Достойный контроллер домена на Linux. (Подробный HowTo) (MDS, Ldap, Samba, Postfix, SQUID)

[dispatcher]

походу это только у меня ???
/etc/init.d/mmc-agent restar

/var/lib/python-support/python2.5/mmc/support/mmctools.py:353: PotentialZombieWarning: spawnProcess called, but the SIGCHLD handler is not installed. This probably means you have not yet called reactor.run, or called reactor.run(installSignalHandler=0). You will probably never see this process finish, and it may become a zombie process.
reactor.spawnProcess(shProcess, "/bin/sh", ['/bin/sh','-c',cmd],env=os.environ)

[Xenar]

Спасибо за хороший материал.
Возник такой вопрос. Виндовые машины видят все другие компы по сети при пинговании через DNS имя например ping komp1. Причем пробовал как в домене так и вне его. Все нормально пингует.
А вот под ubuntu 9.04 это не проходит, пишет что host неизвестен. Единственно что видит DNS самого сервера.

В чем может быть затык?
DNS+DHCP настроил согласно этому мануалу.
В логах все чисто.

И второй вопрос.
Пробовал ли кто из под линя в этот домен войти? У меня как то не хочет.
Пробовал по этому мануалу http://techwork.ru/2008/08/09/join-linux-to-domain/ но дальше ошибки Error code: CENTERROR_DOMAINJOIN_LSASS_ERROR (0Ч00080047) не идет.

Ну и вообще есть ли смысл вводить линух в домен?

[(asper]

Спасибо за хороший материал.
Возник такой вопрос. Виндовые машины видят все другие компы по сети при пинговании через DNS имя например ping komp1. Причем пробовал как в домене так и вне его. Все нормально пингует.
А вот под ubuntu 9.04 это не проходит, пишет что host неизвестен. Единственно что видит DNS самого сервера.

В чем может быть затык?
DNS+DHCP настроил согласно этому мануалу.
В логах все чисто.

была подобная проблема, немного помедитировав над конфигами bind добавил в /etc/bind/named.conf следующую строчку include "/etc/bind/named.conf.local";.
объяснять не буду, тк пишу при помощи translit.ru

[Xenar]

Спасибо за хороший материал.
Возник такой вопрос. Виндовые машины видят все другие компы по сети при пинговании через DNS имя например ping komp1. Причем пробовал как в домене так и вне его. Все нормально пингует.
А вот под ubuntu 9.04 это не проходит, пишет что host неизвестен. Единственно что видит DNS самого сервера.

В чем может быть затык?
DNS+DHCP настроил согласно этому мануалу.
В логах все чисто.

была подобная проблема, немного помедитировав над конфигами bind добавил в /etc/bind/named.conf следующую строчку include "/etc/bind/named.conf.local";.
объяснять не буду, тк пишу при помощи translit.ru

По дефаулту в /etc/bind/named.conf уже есть include "/etc/bind/named.conf.local" и "include /etc/bind/named.ldap.conf" к тому же сам файл /etc/bind/named.conf.local пустой по дефаулту. Так что может проблема именно в том что в нем ничего нет??.
Но тогда откуда виндовые машины берут локальные DNS записи ??? Явно же не в LDAP они хранятся.
Как то не понятно с этим
Кто может прояснить????

[wilp]

Все конфиги брал из этого материала.
Здесь сконфигурировано на подключение домашнего каталога пользователя в виде сетевого диска при его входе под доменной учетной записью.

Все работает, диск с домашним каталогом подключается.

Проблема:
Если вручную в linux удалить домашнюю папку от какого-нибудь пользователя здесь:

Код: Выделить всё

/home/U%

Тогда при следующем логоне пользователя не происходит подключение домашнего каталога. Это то и понятно, т.к. папку удалил. Но почему не происходит проверка на существование этой папки и если её нет, тогда снова создать?

[angelo4eg]

добрый день, гуру. статья очень хорошая, но, я так понимаю всё было собрано на 4 Дебиане? может кто-нибудь переписать это же на пятый дебиан? он ведь отличается, да и пакеты новые повыходили, автор, если обновишь статью под то, что именно сейчас уже написано или скажешь где такую взять - цены тебе не будет

[Xenar]

добрый день, гуру. статья очень хорошая, но, я так понимаю всё было собрано на 4 Дебиане? может кто-нибудь переписать это же на пятый дебиан? он ведь отличается, да и пакеты новые повыходили, автор, если обновишь статью под то, что именно сейчас уже написано или скажешь где такую взять - цены тебе не будет

Пошто ветку не читаете ?? Там же была ссылка http://stragaw.blogspot.com/search/label/ldap

[dispatcher]

ну это не смешно у Вас по ходу всё ровно
/etc/init.d/mmc-agent restar

/var/lib/python-support/python2.5/mmc/support/mmctools.py:353: PotentialZombieWarning: spawnProcess called, but the SIGCHLD handler is not installed. This probably means you have not yet called reactor.run, or called reactor.run(installSignalHandler=0). You will probably never see this process finish, and it may become a zombie process.
reactor.spawnProcess(shProcess, "/bin/sh", ['/bin/sh','-c',cmd],env=os.environ)

[angelo4eg]

Xenar , блин, ссори, сцылочку видел, но, чегойто сразу не воткнул как там всё расположено на сейте, ОГРОМНОЕ СПАСИБО создателям, с удовольствием пожал бы руку, жаль не встретимся никогда

[Kagazahn]

Через web-интерфейс MDS создал группу: aaa
Можно ли через web-интерфейс MDS включить в группу "aaa" группу "Domain Users"?
Я видел, что можно только пользователей вносить в группы.

Угу. Нельзя, как я понял.
В моем случае это подрывает весь смысл использования MDS как фронтэнда к самбе. В организации, которая оплачивает мне переход AD->samba (MDS) активно используются вложенные группы. Я упустил проверку этой функциональности при выборе решения и теперь мне придется выкручиваться перед заказчиком.
Хотя, возможно надо допилить движок?

И еще, можно вводить машину PDC в свой же домен?

Код: Выделить всё

net rpc join -U Administrator

У меня только после этого стала отрабатывать команда

Код: Выделить всё

wbinfo -t

Winbind установил для настройки ntlm авторизации в squid.

Я не вводил сам PDC в свой же домен, wbinfo работает и так

[wilp]

Через web-интерфейс MDS создал группу: aaa
Можно ли через web-интерфейс MDS включить в группу "aaa" группу "Domain Users"?
Я видел, что можно только пользователей вносить в группы.

Угу. Нельзя, как я понял.
В моем случае это подрывает весь смысл использования MDS как фронтэнда к самбе. В организации, которая оплачивает мне переход AD->samba (MDS) активно используются вложенные группы. Я упустил проверку этой функциональности при выборе решения и теперь мне придется выкручиваться перед заказчиком.
Хотя, возможно надо допилить движок?

И еще, можно вводить машину PDC в свой же домен?

Код: Выделить всё

net rpc join -U Administrator

У меня только после этого стала отрабатывать команда

Код: Выделить всё

wbinfo -t

Winbind установил для настройки ntlm авторизации в squid.

Я не вводил сам PDC в свой же домен, wbinfo работает и так

А вручную, т.е. без MDS можно вводить, в данном случае, группу в группу?

По поводу wbinfo:

До ввода машины PDC в свой же домен у меня отрабатывали команды

Код: Выделить всё

wbinfo -g
domain admins
domain users
domain guests
domain computers
BUILTIN\users

Код: Выделить всё

wbinfo -u
nobody
test
test2
test3

Не работала, выдавала ошибку

Код: Выделить всё

wbinfo -t
checking the trust secret via RPC calls failed
error code was NT_STATUS_CANT_ACCESS_DOMAIN_INFO (0xc00000da)
Could not check secret

Код: Выделить всё

wbinfo -a test2%test2
plaintext password authentication failed
Could not authenticate user test2 with plaintext password
challenge/response password authentication failed
error code was NT_STATUS_CANT_ACCESS_DOMAIN_INFO (0xc00000da)
error messsage was: NT_STATUS_CANT_ACCESS_DOMAIN_INFO
Could not authenticate user test2 with challenge/response

squid c ntlm не работал.

После ввода в домен, все заработало.

Заметил, одну особенность:

Заходим через web-интерфейс MDS - > Configuration Samba - > Снимаем галку "Share user's homes"
Далее жмем "Confirm". Говорит, что изменения приняты.

Пробуем авторизацию squid ( ntlm) - не работает.
Смотрим логи squid.
/var/log/squid/cache.log

Код: Выделить всё

ntlm_auth: error opening config file /etc/samba/smb.conf. Error was Permission
denied
[2009/09/24 21:43:14,  0] param/params.c:OpenConfFile(531)
  params.c:OpenConfFile() - Unable to open configuration file "/etc/samba/smb.c
onf":
        Permission denied
ntlm_auth: error opening config file /etc/samba/smb.conf. Error was Permission
denied

Смотрим права на файл
/etc/samba/smb.conf

Код: Выделить всё

pdc:/etc/samba# ls -n smb.conf
-rw------- 1 0 0 2402 2009-09-24 21:41 smb.conf

Почему-то они изменились с 644 на 600 ?
Смотрим сам конфиг
/etc/samba/smb.conf

Код: Выделить всё

[global]
        delete user script = /usr/sbin/smbldap-userdel "%u"
        passwd chat = "Changing password for*\nNew password*" %n\n "*Retype new password*" %n\n
        add user script = /usr/sbin/smbldap-useradd -m "%u"
        add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
        ldap group suffix = ou=Groups
        add machine script = /usr/lib/mmc/add_machine_script '%u'
        domain logons = yes
        logon path = \\%N\profiles\%U
        netbios name = PDC-SRV-HOME
        logon script = logon.bat
        preferred master = Yes
        set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
        printcap name = cups
        ldap idmap suffix = ou=Users
        passdb backend = ldapsam:ldap://127.0.0.1/
        passwd program = /usr/sbin/smbldap-passwd -u %u
        workgroup = HOME
        delete group script = /usr/sbin/smbldap-groupdel "%g"
        ldap user suffix = ou=Users
        map acl inherit = Yes
        ldap admin dn = cn=admin,dc=home,dc=local
        name resolve order = bcast host
        ldap passwd sync = Yes
        add group script = /usr/sbin/smbldap-groupadd -p "%g"
        delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
        socket options = SO_KEEPALIVE IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192
        time server = Yes
        log level = 3
        logon drive = H:
        os level = 65
        ldap suffix = dc=home,dc=local
        null passwords = Yes
        wins support = Yes
        ldap machine suffix = ou=Computers
...

Раздел [global] изменился по структуре строк, т.е. строки изменили порядок от первоначального.
Хотя в статье сказано, что порядоек строк в этом файе важен.

Попытался обратно поставить галку здесь
Заходим через web-интерфейс MDS - > Configuration Samba - > Ставим галку "Share user's homes"
Далее жмем "Confirm". Говорит, что изменения приняты.

Права на файл
/etc/samba/smb.conf
и его сруктура к первоначальному виду не изменились.

Приходится вручную изменять права на первоначальные

Код: Выделить всё

chmod 644 /etc/samba/smb.conf
/etc/init.d/samba restart

[Kagazahn]

А вручную, т.е. без MDS можно вводить, в данном случае, группу в группу?

Можно. http://www.samba.org/samba/docs/man/Samba3...NetCommand.html Раздел "Nested Group Support"

По второй части:
У тебя wbinfo не отрабатывает, а у меня он работает, но зато getent group выводит только содержимое /etc/group
Хотя во всех мануалах должен выводить самба- группы

[Kagazahn]

Только что наткнулся на совет использовать для манипуляции группами вместо

Код: Выделить всё

net rpc group add TestGroup -L

команду

Код: Выделить всё

net sam createlocalgroup TestGroup

первая команда у меня давала "add alias failed NT_STATUS_ACCESS_DENIED"
вторая отработала нормально, однако группа создалась криво, без нормальных атрибутов
Разбираюсь глубже

как всегда, в мире никсов все ооочень запутано... не читайте офиц. документацию самба, она давно отстала от жизни

(Добавлено) На данный момент реально работающий способ для меня это LDAPAdmin (под винду, с sourceforge)
Соединяюсь с базой с вин-машины, правой кнопкой жму New->Group.
Интересно, что при этом нельзя выбрать тип создаваемой группы, всегда включено "Domain Group". Но после создания группы можно отредактировать сами аттрибуты, поставив sambaGroupType=4

[Kagazahn]

С вложенными группами на данный момент у меня ситуация следующая.

Встроенная функциональность самбы обычные группы не создает:

Код: Выделить всё

pdcadmin@pdc:~$ sudo net rpc group add Group1 -Uroot
Enter root's password:
Failed to add group 'Group1' with: Access is denied.

Код: Выделить всё

pdcadmin@pdc:~$ sudo net rpc group add Group1 -Uadmin
Enter admin's password:
session setup failed: NT_STATUS_LOGON_FAILURE
Failed to add group 'Group1' with: Failed to connect to IPC$ share on localhost.

В-общем, хз, наверное косяк какой-то с правами

Локальные группы создает, но криво:

Код: Выделить всё

pdcadmin@pdc:~$ sudo net sam createlocalgroup Local1
Created local group Local1 with RID 1011

Код: Выделить всё

pdcadmin@pdc:~$ ldapsearch -D "cn=admin,dc=mydomain,dc=net" -x -LLL -wMYPASS "displayName=Local1"
dn: sambaSID=S-1-5-21-2832693988-860112570-2239163516-1011,ou=Groups,dc=mydomain,dc=net
objectClass: sambaSidEntry
objectClass: sambaGroupMapping
sambaSID: S-1-5-21-2832693988-860112570-2239163516-1011
sambaGroupType: 4
displayName: Local1
gidNumber: 20008

Как видно, вместо cn=Local1 почему-то записывается sambaSID=S-1-5-21-2832693988-860112570-2239163516-1011
Переименовать тоже не удается:

Код: Выделить всё

pdcadmin@pdc:~$ net rpc group rename Local1 LocalOne -Uroot
Enter root's password:
Renaming group Local1 failed with: WERR_INVALID_DATATYPE

Также не переименовать такую группу через LDAP Admin:

Код: Выделить всё

Нарушение класса объекта: attribute 'cn' not allowed

Поэтому на данный момент я добился нужной мне функциональности так:
В LDAP Admin жмем правой педалью на дереве Groups->New->Group
Заполняем нужные поля. ОК
Жмем Edit Entry на созданной группе и меняем sambaGroupType=4 (по умолчанию 2)

Скачиваем доп.шаблон для LDAP Admin: http://ldapadmin.sourceforge.net/download/...NestedGroup.ltf
Открываем в блокноте и правим:
<name>member</name>
меняем на
<name>sambaSIDList</name>
Теперь в LDAP Admin жмем Options->Templates->Add и показываем папку с сохраненным шаблоном.

Но это еще не все Ж)
Теперь у нас появляется вкладка Nested Groups, однако если начать добавлять группы, они вставляются как
cn=Domain Users,ou=Groups,dc=mydomain,dc=net
что делает их невидимыми для 'net sam' (и наверное для всей самбы)
поэтому копируем Copy Value нужной группы и вклеиваем в Nested Groups уже само значение
S-1-5-21-2832693988-860112570-2239163516-513
Проверяем

Код: Выделить всё

pdcadmin@pdc:~$ sudo net sam listmem "Group1"
MYDOMAIN\Group1 has 1 members
 MYDOMAIN\Пользователи домена

Официальная документация SAMBA рекомендует для этих целей использовать оснастку usrmgr.exe из Windows 2003 Resource Kit.
Однако у меня, как и у многих других на XP она не работает.
Можно погуглить на тему "Присоединенное к системе устройство не работает" (A device attached to the system is not functioning)
Никакого решения я не нашел, только массовые жалобы с упоминанием, что на XP SP1 и ниже вроде бы все нормально. А так всем похрен видимо (как обычно)

В-общем, сейчас буду сносить у себя всю базу ldap и юзеров. Посмотрим, что будет с чистой установки

[danb2]

Заметил тут одну нехорошую штуку. При добавлении пользователя в группу или удалении из группы через mmc, сделанные изменения "применяются" не сразу, а примерно через полчаса-час. Например добавляю пользователя в группу через mmc, смотрю в mmc - в составе группы пользователь появлися. Вывод slapcat это тоже подтверждает. А вот команда "id <имя_пользователя>" показывает что пользователя в этой группе нет! Ничего не трогаю, проверю командой id через час - показывает что пользователь уже состоит в нужной группе. Думал может это косяк mmc, но если делать это через smbldap-groupmod тот же самый эфект. У кого такой же глюк? Как от этого избавиться?

[danger08]

Заметил тут одну нехорошую штуку. При добавлении пользователя в группу или удалении из группы через mmc, сделанные изменения "применяются" не сразу, а примерно через полчаса-час. Например добавляю пользователя в группу через mmc, смотрю в mmc - в составе группы пользователь появлися. Вывод slapcat это тоже подтверждает. А вот команда "id <имя_пользователя>" показывает что пользователя в этой группе нет! Ничего не трогаю, проверю командой id через час - показывает что пользователь уже состоит в нужной группе.

Похоже на поведение nscd.
Если он активен, попробуйте отключить и посмотреть на разницу.

[danb2]

Похоже на поведение nscd.
Если он активен, попробуйте отключить и посмотреть на разницу.

Действительно дело в нем. Отключил кеширование для passwd и group, все заработало как надо. Спасибо.

[Kagazahn]

Коллеги, порекомендуйте

1. How-to по ntlm авторизации пользователей домена на сквиде (актуальное не устаревшее)
2. Frontend к сквиду
3. Frontend к iptables

[dispatcher]

2009-09-29 20:00:18,728 INFO mmc-agent 2.3.2 starting...
2009-09-29 20:00:18,731 INFO Using Python 2.5.2 (r252:60911, Jan 4 2009, 17:40:26)
2009-09-29 20:00:18,731 INFO Using Python Twisted 8.1.0
2009-09-29 20:00:18,840 INFO Importing available MMC plugins
2009-09-29 20:00:19,275 INFO Plugin base loaded, API version: 7:0:3 build(743)
2009-09-29 20:00:20,187 INFO Plugin samba loaded, API version: 5:2:4 build(748)
2009-09-29 20:00:20,422 INFO Plugin network loaded, API version: 2:0:0 build(743)
2009-09-29 20:00:20,742 INFO Plugin mail loaded, API version: 6:1:4 build(743)
2009-09-29 20:00:20,742 INFO MMC plugins activation stage 2
2009-09-29 20:00:20,743 INFO Selecting authenticator baseldap / base.BaseLdapAuthenticator
2009-09-29 20:00:20,744 INFO Authenticator baseldap successfully validated
2009-09-29 20:00:20,744 INFO Selecting computer manager: none
2009-09-29 20:00:20,745 WARNING SSL enabled, but peer verification is disabled
2009-09-29 20:00:20,758 INFO Listening to XML-RPC requests

не могу разобраться с WARNING SSL enabled, but peer verification is disabled

[ReSeR]

Огромнейшое СПАСИБО!!!
Завтра обязательно буду пробовать, мне как раз нужно домен с win2000 на *nix перевести :-)
А вот SID нового сервера изменить на тот который у меня сейчас, как правильно можно?

[ReSeR]

Кста, в Debian Lenny строку нужно вносить не в syslog.conf а в rsyslog.conf
зы: может кому пригодится, я лично минут 10-15 потерял пока выяснил, что демон логирования заменён на rsyslog.

[dispatcher]

ReSeR
Скажите у вас нет ошибок при /etc/init.d/mmc-agent restar

[Kagazahn]

Огромнейшое СПАСИБО!!!
Завтра обязательно буду пробовать, мне как раз нужно домен с win2000 на *nix перевести :-)
А вот SID нового сервера изменить на тот который у меня сейчас, как правильно можно?

net setlocalsid <newsid>

как тянуть из виндов учетки тут например
http://linux.mkrovlya.ru/book/export/html/33

[angelo4eg]

господа, у всех всё получается по мануалам? у меня половина пакетов не ставится, по этому и ничего дальше не идет, всё стоит на месте

[Kagazahn]

господа, у всех всё получается по мануалам? у меня половина пакетов не ставится, по этому и ничего дальше не идет, всё стоит на месте

Смотря по каким мануалам? Уточните
Если Вы выбрали Мандриву, возьмите MES5 с их сайта, где все уже настроено и перекиньте на свою систему (например)

Только осторожнее с мандривой - после обновления MES5 у меня полностью сдох менеджер пакетов, нагуглил что это у многих случилось для 2009.0
Поэтому я выбрал самый некривой дистр на данный момент на мой взгляд - Ubuntu.

[ReSeR]

Скажите у вас нет ошибок при /etc/init.d/mmc-agent restar

Нет, нету. Потому как я ещё не доковырял до этого

net setlocalsid <newsid>

как тянуть из виндов учетки тут например
http://linux.mkrovlya.ru/book/export/html/33

Спасибо! У меня прям стимул появился pdc быстрее поднять.

господа, у всех всё получается по мануалам? у меня половина пакетов не ставится, по этому и ничего дальше не идет, всё стоит на месте

Дык с пакетами всё нормально (Debian Lenny). Может репозитории не добавил?

[wm34]

Появилось несколько вопросов:

а) Умолчальная схема предполагает расположение всего на 1 сервере.
Как бы это перенести самбу с профилями пользователей на другой сервер (например, используется NAS) ?

б) Здесь используются статический DNS и DHCP. Динамический кто-н. пробовал прикручивать?

в) Есть желание в качества почтового сервера использовать Zimbra. Но споткнулся на шаге настройки аутентификации LDAP...
Может кто что-н. порекомендовать поэтому вопросу?

[Kagazahn]

Появилось несколько вопросов:

а) Умолчальная схема предполагает расположение всего на 1 сервере.
Как бы это перенести самбу с профилями пользователей на другой сервер (например, используется NAS) ?

б) Здесь используются статический DNS и DHCP. Динамический кто-н. пробовал прикручивать?

в) Есть желание в качества почтового сервера использовать Zimbra. Но споткнулся на шаге настройки аутентификации LDAP...
Может кто что-н. порекомендовать поэтому вопросу?

a) Прописывайте в самбе нужный адрес LDAP-сервера, вместо 127.0.0.1 как везде в примерах
б) Я сделал. Делается легко. В MDS не предусмотрено. К MDS не прикручивал, ибо если прикручивать, то прикручивать надо вообще кучу всего.
в) Не знаю. Но настоятельно советую пользовать бесплатный google mail вместо самодеятельной борьбы с тоннами спама

[ReSeR]

А вывод комманды

Код: Выделить всё

net getdomainsid

должен выводить одинаковые или разные sid-ы?

[Kagazahn]

Хм, я так и не делал
У меня так

Код: Выделить всё

pdcadmin@pdc:~$ sudo net getdomainsid
SID for local machine PDC is: S-1-5-21-1371255718-2708434461-250859477
SID for domain MYDOMAIN is: S-1-5-21-2832693988-860112570-2239163516