[samba] office server: ldap + samba pdc
Maks Re
=?iso-8859-1?q?admaks_=CE=C1_gmail=2Ecom?=
Вт Авг 12 12:38:32 MSD 2008
Hello
что-то в каком-то месте у меня не получается... подскажите, что за
траблы накосячил/неисправил
имеем офис сервер4 + апдейты
поднят лдап
хотелось бы теперь поднять самбу как PDC
поставил smbldap-tools (они актуальны на текущий момент?)
конфиг самбы:
# cat smb.conf
#======================= Global Settings =====================================
[global]
workgroup = Perfect
netbios name = SRV-GW-1
server string = Samba
server on %h (v. %v)
printcap name = cups
load printers = Yes
printing = cups
; printer admin = @adm
log file =
/var/log/samba/log.%m
max log size = 2048
log level = 5
hosts allow =
192.168.10. 127.
security = user
encrypt passwords = Yes
smb passwd file = /etc/samba/smbpasswd
unix password sync = No
socket options = TCP_NODELAY
SO_RCVBUF=8192 SO_SNDBUF=8192
interfaces =
192.168.10.1/24
remote browse sync = 192.168.10.255
remote announce = 192.168.10.255
local master = Yes
os level = 255
domain master = Yes
preferred master = Yes
domain logons = Yes
wins support = Yes
wins proxy = Yes
dns proxy = No
use sendfile = Yes
# LDAP
passdb backend =
ldapsam:ldap://127.0.0.1
ldap ssl = off
ldap suffix =
dc=office,dc=perfect-ltd,dc=ru
admin users = sysop
ldap admin dn =
cn=sysop,dc=office,dc=perfect-ltd,dc=ru
ldap user suffix = ou=People
ldap group suffix = ou=Groups
ldap machine suffix = ou=Computers
ldap delete dn = no
ldap passwd sync = yes
add machine script =
/usr/sbin/smbldap-useradd -w "%u"
add user script =
/usr/sbin/smbldap-useradd -m "%u"
delete user script =
/usr/sbin/smbldap-userdel "%u"
add group script =
/usr/sbin/smbldap-groupadd -p "%g"
delete group script =
/usr/sbin/smbldap-groupdel "%g"
add user to group script =
/usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod
-x "%u" "%g"
set primary group script =
/usr/sbin/smbldap-usermod -g "%g" "%u"
time server = yes
#============================ Share Definitions ==============================
[homes]
comment = Home Directory for '%u'
browseable = no
writable = yes
[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon
guest ok = yes
writable = no
[Profiles]
path = /var/lib/samba/profiles
browseable = no
guest ok = yes
пароль для самбы в лдап установлен.
сделан шаблон путем
#smbldap-populate -l 99 -a sysop
шаблон создает пользователей sysop & nobody
# getent passwd |grep sysop
sysop:x:0:0:Netbios Domain Administrator:/home/sysop:/bin/false
# getent passwd |grep 0:0
root:x:0:0:System Administrator:/root:/bin/bash
sysop:x:0:0:Netbios Domain Administrator:/home/sysop:/bin/false
# getent passwd |grep nobody
nobody:x:99:99:Nobody:/var/nobody:/dev/null
nobody:x:99:514:nobody:/dev/null:/bin/false
# net groupmap list
[2008/08/12 12:30:19, 0] lib/smbldap_util.c:smbldap_search_domain_info(286)
smbldap_search_domain_info: Adding domain info for PERFECT failed
with NT_STATUS_UNSUCCESSFUL
Domain Admins (S-1-5-21-2743309201-3306559218-831983504-512) -> 512
Domain Users (S-1-5-21-2743309201-3306559218-831983504-513) -> 513
Domain Guests (S-1-5-21-2743309201-3306559218-831983504-514) -> 514
Domain Computers (S-1-5-21-2743309201-3306559218-831983504-515) -> 515
Administrators (S-1-5-32-544) -> 544
Account Operators (S-1-5-32-548) -> 548
Print Operators (S-1-5-32-550) -> 550
Backup Operators (S-1-5-32-551) -> 551
Replicators (S-1-5-32-552) -> 552
Здесь смущает что "Adding domain info for PERFECT failed with
NT_STATUS_UNSUCCESSFUL"
хотя видимо в каталоге такая информация есть...
далее
# net rpc info -U%
Domain Name: PERFECT
Domain SID: S-1-5-21-2743309201-3306559218-831983504
Sequence number: 1218529889
Num users: 2
Num domain groups: 0
Num local groups: 0
те. как бы все нормально.
# net rpc join -Usysop
Password:
Creation of workstation account failed
Unable to join domain PERFECT.
но при этом уч запись для ПК появляется, с именем хост$
если пытаться добавить ПК в домен, (я на VitrualBox`e развернул тест
машину) - при добавлении мне пишут, что пользователь не опознан.
но при этом в каталоге создается уч запись wks-tst-1$ (у меня тестовый
ПК зовут wks-tst-1)
А вот еще
# net rpc testjoin -Usysop
[2008/08/12 12:37:10, 0]
rpc_client/cli_pipe.c:get_schannel_session_key_common(2445)
get_schannel_session_key: could not fetch trust account password for
domain 'PERFECT'
[2008/08/12 12:37:10, 0] utils/net_rpc_join.c:net_rpc_join_ok(85)
net_rpc_join_ok: failed to get schannel session key from server
SRV-GW-1 for domain PERFECT. Error was
NT_STATUS_CANT_ACCESS_DOMAIN_INFO
Join to domain 'PERFECT' is not valid
# cat /etc/nss_ldap.conf |grep ^[^#]
@(#)$Id: ldap.conf,v 2.47 2006/05/15 08:13:44 lukeh Exp $
base dc=office,dc=perfect-ltd,dc=ru
uri ldap://localhost
timelimit 5
bind_timelimit 5
nss_reconnect_tries 1
nss_reconnect_maxconntries 1
# cat /etc/pam_ldap.conf |grep ^[^#]
base dc=office,dc=perfect-ltd,dc=ru
uri ldap://localhost
timelimit 5
bind_timelimit 5
# cat /etc/nsswitch.conf |grep ^[^#]
passwd: files ldap
shadow: tcb files ldap
group: files ldap
hosts: files nisplus nis dns
ethers: files
netmasks: files
networks: files
protocols: files
rpc: files
services: files
bootparams: nisplus [NOTFOUND=return] files
netgroup: nisplus
publickey: nisplus
automount: files nisplus
aliases: files nisplus
--
С уважением,
Макс.
Подробная информация о списке рассылки Samba