Samba pdc + ldap

[gizomo]

Решил новый дистрибутив ALTLinux 5.0 Server опробовать. Сначала обрадовался, что есть web-интерфейс, но потом огорчился, т.к. он не помог при решении задач.
Пока все это делаю на двух компах (один сервер с ALTLinux 5.0 Server, второй клиент с Windows XP).
А задачи вот такие:
 - хотя бы настроить samba в роли PDC;
 - ну и прикрутить к ней ldap, чтобы авторизация через нее проходила;
 - но самое главное, чтобы домен видели клиенты с Windows XP и соответственно авторизацию проходили через ldap.
Мучаюсь уже неделю. Перечитал кучу мануалов по связке smb и ldap, но ничего не выходит. Клиент с Windows XP при вводе машины в домен запрашивает пользователя и пароль. Но видимо у меня так и не получилось связать smb и ldap, поэтому выдается ошибка, что либо пользователь не найден, либо пароль не правильный.

У меня просьба, если кто-то уже смог решить эти задачи, помогите товарищу

[ruslandh]

Меня Drool сюда послал:
"Для выкладывания инструкций и конфигов есть http://www.altlinux.org/ - специально для таких вещей. Выкладывайте обязательно."

Но вот приблизительная инструкция уже писал по памяти, так что некоторые шаги могут быть забыты или пропущены.
Жду ответа и уточнений по инструкции.

Код: [Выделить]

[root@srv-ibm ~]# net ads join -w DOMAIN.LOCAL -U administrator -I 192.168.0.1 -S MANAGER.DOMAIN.LOCAL
administrator's password:
[2008/10/18 01:29:15, 0] utils/net_ads.c:ads_startup_int(286)
  ads_connect: No logon servers
Failed to join domain: No logon servers


Это означает, что у Вас не настроен kerberos на этой машине (/etc/krb5.conf) либо в DNS не прописаны необходимые SRV записи для домена (по крайней мере, Default-First-Site-Name). В /etc/krb5.conf нужно разрешить ресолвинг KDC через DNS. Соответственно, DNS должен быть настроен корректно. Это необходимое условие для корректной работы AD.

Собирать вручную Самбу необходимости нет, особенно если учесть, что приводимые Вами строчки взяты из какого-то невнятного устаревшего документа (судя по smbpasswd -j).

Вот штатная документация по настройке членства в AD: Server Configuration Basics
Самба пока не может быть BDC для Active Directory, только простым членом домена.

[gizomo]

Я читал эту статью (в .doc формате). Сегодня попробую. Но одно мне не понятно, при чем там dns, тем более что ALT сам добавляет туда все необходимые записи автоматом. У меня без проблем клиент Windows XP видит сервер домена, поэтому и запрашивает имя пользователя и пароля для входа в домен. И на счет kerberos я тоже не пойму. Для чего он вообще нужен, если мы не можем создать полноценный AD домен? Самба там даже как BDC не работает путем, зачем его прикуручивать тогда?

[gizomo]

Еще один вопрос возник. В инструкции ZayDen применяется smbldap-tools для настройки пользовательской базы и связки samba с ldap. Больше никак это реализовать нельзя? Я во многих статьях встречал именно этот вариант, но в принципе возможно обойтись и без этой утилиты (вот например http://www.opennet.ru/base/net/ldap_spama_pdc.txt.html). Более того, обидно, что web-интерфейс ALTLinux 5.0 Server становится вовсе бесполезным. Если есть какие-то идеи на счет того, как можно задействовать web-интерфейс ALTLinux 5.0 Server (хотя бы для заполнения пользовательской базы), поделитесь. Иначе не имеет смысла вообще замарачиваться с настройкой этого дистрибутива.

[ruslandh]

Вообще-то дистрибутивы ALT Linux не предполагают совместную в сети Window и Linux машин - они предполагают наличие только компьютеров с установленными на них ALT Linux.

[Andrey]

Вообще-то дистрибутивы ALT Linux не предполагают совместную в сети Window и Linux машин - они предполагают наличие только компьютеров с установленными на них ALT Linux.

Я надеюсь, Вы имеете в виду из коробки? А то как то это уж слишком жутко для меня звучит, при наличии четвертого сервера в качестве PDC (естественно на столько, на сколько он это может и нужно).

[ruslandh]

Я имел ввиду, что для среды Linux + Windows ничего специально не "затачиволось" и не проверялось - ни тебе центра управления, ни тебе проверки такой работы.

[gizomo]

Спасибо всем за участие в обсуждении. С не стал заморачиваться больше c ldap. Настроил с winbind. А "Ковчег", видимо, надо еще серьезно дорабатывать. Т.к. во многих фирмах используют связку именно Сервер - Linux, а клиенты - Windows, то по-моему мнению, следует ориентироваться именно на это при разработке дистрибутива.

[AMike]

Спасибо всем за участие в обсуждении. С не стал заморачиваться больше c ldap. Настроил с winbind. А "Ковчег", видимо, надо еще серьезно дорабатывать. Т.к. во многих фирмах используют связку именно Сервер - Linux, а клиенты - Windows, то по-моему мнению, следует ориентироваться именно на это при разработке дистрибутива.

какой смысл это делать, если сейчас самба может быть максимум PDC (NT4 Server)? а проблем можно огрести килотонны - не думаю, что win7 сможет войти в домен времён nt4

[gizomo]

А зачем мне Windows 7? Ее сначала купить еще надо, вряд ли моя организация сейчас будет тратиться на новый софт. Да собственно и сама Windows 7 меня не радует. Несмотря на заявленную поддержку широкого спектра оборудования и включенных в дистрибутив драйверов, половина старых комплектующих остаются без последних после установки, а найти под Windows 7 дрова не так уж и легко. А о скорости работы на еще пригодных машинах я вообще не говорю. Под Windows XP все летает и проблем с совместимостью нет. А с Windows 7 будет геморрой и с сетью и, с ПО и с оборудованием.

А замарачивался чтобы сделать централизованную систему авторизации на подобие AD, как я понял из мануала к ldap - это ей по силу.

[dubrsl]

А замарачивался чтобы сделать централизованную систему авторизации на подобие AD, как я понял из мануала к ldap - это ей по силу.

Вы не правильно поняли. Данная схема очень давно реализована и работает.
вот первоисточник http://www.samba.org/samba/docs/man/Samba-Guide/happy.html
Много раз по нему делал и все получалось.

[gizomo]

Данная схема очень давно реализована и работает.
вот первоисточник http://www.samba.org/samba/docs/man/Samba-Guide/happy.html
Много раз по нему делал и все получалось.

Огромнейшее спасибо за ссылку. Действительно подробно все расписано с разными подводными камнями. То что доктор прописал!

[glebiao]

Сделать на штатном "ковчеге" samba / pdc легко.

пошагово:

1) править /etc/samba.conf на предмет имени группы (совпадает с именем домена) и машины. пусть домен == ORC, а нетбиос имя машины BILBO:

[global]
realm = ORC.ORG.RU
server string = samba-nfs-inet server on %h
security = user
use kerberos keytab = Yes
log file = /var/log/samba/log.%m
max log size = 50
printcap name = cups
dns proxy = No
use sendfile = Yes
passdb backend = ldapsam:ldap://127.0.0.1/
ldap admin dn = cn=ldaproot,dc=orc,dc=org,dc=ru
ldap suffix = dc=orc,dc=org,dc=ru
ldap group suffix = ou=Group
ldap user suffix = ou=People

# -------------------------------- импорт ----------------------------------
        dos charset = CP866
        unix charset = utf8
        display charset = utf8

        csc policy = disable

        workgroup = ORC
        netbios name = BILBO

        interfaces = 192.168.252.1/255.255.255.224  192.168.252.33/255.255.255.224  192.168.252.65/255.255.255.2
24  127.0.0.1/24
        bind interfaces only = Yes

        hosts allow = 192.168.252. 127.

        encrypt passwords = Yes
        root directory = /
        passwd chat debug = Yes
       
        log level = 0
                        # passdb:5 auth:10 winbind:1
        log file = /var/log/samba/log.%U.%m.%G.%I
        max log size = 50
       
        name resolve order = lmhosts host bcast wins
       
        time server = Yes

        unix extensions = No

        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192


        logon script = %G.bat

        logon path = \\%N\profiles\%u
        logon drive = N:

        domain logons = Yes
        os level = 64
        preferred master = yes
        domain master = yes
        local master = yes
        domain logons = yes

        wins support = Yes

        message command = /bin/mail -s 'message from %f on %m' root < %s; rm %s
        panic action = /bin/mail -s 'message from samba on asd' root <

#       hide local users = Yes
        guest account = nobody

#       profile acls = Yes

        hide dot files = No
        map archive = No

# -------------------------------------------

[homes]
        valid users = %S
        read only = No
        create mask = 0664
        directory mask = 0775
        browseable = No

[profiles]
        path = /var/lib/samba/profiles
        browseable = No
        read only = no
        create mask = 0600
        directory mask = 0700

        nt acl support = no # это важно для нормальной работы со ВСЕМИ версиями виндоус. Но! при настройке виндоус - станции , НЕОБХОДИМО дать группе локальных администраторов право на работу с профилями (поставить галочку "добавить группу...")
# ;

[netlogon]
    path = /var/lib/samba/netlogon
    guest ok = yes
    writable = no
    locking = no
    public = no
    browseable = yes
    share modes = no
 # -------------------------------
# далее определение ресурсов

# ++++++++++++++++++++++++++++++++++++++++++++++++++++

2) завести smb - пользователя root

smbpasswd -a root
smbpasswd -e root

в ldap эта запись не попадёт!

3) добавить аккаунт для машины сервера

useradd -g machines -d /dev/null -c "machine nickname" -s /bin/false -u 4000 bilbo$
smbpasswd -a -m bilbo

4) присоеденить самого себя к домену
net join -U root bilbo

далее всё уже автоматом будет в ldap

5) отмапить группы

net groupmap add ntgroup="Domain Admins" unixgroup=wheel rid=512 type=d
net groupmap list

и т.д. для остальных стандартных групп

Всё, пользователи уже могут регистрироваться с виндоус - станции. Только не смогут работать, так как оснастка Ковчега не прописывает в ldap для юзера поле sambaProfilePath. Неоходимо отдельным скриптом или как ещё добавить для каждого пользователя ldap поле sambaProfilePath, наприер, так:

sambaProfilePath: \\orc\profiles\user1

и для каждого юзера СОЗДАТЬ /var/lib/samba/profiles/ИМЯ с владельцем ИМЯ.

проще всего простым питоновским скриптом создать для каждого юзера ldif файл типа
dn: dn=ИМЯ,ou=People,dc=orc,dc=org,dc=ru
changetype: modify
replace: sambaProfilePath
sambaProfilePath: /var/lib/samba/profiles/ИМЯ

и выполнить ldapmodify -c -v -x -f ФАЙЛ.ldif -h 127.0.0.1 -D "cn=ldaproot,dc=orc,dc=org,dc=ru" -w ПАРОЛЬ

всё. работает, как часы.

PS: огромное ФИ разработчикам Ковчега за остутствие стандартных скриптов добавления и модификации пользователей (набить хотя бы 10 юзеров в веб-интерфейсе, это кошмар, да ещё если нужны доп. действия типа создания /var/lib/samba/profiles/имя),
за отсутствие возможности указать дефолтный домашний каталог для пользователя /группы, за отсутствие возможности указать РАЗДЕЛЬНЫЕ пароли на вход в шелл/самбу/почту (имхо, огромнейших размеров дыра в безопасности)

PPS: огромное СПАСИБО разработчикам Ковчега за всё остальное.

[Skull]

PS: огромное ФИ разработчикам Ковчега за остутствие стандартных скриптов добавления и модификации пользователей (набить хотя бы 10 юзеров в веб-интерфейсе, это кошмар, да ещё если нужны доп. действия типа создания /var/lib/samba/profiles/имя),
за отсутствие возможности указать дефолтный домашний каталог для пользователя /группы, за отсутствие возможности указать РАЗДЕЛЬНЫЕ пароли на вход в шелл/самбу/почту (имхо, огромнейших размеров дыра в безопасности)

Будем очень признательны, если поможете это реализовать. Только вместе мы сможем сделать продукт лучше. ;)

[gizomo]

Спасибо за разъяснение. Я в принципе так и делал. Только такая перспектива возни с ldap не обрадовала, поэтому все сделал по старому через winbind и собственную базу пользователей samba. Я просто думал, что в alterator есть возможность нормальной настройки и управления пользователями ldap и samba, как например это реализовано в Mandriva Derictory Server.

PS. Тут еще проблема оказывается возникла с проксированием и постоянной путаницей настроек сетевых интерфейсов после перезагрузки сервера. Совсем расстраивает меня 5 ветка. Еще меня смущает параметр брандмауэра в веб-морде: роутер/шлюз (NAT). Если NAT понятно, то что значит роутер, просто firewall или тоже вид маскардинга?