1 (12.04.2012 14:29:03 отредактировано XliN)

Доброго дня. Вот решил с вами поделиться настройкой этой душе щипальной связки. Спросите зачем? Отвечаю. Я потратил кучу времени за усиленным гуглением и собирал все настройки по крупицам. Проделал большой путь и все таки настроил это на виртуалке. Теперь в планах все это сделать на реальном сервере. Ну так вот. Что бы не забыть и не потерять информацию, я напишу как это провернуть в подробностях. Думаю и Вам будет интересно.

Что мы будем делать.

1. Все это дело будет крутиться на CentOS 5.5. Выбор пал именно на этот дистрибутив, т.к. он отлично подходит в качестве серверного.
2. Установим OpenLDAP.  В нем будут храниться все данные об учетных записях.
3. Настроим Samba сервер в качестве Primary Domain Controller , который будет синхронизировать пароли с openldap сервером.

Установите саму CentOS, но с отключенным SELinux. Он в данном случаи нам будет мешать. Проверте что iptables тоже ничего не блокируют. Можно его полностью вырубить, а потом снова включить но с поправкой на нужные нам порты.

После установки ОС, нужно обязательно обновиться, т.к. там старое ядро. Ну и поставить MC для нормальной работы. Вы же CentOS ставили без иксов?  wink

yum update -y
yum install -y mc

Исходные данные:

Имя компьютера: LDAP
IP адрес сервера: 192.168.1.150
Название нашего домен mgkb1 (можете сделать и dc=mgkb1, dc=ru. Только исправьте это везде)
Админ домена cn=admin, dc=mgkb1

Ну... понеслась. Установим необходимые пакеты для LDAP:

yum install -y openldap-servers openldap-servers-overlays openldap-clients

Устанавливаем пароль администратора LDAP

slappasswd -h {MD5}

Вводим придуманный пароль и получаем хэш MD5, записываем его, чтобы не забыть.
Копируем файл настроек OpenLdap, на всякий случай:

cp /etc/openldap/slapd.conf /etc/openldap/slapd.conf.orig

Открываем для редактирования /etc/openldap/slapd.conf

Добавляем строчки для использования схемы samba и для использования политики паролей

include         /etc/openldap/schema/samba.schema
include         /etc/openldap/schema/ppolicy.schema

Убираем комментарии чтобы загрузить дополнительные модули и синхронизацию паролей между ldap и samba

modulepath    /usr/lib/openldap   
moduleload    smbk5pwd.la

Прописываем наш домен и админа LDAP. Указываем алгоритм шифрования (MD5) и сам пароль

suffix          "dc=mgkb1"
rootdn          "cn=admin,dc=mgkb1"
overlay smbk5pwd
password-hash {MD5}
rootpw {MD5}3sZzPv8zP4ZvFy4euo8mjw==

Правим индексы для более быстрого поиска

index cn,sn,uid,displayName       pres,sub,eq 
index uidNumber,gidNumber       eq
index sambaSID                          eq
index sambaPrimaryGroupSID     eq
index sambaDomainName           eq
index objectClass                        pres,eq
index default                               sub

Открываем для редактирования /etc/openldap/ldap.conf

BASE   dc=mgkb1
URI     ldap://127.0.0.1/

На этом первая настройка LDAP сервера закончена. Теперь установим Samba. Помните мы добавляли в конфиги схемы и индексы для самбы?

yum install -y samba samba-client samba-common

Копируем схему samba для OpenLdap и конфиг Berkley DB. Так же подправим права.

cp /usr/share/doc/samba-3.*/LDAP/samba.schema /etc/openldap/schema/
cp /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG
chown ldap:ldap /var/lib/ldap/DB_CONFIG
chmod 600 /var/lib/ldap/DB_CONFIG

Попробуем запустить сервер.

service ldap start

Если все прошло успешно, то можно двигаться дальше.

MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

2 (24.10.2010 15:12:11 отредактировано XliN)

Останавливаем сервис ldap

 Консоль:
service ldap stop

Создадим два файла LDIF формата.

 Консоль:
vim /etc/openldap/init1.ldif

dn: dc=mgkb1
objectclass: dcObject
objectclass: organization
o: CentOS Directory Server
dc: mgkb1

 Консоль:
vim /etc/openldap/init2.ldif

dn: cn=admin,dc=mgkb1
objectclass: organizationalRole
cn: admin

Добавим их в наш LDAP

 Консоль:
slapadd -l /etc/openldap/init1.ldif
slapadd -l /etc/openldap/init2.ldif

Затем изменим права на директорию с базой LDAP сервера

 Консоль:
chown -R ldap:ldap /var/lib/ldap
chmod 600 /var/lib/ldap/*

Просмотрим содержимое ldap

 Консоль:
slapcat

Запускаем сервис ldap
 Консоль:
service ldap start

Должно быть без ошибок. Устанавливаем в автозапуск
 Консоль:
chkconfig ldap on

Сейчас у нас уже есть работающий ldap сервер, но в нем пока пустой.
Проверить это можно коммандой
 Консоль:
ldapsearch -x -b "dc=mgkb1"

На этом первый этап закончен. Дальше нам надо поставить smbldap-tools и phpldapadmin.
В первом содержатся все утилиты для создания, изменения пользователей, работой с группами и т.д. Так сказать наш основной инструмент. Ну а phpldapadmin, это веб морда для удобного просмотра, редактирования дерева Ldap сервера.

Первый и второй пакет можно скачать и поставить из исходников, но я ставил из репозитария EPEL.
Подключается он следующим образом

 Консоль:

Устанавливаем smbldap-tools и phpldapadmin

 Консоль:
yum install -y smbldap-tools phpldapadmin

Для корректной работы нужно подправить файл /etc/httpd/conf.d/phpldapadmin.conf

Deny from all    #закомментировать
Allow from 127.0.0.1   #исправить на Allow from all 

Правим файл /etc/phpldapadmin/config.php

$ldapservers->SetValue($i,'server','host','127.0.0.1');
$ldapservers->SetValue($i,'server','port','389');
$ldapservers->SetValue($i,'server','base',array('dc=mgkb1'));
$ldapservers->SetValue($i,'server','auth_type','config');
$ldapservers->SetValue($i,'login','dn','cn=admin,dc=mgkb1');
$ldapservers->SetValue($i,'login','pass','ТУТ ВАШ ПАРОЛЬ ДЛЯ ADMIN');

Запускаем веб сервер и ставим его в автозапуск ОС

 Консоль:
service httpd start
chkconfig httpd on

В вашем любимом браузере вводим строку http://192.168.1.150/phpldapadmin и лицезреем ваше дерево. Для входа наберите cn=admin,dc=mgkb1 и пароль который вы придумали.

Будет что то вроде этого, только не такой заполненный. Ну ничего, мы до этого доберемся.

+ открыть спойлер

http://static.itmages.ru/i/10/1024/s_1287918629_eeb14c1f33.png

MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

3

Переименовываем оригинальный файл настроек samba

 Консоль:
mv /etc/samba/smb.conf /etc/samba/smb.conf.orig

Копируем почти настроенный файл настроек samba от пакета smbldap-tools
 Консоль:
cp /usr/share/doc/smbldap-tools-0.9.4/smb.conf /etc/samba/smb.conf

Правим файл /etc/samba/smb.conf: (показаны только изменившиеся строки)

workgroup = mgkb1
netbios name = ldap
#       min passwd length = 3
unix password sync = yes
ldap passwd sync = yes
#       Dos charset = 850
#       Unix charset = ISO8859-1
ldap admin dn = cn=admin,dc=mgkb1
ldap suffix = dc=mgkb1
add machine script = /usr/sbin/smbldap-useradd -t 0 -w "%u"
nt acl support = yes
ldap ssl = off    добавить в секцию global

В секциях netlogon, profiles и spool изменить путь

path = /home/samba/netlogon/
path = /home/samba/profiles/
path = /home/samba/spool/
#        print command = /usr/bin/lpr -P%p -r %s
#        lpq command = /usr/bin/lpq -P%p
#        lprm command = /usr/bin/lprm -P%p %j
path = /home/samba/printers/

Создадим  необходимые директории и подправим права, т.к. samba сама это не сделает .

 Консоль:
mkdir /home/samba
mkdir /home/samba/netlogon
mkdir /home/samba/profiles
mkdir /home/samba/spool
mkdir /home/samba/printers
chmod 1777 /home/samba/profiles

Проверяем конфиг samba, если все пучком, то продолжаем.
 Консоль:
testparm

Сохраняем оригинальные конфиги для smbldap-tools
 Консоль:
cp /etc/smbldap-tools/smbldap.conf /etc/smbldap-tools/smbldap.conf.orig
cp /etc/smbldap-tools/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf.orig

Запускаем samba и ставим в автозапуск
 Консоль:
service smb start
chkconfig smb on

Запускаем скрипт для генерации конфигов smbldap-tools
 Консоль:
/usr/share/doc/smbldap-tools-0.9.5/configure.pl

Отвечаем на вопросы. Я оставил все по умолчанию, только указал тип шифрования MD5.

Укажем пароль для связи samba с ldap. Пароль тот, который придумали для cn=admin,dc=mgkb1

 Консоль:
smbpasswd -w password

Заполним ldap данными
 Консоль:
smbldap-populate

Теперь нужно связать Unix группы с Samba группами. Это очень важно
Для просмотра групп ldap

 Консоль:
net groupmap list

Чтобы связать группы Unix и ldap

groupadd -g 512 samba_domain_admins
groupadd -g 513 samba_domain_users
groupadd -g 515 samba_domain_computers
groupadd -g 514 samba_domain_guests
groupadd -g 544 samba_administrators
groupadd -g 548 samba_account_operators
groupadd -g 550 samba_print_operators
groupadd -g 551 samba_backup_operators
groupadd -g 552 samba_replicators

Ну и посмотрим что получилось. Должно быть видно что группам ldap сопоставлены группы Unix.

 Консоль:
[root@ldap ~]# net groupmap list
Domain Admins (S-1-5-21-2620240023-3456145667-860371348-512) -> samba_domain_admins
Domain Users (S-1-5-21-2620240023-3456145667-860371348-513) -> samba_domain_users
Domain Guests (S-1-5-21-2620240023-3456145667-860371348-514) -> samba_domain_guests
Domain Computers (S-1-5-21-2620240023-3456145667-860371348-515) -> samba_domain_computers
Administrators (S-1-5-32-544) -> samba_administrators
Account Operators (S-1-5-32-548) -> samba_account_operators
Print Operators (S-1-5-32-550) -> samba_print_operators
Backup Operators (S-1-5-32-551) -> samba_backup_operators
Replicators (S-1-5-32-552) -> samba_replicators

MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

4 (24.10.2010 15:48:30 отредактировано XliN)

Подправим файл /etc/nsswitch.conf

passwd:     files ldap
shadow:     files ldap
group:        files ldap

Подправим файл /etc/ldap.conf

#host 127.0.0.1
uri ldap://127.0.0.1/
base dc=mgkb1
rootbinddn cn=admin,dc=mgkb1
bind_policy soft
pam_member_attribute uniquemember
pam_password md5
pam_password exop
nss_base_passwd         ou=Users,dc=mgkb1?sub
nss_base_shadow         ou=Users,dc=mgkb1?sub
nss_base_group          ou=Groups,dc=mgkb1?sub
nss_base_hosts          ou=Computers,dc=mgkb1?sub
nss_base_passwd         ou=Computers,dc=mgkb1?sub    строку добавить
nss_map_attribute uniqueMember member

Создадим файл /etc/ldap.secret с паролем администратора ldap

 Консоль:
echo "password" >/etc/ldap.secret
chmod 600 /etc/ldap.secret
chmod root:root /etc/ldap.secret

Перезапустим сервисы ldap и samba
 Консоль:
service ldap restart
service smb restart

Просмотрим все доступные учетные записи и группы (локальные + ldap):
 Консоль:
getent passwd
getent group

Добавляем администратора домена:

 Консоль:
smbldap-useradd -a Administrator     добавление пользователя
smbldap-passwd Administrator    присвоение пароля
smbldap-usermod -g 512 Administrator   меняем группу с samba_domain_users на samba_domain_admins

Убедимся, что группа изменилась
 Консоль:
id Administrator

Просмотрим администраторов домена
 Консоль:
net rpc group members "Domain Admins" -U admin%password

Дадим все права группе Администраторов.
 Консоль:
net rpc rights grant "Domain Admins" SeMachineAccountPrivilege SeTakeOwnershipPrivilege SeBackupPrivilege SeRestorePrivilege SeRemoteShutdownPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege -U admin%password

Все!!! Настройка закончена. Осталось ввести комп в домен.

На примере WindowsXP SP3

+ открыть спойлер

http://static.itmages.ru/i/10/1024/s_1287920490_23f1d23ed6.png

Если хотите что бы при входе в домен у пользователя автоматом монтировался расшаренная папка, то создайте файл logon.bat в /home/samba/netlogon c таким содержимым

net use H: \\Boris\Valentin /yes

Так же можно вводить компьютеры вручную

 Консоль:
smbldap-useradd -w name_comp$

Если есть у кого мысли по заметке, рад буду выслушать. Эту тему только начал изучать и вдальнейшем попробую еще прикрутить DHCP, DNS и SQUID

MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

5

Рабочий /etc/openldap/slapd.conf

+ открыть спойлер
[root@ldap ~]# cat /etc/openldap/slapd.conf
#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#
include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/nis.schema
include         /etc/openldap/schema/samba.schema
include         /etc/openldap/schema/ppolicy.schema


# Allow LDAPv2 client connections.  This is NOT the default.
allow bind_v2

# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral       ldap://root.openldap.org

pidfile         /var/run/openldap/slapd.pid
argsfile        /var/run/openldap/slapd.args

# Load dynamic backend modules:
modulepath      /usr/lib/openldap

# Modules available in openldap-servers-overlays RPM package
# Module syncprov.la is now statically linked with slapd and there
# is no need to load it here
# moduleload accesslog.la
# moduleload auditlog.la
# moduleload denyop.la
# moduleload dyngroup.la
# moduleload dynlist.la
# moduleload lastmod.la
# moduleload pcache.la
# moduleload ppolicy.la
# moduleload refint.la
# moduleload retcode.la
# moduleload rwm.la
moduleload smbk5pwd.la
# moduleload translucent.la
# moduleload unique.la
# moduleload valsort.la

# modules available in openldap-servers-sql RPM package:
# moduleload back_sql.la

# The next three lines allow use of TLS for encrypting connections using a
# dummy test certificate which you can generate by changing to
# /etc/pki/tls/certs, running "make slapd.pem", and fixing permissions on
# slapd.pem so that the ldap user or group can read it.  Your client software
# may balk at self-signed certificates, however.
# TLSCACertificateFile /etc/pki/tls/certs/ca-bundle.crt
# TLSCertificateFile /etc/pki/tls/certs/slapd.pem
# TLSCertificateKeyFile /etc/pki/tls/certs/slapd.pem

# Sample security restrictions
#       Require integrity protection (prevent hijacking)
#       Require 112-bit (3DES or better) encryption for updates
#       Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64

# Sample access control policy:
#       Root DSE: allow anyone to read it
#       Subschema (sub)entry DSE: allow anyone to read it
#       Other DSEs:
#               Allow self write access
#               Allow authenticated users read access
#               Allow anonymous users to authenticate
#       Directives needed to implement policy:
# access to dn.base="" by * read
# access to dn.base="cn=Subschema" by * read
# access to *
#       by self write
#       by users read
#       by anonymous auth
#
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn.  (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!

#######################################################################
# ldbm and/or bdb database definitions
#######################################################################

database        bdb
suffix          "dc=mgkb1"
rootdn          "cn=admin,dc=mgkb1"
# Cleartext passwords, especially for the rootdn, should
# be avoided.  See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
password-hash {MD5}
# rootpw                secret
rootpw          {MD5}8zKcnEiISf+pbp5odNiEaQ==

# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd and slap tools.
# Mode 700 recommended.
directory       /var/lib/ldap

# Indices to maintain for this database

index cn,sn,uid,displayName             pres,sub,eq
index uidNumber,gidNumber               eq
index sambaSID                          eq
index sambaPrimaryGroupSID              eq
index sambaDomainName                   eq
index objectClass                       pres,eq
index default                           sub

# Replicas of this database
#replogfile /var/lib/ldap/openldap-master-replog
#replica host=ldap-1.example.com:389 starttls=critical
#     bindmethod=sasl saslmech=GSSAPI
#     authcId=host/ldap-master.example.com@EXAMPLE.COM

Рабочий /etc/samba/smb.conf

+ открыть спойлер
[root@ldap log]# cat /etc/samba/smb.conf
# Global parameters
[global]
        workgroup = mgkb1
        netbios name = ldap
        security = user
        enable privileges = yes
        #interfaces = 192.168.5.11
        #username map = /etc/samba/smbusers
        server string = Samba Server %v
        #security = ads
        encrypt passwords = Yes
        #min passwd length = 3
        #pam password change = no
        #obey pam restrictions = No
        # method 1:
        unix password sync = yes
        ldap passwd sync = yes
        # method 2:
        unix password sync = yes
        ldap passwd sync = no
        ldap ssl = off
        passwd program = /usr/sbin/smbldap-passwd -u "%u"
        passwd chat = "Changing *\nNew password*" %n\n "*Retype new password*" %n\n"
        log level = 0
        syslog = 0
        log file = /var/log/samba/log.%U
        max log size = 100000
        time server = Yes
        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
        mangling method = hash2
        #Dos charset = 850
        #Unix charset = ISO8859-1
        logon script = logon.bat
        logon drive = H:
        logon home =
        logon path =
        domain logons = Yes
        domain master = Yes
        os level = 65
        preferred master = Yes
        wins support = yes
        # passdb backend = ldapsam:"ldap://ldap1.company.com ldap://ldap2.company.com"
        passdb backend = ldapsam:ldap://127.0.0.1/
        ldap admin dn = cn=admin,dc=mgkb1
        #ldap admin dn = cn=samba,ou=DSA,dc=company,dc=com
        ldap suffix = dc=mgkb1
        ldap group suffix = ou=Groups
        ldap user suffix = ou=Users
        ldap machine suffix = ou=Computers
        #ldap idmap suffix = ou=Idmap
        add user script = /usr/sbin/smbldap-useradd -m "%u"
        #ldap delete dn = Yes
        delete user script = /usr/sbin/smbldap-userdel "%u"
        add machine script = /usr/sbin/smbldap-useradd -t 0 -w "%u"
        add group script = /usr/sbin/smbldap-groupadd -p "%g"
        #delete group script = /usr/sbin/smbldap-groupdel "%g"
        add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
        delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
        set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'
        # printers configuration
        #printer admin = @"Print Operators"
        load printers = Yes
        create mask = 0640
        directory mask = 0750
        #force create mode = 0640
        #force directory mode = 0750
        nt acl support = yes
        printing = cups
        printcap name = cups
        deadtime = 10
        guest account = nobody
        map to guest = Bad User
        dont descend = /proc,/dev,/etc,/lib,/lost+found,/initrd
        show add printer wizard = yes
        ; to maintain capital letters in shortcuts in any of the profile folders:
        preserve case = yes
        short preserve case = yes
        case sensitive = no
[netlogon]
        path = /home/samba/netlogon/
        browseable = No
        read only = yes
[profiles]
        path = /home/samba/profiles
        read only = no
        create mask = 0600
        directory mask = 0700
        browseable = No
        guest ok = Yes
        profile acls = yes
        csc policy = disable
        # next line is a great way to secure the profiles
        #force user = %U
        # next line allows administrator to access all profiles
        #valid users = %U "Domain Admins"
[printers]
        comment = Network Printers
        #printer admin = @"Print Operators"
        guest ok = yes
        printable = yes
        path = /home/samba/spool/
        browseable = No
        read only  = Yes
        printable = Yes
        # print command = /usr/bin/lpr -P%p -r %s
        # lpq command = /usr/bin/lpq -P%p
        # lprm command = /usr/bin/lprm -P%p %j
        # print command = /usr/bin/lpr -U%U@%M -P%p -r %s
        # lpq command = /usr/bin/lpq -U%U@%M -P%p
        # lprm command = /usr/bin/lprm -U%U@%M -P%p %j
        # lppause command = /usr/sbin/lpc -U%U@%M hold %p %j
        # lpresume command = /usr/sbin/lpc -U%U@%M release %p %j
        # queuepause command = /usr/sbin/lpc -U%U@%M stop %p
        # queueresume command = /usr/sbin/lpc -U%U@%M start %p
[print$]
        path = /home/samba/printers
        guest ok = No
        browseable = Yes
        read only = Yes
        valid users = @"Print Operators"
        write list = @"Print Operators"
        create mask = 0664
        directory mask = 0775
[public]
        path = /tmp
        guest ok = yes
        browseable = Yes
        writable = yes
MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

6 (20.11.2010 18:25:38 отредактировано XliN)

Так же подробная инструкция для поднятия LDAP без Samba.

Вот ссылочка проверенная мной на Debian 5.0 Lenny

http://techpubs.spinlocksolutions.com/dklar/ldap.html

MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

7 (20.11.2010 19:16:58 отредактировано Kettler)

xlin пишет:

Так же подробная инструкция для поднятия LDAP без Samba.

Вот ссылочка проверенная мной на Debian 5.0 Lenny

http://techpubs.spinlocksolutions.com/dklar/ldap.html

За ссылочку спасибо в закладки добавил. Но говорят проще использовать zentyal.
Но Debian и всё сделать ручками это хорошо.
Вопрос по теме а юзеры win нормально авторизацию проходят? и где храниться их профили?

Ищу дополнительный заработок (удалёнка).
Пьянка без секса – признак алкоголизма.

8

Ни чего про zentyal ответить не могу, не использовал и даже не читал в гугле. На глаза мне вероятно не попалась.

Kettler пишет:

Вопрос по теме а юзеры win нормально авторизацию проходят? и где храниться их профили?

Проходят авторизацию нормально, если поднять Samba (PDC) на Debian. Я это не делал. Ну а на CentOS с виндузовыми пользователями нет проблем. Нормально авторизуются.

Kettler пишет:

и где храниться их профили?

На сервере LDAP в папке /home/samba/profiles/

MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

9

Шикарно просто взял на за метку. На счёт zentyal не плохое дополнение к ubuntu.

Ищу дополнительный заработок (удалёнка).
Пьянка без секса – признак алкоголизма.

10

Кинул инструкцию в наше Wiki, что бы не потерялась  ag У вики своя БД, так что это надежно. Не хочется потерять наработку. Много времени потратил на сборку информации и доведения до ума  ag

http://linuxforum.ru/help/администриров … os:главная

MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

11 (31.05.2011 22:22:16 отредактировано Braind)

Здравствуйте, при service ldap start пишет overlay "smbk5pwd" not found в чем причина может быть os CentOS 5.6?
И если можно выложите ваш config.php а то у меня при service ldap start пишет could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName.

12

Braind пишет:

"smbk5pwd" not found

Там мы же вроде решили этот вопрос. Не?

Braind пишет:

could not reliably determine the server's fully qualified domain name, using 127.0.0.1 for ServerName.

Значит не может приконектиться к openldap.

MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

13

Видимо не решили у меня прокатило когда я вместо overlay написал overlays

Ещё вопрос в Win2003 домене при идентификации компа на нём создаётся доменный пользователь а здесь почему то не хочет. Идинтифекацию прохожу на компе с Вин ХР СП3 в конце он говорит учетная запись пользователя в домене не существует хотя через пхплдападмин я её создал и вижу, в чем причина может быть? И ещё сам сервак в сети видиться как samba Server 3.0.33.el5_6.2(SRV) а хочется чтоб просто как SRV как это можно сделать?

14

Здравствуйте, сейчас тоже пытаемся запустить это на предприятии. Кроме настройки возникло много вопросов по использованию. --=XliN=-- , что посоветуете почитать по логон-скриптам и политикам? Потому как начальнику хочется "чтобы как в AD"

Не иди по течению, не иди против течения - иди поперек течения, если хочешь достигнуть берега.
Открой сердце

15

Всё сделал как по мануалу подскажите как правильно ввести Windows комп в домен, и какую роль здесь играет Ldap

16

ldap -это централизованное хранилище. В него можно запихнуть всякую информацию и все будет храниться в одном месте. Это так называемое дерево.

Как комп вводить я писал и показывал выше. Даже картинка есть. В домен вводит только пользователь с правами администратора. В данном случае это администратор.

LOlga пишет:

что посоветуете почитать по логон-скриптам и политикам?

По скриптам я писал выше..... Про политики ничего сказать не могу. Не занимался этим вопросом.

LOlga пишет:

Вин ХР СП3 в конце он говорит учетная запись пользователя в домене не существует хотя через пхплдападмин я её создал и вижу, в чем причина может быть?

Вручную не надо ничего создавать. При вводе компа в домен он сам в автомате создает учетку в дереве openldap и на сервере в папке /home/samba/profiles/

UPD: Вопрос очень интересный и требует особого внимания. Я что знал, то и написал. Углубляться пока нет времени  ag

MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

17

Классная статья!
Опечатка не большая есть
Написано
chmod root:root /etc/ldap.secret
Нужно
chown root:root /etc/ldap.secret

18

--=XliN=-- пишет:

По скриптам я писал выше..... Про политики ничего сказать не могу. Не занимался этим вопросом.
Углубляться пока нет времени  ag

Скрипт с подключение сетевых дисков я видела, конечно.
А вот когда начинаются "хотелки" уровня -
1) автоматом прописать юзеру/группе доступ к конкретным принтерам/плоттерам в сети, чтобы этот доступ не был привязан к конкретной машине, а при этом профили не переносимые (по определенным причинам это правильно в нашем случае);
2) проверить обновился ли антивирус и отослать отчет на сервер логов;
3) забить гвоздями прокси у юзера (высший пилотаж - НЕ в IE)
4) белый список запускаемых приложений
Это что вспомнилось из желаемого. Тут простыми батниками не обойтись.
Погуглив обнаружила, что народ рекомендует KiX скрипты использовать для этого. Только вот почитав мануалы по ним..... в общем - ниасилил.......  ag  Времени на это надо немало, разбираясь с ветками реестра куда все это прописывается. Нетривиальная задача, увы.
Да и с принтерами, однако, косяк. Ну не поддерживает CentOS печать на некоторых принтерах.
Итог - если со скриптами еще более-менее понятно - брать мануалы и медитировать, то с принтерами решение задачи не представляю себе пока.
Интересно - у кого эта связка работает в реальных боевых условиях, а не в варианте "на посмотреть"?

Не иди по течению, не иди против течения - иди поперек течения, если хочешь достигнуть берега.
Открой сердце

19

Прошу помощи.. Опять все сделал по своей инструкции... но уже для масштаба предприятия. Все вроде работает, но пользователи которые я создаю не добавляются в папку /home/samba/profiles В чем может быть проблема. Для теста пока права на /home/samba поставил 777. Папка так и осталась пустой.

MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

20

--=XliN=--, в понедельник внимательнее посмотрю как у нас происходит.  Пользователя из консоли заводите?

Не иди по течению, не иди против течения - иди поперек течения, если хочешь достигнуть берега.
Открой сердце

21

Да из консоли.
Вот таким макаром.

 Консоль:
smbldap-useradd -a buh1
smbldap-passwd buh1

Компы в домен ввожу не посредственно их винды.

MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

22

Эксперимент не удался. Домен был настроен без портируемых профилей - поэтому у нас ничего и не должно появляться в папке Profiles.

Не иди по течению, не иди против течения - иди поперек течения, если хочешь достигнуть берега.
Открой сердце

23

LOlga пишет:

Эксперимент не удался. Домен был настроен без портируемых профилей - поэтому у нас ничего и не должно появляться в папке Profiles.

Хорошо.. Спасибо что посмотрели. Попробую сегодня на FreeBSD замутить. На лисяре отличные инструкции.

MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

24

Не за что совершенно. Я только рада, что у кого-то это тоже работает не только в режиме "посмотреть". Там много вопросов возникает именно в реальном использовании.

Не иди по течению, не иди против течения - иди поперек течения, если хочешь достигнуть берега.
Открой сердце

25

Кстати, --=XliN=-- сегодня натолкнулась у forum.lissyara.su/viewtopic.php?f=8& … hilit=ldap

столкунулся с похожей проблемой - не создавались домашние папки для нового пользователя, оказалось что в /etc/pam.d/login надо добавить

Код: Выделить всё • Развернуть

    session required /usr/lib/pam_mkhomedir.so
    в Линуксе
    /lib/security/pam_mkhomedir.so


все проблемы сразу решились, домашние папки создаются автоматом

для фри библиотечка есть в портах:
/usr/ports/security/pam_mkhomedir

ЗЫ. Ставил и пробовал под Мандривой 2007.О, но думаю, что здесь та же беда

Может это поможет решить проблему?

Не иди по течению, не иди против течения - иди поперек течения, если хочешь достигнуть берега.
Открой сердце

26

LOlga, Интересная информация Оль, судя по нику предположу имя, но прикол в том что я делал по своей хавтуке и пользователи должны были быть перемещаемые.

MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"
+ yok

27

--=XliN=--, имя правильное - хорошо, что с лол'ом не пришла ассоциация.  wink
Инфу скопировала, честно говоря наугад - другое копала, а тут похожая проблема. Да и не по твоей хаутуке делали домен - конфиги у нас отличаются. Он готовым достался, я вроде писала уже. Думаю эта тема для меня будет еще долго актуальной.

Не иди по течению, не иди против течения - иди поперек течения, если хочешь достигнуть берега.
Открой сердце

28

--=XliN=-- ,  маленький вопросик - у тебя в домене хоть какие-нибудь пользователи могут открыть regedit? А то понять не могу - особенно работы это или просто с настройками накосячили мы.

Не иди по течению, не иди против течения - иди поперек течения, если хочешь достигнуть берега.
Открой сердце

29

LOlga, Нет не могут, так как они находятся в группе домаин пользователей.

MX Linux 21.2 x86_64
Чем больше я работаю админом, тем больше понимаю, насколько волшебна фраза - "Нет технической возможности!"

30

--=XliN=--, а какие права выставить, чтобы могли? Потому что домаин админы тоже не могут войти в реестр. Все права вроде выставлены. Сколько не крутили - только локальные админы могут реестр открывать.

Не иди по течению, не иди против течения - иди поперек течения, если хочешь достигнуть берега.
Открой сердце