место в рейтинге
  • 983853
  • 664
  • 79
Нравится блог?
Подписывайтесь!

OpenLDAP и SAMBA 3 в роли доменного контроллера (Windows NT)

Эта записка содержит информацию по настройке пакетов Openldap, Samba на CentOS 6 x32.

Данные пакеты помогут настроить доменный контроллер в стиле аля Windows NT.

Преимущества такого доменного контролерра в следующем:

1. Бесплатность как самой ОС Linux, так и пакетов для построения контроллера

2. Единная база учетных записей пользователей.  Доступ на такие сервисы как Интернет, общие папки и т.д. разрешается с помощью нее. Что облегчает работу системного администратора.

3. Зашищенность пользовательских компьютеров от вирусов, вследствии использования учетных записей с ограничинными правами (группа "Пользователи").

4.  Единная контактная база сотрудников, контрагентов и  дочерних предприятий. По мимо локальной адресной книги в Outlook, есть возможность задействовать адресную книгу находящиюся в каталоге OpenLDAP.

5. Простое управление объектами доменного контроллера если задействовать пакет "Gosa"

 

Минусы этого решения:

1. Не работают групповые политики

2. Более сложная настройка доменного контроллера в отличии Win решения

 

Многие компании не используют преимущества доменного контроллера на Windows 2003 и выше, а именно полезный инструмент как "Групповые политики". В основном такие компании мелкие или средние. В больших холдингах возможно будет сложно администрировать большой парк машин c помощью Samba+OpenLDAP из за отсутствия групповых политик.

Если у вас маленькая или средная компания, присмотритесь к решению на базе ОС Linux.

Краткое содержание записки:

1. Установка и настройка OpenLDAP
2. Установка и настройка Samba
3. Тестирования

Домен:

company.local

IP  адрес сервера:

192.168.50.2

Пакеты:

Openldap и samba


В моем тестовом сервере я установил графическую оболочку.
Для облегчения редактирования конфигов установите следующие пакеты:
# yum install gedit mc system-config-network-tui setuptool -y

1. Установка и настройка OpenLDAP

# yum install openldap-servers openldap-clients -y

Открываем файл /etc/sysconfig/ldap

# gedit /etc/sysconfig/ldap

Строчка 16: меняем значение на yes

SLAPD_LDAPS=yes

Создайте новый файл /etc/openldap/slapd.conf:

# gedit /etc/openldap/slapd.conf

Вставляем две строчки

pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args

Удаляем содержимое конфигурации в /etc/openldap/slapd.d/

# rm -rf /etc/openldap/slapd.d/*

Сохраним конфиг файл slapd.conf в базу LDAP

# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d

Откройте файл /etc/openldap/slapd.d/cn=config/olcDatabase\={0}config.ldif

# gedit /etc/openldap/slapd.d/cn=config/olcDatabase\={0}config.ldif

4 строчку изменить на:

olcAccess: {0}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth manage by * break

Создайте новый файл:

# gedit /etc/openldap/slapd.d/cn=config/olcDatabase\={1}monitor.ldif

Вставьте в него текст:

dn: olcDatabase={1}monitor
objectClass: olcDatabaseConfig
olcDatabase: {1}monitor
olcAccess: {1}to * by dn.exact=gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth manage by * break
olcAddContentAcl: FALSE
olcLastMod: TRUE
olcMaxDerefDepth: 15
olcReadOnly: FALSE
olcMonitoring: FALSE
structuralObjectClass: olcDatabaseConfig
creatorsName: cn=config
modifiersName: cn=config

# chown -R 700 /etc/openldap/slapd.d

# chown -R ldap. /etc/openldap/slapd.d

# /etc/rc.d/init.d/slapd start


Ставим демон в автозагрузку:

# chkconfig slapd on

Создадим начальную конфигурацию:

# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/core.ldif

# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/cosine.ldif

# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/nis.ldif

# ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/openldap/schema/inetorgperson.ldif


Сгенерируем пароль:

# slappasswd


Создадим новый файл:

# gedit backend.ldif

Замените в нем секцию “dc=***,dc=***” на ваши значения.
Замените  секцию  “olcRootPW: ***” на пароль сгенерированный с помощью утилиты slappasswd выше.

dn: cn=module,cn=config
objectClass: olcModuleList
cn: module
olcModulepath: /usr/lib64/openldap
olcModuleload: back_hdb

dn: olcDatabase=hdb,cn=config
objectClass: olcDatabaseConfig
objectClass: olcHdbConfig
olcDatabase: {2}hdb
olcSuffix: dc=company,dc=local
olcDbDirectory: /var/lib/ldap
olcRootDN: cn=admin,dc=company,dc=local
olcRootPW: {SSHA}xxxxxxxxxxxxxxxxxxxxxxxx
olcDbConfig: set_cachesize 0 2097152 0
olcDbConfig: set_lk_max_objects 1500
olcDbConfig: set_lk_max_locks 1500
olcDbConfig: set_lk_max_lockers 1500
olcDbIndex: objectClass eq
olcLastMod: TRUE
olcMonitoring: TRUE
olcDbCheckpoint: 512 30
olcAccess: to attrs=userPassword by dn="cn=admin,dc=company,dc=local" write by anonymous auth by self write by * none
olcAccess: to attrs=shadowLastChange by self write by * read
olcAccess: to dn.base="" by * read
olcAccess: to * by dn="cn=admin,dc=company,dc=local" write by * read


# ldapadd -Y EXTERNAL -H ldapi:/// -f backend.ldif


Создадим новый файл:

# gedit frontend.ldif

Замените в нем секцию “dc=***,dc=***” на ваши значения.
Замените  секцию  “olcRootPW: ***” на пароль сгенерированный с помощью утилиты slappasswd выше.

dn: dc=company,dc=local
objectClass: top
objectClass: dcObject
objectclass: organization
o: Company Local
dc: Company

dn: cn=admin,dc=company,dc=local
objectClass: simpleSecurityObject
objectClass: organizationalRole
cn: admin
userPassword: {SSHA}xxxxxxxxxxxxxxxxxxxxxxxx

dn: ou=people,dc=company,dc=local
objectClass: organizationalUnit
ou: people

dn: ou=groups,dc=company,dc=local
objectClass: organizationalUnit
ou: groups

# ldapadd -x -D cn=admin,dc=company,dc=local -W -f frontend.ldif


Создайте файл:

# gedit ldapuser.sh

Добавления локальных пользователей с диапозоном UID 500-999
Замените суфикс “SUFFIX=***” на ваш предпочитаемый.
Этот файл примерочный.

#!/bin/bash

SUFFIX='dc=company,dc=local'
LDIF='ldapuser.ldif'

echo -n > $LDIF
for line in `grep "x:[5-9][0-9][0-9]:" /etc/passwd | sed -e "s/ /%/g"`
do
   UID1=`echo $line | cut -d: -f1`
   NAME=`echo $line | cut -d: -f5 | cut -d, -f1`
   if [ ! "$NAME" ]
   then
      NAME=$UID1
   else
      NAME=`echo $NAME | sed -e "s/%/ /g"`
   fi
   SN=`echo $NAME | awk '{print $2}'`
   if [ ! "$SN" ]
   then
      SN=$NAME
   fi
   GIVEN=`echo $NAME | awk '{print $1}'`
   UID2=`echo $line | cut -d: -f3`
   GID=`echo $line | cut -d: -f4`
   PASS=`grep $UID1: /etc/shadow | cut -d: -f2`
   SHELL=`echo $line | cut -d: -f7`
   HOME=`echo $line | cut -d: -f6`
   EXPIRE=`passwd -S $UID1 | awk '{print $7}'`
   FLAG=`grep $UID1: /etc/shadow | cut -d: -f9`
   if [ ! "$FLAG" ]
   then
      FLAG="0"
   fi
   WARN=`passwd -S $UID1 | awk '{print $6}'`
   MIN=`passwd -S $UID1 | awk '{print $4}'`
   MAX=`passwd -S $UID1 | awk '{print $5}'`
   LAST=`grep $UID1: /etc/shadow | cut -d: -f3`

   echo "dn: uid=$UID1,ou=people,$SUFFIX" >> $LDIF
   echo "objectClass: inetOrgPerson" >> $LDIF
   echo "objectClass: posixAccount" >> $LDIF
   echo "objectClass: shadowAccount" >> $LDIF
   echo "uid: $UID1" >> $LDIF
   echo "sn: $SN" >> $LDIF
   echo "givenName: $GIVEN" >> $LDIF
   echo "cn: $NAME" >> $LDIF
   echo "displayName: $NAME" >> $LDIF
   echo "uidNumber: $UID2" >> $LDIF
   echo "gidNumber: $GID" >> $LDIF
   echo "userPassword: {crypt}$PASS" >> $LDIF
   echo "gecos: $NAME" >> $LDIF
   echo "loginShell: $SHELL" >> $LDIF
   echo "homeDirectory: $HOME" >> $LDIF
   echo "shadowExpire: $EXPIRE" >> $LDIF
   echo "shadowFlag: $FLAG" >> $LDIF
   echo "shadowWarning: $WARN" >> $LDIF
   echo "shadowMin: $MIN" >> $LDIF
   echo "shadowMax: $MAX" >> $LDIF
   echo "shadowLastChange: $LAST" >> $LDIF
   echo >> $LDIF
done

# sh ldapuser.sh

Открываем файл ldapuser.ldif

# gedit ldapuser.ldif

Строка 13:удаляем

$6$E00SY.VhtcM/6Zi6$3wNUJtRsQjrE0gt0PBiNwrG0XdlttOVfLOmHCg72p3QNKi3BW0/G3452HCQDUTQpkn7ZNkUFks9ruO

В конце файла:удаляем последнею строчку

15436

# ldapadd -x -D cn=admin,dc=company,dc=local -W -f ldapuser.ldif

# gedit ldapgroup.sh

Добавление локальных групп с диапозоном UID 500-999
Замените суфикс “SUFFIX=***” на ваш предпочитаемый.
Этот файл примерочный.

#!/bin/bash

SUFFIX='dc=company,dc=local'
LDIF='ldapgroup.ldif'

echo -n > $LDIF
for line in `grep "x:[5-9][0-9][0-9]:" /etc/group`
do
   CN=`echo $line | cut -d: -f1`
   GID=`echo $line | cut -d: -f3`
   echo "dn: cn=$CN,ou=groups,$SUFFIX" >> $LDIF
   echo "objectClass: posixGroup" >> $LDIF
   echo "cn: $CN" >> $LDIF
   echo "gidNumber: $GID" >> $LDIF
   users=`echo $line | cut -d: -f4 | sed "s/,/ /g"`
   for user in ${users} ; do
      echo "memberUid: ${user}" >> $LDIF
   done
   echo >> $LDIF
done

# sh ldapgroup.sh

# ldapadd -x -D cn=admin,dc=company,dc=local -W -f ldapgroup.ldif




Настройки для LDAP клиента

# yum -y install openldap-clients nss-pam-ldapd

# gedit /etc/openldap/ldap.conf

BASE dc=company,dc=local
URI ldap://192.168.50.2/
TLS_CACERTDIR /etc/openldap/cacerts

# gedit /etc/nslcd.conf

Строка 131: определите URI, суффикс

uri ldap://192.168.50.2/
base dc=company,dc=local
ssl no
tls_cacertdir /etc/openldap/cacerts

# gedit /etc/pam_ldap.conf

Строка 17: закоментируйте это

host 127.0.0.1

Строка 20: определите суффикс

base dc=company,dc=local

Добавьте:

uri ldap://192.168.50.2/
ssl no
tls_cacertdir /etc/openldap/cacerts
pam_password md5

# gedit /etc/pam.d/system-auth

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth sufficient pam_fprintd.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so
password requisite pam_cracklib.so try_first_pass retry=3 type=
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password sufficient pam_ldap.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_ldap.so
# add if you need ( create home directory automatically if it's none )
session optional pam_mkhomedir.so skel=/etc/skel umask=077

# gedit /etc/nsswitch.conf

Строка 33: добавить:

passwd: files ldap
shadow: files ldap
group: files ldap

Строка 57: изменить:

netgroup: ldap

Строка 61: изменить:

automount: files ldap

# gedit /etc/sysconfig/authconfig

Строка 18: изменить:

USELDAP=yes

# chkconfig nslcd on

# shutdown -r now

Меняем OpenLDAP настройки

-Устанавливаем samba в первую очередь

# yum -y install samba


# mkdir /tmp/setsamba/

# mkdir /tmp/setsamba/ldif_output

# cd /tmp/setsamba/ldif_output

# gedit schema_convert.conf

Создайте новый

include /etc/openldap/schema/core.schema
include /etc/openldap/schema/collective.schema
include /etc/openldap/schema/corba.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/duaconf.schema
include /etc/openldap/schema/dyngroup.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/java.schema
include /etc/openldap/schema/misc.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/openldap.schema
include /etc/openldap/schema/ppolicy.schema
include /etc/openldap/schema/samba.schema

# slapcat -f schema_convert.conf -F /tmp/setsamba/ldif_output -n0 -s "cn={12}samba,cn=schema,cn=config" > ./cn=samba.ldif

# gedit cn=samba.ldif

Строки 1,3: измените ( удалите цифры “{12}” )

dn: cn=samba,cn=schema,cn=config
objectClass: olcSchemaConfig
cn: samba

Удалите 186 строку и все что ниже нее

structuralObjectClass: olcSchemaConfig
entryUUID: 761ed782-e76d-102f-94de-7784c8a781ec
creatorsName: cn=config
createTimestamp: 20110320184149Z
entryCSN: 20110320184149.954974Z#000000#000#000000
modifiersName: cn=config
modifyTimestamp: 20110320184149Z

# ldapadd -Y EXTERNAL -H ldapi:/// -f cn=samba.ldif

# gedit samba_indexes.ldif

Создайте новый

dn: olcDatabase={2}hdb,cn=config
changetype: modify
add: olcDbIndex
olcDbIndex: uidNumber eq
olcDbIndex: gidNumber eq
olcDbIndex: loginShell eq
olcDbIndex: uid eq,pres,sub
olcDbIndex: memberUid eq,pres,sub
olcDbIndex: uniqueMember eq,pres
olcDbIndex: sambaSID eq
olcDbIndex: sambaPrimaryGroupSID eq
olcDbIndex: sambaGroupType eq
olcDbIndex: sambaSIDList eq
olcDbIndex: sambaDomainName eq
olcDbIndex: default sub
# ldapmodify -Y EXTERNAL -H ldapi:/// -f samba_indexes.ldif


# service slapd restart


Измените Samba настройки. Этот Samba PDC сервер должен быть также и LDAP клиентом.

# rpm -Uvh http://mirror-kt.neolabs.kz/epel/6/i386/epel-release-6-7.noarch.rpm

# yum install smbldap-tools -y
# mv /etc/samba/smb.conf /etc/samba/smb.conf.bak
# cp /usr/share/doc/smbldap-tools-*/smb.conf /etc/samba/smb.conf
# gedit /etc/samba/smb.conf

# Global parameters
[global]
workgroup = COMPANY
netbios name = PDC
security = user
enable privileges = yes
#interfaces = 192.168.5.11
#username map = /etc/samba/smbusers
server string = Samba Server %v
#security = ads
encrypt passwords = Yes
min passwd length = 3
#pam password change = no
#obey pam restrictions = No

# method 1:
#unix password sync = no
#ldap passwd sync = yes

# method 2:
unix password sync = yes
ldap passwd sync = yes
passwd program = /usr/sbin/smbldap-passwd -u "%u"
passwd chat = "Changing *\nNew password*" %n\n "*Retype new password*" %n\n"

log level = 0
syslog = 0
log file = /var/log/samba/log.%U
max log size = 100000
time server = Yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
mangling method = hash2
Dos charset = CP932
Unix charset = UTF-8

logon script = logon.bat
logon drive = W:
logon home =
logon path =
domain logons = Yes
domain master = Yes
os level = 65
preferred master = Yes
wins support = yes
# passdb backend = ldapsam:"ldap://ldap1.company.com ldap://ldap2.company.com"
passdb backend = ldapsam:ldap://192.168.50.2/
ldap admin dn = cn=admin,dc=company,dc=local
#ldap admin dn = cn=samba,ou=DSA,dc=company,dc=com
ldap suffix = dc=company,dc=local
ldap group suffix = ou=groups
ldap user suffix = ou=people
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
add user script = /usr/sbin/smbldap-useradd -m "%u"
#ldap delete dn = Yes
delete user script = /usr/sbin/smbldap-userdel "%u"
add machine script = /usr/sbin/smbldap-useradd -t 0 -w "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'
admin users = sysadmin
ldap ssl = no
# printers configuration
#printer admin = @"Print Operators"
load printers = Yes
create mask = 0640
directory mask = 0750
#force create mode = 0640
#force directory mode = 0750
nt acl support = No
printing = cups
printcap name = cups
deadtime = 10
guest account = nobody
map to guest = Bad User
dont descend = /proc,/dev,/etc,/lib,/lost+found,/initrd
show add printer wizard = yes
; to maintain capital letters in shortcuts in any of the profile folders:
preserve case = yes
short preserve case = yes
case sensitive = no

[netlogon]
path = /home/netlogon/
browseable = No
read only = yes

[profiles]
path = /home/profiles
read only = no
create mask = 0600
directory mask = 0700
browseable = No
guest ok = Yes
profile acls = yes
csc policy = disable
# next line is a great way to secure the profiles
#force user = %U
# next line allows administrator to access all profiles
#valid users = %U "Domain Admins"

[printers]
comment = Network Printers
#printer admin = @"Print Operators"
guest ok = yes
printable = yes
path = /home/spool/
browseable = No
read only = Yes
printable = Yes
print command = /usr/bin/lpr -P%p -r %s
lpq command = /usr/bin/lpq -P%p
lprm command = /usr/bin/lprm -P%p %j
# print command = /usr/bin/lpr -U%U@%M -P%p -r %s
# lpq command = /usr/bin/lpq -U%U@%M -P%p
# lprm command = /usr/bin/lprm -U%U@%M -P%p %j
# lppause command = /usr/sbin/lpc -U%U@%M hold %p %j
# lpresume command = /usr/sbin/lpc -U%U@%M release %p %j
# queuepause command = /usr/sbin/lpc -U%U@%M stop %p
# queueresume command = /usr/sbin/lpc -U%U@%M start %p

[print$]
path = /home/printers
guest ok = No
browseable = Yes
read only = Yes
valid users = @"Print Operators"
write list = @"Print Operators"
create mask = 0664
directory mask = 0775

[public]
path = /datasamba/public
guest ok = yes
browseable = Yes
writable = yes
force create mode = 0775
force directory mode = 0775

[private]
path = /datasamba/private
guest ok = yes
browseable = Yes
writable = yes
force create mode = 0770
force directory mode = 0770

# mkdir /datasamba
# mkdir /datasamba/public
# mkdir /datasamba/private
# mkdir /home/netlogon
# service smb restart
# service nmb restart
# chkconfig smb on
# chkconfig nmb on

# smbpasswd -W

# perl /usr/share/doc/smbldap-tools-*/configure.pl

Нажимайте на все вопросы ENTER, кроме вопросов где надо ввести пароль

# smbldap-populate

Тестирования

-Добавьте в Samba ldap пользователей
Мы добавим три учетные записи.
В группу доменные админы: sysadmin и ivanich
В группу пользователи: petrovich

# smbldap-useradd -a -m sysadmin
# smbldap-groupmod -m sysadmin "Domain Admins"
# smbldap-passwd sysadmin
# smbldap-useradd -a -m ivanich
# smbldap-groupmod -m ivanich "Domain Admins"
# smbldap-passwd ivanich
# smbldap-useradd -a -m petrovich
# smbldap-groupmod -m petrovich "Domain Users"
# smbldap-passwd petrovich

-Настройте ACL для Samba общих папок

# setfacl -m group:Domain\ Admins:rwx /datasamba/private/
# setfacl -m group:Domain\ Users:rwx /datasamba/public/


Найдите компьютер в локальной сети

Добавления Windows XP  в домен:
Зайдите на компьютер, далее свойства Мой Компьютер, далее Вкладка Имя Компьютера -> Кнопка Изменить ->  Укажем наш домен company -> Enter
На запрос логина и пароля введите : sysadmin/ваш пароль
Аналогичным образом все делается в Windows 7. Только надо в реестре поменять значения параметров:

 
HKLM\System\CCS\Services\LanmanWorkstation\Parameters
            DWORD  DomainCompatibilityMode = 1
            DWORD  DNSNameResolutionRequired = 0
   

Источники:

1. http://www.server-world.info/en/note?os=CentOS_6&p=samba&f=4

2. http://shirker.blog.com/2012/01/20/ldap-samba-phpldapadmin-on-centos-6/

3. bachem.wordpress.com

Almas AkeHayc
Пишу для себя, блог как записная книжка. Со временем все забывается, а у меня оно все в бложике. Будьте упертым глухим бегемотиком :)
17 мая 2012, 23:04
16936

Загрузка...

Комментарии

На шаге ldapadd -x -D cn=admin,dc=company,dc=local -W -f ldapuser.ldif возникла проблема, чё-то типа gecos не может быть #0. Открыл файл ldapuser.ldif в поле gecos указано моё полное имя на русском. Изменил на латиницу и завелось. Пишу потому что у начинающих, таких же как и я линукс-администраторов могут возникнуть непонимания.
Блог платформа урезает строчи с конфигами. Попробуйте сделать тоже самое из форума linuxforum.ru
Проверил на CentOS 6.3, все также делается, только строчку в /etc/sysconfig/authconfig не 18-у надо менять, а 21-у:
USELDAP=yes

И еще на время отключите встроенную цепочку фаервола RH-Input и SELINUX. Можете также отключить NetworkManager.
Многие проблемы с CentOS у начинающих возникают именно из за этих служб.
Отключил SELINUX: /etc/selinux/config -> SELINUX=disabled
Файервол пока вообще выключил: service iptables stop, chkconfig iptables off
Пинги с клиента на сервер идут, при попытке подключиться ошибка:

При запросе DNS записи ресурса размещения службы (SRV), используемой для выяснения размещения контроллера домена для домена "tci.lan" произошла ошибка:
Произошла ошибка: "DNS-имя не существует."
(код ошибки: 0x0000232B RCODE_NAME_ERROR)
Опрос проводился для SRV-записи для _ldap._tcp.dc._msdcs.tci.lan
К возможным причинам ошибки относятся:
1. SRV-запись DNS не зарегистрирована в DNS
2. Одна или несколько зон из указанных ниже не включает делегирования своей дочерней зоне
tci.lan
lan
. (корневая зона)

Сейчас попробую настроить с форума, как всё-таки должен быть настроен клиент? ДНС или ВИНС указывать? Как он должен определить по имени домена сам хост?
DNS сервер на клиенте указывать не надо!
Пропишите IP и маску.
А вообще советую ставить сразу Samba4 Beta, у многих она работает уже не один месяц.
А в чём её преимущество? На неё можно перейти с 3?
К стати по сабжу, только что сделал всё с нуля, получилось! Попутно записал видео, щас рендерится, как экспортнётся, я на ютюб положу с ссылкой на ваш блок и форум (правда оно очень длинное, больше часа, на зато с самого нуля, начиная с установки ЦентОси и заканчивая добавленной машиной, может ещё выложу ускоренный вариант 2x).

Спасибо вам огромнейшее! Когда донастрою свой сервак - обязательно вас как-то отблагодарю!
Преимущества - работают групповые политики на WinXP, 7.
Да и по новее решение, есть пара глюков, но жить можно.
в процесе выполнения
ldapadd -Y EXTERNAL -H ldapi:/// -f cn=samba.ldif
выдает
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=samba,cn=schema,cn=config"
ldap_add: Insufficient access (50)

делаю все, как сдесь написано - и непойму что нетак

Постараюсь сделать короткий видеоролик для тебя, когда будет свободное время.
большое спасибо. Жду с нетерпением
Вот видео, если оно еще тебе надо: www.youtube.com
делал все как написано...
и остановился на вот этом этапе -
Создадим новый файл:
# gedit backend.ldif
и
Создадим новый файл:
# gedit frontend.ldif
Вопрос куда их создавать? в какую папку? объясните пожалуйста новичку.....
гуглил, ничего не нашел по такому вопросу...
в системах Linux, начал недавно работать....
и все это делаю не на графической оболочке.... (возможности такой нет)
Просто тупо создаешь текстовый файл, внутри него помещаешь текст, просто вводи команды по той последовательности которая в записке, не думай о путях. Далее созданный файл добавляешь в базу LDAP.
Вообще это решение на фоне Samba4, уже устарело. Лучше поднимать сразу 4-у версию, не тратя время на 3-у ветку. Но для спортивного интереса можешь поднять и 3-у Самбу.
Добрый день, а не подскажите новичку, нужно ли устанавливать bind на этом сервере, на видео на клиенте прописывают этот сервер как DNS, хотя в описании вроде бы ничего по этому поводу не сказано.
Добрый!

Указывать DNS сервер не надо, у меня он и так работал.
Спасибо вам огромное, действительно все работает. Если не сложно не могли бы объяснить, а как клиент подключается к PDC серверу если в сети отсутствует DNS, просто вроде вы во всех остальных гайдах которые я видел на PDC сервере устанавливался еще и BIND
подскажите пожалуйста! уже несколько дней сижу играюсь с установкой и настройками...
ставил все на одну виртуалку и везде поставил IP виртуального компа (в конфиге samba и Ldap) , может что то я не так делаю, скажите пожалуйста?
все делал как написано, остановился на:
-Настройте ACL для Samba общих папок
# setfacl -m group:Domain\ Admins:rwx /datasamba/private/
# setfacl -m group:Domain\ Users:rwx /datasamba/public/
пишет:
[root@server]# setfacl -m group:Domain\ Admins:rwx /datasamba/private/
setfacl: Option -m: Недопустимый аргумент near character 7
что делать?
Это может возниукут из за двух причин:
1. Нету группы Domain\Admins или Domain\Users
2. Не созлдан каталог /datasamba/private/
root@localhost ldif_output]# smbldap-populate
Populating LDAP directory for domain company (S-1-5-21-620139165-3574503726-929538655)
(using builtin directory structure)
entry dc=company,dc=local already exist.
entry ou=people,dc=company,dc=local already exist.
entry ou=groups,dc=company,dc=local already exist.
adding new entry: ou=Computers,dc=company,dc=local
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 500, line 22.
adding new entry: ou=Idmap,dc=company,dc=local
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 500, line 27.
adding new entry: uid=root,ou=people,dc=company,dc=local
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 500, line 58.
adding new entry: uid=nobody,ou=people,dc=company,dc=local
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 500, line 89.
adding new entry: cn=Domain Admins,ou=groups,dc=company,dc=local
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 500, line 101.
adding new entry: cn=Domain Users,ou=groups,dc=company,dc=local
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 500, line 112.
adding new entry: cn=Domain Guests,ou=groups,dc=company,dc=local
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 500, line 123.
adding new entry: cn=Domain Computers,ou=groups,dc=company,dc=local
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 500, line 134.
adding new entry: cn=Administrators,ou=groups,dc=company,dc=local
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 500, line 179.
adding new entry: cn=Account Operators,ou=groups,dc=company,dc=local
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 500, line 201.
adding new entry: cn=Print Operators,ou=groups,dc=company,dc=local
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 500, line 212.
adding new entry: cn=Backup Operators,ou=groups,dc=company,dc=local
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 500, line 223.
adding new entry: cn=Replicators,ou=groups,dc=company,dc=local
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 500, line 234.
adding new entry: sambaDomainName=company,dc=company,dc=local
failed to add entry: modifications require authentication at /usr/sbin/smbldap-populate line 500, line 242.
Please provide a password for the domain root:
/usr/sbin/smbldap-passwd: user root doesn't exist
и куда копать пока незнаю.
Oct 9 02:52:09 localhost nslcd[1291]: [2289ec] no available LDAP server found
Oct 9 02:52:09 localhost nslcd[1291]: [2289ec] no available LDAP server found
Oct 9 02:52:09 localhost nslcd[1291]: [e91b18] no available LDAP server found
Oct 9 02:52:09 localhost nslcd[1291]: [e91b18] no available LDAP server found
Oct 9 03:00:01 localhost nslcd[1291]: [437fdb] ldap_result() failed: Can't contact LDAP server
Oct 9 03:00:01 localhost nslcd[1291]: [437fdb] ldap_abandon() failed to abandon search: Other (e.g., implementation specific) error
Oct 9 03:01:01 localhost nslcd[1291]: [44a45c] ldap_result() failed: Can't contact LDAP server
Oct 9 03:01:01 localhost nslcd[1291]: [44a45c] ldap_abandon() failed to abandon search: Other (e.g., implementation specific) error
Oct 9 03:20:01 localhost nslcd[1291]: [4a481a] ldap_result() failed: Can't contact LDAP server
Oct 9 03:20:01 localhost nslcd[1291]: [4a481a] ldap_abandon() failed to abandon search: Other (e.g., implementation specific) error
хм....
Помогите пожалуйста, начинаю добавлять пользователей smbldap-useradd -a -m sysadmin и выдает ошибку failed to perform search; invalid DN at /usr/share/perl5/vendor_perl/smbldap_tools.pm line 430.
Error looking for next uid in sambaDomainName=DOMSMB,dc=company,dc=com:invalid DN at /usr/share/perl5/vendor_perl/smbldap_tools.pm line 1194.
правда после перезапуска service slapd restart тоже выдает ошибку
Проверяются конфигурационные файлы для slapd: [ВНИМАНИЕ!]
config error processing cn=module,cn=config,cn=config:
config file testing succeeded
Честно сказать не использую данную связку, ставил на "посмотреть" :)

Оставьте свой комментарий

Спасибо за открытие блога в Yvision.kz! Чтобы убедиться в отсутствии спама, все комментарии новых пользователей проходят премодерацию. Соблюдение правил нашей блог-платформы ускорит ваш переход в категорию надежных пользователей, не нуждающихся в премодерации. Обязательно прочтите наши правила по указанной ссылке: Правила

Также можно нажать Ctrl+Enter

Популярные посты

Я был удивлён, что в Азербайджане есть Казахский район

Я был удивлён, что в Азербайджане есть Казахский район

Мне как казаху по национальности очень хотелось туда попасть. Оказалось, что климат там намного суровей и люди, говорят, суровые и воинственные. Казах – город на западе Азербайджана...
alidimash
18 янв. 2017 / 21:50
  • 29709
  • 18
10 лучших районов Алматы. Широкие улочки, частные дома, летом – красота!

10 лучших районов Алматы. Широкие улочки, частные дома, летом – красота!

Названия улиц: Садовый бульвар, Солнечный проезд. Красиво звучит не так ли? Прям, как в Москве... Уютные улочки и радующие глаз одноэтажные домики, тихо и свободно, нет динамики, движух и ажиотажа.
gelberdeuet
16 янв. 2017 / 14:45
  • 8502
  • 98
Многочасовые очереди, смерти в ЦОНах: почему вопросы об этом ставят парламентариев в тупик?

Многочасовые очереди, смерти в ЦОНах: почему вопросы об этом ставят парламентариев в тупик?

Ожидали ли депутаты Мажилиса всего этого? Как планировали этот процесс регистрации, и обсуждали ли его, прежде чем одним нажатием кнопки принять нормы с такими абсурдными временными рамками?
openqazaqstan
17 янв. 2017 / 14:32
  • 4966
  • 22
Астана глазами алматинских девушек. Как при таких погодных условиях можно выжить?

Астана глазами алматинских девушек. Как при таких погодных условиях можно выжить?

В спальных районах, и в высотных домах сквозь стены слышно завывание ветра. В особенности ночью. Такие звуки, я слышала, пожалуй, только по телевизору, в фильмах про метель.
Naomi_K
20 янв. 2017 / 12:36
Сильное ДТП произошло в Алматы на Тимирязева-Байзакова

Сильное ДТП произошло в Алматы на Тимирязева-Байзакова

NoComment (c) Официальный слоган EuroNews. Катастрофа на алматинской утренней трассе началась с того, что водители «Ниссана» и микровена ожидали сигнала светофора на запад по Тимирязева...
ibestreporter
17 янв. 2017 / 22:52
  • 3812
  • 5
Вейпинг безопасен? Эндрю Холл из США тоже так считал, пока что-то не пошло не так

Вейпинг безопасен? Эндрю Холл из США тоже так считал, пока что-то не пошло не так

Эндрю Холл из США считал, что вейпинг безопасен и усиленно убеждал в этом близких. Но как-то раз что-то пошло не так. Это результат взрыва хипстерского устройства - выбило 7 зубов + ожоги и раны...
Maxambet
17 янв. 2017 / 16:28
  • 3799
  • 52
Это поколение просрет страну. 20-летняя молодежь представляет из себя сказочных эльфов

Это поколение просрет страну. 20-летняя молодежь представляет из себя сказочных эльфов

Смотря в очередные пустые глаза вчерашнего студента, приходящего устраиваться на первую работу страшно становится. Потому что сравниваю с теми же китайскими студентами, которые готовы выгрызать себе мечту.
mbaitykov
18 янв. 2017 / 11:34
Становится хуже, но как-то постепенно. Беднеем, но тоже как-то не разом

Становится хуже, но как-то постепенно. Беднеем, но тоже как-то не разом

Помню, когда я уезжал и Казахстана, тут было довольно прилично, даже не смотря на то, что жить было невыносимо. Но прилично так. Мусора было меньше. Дороги чистили, вони почти не было. Да и в остальном тоже норм.
shootnix
18 янв. 2017 / 12:49
  • 3473
  • 34
Любимый Тайланд. Правящий король называет Паттайю «черным пятном на репутации страны»

Любимый Тайланд. Правящий король называет Паттайю «черным пятном на репутации страны»

Тайланд мы впервые посетили в декабре 2012 года. Полученные эмоции настолько были яркими, что в конце 2015 года мы решили еще разок слетать в Тайланд. Вспоминая Тай, первое о чем я думаю - горячий...
zhainar_d
17 янв. 2017 / 11:11
  • 3285
  • 24