делал как в "Руководство по настройке Samba в режиме PDC с использованием LDAP" (на gentoo wiki) если добавлять пользователя скртиптом то он есть через GQ я его вижу, но авторизоваться неполучается (даже на Линуксовой машине). В логах ошибок нет, при старте все стартует без ошибок. Если сделать прямо на это машине su user то он пишет Unknown id: user
ldapsearch -x полказывет содержимое ЛДАПа, с другой машины ldapsearch -x -h host тожу все показывает.
Что у меня не так? Помогите разобраться!Настройки следующие
====>slapd.conf
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/misc.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/openldap.schema
include /etc/openldap/schema/samba.schemapidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.argsaccess to dn.subtree="dc=domain,dc=com" attrs=userPassword,sambaLMPassword,sambaNTPassword
by dn.subtree="cn=Manager,dc=domain,dc=com" write
by dn="cn=Domain Admins,ou=Groups,dc=domain,dc=com" write
by dn="cn=Domain Users,ou=Groups,dc=domain,dc=com" write
by dn="cn=Domain Guests,ou=Groups,dc=domain,dc=com" write
by dn="cn=Domain Computers,ou=Groups,dc=domain,dc=com" write
by dn="cn=Administrators,ou=Groups,dc=domain,dc=com" write
by dn="cn=Account Operators,ou=Groups,dc=domain,dc=com" write
by dn="cn=Print Operators,ou=Groups,dc=domain,dc=com" write
by dn="cn=Backup Operators,ou=Groups,dc=domain,dc=com" write
by dn="cn=Replicators,ou=Groups,dc=domain,dc=com" write
by self write
by anonymous auth
by * noneaccess to dn.subtree="ou=Users,dc=domain,dc=com"
by dn.subtree="cn=Manager,dc=domain,dc=com" write
by self write
by * readaccess to dn.subtree="ou=Groups,dc=domain,dc=com"
by dn="cn=Manager,dc=domain,dc=com" write
by * readaccess to dn.subtree="dc=domain,dc=com"
by dn.subtree="cn=Manager,dc=domain,dc=com" write
by self write
by * readaccess to *
by dn.subtree="cn=Manager,dc=domain,dc=com" write
by anonymous authaccess to dn.base=""
by self write
by * authaccess to attrs=userPassword
by self write
by * authaccess to attrs=shadowLastChange
by self write
by * readaccess to *
by * read
by anonymous authloglevel 256
database bdb
suffix "dc=domain,dc=com"
rootdn "cn=Manager,dc=domain,dc=com"rootpw {MD5}secret
directory /var/lib/openldap-data
index objectClass eq
index cn eq,subinitial
index sn eq,subinitial
index uid eq,subinitial
index displayName eq,subinitial
index uidNumber eq
index gidNumber eq
index memberUID eq
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eqsamba.conf
[global]
workgroup = DOMAIN
netbios name = DOMAIN
nt acl support = yes
acl compatibility = win2k
map acl inherit = yes
server string = Samba Server %v
interfaces = eth0
bind interfaces only = yes
hosts allow = 192.168.7. 127. 10.
log file = /var/log/samba/log.%m
debug level = 9
max log size = 500
socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192
security = user
os level = 250
passdb backend = ldapsam:"ldap://127.0.0.1/"
enable privileges = yespasswd program = /usr/sbin/smbldap-passwd "%u"
passwd chat = *new*password* %n\n *new*password* %n\n *successfully*
passdb expand explicit = no
unix password sync = no
ldap passwd sync = noldap suffix = dc=domain,dc=com
ldap admin dn = cn=Manager,dc=domain,dc=com
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap machine suffix = ou=Users
ldap idmap suffix = ou=Idmap
idmap backend = ldapsam:ldap://127.0.0.1/
idmap uid = 10000-20000
idmap gid = 10000-20000
ldap delete dn = Yes
ldap ssl = noadd user script = /usr/sbin/smbldap-useradd -n -a "%u"
delete user script = /usr/sbin/smbldap-userdel "%u"add group script = /usr/sbin/smbldap-groupadd -p "%g"
delete group script = /usr/sbin/smbldap-userdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
add machine script = /usr/sbin/smbldap-useradd -w "%u"domain master = yes
preferred master = yes# domain master = no
# preferred master = no
domain logons = Yes
logon script =#logon path = \\%L\Profiles\%a\%U
logon path =
logon drive = U:
logon home = \\%L\users\%U#============================ Share Definitions ==============================
[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon
browseable = yes
guest ok = yes
writable = no
share modes = no
[Profiles]
admin users = admin
create mode = 600
directory mode = 700
path = /var/lib/samba/profiles
browseable = yes
guest ok = yes
writable = yes
{homes]
comment = Home Directories
browseable = no
read only = no
[public]
path = /export/home/public
guest ok = yes
read only = no
[users]
path = /export/home
writable = yes
printable = no
>делал как в "Руководство по настройке Samba в режиме PDC с использованием
>LDAP" (на gentoo wiki) если добавлять пользователя скртиптом то он есть
>через GQ я его вижу, но авторизоваться неполучается (даже на Линуксовой
>машине). В логах ошибок нет, при старте все стартует без ошибок.
>Если сделать прямо на это машине su user то он пишет
>Unknown id: user
>ldapsearch -x полказывет содержимое ЛДАПа, с другой машины ldapsearch -x -h host
>тожу все показывает.
>Что у меня не так? Помогите разобраться!
>Есть ли эти строки в /etc/nsswitch.conf
========= nsswitch.conf =======
passwd: compat
shadow: files ldap
group: compat
..........
passwd_compat: ldap
group_compat: ldap
================================Выполни эти команды:
echo "+::::::" >> /etc/passwd
echo "+:::" >> /etc/group
/etc/init.d/nscd restartPS: Было б неплохо узнать дистр... :)
>Есть ли эти строки в /etc/nsswitch.confнет строчек нет /etc/nsswitch.conf следующий
passwd: files ldap
shadow: files ldap
group: files ldaphosts: files dns wins
networks: files dnsservices: db files
protocols: db files
rpc: ldap [NOTFOUND=return] db files
ethers: ldap [NOTFOUND=return] db files
netmasks: files
netgroup: ldap [NOTFOUND=return] files
bootparams: filesautomount: files
aliases: files
>
>========= nsswitch.conf =======
>passwd: compat
>shadow: files ldap
>group: compat
>..........
>passwd_compat: ldap
>group_compat: ldap
>================================
>
>Выполни эти команды:
>сделал :-)
>echo "+::::::" >> /etc/passwd
>echo "+:::" >> /etc/group
>/etc/init.d/nscd restart
>
>PS: Было б неплохо узнать дистр... :)gentoo 2006.0
cat /etc/ldap.conf | grep -v "^#" в студию
cat /etc/pam.d/system-auth в студию
в конце /etc/ldap.secret перевод строки есть?
вот это точно внимательно читал?
http://prdownloads.sourceforge.net/smbldap-tools/smbldap-how...
>cat /etc/ldap.conf | grep -v "^#" в студию
host 127.0.0.1base dc=wellcomm,dc=kz
ldap_version 3
rootbinddn cn=Manager,dc=wellcomm,dc=kz
nss_base_passwd ou=Users,dc=wellcom,dc=kz?one
nss_base_passwd ou=Computers,dc=wellcomm,dc=kz?one
nss_base_shadow ou=Users,dc=wellcomm,dc=kz?one
nss_base_group ou=Groups,dc=wellcomm,dc=kz?onessl no
pam_password md5
>cat /etc/pam.d/system-auth в студиюauth required pam_env.so
auth sufficient pam_unix.so likeauth nullok
auth sufficient pam_ldap.so
auth required pam_deny.soaccount required pam_unix.so
account sufficient pam_ldap.sopassword required pam_cracklib.so difok=2 minlen=8 dcredit=2 ocredit=2 retry=3
password sufficient pam_unix.so nullok md5 shadow use_authtok
password sufficient pam_ldap.so use_first_pass use_authtok
password required pam_deny.sosession required pam_limits.so
session required pam_unix.so
session required pam_mkhomedir.so skel=/etc/skel/ umask=077
session optional pam_ldap.so
>в конце /etc/ldap.secret перевод строки есть?а то, конечно нет
>
>
>вот это точно внимательно читал?
>http://prdownloads.sourceforge.net/smbldap-tools/smbldap-how...прочитал но у меня все по другому, мне нужно чтобы самба брала инфу их лдапа который уже настроен, и что б полльзователи могли входить на сервера и клиентские компы под записями что в лдапе
Это вообще идет в разрез с тем что на сайте вики генту, не может же быть что все это далется по наитию у кого получилось у кого нет
Я настраивал по указанному документу
система ASPlinux 10
у меня точно работает, в данный текущий момент
давай смотреть отличия:(свой superior я заменил на твой)[root@localhosе etc]# grep -v "^#" ldap.conf
host 127.0.0.1
base ou=samba,dc=wellcom,dc=kz
binddn cn=samba,dc=wellcom,dc=kz
bindpw EnteRYouROwN
rootbinddn cn=samba,dc=wellcom,dc=kz
scope sub
ssl no
pam_password md5
pam_login_attribute uid
#такого у тебя нет
pam_member_attribute gid
#и вот такого нет
nss_base_passwd ou=Users,ou=samba,dc=wellcom,dc=kz?sub?objectClass=posixAccount
nss_base_passwd ou=Computers,ou=samba,dc=wellcom,dc=kz?sub?objectClass=posixAcco
nss_base_shadow ou=Users,ou=samba,dc=wellcom,dc=kz?sub?objectClass=posixAccount
nss_base_group ou=Groups,ou=samba,dc=wellcom,dc=kz?sub?objectClass=posixGroup
#остальные различия несущественны/etc/pam.d/system-auth свой я приводить не стал, ибо у тебя всё что нужно - указано правильно
>>в конце /etc/ldap.secret перевод строки есть?
>а то, конечно нетА у меня, как только добавил перевод строкив конец файла, сразу заработало
И была у меня такая байда: системе пароли md5, войти могу только если пароли в ldap
указаны в формате CRYPT. Если насильно ставлю md5 то система посылает нах.
Поскольку samba сама обновляет unix пароли пришлось прописать в slapd.conf:
password-hash {CRYPT}
по умолчанию в лдапе используется smd5
знаю что это нехорошо, но пока победить не смог :(
а так getent passwd и getent group у меня показывают полное счастье
и id real_user_name тожепробуй и пиши, что получилось :)
А откуда взялась группа samba?
Я ее не добавлял. Щас попробую потом напишу. Еще винбинд ты стартуешь?
>А откуда взялась группа samba?
>Я ее не добавлял. Щас попробую потом напишу. Еще винбинд ты стартуешь?
>не дёргайся, она просто у меня существует для самбы. просто у меня на том уровне вложенности ещё пиплы, дхцп, и куча всякой шняги
winbind я стартую на BDC, но для nss не использую, только для авторизации юзеров в домене для сторонних БД.
правдая что-то сделал с самбой :( и wbinfo -u перестало искать пользователей, хотя раньше исправно давало список. При этом авторизовать пользователей продолжает, значит выньбинь домен видит.
да я спокоен
сделал в один один как в твоем руководстве только теперь получается что при smldap-useradd -ф -m test он пишет Error: Insufficient access at /usr/sbin//smbldap_tools.pm line 1005, но пользователя добавляет(что как я понимаю ему нехватает прав, но ненашел где в access-ах), если попробовать поменять пользователю пароль то он пишет тоже самое но пароль не меняет. команда id user пользователя показывает.
все это победил, но под пользователм он у меня не заходит, ты это как победил, у меня шифрование md5
ldapsearch с таким юзером попробуй, будет ругаться или нет?я пока сделал access by peername 127.0.0.1 write
> все это победил, но под пользователм он у меня не заходит, ты это как победил, у меня шифрование md5
см мой предыдущий пост:
>Поскольку samba сама обновляет unix пароли пришлось прописать в slapd.conf:
>password-hash {CRYPT}
>по умолчанию в лдапе используется smd5как только в лдапе пароли стали {CRYPT} то всё сразу заработало
видимо это надо в pam.d править где-то
так что я пока не добью wbinfo остановлюсь на {CRYPT}и ещё проверь руками через ldapsearch что бы пользователь от имени которого система видит ldap видел Атрибуты userPassword
а потом проверь командой getent shadow
после этого всё должно работать