1 (12.04.2012 13:29:03 отредактировано XliN)

Тема: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

Доброго дня. Вот решил с вами поделиться настройкой этой душе щипальной связки. Спросите зачем? Отвечаю. Я потратил кучу времени за усиленным гуглением и собирал все настройки по крупицам. Проделал большой путь и все таки настроил это на виртуалке. Теперь в планах все это сделать на реальном сервере. Ну так вот. Что бы не забыть и не потерять информацию, я напишу как это провернуть в подробностях. Думаю и Вам будет интересно.

Что мы будем делать.

1. Все это дело будет крутиться на CentOS 5.5. Выбор пал именно на этот дистрибутив, т.к. он отлично подходит в качестве серверного.
2. Установим OpenLDAP.  В нем будут храниться все данные об учетных записях.
3. Настроим Samba сервер в качестве Primary Domain Controller , который будет синхронизировать пароли с openldap сервером.

Установите саму CentOS, но с отключенным SELinux. Он в данном случаи нам будет мешать. Проверте что iptables тоже ничего не блокируют. Можно его полностью вырубить, а потом снова включить но с поправкой на нужные нам порты.

После установки ОС, нужно обязательно обновиться, т.к. там старое ядро. Ну и поставить MC для нормальной работы. Вы же CentOS ставили без иксов?  wink

yum update -y
yum install -y mc

Исходные данные:

Имя компьютера: LDAP
IP адрес сервера: 192.168.1.150
Название нашего домен mgkb1 (можете сделать и dc=mgkb1, dc=ru. Только исправьте это везде)
Админ домена cn=admin, dc=mgkb1

Ну... понеслась. Установим необходимые пакеты для LDAP:

yum install -y openldap-servers openldap-servers-overlays openldap-clients

Устанавливаем пароль администратора LDAP

slappasswd -h {MD5}

Вводим придуманный пароль и получаем хэш MD5, записываем его, чтобы не забыть.
Копируем файл настроек OpenLdap, на всякий случай:

cp /etc/openldap/slapd.conf /etc/openldap/slapd.conf.orig

Открываем для редактирования /etc/openldap/slapd.conf

Добавляем строчки для использования схемы samba и для использования политики паролей

include         /etc/openldap/schema/samba.schema
include         /etc/openldap/schema/ppolicy.schema

Убираем комментарии чтобы загрузить дополнительные модули и синхронизацию паролей между ldap и samba

modulepath    /usr/lib/openldap   
moduleload    smbk5pwd.la

Прописываем наш домен и админа LDAP. Указываем алгоритм шифрования (MD5) и сам пароль

suffix          "dc=mgkb1"
rootdn          "cn=admin,dc=mgkb1"
overlay smbk5pwd
password-hash {MD5}
rootpw {MD5}3sZzPv8zP4ZvFy4euo8mjw==

Правим индексы для более быстрого поиска

index cn,sn,uid,displayName       pres,sub,eq 
index uidNumber,gidNumber       eq
index sambaSID                          eq
index sambaPrimaryGroupSID     eq
index sambaDomainName           eq
index objectClass                        pres,eq
index default                               sub

Открываем для редактирования /etc/openldap/ldap.conf

BASE   dc=mgkb1
URI     ldap://127.0.0.1/

На этом первая настройка LDAP сервера закончена. Теперь установим Samba. Помните мы добавляли в конфиги схемы и индексы для самбы?

yum install -y samba samba-client samba-common

Копируем схему samba для OpenLdap и конфиг Berkley DB. Так же подправим права.

cp /usr/share/doc/samba-3.*/LDAP/samba.schema /etc/openldap/schema/
cp /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown ldap:ldap /var/lib/ldap/DB_CONFIG
chmod 600 /var/lib/ldap/DB_CONFIG

Попробуем запустить сервер.

service ldap start

Если все прошло успешно, то можно двигаться дальше.

2 (24.10.2010 14:12:11 отредактировано XliN)

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

Останавливаем сервис ldap

Консоль
service ldap stop

Создадим два файла LDIF формата.

Консоль
vim /etc/openldap/init1.ldif

dn: dc=mgkb1
objectclass: dcObject
objectclass: organization
o: CentOS Directory Server
dc: mgkb1

Консоль
vim /etc/openldap/init2.ldif

dn: cn=admin,dc=mgkb1
objectclass: organizationalRole
cn: admin

Добавим их в наш LDAP

Консоль
slapadd -l /etc/openldap/init1.ldif
slapadd -l /etc/openldap/init2.ldif

Затем изменим права на директорию с базой LDAP сервера

Консоль
chown -R ldap:ldap /var/lib/ldap
chmod 600 /var/lib/ldap/*

Просмотрим содержимое ldap

Консоль
slapcat

Запускаем сервис ldap
Консоль
service ldap start

Должно быть без ошибок. Устанавливаем в автозапуск
Консоль
chkconfig ldap on

Сейчас у нас уже есть работающий ldap сервер, но в нем пока пустой.
Проверить это можно коммандой
Консоль
ldapsearch -x -b "dc=mgkb1"

На этом первый этап закончен. Дальше нам надо поставить smbldap-tools и phpldapadmin.
В первом содержатся все утилиты для создания, изменения пользователей, работой с группами и т.д. Так сказать наш основной инструмент. Ну а phpldapadmin, это веб морда для удобного просмотра, редактирования дерева Ldap сервера.

Первый и второй пакет можно скачать и поставить из исходников, но я ставил из репозитария EPEL.
Подключается он следующим образом

Консоль

Устанавливаем smbldap-tools и phpldapadmin

Консоль
yum install -y smbldap-tools phpldapadmin

Для корректной работы нужно подправить файл /etc/httpd/conf.d/phpldapadmin.conf

Deny from all    #закомментировать
Allow from 127.0.0.1   #исправить на Allow from all 

Правим файл /etc/phpldapadmin/config.php

$ldapservers->SetValue($i,'server','host','127.0.0.1');
$ldapservers->SetValue($i,'server','port','389');
$ldapservers->SetValue($i,'server','base',array('dc=mgkb1'));
$ldapservers->SetValue($i,'server','auth_type','config');
$ldapservers->SetValue($i,'login','dn','cn=admin,dc=mgkb1');
$ldapservers->SetValue($i,'login','pass','ТУТ ВАШ ПАРОЛЬ ДЛЯ ADMIN');

Запускаем веб сервер и ставим его в автозапуск ОС

Консоль
service httpd start
chkconfig httpd on

В вашем любимом браузере вводим строку http://192.168.1.150/phpldapadmin и лицезреем ваше дерево. Для входа наберите cn=admin,dc=mgkb1 и пароль который вы придумали.

Будет что то вроде этого, только не такой заполненный. Ну ничего, мы до этого доберемся.

+ открыть спойлер

http://static.itmages.ru/i/10/1024/s_1287918629_eeb14c1f33.png

3

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

Переименовываем оригинальный файл настроек samba

Консоль
mv /etc/samba/smb.conf /etc/samba/smb.conf.orig

Копируем почти настроенный файл настроек samba от пакета smbldap-tools
Консоль
cp /usr/share/doc/smbldap-tools-0.9.4/smb.conf /etc/samba/smb.conf

Правим файл /etc/samba/smb.conf: (показаны только изменившиеся строки)

workgroup = mgkb1
netbios name = ldap
#       min passwd length = 3
unix password sync = yes
ldap passwd sync = yes
#       Dos charset = 850
#       Unix charset = ISO8859-1
ldap admin dn = cn=admin,dc=mgkb1
ldap suffix = dc=mgkb1
add machine script = /usr/sbin/smbldap-useradd -t 0 -w "%u"
nt acl support = yes
ldap ssl = off    добавить в секцию global

В секциях netlogon, profiles и spool изменить путь

path = /home/samba/netlogon/
path = /home/samba/profiles/
path = /home/samba/spool/
#        print command = /usr/bin/lpr -P%p -r %s
#        lpq command = /usr/bin/lpq -P%p
#        lprm command = /usr/bin/lprm -P%p %j
path = /home/samba/printers/

Создадим  необходимые директории и подправим права, т.к. samba сама это не сделает .

Консоль
mkdir /home/samba
mkdir /home/samba/netlogon
mkdir /home/samba/profiles
mkdir /home/samba/spool
mkdir /home/samba/printers
chmod 1777 /home/samba/profiles

Проверяем конфиг samba, если все пучком, то продолжаем.
Консоль
testparm

Сохраняем оригинальные конфиги для smbldap-tools
Консоль
cp /etc/smbldap-tools/smbldap.conf /etc/smbldap-tools/smbldap.conf.orig
cp /etc/smbldap-tools/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf.orig

Запускаем samba и ставим в автозапуск
Консоль
service smb start
chkconfig smb on

Запускаем скрипт для генерации конфигов smbldap-tools
Консоль
/usr/share/doc/smbldap-tools-0.9.5/configure.pl

Отвечаем на вопросы. Я оставил все по умолчанию, только указал тип шифрования MD5.

Укажем пароль для связи samba с ldap. Пароль тот, который придумали для cn=admin,dc=mgkb1

Консоль
smbpasswd -w password

Заполним ldap данными
Консоль
smbldap-populate

Теперь нужно связать Unix группы с Samba группами. Это очень важно
Для просмотра групп ldap

Консоль
net groupmap list

Чтобы связать группы Unix и ldap

groupadd -g 512 samba_domain_admins
groupadd -g 513 samba_domain_users
groupadd -g 515 samba_domain_computers
groupadd -g 514 samba_domain_guests
groupadd -g 544 samba_administrators
groupadd -g 548 samba_account_operators
groupadd -g 550 samba_print_operators
groupadd -g 551 samba_backup_operators
groupadd -g 552 samba_replicators

Ну и посмотрим что получилось. Должно быть видно что группам ldap сопоставлены группы Unix.

Консоль
[root@ldap ~]# net groupmap list
Domain Admins (S-1-5-21-2620240023-3456145667-860371348-512) -> samba_domain_admins
Domain Users (S-1-5-21-2620240023-3456145667-860371348-513) -> samba_domain_users
Domain Guests (S-1-5-21-2620240023-3456145667-860371348-514) -> samba_domain_guests
Domain Computers (S-1-5-21-2620240023-3456145667-860371348-515) -> samba_domain_computers
Administrators (S-1-5-32-544) -> samba_administrators
Account Operators (S-1-5-32-548) -> samba_account_operators
Print Operators (S-1-5-32-550) -> samba_print_operators
Backup Operators (S-1-5-32-551) -> samba_backup_operators
Replicators (S-1-5-32-552) -> samba_replicators

4 (24.10.2010 14:48:30 отредактировано XliN)

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

Подправим файл /etc/nsswitch.conf

passwd:     files ldap
shadow:     files ldap
group:        files ldap

Подправим файл /etc/ldap.conf

#host 127.0.0.1
uri ldap://127.0.0.1/
base dc=mgkb1
rootbinddn cn=admin,dc=mgkb1
bind_policy soft
pam_member_attribute uniquemember
pam_password md5
pam_password exop
nss_base_passwd         ou=Users,dc=mgkb1?sub
nss_base_shadow         ou=Users,dc=mgkb1?sub
nss_base_group          ou=Groups,dc=mgkb1?sub
nss_base_hosts          ou=Computers,dc=mgkb1?sub
nss_base_passwd         ou=Computers,dc=mgkb1?sub    строку добавить
nss_map_attribute uniqueMember member

Создадим файл /etc/ldap.secret с паролем администратора ldap

Консоль
echo "password" >/etc/ldap.secret
chmod 600 /etc/ldap.secret
chmod root:root /etc/ldap.secret

Перезапустим сервисы ldap и samba
Консоль
service ldap restart
service smb restart

Просмотрим все доступные учетные записи и группы (локальные + ldap):
Консоль
getent passwd
getent group

Добавляем администратора домена:

Консоль
smbldap-useradd -a Administrator     добавление пользователя
smbldap-passwd Administrator    присвоение пароля
smbldap-usermod -g 512 Administrator   меняем группу с samba_domain_users на samba_domain_admins

Убедимся, что группа изменилась
Консоль
id Administrator

Просмотрим администраторов домена
Консоль
net rpc group members "Domain Admins" -U admin%password

Дадим все права группе Администраторов.
Консоль
net rpc rights grant "Domain Admins" SeMachineAccountPrivilege SeTakeOwnershipPrivilege SeBackupPrivilege SeRestorePrivilege SeRemoteShutdownPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege -U admin%password

Все!!! Настройка закончена. Осталось ввести комп в домен.

На примере WindowsXP SP3

+ открыть спойлер

http://static.itmages.ru/i/10/1024/s_1287920490_23f1d23ed6.png

Если хотите что бы при входе в домен у пользователя автоматом монтировался расшаренная папка, то создайте файл logon.bat в /home/samba/netlogon c таким содержимым

net use H: \\Boris\Valentin /yes

Так же можно вводить компьютеры вручную

Консоль
smbldap-useradd -w name_comp$

Если есть у кого мысли по заметке, рад буду выслушать. Эту тему только начал изучать и вдальнейшем попробую еще прикрутить DHCP, DNS и SQUID

5

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

Рабочий /etc/openldap/slapd.conf

+ открыть спойлер
[root@ldap ~]# cat /etc/openldap/slapd.conf
#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#
include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/nis.schema
include         /etc/openldap/schema/samba.schema
include         /etc/openldap/schema/ppolicy.schema


# Allow LDAPv2 client connections.  This is NOT the default.
allow bind_v2

# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral       ldap://root.openldap.org

pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args

# Load dynamic backend modules:
modulepath      /usr/lib/openldap

# Modules available in openldap-servers-overlays RPM package
# Module syncprov.la is now statically linked with slapd and there
# is no need to load it here
# moduleload accesslog.la
# moduleload auditlog.la
# moduleload denyop.la
# moduleload dyngroup.la
# moduleload dynlist.la
# moduleload lastmod.la
# moduleload pcache.la
# moduleload ppolicy.la
# moduleload refint.la
# moduleload retcode.la
# moduleload rwm.la
moduleload smbk5pwd.la
# moduleload translucent.la
# moduleload unique.la
# moduleload valsort.la

# modules available in openldap-servers-sql RPM package:
# moduleload back_sql.la

# The next three lines allow use of TLS for encrypting connections using a
# dummy test certificate which you can generate by changing to
# /etc/pki/tls/certs, running "make slapd.pem", and fixing permissions on
# slapd.pem so that the ldap user or group can read it.  Your client software
# may balk at self-signed certificates, however.
# TLSCACertificateFile /etc/pki/tls/certs/ca-bundle.crt
# TLSCertificateFile /etc/pki/tls/certs/slapd.pem
# TLSCertificateKeyFile /etc/pki/tls/certs/slapd.pem

# Sample security restrictions
#       Require integrity protection (prevent hijacking)
#       Require 112-bit (3DES or better) encryption for updates
#       Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64

# Sample access control policy:
#       Root DSE: allow anyone to read it
#       Subschema (sub)entry DSE: allow anyone to read it
#       Other DSEs:
#               Allow self write access
#               Allow authenticated users read access
#               Allow anonymous users to authenticate
#       Directives needed to implement policy:
# access to dn.base="" by * read
# access to dn.base="cn=Subschema" by * read
# access to *
#       by self write
#       by users read
#       by anonymous auth
#
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn.  (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!

#######################################################################
# ldbm and/or bdb database definitions
#######################################################################

database        bdb
suffix          "dc=mgkb1"
rootdn          "cn=admin,dc=mgkb1"
# Cleartext passwords, especially for the rootdn, should
# be avoided.  See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
password-hash {MD5}
# rootpw                secret
rootpw          {MD5}8zKcnEiISf+pbp5odNiEaQ==

# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd and slap tools.
# Mode 700 recommended.
directory       /var/lib/ldap

# Indices to maintain for this database

index cn,sn,uid,displayName             pres,sub,eq
index uidNumber,gidNumber               eq
index sambaSID                          eq
index sambaPrimaryGroupSID              eq
index sambaDomainName                   eq
index objectClass                       pres,eq
index default                           sub

# Replicas of this database
#replogfile /var/lib/ldap/openldap-master-replog
#replica host=ldap-1.example.com:389 starttls=critical
#     bindmethod=sasl saslmech=GSSAPI
#     authcId=host/ldap-master.example.com@EXAMPLE.COM

Рабочий /etc/samba/smb.conf

+ открыть спойлер
[root@ldap log]# cat /etc/samba/smb.conf
# Global parameters
[global]
        workgroup = mgkb1
        netbios name = ldap
        security = user
        enable privileges = yes
        #interfaces = 192.168.5.11
        #username map = /etc/samba/smbusers
        server string = Samba Server %v
        #security = ads
        encrypt passwords = Yes
        #min passwd length = 3
        #pam password change = no
        #obey pam restrictions = No
        # method 1:
        unix password sync = yes
        ldap passwd sync = yes
        # method 2:
        unix password sync = yes
        ldap passwd sync = no
        ldap ssl = off
        passwd program = /usr/sbin/smbldap-passwd -u "%u"
        passwd chat = "Changing *\nNew password*" %n\n "*Retype new password*" %n\n"
        log level = 0
        syslog = 0
        log file = /var/log/samba/log.%U
        max log size = 100000
        time server = Yes
        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
        mangling method = hash2
        #Dos charset = 850
        #Unix charset = ISO8859-1
        logon script = logon.bat
        logon drive = H:
        logon home =
        logon path =
        domain logons = Yes
        domain master = Yes
        os level = 65
        preferred master = Yes
        wins support = yes
        # passdb backend = ldapsam:"ldap://ldap1.company.com ldap://ldap2.company.com"
        passdb backend = ldapsam:ldap://127.0.0.1/
        ldap admin dn = cn=admin,dc=mgkb1
        #ldap admin dn = cn=samba,ou=DSA,dc=company,dc=com
        ldap suffix = dc=mgkb1
        ldap group suffix = ou=Groups
        ldap user suffix = ou=Users
        ldap machine suffix = ou=Computers
        #ldap idmap suffix = ou=Idmap
        add user script = /usr/sbin/smbldap-useradd -m "%u"
        #ldap delete dn = Yes
        delete user script = /usr/sbin/smbldap-userdel "%u"
        add machine script = /usr/sbin/smbldap-useradd -t 0 -w "%u"
        add group script = /usr/sbin/smbldap-groupadd -p "%g"
        #delete group script = /usr/sbin/smbldap-groupdel "%g"
        add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
        delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
        set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'
        # printers configuration
        #printer admin = @"Print Operators"
        load printers = Yes
        create mask = 0640
        directory mask = 0750
        #force create mode = 0640
        #force directory mode = 0750
        nt acl support = yes
        printing = cups
        printcap name = cups
        deadtime = 10
        guest account = nobody
        map to guest = Bad User
        dont descend = /proc,/dev,/etc,/lib,/lost+found,/initrd
        show add printer wizard = yes
        ; to maintain capital letters in shortcuts in any of the profile folders:
        preserve case = yes
        short preserve case = yes
        case sensitive = no
[netlogon]
        path = /home/samba/netlogon/
        browseable = No
        read only = yes
[profiles]
        path = /home/samba/profiles
        read only = no
        create mask = 0600
        directory mask = 0700
        browseable = No
        guest ok = Yes
        profile acls = yes
        csc policy = disable
        # next line is a great way to secure the profiles
        #force user = %U
        # next line allows administrator to access all profiles
        #valid users = %U "Domain Admins"
[printers]
        comment = Network Printers
        #printer admin = @"Print Operators"
        guest ok = yes
        printable = yes
        path = /home/samba/spool/
        browseable = No
        read only  = Yes
        printable = Yes
        # print command = /usr/bin/lpr -P%p -r %s
        # lpq command = /usr/bin/lpq -P%p
        # lprm command = /usr/bin/lprm -P%p %j
        # print command = /usr/bin/lpr -U%U@%M -P%p -r %s
        # lpq command = /usr/bin/lpq -U%U@%M -P%p
        # lprm command = /usr/bin/lprm -U%U@%M -P%p %j
        # lppause command = /usr/sbin/lpc -U%U@%M hold %p %j
        # lpresume command = /usr/sbin/lpc -U%U@%M release %p %j
        # queuepause command = /usr/sbin/lpc -U%U@%M stop %p
        # queueresume command = /usr/sbin/lpc -U%U@%M start %p
[print$]
        path = /home/samba/printers
        guest ok = No
        browseable = Yes
        read only = Yes
        valid users = @"Print Operators"
        write list = @"Print Operators"
        create mask = 0664
        directory mask = 0775
[public]
        path = /tmp
        guest ok = yes
        browseable = Yes
        writable = yes

6 (20.11.2010 18:25:38 отредактировано XliN)

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

Так же подробная инструкция для поднятия LDAP без Samba.

Вот ссылочка проверенная мной на Debian 5.0 Lenny

http://techpubs.spinlocksolutions.com/dklar/ldap.html

7 (20.11.2010 19:16:58 отредактировано Kettler)

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

xlin пишет

Так же подробная инструкция для поднятия LDAP без Samba.

Вот ссылочка проверенная мной на Debian 5.0 Lenny

http://techpubs.spinlocksolutions.com/dklar/ldap.html

За ссылочку спасибо в закладки добавил. Но говорят проще использовать zentyal.
Но дебиан и всё сделать ручками это хорошо.
Вопрос по теме а юзеры win нормально авторизацию проходят? и где храниться их профили?

8

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

Ни чего про zentyal ответить не могу, не использовал и даже не читал в гугле. На глаза мне вероятно не попалась.

Kettler пишет

Вопрос по теме а юзеры win нормально авторизацию проходят? и где храниться их профили?

Проходят авторизацию нормально, если поднять Samba (PDC) на Debian. Я это не делал. Ну а на CentOS с виндузовыми пользователями нет проблем. Нормально авторизуются.

Kettler пишет

и где храниться их профили?

На сервере LDAP в папке /home/samba/profiles/

9

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

Шикарно просто взял на за метку. На счёт zentyal не плохое дополнение к ubuntu.

10

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

Кинул инструкцию в наше Wiki, что бы не потерялась  ag У вики своя БД, так что это надежно. Не хочется потерять наработку. Много времени потратил на сборку информации и доведения до ума  ag

http://linuxforum.ru/help/администриров … os:главная

11 (31.05.2011 21:22:16 отредактировано Braind)

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

Здравствуйте, при service ldap start пишет overlay "smbk5pwd" not found в чем причина может быть os CentOS 5.6?
И если можно выложите ваш config.php а то у меня при service ldap start пишет could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName.

12

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

Braind пишет

"smbk5pwd" not found

Там мы же вроде решили этот вопрос. Не?

Braind пишет

could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName.

Значит не может приконектиться к openldap.

13

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

Видимо не решили у меня прокатило когда я вместо overlay написал overlays

Ещё вопрос в Win2003 домене при идентификации компа на нём создаётся доменный пользователь а здесь почему то не хочет. Идинтифекацию прохожу на компе с Вин ХР СП3 в конце он говорит учетная запись пользователя в домене не существует хотя через пхплдападмин я её создал и вижу, в чем причина может быть? И ещё сам сервак в сети видиться как samba Server 3.0.33.el5_6.2(SRV) а хочется чтоб просто как SRV как это можно сделать?

14

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

Здравствуйте, сейчас тоже пытаемся запустить это на предприятии. Кроме настройки возникло много вопросов по использованию. --=XliN=-- , что посоветуете почитать по логон-скриптам и политикам? Потому как начальнику хочется "чтобы как в AD"

15

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

Всё сделал как по мануалу подскажите как правильно ввести Windows комп в домен, и какую роль здесь играет Ldap

16

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

ldap -это централизованное хранилище. В него можно запихнуть всякую информацию и все будет храниться в одном месте. Это так называемое дерево.

Как комп вводить я писал и показывал выше. Даже картинка есть. В домен вводит только пользователь с правами администратора. В данном случае это администратор.

LOlga пишет

что посоветуете почитать по логон-скриптам и политикам?

По скриптам я писал выше..... Про политики ничего сказать не могу. Не занимался этим вопросом.

LOlga пишет

Вин ХР СП3 в конце он говорит учетная запись пользователя в домене не существует хотя через пхплдападмин я её создал и вижу, в чем причина может быть?

Вручную не надо ничего создавать. При вводе компа в домен он сам в автомате создает учетку в дереве openldap и на сервере в папке /home/samba/profiles/

UPD: Вопрос очень интересный и требует особого внимания. Я что знал, то и написал. Углубляться пока нет времени  ag

17

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

Классная статья!
Опечатка не большая есть
Написано
chmod root:root /etc/ldap.secret
Нужно
chown root:root /etc/ldap.secret

18

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

--=XliN=-- пишет

По скриптам я писал выше..... Про политики ничего сказать не могу. Не занимался этим вопросом.
Углубляться пока нет времени  ag

Скрипт с подключение сетевых дисков я видела, конечно.
А вот когда начинаются "хотелки" уровня -
1) автоматом прописать юзеру/группе доступ к конкретным принтерам/плоттерам в сети, чтобы этот доступ не был привязан к конкретной машине, а при этом профили не переносимые (по определенным причинам это правильно в нашем случае);
2) проверить обновился ли антивирус и отослать отчет на сервер логов;
3) забить гвоздями прокси у юзера (высший пилотаж - НЕ в IE)
4) белый список запускаемых приложений
Это что вспомнилось из желаемого. Тут простыми батниками не обойтись.
Погуглив обнаружила, что народ рекомендует KiX скрипты использовать для этого. Только вот почитав мануалы по ним..... в общем - ниасилил.......  ag  Времени на это надо немало, разбираясь с ветками реестра куда все это прописывается. Нетривиальная задача, увы.
Да и с принтерами, однако, косяк. Ну не поддерживает CentOS печать на некоторых принтерах.
Итог - если со скриптами еще более-менее понятно - брать мануалы и медитировать, то с принтерами решение задачи не представляю себе пока.
Интересно - у кого эта связка работает в реальных боевых условиях, а не в варианте "на посмотреть"?

19

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

Прошу помощи.. Опять все сделал по своей инструкции... но уже для масштаба предприятия. Все вроде работает, но пользователи которые я создаю не добавляются в папку /home/samba/profiles В чем может быть проблема. Для теста пока права на /home/samba поставил 777. Папка так и осталась пустой.

20

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

--=XliN=--, в понедельник внимательнее посмотрю как у нас происходит.  Пользователя из консоли заводите?

21

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

Да из консоли.
Вот таким макаром.

Консоль
smbldap-useradd -a buh1
smbldap-passwd buh1

Компы в домен ввожу не посредственно их винды.

22

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

Эксперимент не удался. Домен был настроен без портируемых профилей - поэтому у нас ничего и не должно появляться в папке Profiles.

23

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

LOlga пишет

Эксперимент не удался. Домен был настроен без портируемых профилей - поэтому у нас ничего и не должно появляться в папке Profiles.

Хорошо.. Спасибо что посмотрели. Попробую сегодня на FreeBSD замутить. На лисяре отличные инструкции.

24

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

Не за что совершенно. Я только рада, что у кого-то это тоже работает не только в режиме "посмотреть". Там много вопросов возникает именно в реальном использовании.

25

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

Кстати, --=XliN=-- сегодня натолкнулась у forum.lissyara.su/viewtopic.php?f=8& … hilit=ldap

столкунулся с похожей проблемой - не создавались домашние папки для нового пользователя, оказалось что в /etc/pam.d/login надо добавить

Код: Выделить всё • Развернуть

    session required /usr/lib/pam_mkhomedir.so
    в Линуксе
    /lib/security/pam_mkhomedir.so


все проблемы сразу решились, домашние папки создаются автоматом

для фри библиотечка есть в портах:
/usr/ports/security/pam_mkhomedir

ЗЫ. Ставил и пробовал под Мандривой 2007.О, но думаю, что здесь та же беда

Может это поможет решить проблему?

26

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

LOlga, Интересная информация Оль, судя по нику предположу имя, но прикол в том что я делал по своей хавтуке и пользователи должны были быть перемещаемые.

+ yok

27

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

--=XliN=--, имя правильное - хорошо, что с лол'ом не пришла ассоциация.  wink
Инфу скопировала, честно говоря наугад - другое копала, а тут похожая проблема. Да и не по твоей хаутуке делали домен - конфиги у нас отличаются. Он готовым достался, я вроде писала уже. Думаю эта тема для меня будет еще долго актуальной.

28

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

--=XliN=-- ,  маленький вопросик - у тебя в домене хоть какие-нибудь пользователи могут открыть regedit? А то понять не могу - особенно работы это или просто с настройками накосячили мы.

29

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

LOlga, Нет не могут, так как они находятся в группе домаин пользователей.

30

Re: [HOWTO] Настройка сервера OpenLDAP и Samba в CentOS

--=XliN=--, а какие права выставить, чтобы могли? Потому что домаин админы тоже не могут войти в реестр. Все права вроде выставлены. Сколько не крутили - только локальные админы могут реестр открывать.