URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 2006
[ Назад ]
Исходное сообщение
"PDC=Samba+LDAP Suse 10.3 Проблема авторизации"
Отправлено IvanN , 03-Фев-09 19:04 
В процессе подъема ПДЦ возникла вот такая трабла:
Поднят ПДЦ на 11 сусе. Все ок, машины вводятся в домен, пользователи создаются. Проблема заключается в том, что пользователь не может войти в домен. Винда пишет невозможно подключиться, потому что домен сейчас недоступен. Если создавать виндового пользователя мастером, пишет "не удалось установить доверительные отношения м/у раб. станцией и доменом". В логах:

[2009/02/02 19:43:42,  2] smbd/sesssetup.c:setup_new_vc_session(1363)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old
resources.
[2009/02/02 19:43:42,  2] lib/smbldap.c:smbldap_open_connection(772)
  smbldap_open_connection: connection opened
[2009/02/02 19:43:42,  2] passdb/pdb_ldap.c:init_group_from_ldap(2344)
  init_group_from_ldap: Entry found for group: 544
[2009/02/02 19:43:42,  2] passdb/pdb_ldap.c:init_group_from_ldap(2344)
  init_group_from_ldap: Entry found for group: 10000
[2009/02/02 19:43:43,  2] passdb/pdb_ldap.c:init_sam_from_ldap(571)
  init_sam_from_ldap: Entry found for user: vmxp$
[2009/02/02 19:43:43,  2] passdb/pdb_ldap.c:init_group_from_ldap(2344)
  init_group_from_ldap: Entry found for group: 515
[2009/02/02 19:43:43,  2] passdb/pdb_ldap.c:init_group_from_ldap(2344)
  init_group_from_ldap: Entry found for group: 515
[2009/02/02 19:43:43,  2] passdb/pdb_ldap.c:init_group_from_ldap(2344)
  init_group_from_ldap: Entry found for group: 544
[2009/02/02 19:43:43,  2] passdb/pdb_ldap.c:init_group_from_ldap(2344)
  init_group_from_ldap: Entry found for group: 10000
[2009/02/02 19:43:43,  0] lib/smbldap.c:smbldap_open(1005)
  smbldap_open: cannot access LDAP when not root..

конфиги здесь: http://pastebin.com/m2a338129

smbpasswd -a root и smbpasswd -w мой пароль естесственно делал. Я так понимаю что мой ПДЦ не дает писать/читать юзверю ЛДАП. С локальной машины доступ ЛДАПу есть и рутовый и анонимный.
Есть ли у кого какие идеи?

Содержание
Сообщения в этом обсуждении
"PDC=Samba+LDAP Suse 10.3 Проблема авторизации"
Отправлено Cornil , 04-Фев-09 05:54 
Присоединяюсь!! Та же хрень :(( бьюсь оч долго об стену с этой темой. Ситуация АБСОЛЮТНО идентичная до последней запятой. openSuse 11.0.
"PDC=Samba+LDAP Suse 10.3 Проблема авторизации"
Отправлено IvanN , 05-Фев-09 17:06 
Путем ковыряния логов самбы выяснил любопытную вещь. Почему-то, если я правильно разобрал лог :), виндовый клиент пытается подцепиться с пустым логином.
[2009/02/05 16:30:22,  3] auth/auth.c:check_ntlm_password(223)
  check_ntlm_password:  mapped user is: [МойДомен]\[]@[VMXP]
после чего самба, как я понял, авторизует его с guest-аккаунтом как nobody. И после всего этого получаем сообщение типа smbldap_open: cannot access LDAP when not root..

Подскажите, в каком направлении копать?

"PDC=Samba+LDAP Suse 10.3 Проблема авторизации"
Отправлено Cornil , 06-Фев-09 08:42 
с nobody часто парился при заходе на запароленую шару из винды после захода в публичную.
обычно решается так: правой кнопкой по "мой компьютер" -> "отключить сетевой диск"

у меня:
check_ntlm_password: authentication for user [root] -> [root] -> [root] succeeded
но заканчивается все тем же "smbldap_open: cannot access LDAP when not root"

сейчас виндовый клиент проверить не могу
посмотри:
  net rpc rights list 'Domain Admins'

оказалось, что у меня пусто было, решается примерно так:
  net rpc rights grant 'Domain Admins' SeMachineAccountPrivilege SeTakeOwnershipPrivilege SeBackupPrivilege SeRestorePrivilege SeRemoteShutdownPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege

думаю, вместо 'Domain Admins' можно подставить какого-то конкретного пользователя и выдать ему какую-то конктретную привилегию (чтоб админа везде не светить). может пригодится...

"PDC=Samba+LDAP Suse 10.3 Проблема авторизации"
Отправлено Cornil , 06-Фев-09 08:43 
с nobody часто парился при заходе на запароленую шару из винды после захода в публичную.
обычно решается так: правой кнопкой по "мой компьютер" -> "отключить сетевой диск" или перезагрузка

у меня:
check_ntlm_password: authentication for user [root] -> [root] -> [root] succeeded
но заканчивается все тем же "smbldap_open: cannot access LDAP when not root"

сейчас виндовый клиент проверить не могу
посмотри:
  net rpc rights list 'Domain Admins'

оказалось, что у меня пусто было, решается примерно так:
  net rpc rights grant 'Domain Admins' SeMachineAccountPrivilege SeTakeOwnershipPrivilege SeBackupPrivilege SeRestorePrivilege SeRemoteShutdownPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege

думаю, вместо 'Domain Admins' можно подставить какого-то конкретного пользователя и выдать ему какую-то конктретную привилегию (чтоб админа везде не светить). может пригодится...

"PDC=Samba+LDAP Suse 10.3 Проблема авторизации"
Отправлено IvanN , 06-Фев-09 09:07 
Cornil, стукнись в аську, попробуем решить сообща. =) Через форум долго общаться. 276316022
"PDC=Samba+LDAP Suse 10.3 Проблема авторизации"
Отправлено IvanN , 09-Фев-09 16:27 
Проблема успешно решена. Как выяснилось под 11 сусой идет самба 3.2.0, которая в этом вопросе оказалась бажной.
https://bugzilla.samba.org/show_bug.cgi?id=5500
Сделал апдейт на 3.2.7 взятый с офа самбы и проблема ушла. Вот ссылка на реп:
http://us1.samba.org/samba/ftp/Binary_Packages/SuSE/3.0/11.0/
"PDC=Samba+LDAP Suse 10.3 Проблема авторизации"
Отправлено Cornil , 10-Фев-09 00:41 
>http://us1.samba.org/samba/ftp/Binary_Packages/SuSE/3.0/11.0/

или
http://ftp.suse.com/pub/projects/samba/3.0/11.0

после обновления все завелось с пол-оборота
большой спасиб!