Автор Тема: School server (Samba + ldap) Connection failed: NT_STATUS_CONNECTION_REFUSED (Прочитано 15856 раз)

xoxa · « **Ответ #15 :** 23.12.2008 14:14:31 »

Давай тогда я пошагово делать буду. Исходя из знаний...
Сначала ставлю вчистую сервак и выставляю нужное в веб-морде.
Настраиваю сам лдап http://xoxa-123.narod.ru/1.jpg
Далее создаю домен и прописываю по логике.
http://xoxa-123.narod.ru/2.jpg
Выставляю авторизацию через лдап
http://xoxa-123.narod.ru/4.jpg
Дальше самба. Там мне показалось странным, то как он автоматом заполнил базовый ДН, но трогать пока не стал.
http://xoxa-123.narod.ru/3.jpg
Сервисы винбинд, самбу, слэпд ставлю на автозапуск.
Пока так? Или базовый ДН в самбе автоматом прописал чушь?

waise · « **Ответ #16 :** 23.12.2008 14:36:10 »

А почему в лдапе локал коннектион онли? что ты хочешь вообще с самбой сделать?
Ну вроде все так. Далее рестарт всех этих служб. Затем smbldap-populate, smbldap-useradd -a newuser, smbldap-passwd и вроде все для начального запуска сделано. Достаточно просто - если знать что делать :)

xoxa · « **Ответ #17 :** 23.12.2008 14:37:38 »

Цитата: waise от 23.12.2008 14:36:10

А почему в лдапе локал коннектион онли? что ты хочешь вообще с самбой сделать?

А зачем самбе больше? Ей достаточно смотреть на свой же ип и видеть там 389 порт лдапа, нет?
Я хочу чтобы самба брала список юзеров из лдапа

xoxa · « **Ответ #18 :** 23.12.2008 14:42:00 »

Цитата: waise от 23.12.2008 14:36:10

1. Затем smbldap-populate,
2.smbldap-useradd -a newuser,
3. smbldap-passwd и вроде все для начального запуска сделано. Достаточно просто - если знать что делать :)

Как насчет smbpasswd -w пасс ?

[root@srv ~]# smbldap-populate
Populating LDAP directory for domain SRV (S-1-5-21-2300321411-275617625-2483259475)
(using builtin directory structure)

can't extract first attr and value from suffix srv at /usr/sbin/smbldap-populate line 149.
Очень мило =( Пойду смотреть че там в суфиксе накосячено =(

Бага админам на заметку - при попытке тыкнуть кнопку из раздела "Служба каталогов" - "Запустить, остановить или перезапустить службу..." он отдает:
Бакенд
backend not found: template-chkconfig

Поехали дальше:
[root@srv ~]# smbldap-populate
Populating LDAP directory for domain SRV (S-1-5-21-2300321411-275617625-2483259475)
(using builtin directory structure)

entry dc=linuxuspeh already exist.
entry ou=People,dc=linuxuspeh already exist.
entry ou=Group,dc=linuxuspeh already exist.
adding new entry: ou=Host,dc=linuxuspeh
adding new entry: ou=Idmap,dc=linuxuspeh
adding new entry: uid=root,ou=People,dc=linuxuspeh
adding new entry: uid=nobody,ou=People,dc=linuxuspeh
adding new entry: cn=Domain Admins,ou=Group,dc=linuxuspeh
adding new entry: cn=Domain Users,ou=Group,dc=linuxuspeh
adding new entry: cn=Domain Guests,ou=Group,dc=linuxuspeh
adding new entry: cn=Domain Computers,ou=Group,dc=linuxuspeh
adding new entry: cn=Administrators,ou=Group,dc=linuxuspeh
adding new entry: cn=Account Operators,ou=Group,dc=linuxuspeh
adding new entry: cn=Print Operators,ou=Group,dc=linuxuspeh
adding new entry: cn=Backup Operators,ou=Group,dc=linuxuspeh
adding new entry: cn=Replicators,ou=Group,dc=linuxuspeh
entry sambaDomainName=SRV,dc=linuxuspeh already exist. Updating it...

Please provide a password for the domain root:
Changing UNIX and samba passwords for root
New password:
Retype new password:
[root@srv ~]#

2. [root@srv ~]# smbldap-useradd -a try1

3. [root@srv ~]# smbldap-passwd try1
Changing UNIX and samba passwords for try1
New password:
Retype new password:
[root@srv ~]#

!!!!!!!!!!
[root@srv ~]# smbclient -L localhost -U try1
Password:
Domain=[SRV] OS=[Unix] Server=[Samba 3.0.30-ALT]

Sharename Type Comment
--------- ---- -------
test Disk
IPC$ IPC IPC Service (Samba server on srv (v. 3.0.30-ALT))
try1 Disk Home Directory for 'try1'
Domain=[SRV] OS=[Unix] Server=[Samba 3.0.30-ALT]

Server Comment
--------- -------

Workgroup Master
--------- -------
LINUXUSPEH LINUXWKS

Итак, если я сейчас свою самбу на рабочей станции настрою не на "USER", а на "DOMAIN" и впишу туда "СЕРВЕР ИМЕН" сервака своего оно ПО ИДЕЕ должно сработать?

xoxa · « **Ответ #19 :** 23.12.2008 15:12:50 »

только что увидел кто мастером является...черт...пойду руками править смб.конф

добавил строки
local master = yes
domain master = yes
domain logons = yes
os level = 256

waise · « **Ответ #20 :** 23.12.2008 15:19:02 »

А smbpass теперь зачем? Если самба работает через лдап?
Если разрешить лдап не только для локалхоста - то на рабочих станциях можно будет организовать авторизацию через лдап, и самбу на рабочих станциях завернуть на тот же лдап. Т.е. один раз в лдап на серваке завел пользователя и все рабочие станции его будут знать и с ним работать. Красота :)

xoxa · « **Ответ #21 :** 23.12.2008 15:25:57 »

Цитата: waise от 23.12.2008 15:19:02

А smbpass теперь зачем? Если самба работает через лдап?
и самбу на рабочих станциях завернуть на тот же лдап.

[root@srv samba]# smbpasswd -w asd
Setting stored password for "cn=admin,dc=linuxuspeh" in secrets.tdb ;)
Видишь че творит? все-таки с лдапом чет связано, меняет ему пасс =)

Я прописал в свойства авторизации лдап сервак. После ребута он мне показал юзера из лдапа! Аллилуйа! Спасибо)))
Только при попытке войти этим юзером выдает ошибку:
could not start kstartupconfig, check your installation
Подозреваю ибо юзер мой не админ? Его надо какой то командой (или через виндовый клиент, что ты советовал) переместить в группу юзеров или админов (не хотелось бы) прямо?
Какой командой создать юзера, которого я смогу указать при добавлении тачки в домен?
Виндовский комп не реагирует на моего рута локального и не дает также присоединиться с admin из лдапа =(
[2008/12/23 15:57:29, 0] auth/auth_util.c:create_builtin_users(758)
create_builtin_users: Failed to create Users
[2008/12/23 15:57:44, 0] auth/auth_util.c:create_builtin_users(758)
create_builtin_users: Failed to create Users
[2008/12/23 15:57:45, 0] auth/auth_util.c:create_builtin_users(758)
create_builtin_users: Failed to create Users
[2008/12/23 15:57:46, 0] passdb/pdb_interface.c:pdb_default_create_user(329)
_samr_create_user: Running the command `/usr/sbin/smbldap-useradd -t 0 -w "x$"' gave 9

это падает в логи после попытки подцепить виндовскую тачку с правами root =(
Дело в том, что нету учетной записи машины в домене сервера?
В куда что добавить? =(

waise · « **Ответ #22 :** 23.12.2008 16:04:37 »

Цитата: xoxa от 23.12.2008 15:25:57

Я прописал в свойства авторизации лдап сервак. После ребута он мне показал юзера из лдапа! Аллилуйа! Спасибо)))
Только при попытке войти этим юзером выдает ошибку:
could not start kstartupconfig, check your installation

Для этого пользователя создай домашний каталог (автоматом чета не создается) и на этот каталог дай права для этого пользователя и все войдет :)

Войди с виндовой машины через ldapadmin на сервак, и посмотри как и что и где хранится. ОЧЕНЬ наглядно и все видно и понятно, гораздо проще разобраться чем через консоль, да и вопросы может даже и не возникнут.

А как ты виндовую тачку в домен вводишь?

xoxa · « **Ответ #23 :** 23.12.2008 16:14:36 »

Цитата: waise от 23.12.2008 16:04:37

Цитата: xoxa от 23.12.2008 15:25:57

Я прописал в свойства авторизации лдап сервак. После ребута он мне показал юзера из лдапа! Аллилуйа! Спасибо)))
Только при попытке войти этим юзером выдает ошибку:
could not start kstartupconfig, check your installation

Для этого пользователя создай домашний каталог (автоматом чета не создается) и на этот каталог дай права для этого пользователя и все войдет :)

Войди с виндовой машины через ldapadmin на сервак, и посмотри как и что и где хранится. ОЧЕНЬ наглядно и все видно и понятно, гораздо проще разобраться чем через консоль, да и вопросы может даже и не возникнут.

Да, так юзер влетел на ура. Спасибо за подсказку.
В лдападмин не попасть =( Только анонимный вход =( Не понимаю почему. Пишу cn=admin и пароль, и никак =(
Я рано или поздно войду, но у меня вопрос: достаточно ли завести юзера в консоли, а потом тупо через копирование в лдападмин поместить его в домаин админс?

waise · « **Ответ #24 :** 23.12.2008 16:16:08 »

cn=admin, dn=домен это для авторизации в лдападмине

xoxa · « **Ответ #25 :** 23.12.2008 16:18:43 »

Цитата: waise от 23.12.2008 16:16:08

cn=admin, dn=домен это для авторизации в лдападмине

Чувствую себя уродом неспособным почитать ман по ldapadmin =) Так удобно, конечно, но надо перестраиваться на маны опять...А то у меня так все стало замечательно с тобой получаться. Вобщем опыт рулит =)
Посмотрел я в базу...Странно, там есть юзер root и состоит он в группе domain admins. На всякий случай добавил его и в группу administrators
А где же admin???
Почему при попытке втолкнуть тачку в домен он грит "не найдено имя пользователя" при попытке сделать это от рута?
Самое интересное, что учетка виндовской тачки попадает в базу в раздел хостс.
Удаляю то, что он сам создал со знаком $, прописываю руками новый хост. Пробую опять толкаться он создает опять с $ и виндовский клиент все-равно говорит "не найдено имя пользователя" =(

waise · « **Ответ #26 :** 23.12.2008 16:28:59 »

Да, настало время читать маны :)

smbldap-groupadd --help
smbldap-groupdel --help
smbldap-groupmod --help
smbldap-groupshow --help
smbldap-migrate-unix-accounts --help
smbldap-migrate-unix-groups --help
smbldap-passwd --help
smbldap-useradd --help
smbldap-userdel --help
smbldap-userinfo --help
smbldap-userlist --help
smbldap-usermod --help
smbldap-usershow --help

Где-то прочитал: "Первое правила линукса - заставь это работать а потом оптимизируй"

waise · « **Ответ #27 :** 23.12.2008 16:33:55 »

Насколько я помню, то для нормальной работы виндового домена должен нормально работать DNS и имя контроллера домена должно нормально резолвится с виндовых машин. Но имхо это уже другая сказка

xoxa · « **Ответ #28 :** 23.12.2008 16:40:01 »

А нафига при смблдападмин маны по группам и пр. ? =) Так удобнее =) Но для профилактики курну))
Сервак резольвится)) Он же пароль спрашивает при присоединении=)

xoxa · « **Ответ #29 :** 23.12.2008 16:55:35 »

[root@srv etc]# smbldap-usershow firstwks$
dn: uid=firstwks$,ou=Host,dc=linuxuspeh
objectClass: top,account,posixAccount
cn: firstwks$
uid: firstwks$
uidNumber: 1006
gidNumber: 515
homeDirectory: /dev/null
loginShell: /bin/false
description: Computer
gecos: Computer
[root@srv etc]# smbldap-usershow firstwks$
dn: uid=firstwks$,ou=Host,dc=linuxuspeh
objectClass: top,account,posixAccount
cn: firstwks$
uid: firstwks$
uidNumber: 1006[2008/12/23 17:05:04, 0] auth/auth_util.c:create_builtin_users(758)
create_builtin_users: Failed to create Users
[2008/12/23 17:05:08, 0] lib/util_sock.c:write_data(562)
write_data: write failure in writing to client 192.168.219.124. Error Connection reset by peer
[2008/12/23 17:05:08, 0] lib/util_sock.c:send_smb(761)
Error writing 4 bytes to client. -1. (Connection reset by peer)
[2008/12/23 17:05:08, 0] auth/auth_util.c:create_builtin_users(758)
create_builtin_users: Failed to create Users
stty: standard input: Inappropriate ioctl for device
Use of uninitialized value in chomp at /usr/sbin/smbldap-useradd line 278.
stty: standard input: Inappropriate ioctl for device
stty: standard input: Inappropriate ioctl for device
Use of uninitialized value in chomp at /usr/sbin/smbldap-useradd line 284.
stty: standard input: Inappropriate ioctl for device
Use of uninitialized value in string ne at /usr/sbin/smbldap-useradd line 288.
Use of uninitialized value in string ne at /usr/sbin/smbldap-useradd line 288.
failed to add entry: structural object class modification from 'account' to 'inetOrgPerson' not allowed at /usr/sbin/smbldap-useradd line 311.

gidNumber: 515
homeDirectory: /dev/null
loginShell: /bin/false
description: Computer
gecos: Computer
[root@srv etc]#
машина есть, а в домен не лезет =( Значит и юзеров из лдапа не увидит, так? Будет только с локальными ходить, я прав?
В логи падает следующее:
[2008/12/23 17:05:04, 0] auth/auth_util.c:create_builtin_users(758)
create_builtin_users: Failed to create Users
[2008/12/23 17:05:08, 0] lib/util_sock.c:write_data(562)
write_data: write failure in writing to client 192.168.219.124. Error Connection reset by peer
[2008/12/23 17:05:08, 0] lib/util_sock.c:send_smb(761)
Error writing 4 bytes to client. -1. (Connection reset by peer)
[2008/12/23 17:05:08, 0] auth/auth_util.c:create_builtin_users(758)
create_builtin_users: Failed to create Users
stty: standard input: Inappropriate ioctl for device
Use of uninitialized value in chomp at /usr/sbin/smbldap-useradd line 278.
stty: standard input: Inappropriate ioctl for device
stty: standard input: Inappropriate ioctl for device
Use of uninitialized value in chomp at /usr/sbin/smbldap-useradd line 284.
stty: standard input: Inappropriate ioctl for device
Use of uninitialized value in string ne at /usr/sbin/smbldap-useradd line 288.
Use of uninitialized value in string ne at /usr/sbin/smbldap-useradd line 288.
failed to add entry: structural object class modification from 'account' to 'inetOrgPerson' not allowed at /usr/sbin/smbldap-useradd line 311.

и такой же косяк с попыткой net join на клиентском альте 4.1=(

[root@linux ~]# net join linuxuspeh -U root%asd
Creation of workstation account failed
Unable to join domain LINUXUSPEH.
в логах:

[2008/12/23 17:37:24, 0] auth/auth_util.c:create_builtin_users(758)
create_builtin_users: Failed to create Users
[2008/12/23 17:37:25, 0] passdb/pdb_interface.c:pdb_default_create_user(329)
_samr_create_user: Running the command `/usr/sbin/smbldap-useradd -t 0 -i -w "linuxwks$"' gave 9

Форум сообщества
Альт Линукс