixgroup=ntusers  rid=513 type=d

Сделал так, но в логах всё теже ошибки

[alex_suse]

alex_suse Так?

Код: Выделить всё

net groupmap add ntgroup="Administrators" unixgroup=ntadmins rid=512 type=d
net groupmap add ntgroup="Users" unixgroup=ntusers  rid=513 type=d

Сделал так, но в логах всё теже ошибки

Думаю не совсем так. У меня вообще самба под SUSE ничего такого не требует, только для win клиентов, а с точки зрения linux работает и без этого, в том числе с вашим конфигом (проверил дома, все ок), видимо так скомпилирована в SUSE, либо опять чего-то поменяли. Так что проверить не могу, но думаю.
1. Создайте группу в linux ntadmins. Уже сделали я так понял.
2. Создайте в linux пользователя допустим alex и включите его в группу ntadmins, он будет админом домена.
3. добавить alex в самба пользователи через smbpasswd
4. запускаем net groupmap list, что там видим? Я например в дефолте ничего, если есть надо сопоставить группы, ежели нет создать и сопоставить.
5. В домене группы это - Domain Admins (рид 512), Domain Users (рид 513) и т.д. вот их и надо сопоставить.

Код: Выделить всё

net groupmap add ntgroup="Domain Admins" unixgroup=ntadmins rid=512 type=d

6. там еще есть net rpc rights, через нее можно посмотреть права пользователя домена (какие даны, какие возможны)
7. если с правами нормально, то пробуем

Код: Выделить всё

net rpc join -U alex%пароль

[Goodvin]

Мне вот как-то очевидно, что ежели он сам себя не включает, то клиентов тем более не включит.

Это большое заблуждение.
На основе чего Вам это "очевидно" ?
Вот у меня на столе сейчас стоят ДВА контроллера домена, на разных дистрибутивах линукса, два разных домена.
Дома стоит третий, точно такой же, на третьем дистрибутиве линукса.
Ни один из PDC в свой собственный домен не вводился.

И тем не менее - виндовые клиенты прекрасно в эти домены вводятся, все работает.
Вот это - очевидно.
Не стоит обманываться самому и обманывать других новичков.
Вводить PDC на самбе в собственный домен может потребоваться в некоторых случаях, но совсем для другого.

[alex_suse]

Мне вот как-то очевидно, что ежели он сам себя не включает, то клиентов тем более не включит.

Это большое заблуждение.
На основе чего Вам это "очевидно" ?
Вот у меня на столе сейчас стоят ДВА контроллера домена, на разных дистрибутивах линукса, два разных домена.
Дома стоит третий, точно такой же, на третьем дистрибутиве линукса.
Ни один из PDC в свой собственный домен не вводился.

И тем не менее - виндовые клиенты прекрасно в эти домены вводятся, все работает.
Вот это - очевидно.
Не стоит обманываться самому и обманывать других новичков.
Вводить PDC на самбе в собственный домен может потребоваться в некоторых случаях, но совсем для другого.

А где сказано, что если сам PDC не ввести в домен, то и клиенты в него не войдут?
Зато мне очевидно, что если сам PDC не вводится в домен, то остальные и подавно туда не войдут. Хотите доказать обратное?

Теории то хватит рисовать, тут как правило решают конкретные проблемы, чтобы их решить надо избавится от шелухи, клиенты домена это шелуха пока сам PDC не работает как положено. Настоящий Администратор Домена не пытается накачкой колес решить проблему неработающего мотора? А ведь дейстивтельно без колес машине мотор не нужен.

[Pentium02]

В общем опять какаято ерунда

группы ntadmins, ntusers и computers уже создал до этого

Создал юзера pentium02
Добавил его в группу ntadmins (а также вписал в админы, в конфиге самбы)

Код: Выделить всё

gpasswd -a pentium02 ntadmins

сопоставил группы

Код: Выделить всё

net groupmap add ntgroup="Domain Admins" unixgroup=ntadmins rid=512 type=d
net groupmap add ntgroup="Domain Users"  unixgroup=ntusers  rid=513 type=d
net groupmap add ntgroup="Domain Computers" unixgroup=computers type=d

Код: Выделить всё

local-server:/# net groupmap list
Domain Admins (S-1-5-21-3080023375-2099680236-1443175430-512) -> ntadmins
Domain Computers (S-1-5-21-3080023375-2099680236-1443175430-1003) -> computers
Domain Users (S-1-5-21-3080023375-2099680236-1443175430-513) -> ntusers
local-server:/#

net rpc rights выдаёт такое

Код: Выделить всё

local-server:/# net rpc rights
net rpc rights list [{accounts|privileges} [name|SID]]   View available or assigned privileges
net rpc rights grant <name|SID> <right>                  Assign privilege[s]
net rpc rights revoke <name|SID> <right>                 Revoke privilege[s]

Both 'grant' and 'revoke' require a SID and a list of privilege names.
For example

  net rpc rights grant 'VALE\biddle' SePrintOperatorPrivilege SeDiskOperatorPrivilege

would grant the printer admin and disk manager rights to the user 'VALE\biddle'

local-server:/#

Но в домен вступить так и не удаётся, ни с самого контроллера, ни с клиентов.

логи

Код: Выделить всё

[2007/09/28 21:28:57, 0] auth/auth_util.c:create_builtin_administrators(792)
  create_builtin_administrators: Failed to create Administrators
[2007/09/28 21:28:57, 0] auth/auth_util.c:create_builtin_users(758)
  create_builtin_users: Failed to create Users
[2007/09/28 21:28:58, 0] auth/auth_util.c:create_builtin_administrators(792)
  create_builtin_administrators: Failed to create Administrators
[2007/09/28 21:28:58, 0] auth/auth_util.c:create_builtin_users(758)
  create_builtin_users: Failed to create Users

P.S. Клиенты под виндами

[alex_suse]

Я конечно ленивый, но не до такой степени
Исходные данные - openSUSE 10.2 + официальные апдейты, samba сносим.
Качаем samba 3.0.26 с samba.org
Ставим

Код: Выделить всё

./configure
make
make install

пишем /etc/samba/smb.conf

Код: Выделить всё

[global]
    workgroup = TMP
    netbios name = PDC
    server string = Main Domain controller

        domain master = yes
    domain logons = yes
    os level = 65

    log file = /var/log/samba/log.smdb
    log level = 2

    admin users = alex
[public]
        path = /home/samba/public
    writeable = yes

добавляем пользователя

Код: Выделить всё

smbpasswd -a alex
/etc/init.d/smb start
net rpc join -U alex
password:
Joined domain TMP

посмотрел net groupmap list пустой
создал выше public, chmod -R 777 /home/samba
зашел туда через Kongueror, попал, создал папку, удалил.
Это всё, ничем не могу видимо помочь.

Последняя мысль. Winbind случаем не запущен?

[Pentium02]

Короче какаято мистика, я удалил все группы, создал заного, сопоставил их с виндовами, добавил юзера pentium02 в админы и всё вдруг заработало)))))

Спасибо всем!!!!!!!!

[alex_suse]

Поздравляю.

[Colonia]

У меня не получается, каждый раз получаю одинаковую ошибку :
host:~ # net rpc join -U nik%123
[2007/10/05 15:43:20, 0] lib/util_sock.c:read_socket_with_timeout(497)
read_socket_with_timeout: timeout read. read error = Connection reset by peer.
Connection failed: NT_STATUS_INVALID_NETWORK_RESPONSE
[2007/10/05 15:43:20, 0] lib/util_sock.c:read_socket_with_timeout(497)
read_socket_with_timeout: timeout read. read error = Connection reset by peer.
Could not connect to server SERVER
Connection failed: NT_STATUS_INVALID_NETWORK_RESPONSE

Может кто-нибудь помочь ?

[RTFM]

выкладывай конфиги, версия самбы? дистрибутив?

[Colonia]

Дистрибутив SuSe 10.2
Конфиг Samba стандартный, LDAP не использую.
# smb.conf is the main Samba configuration file. You find a full commented
# version at /usr/share/doc/packages/samba/examples/smb.conf.SUSE if the
# samba-doc package is installed.
# Date: 2006-11-27
[global]
workgroup = ASU
netbios name = SERVER
server string = ASU SERVER

passdb backend = tdbsam

log level = 1
log file = /var/log/samba/workstations/%m.log
max log size = 50

add user script = /usr/sbin/useradd -m %u
delete user script = /usr/sbin/userdel -r %u

add group script = /usr/sbin/groupadd %g
delete group script = /usr/sbin/groupdel %g

add user to group script = /usr/bin/gpasswd -a %u %g
delete user from group script = /usr/bin/gpasswd -d %u %g

add machine script = /usr/sbin/useradd -g nt_workstations -s /bin/false -d /dev/null %u
set primary group script = /usr/sbin/usermod -g %g %u

logon path =
logon drive =
logon home =
logon script = %G.bat
domain logons = yes

socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

hosts allow = 192.168. 127.

time server = yes

preferred master = yes
domain master = yes
local master = yes
os level = 255

unix charset = utf8
dos charset = cp1251
display charset = cp1251


[homes]
comment = Home Directories
browseable = no
writable = yes

[netlogon]
path = /srv/samba/netlogon
read only = yes
browseable = no
# Расскоментируйте строку ниже, если хотите чтобы пользователи
# на своих ПК были членами группы "Опытные пользователи" (сработает после 2-го входа пользователя в домен)
#root preexec = net rpc group addmem "Опытные пользователи" %u -S %m -Ubambucha%123 &

[incoming]
path = /srv/samba/incoming
writable = yes
create mask = 0775
directory mask = 0775
force group = users

[docs]
path = /srv/samba/docs
write list = @nt_admins

[distrib]
path = /srv/samba/distrib
write list = @nt_admins

[clients]
path = /srv/samba/clients
writable = yes
valid users = @managers

[fed71]

2 Colonia

1. Определите внятно для себя что Вы хотите иметь на выходе. Исходя из этого меняйте параметры конфига.
2. Если еще не сделали этого - ознакомитесь Как я настраивал Самбу
3. Для конфигурирования самбы рекомендую воспользоваться утилитой samba-swat. В сусе есть точно. После установки утилиты просто в браузере набрать http://localhost:901 и залогиниться под рутом.
4. На всяк случай вопрос: А самба у Вас собственно запущена?
5. Вложил рабочий начальный конфиг самбы, дабы от него плясать (вполне можно воткнуть вместо Вашего).
6. После смены параметров не забывать
а. сохранять изменения
б. перезапускать самбу
7. Самбе нужно время на сканирование сети. Если сеть ОЧЕНЬ большая может потребоваться от нескольких часов до 2-3 суток (по опыту на 10 компов надо минут 10-15, на 30 - час и более).

Пока так. Делитесь успехами.

smb.conf

(1.29 КБ) 144 скачивания

[Colonia]

Большое спасибо, на удивление все заработало.
Я смог создать PDC и самое главное войти в домен как контроллер этого домена.

В чем была ошибка я не очень понял. В любом случае большое спасибо.

[asterx]

Пытаюсь сделать PDC с помощью Samba+OpenLDAP, клиенты - WnXP Prof SP2
Система: ASPLinux 12 Carbon ][aker release
Софт: BIND 9.4.2, Samba 3.0.26a, OpenLDAP 2.3.34
На данный момент настроил Samba (настраивал первый раз по этому может быть криво), OpenLDAP и BIND.
Настроил NSS как подсказали на форуме Red Hat Клуб .
Для создания дерева LDAP использовал smbldap-populate
Собственно проблемы в следующем:
1. Не получается ввести контроллер домена в его же домен. На net rpc join -U admin%passwordпишет

Could not connect to server PDC
The username or password was not correct
Connection failed: NT_STATUS_LOGON_FAILURE

2. Соответственно не получается ввести в домен WinXP, пишет

Произошла ошибка "DNS-имя не существует"
Опрос проводился для SRV-записи для _ldap._tcp.dc._msdcs.company.local
К возможным причинам ошибки относяться:
1. SRV-запись DNS не зарегистрирована в DNS
...

Посмотрел на рабочем контроллере домена под Win2k3 в ДНС есть такая запись, у неё приоритет 0, вес 100 , порт 389, значение - имя PDC. Но читая множество статей в интернете по вопросам создания PDC под линуксостречал упоминания создания этой записи. Может я что-то не так делаю? Или эту запись нужно создать? Если нужно - как?
Прилагаю основные конфиги, если ещё что-то надо из конфигов/логов - пишите выложу.

ЗЫ: velnii.local.conf - файл описания зоны прямого просмотра venii.local (без расширения conf не мог приатачить), slapcat.ldif.conf - результат выполнения slapcat