* [Sarlug] FDS, PDC и все все все :)
@ 2008-01-23 8:28 zOrg
2008-01-23 13:06 ` zOrg
2008-01-24 6:50 ` Genix
0 siblings, 2 replies; 8+ messages in thread
From: zOrg @ 2008-01-23 8:28 UTC (permalink / raw)
To: Sarlug
Здравствуйте!
Вот хотел спросить у сообщества: кто-то заводил связку Fedora
Directory Server и Samba в качестве PDC?
Я уж некоторое время мучаюсь, но что то не клеится. :(
Вопросов много возникает, но для начала спрошу только один насущный. В
очередной раз, настраивая с нуля все это хозяйство (новым способом),
делаю smbpasswd winroot для задания созданному уже пользователю
winroot пароля и другой атрибутики.
smbpasswd ругается (как я напишу ниже), но создает запись самого
домена dn: sambaDomianName=TANTAL,dc=tantal,dc=org.
Вот вывод smbpasswd, может кто подскажет, где собака порылась..
-bash-3.1# smbpasswd -D 10 winroot
Netbios name list:-
my_netbios_names[0]="SMB"
Attempting to register passdb backend ldapsam
Successfully added passdb backend 'ldapsam'
Attempting to register passdb backend ldapsam_compat
Successfully added passdb backend 'ldapsam_compat'
Attempting to register passdb backend NDS_ldapsam
Successfully added passdb backend 'NDS_ldapsam'
Attempting to register passdb backend NDS_ldapsam_compat
Successfully added passdb backend 'NDS_ldapsam_compat'
Attempting to register passdb backend smbpasswd
Successfully added passdb backend 'smbpasswd'
Attempting to register passdb backend tdbsam
Successfully added passdb backend 'tdbsam'
Attempting to find an passdb backend to match
ldapsam:ldap://fds.tantal.org/ (ldapsam)
Found pdb backend ldapsam
smbldap_search_domain_info: Searching
for:[(&(objectClass=sambaDomain)(sambaDomainName=TANTAL))]
smbldap_search_ext: base => [dc=tantal,dc=org], filter =>
[(&(objectClass=sambaDomain)(sambaDomainName=TANTAL))], scope => [2]
The connection to the LDAP server was closed
smb_ldap_setup_connection: ldap://fds.tantal.org/
smbldap_open_connection: connection opened
ldap_connect_system: Binding to ldap server ldap://fds.tantal.org/ as
"cn=directory manager"
ldap_connect_system: succesful connection to the LDAP server
ldap_connect_system: LDAP server does not support paged results
The LDAP server is succesfully connected
pdb backend ldapsam:ldap://fds.tantal.org/ has a valid init
New SMB password:
Retype new SMB password:
smbldap_search_ext: base => [dc=tantal,dc=org], filter =>
[(&(uid=winroot)(objectclass=sambaSamAccount))], scope => [2]
init_sam_from_ldap: Entry found for user: winroot
pdb_set_username: setting username winroot, was
pdb_set_domain: setting domain TANTAL, was
pdb_set_nt_username: setting nt username winroot, was
pdb_set_user_sid_from_string: setting user sid
S-1-5-21-3954618794-1045869161-2900433472-500
pdb_set_user_sid: setting user sid S-1-5-21-3954618794-1045869161-2900433472-500
smbldap_get_single_attribute: [displayName] = [<does not exist>]
pdb_set_full_name: setting full name winroot, was
pdb_set_dir_drive: setting dir drive Z:, was NULL
pdb_set_homedir: setting home dir \\SMB\homes, was
smbldap_get_single_attribute: [sambaLogonScript] = [<does not exist>]
pdb_set_logon_script: setting logon script , was
pdb_set_profile_path: setting profile path \\SMB\Profiles\winroot, was
smbldap_get_single_attribute: [description] = [<does not exist>]
smbldap_get_single_attribute: [sambaUserWorkstations] = [<does not exist>]
smbldap_get_single_attribute: [sambaMungedDial] = [<does not exist>]
Opening cache file at /var/lib/samba/gencache.tdb
Cache entry with key = ACCT_POL/password history couldn't be found
ldapsam_get_account_policy_from_ldap
smbldap_search_ext: base => [sambaDomainName=TANTAL,dc=tantal,dc=org],
filter => [(objectclass=*)], scope => [0]
cache_account_policy_set: updating account pol cache
Adding cache entry with key = ACCT_POL/password history; value = 0
and timeout = Tue Jan 8 14:32:40 2008
(60 seconds ahead)
smbldap_get_single_attribute: [sambaBadPasswordCount] = [<does not exist>]
smbldap_get_single_attribute: [sambaBadPasswordTime] = [<does not exist>]
smbldap_get_single_attribute: [sambaLogonHours] = [<does not exist>]
Opening cache file at /var/lib/samba/login_cache.tdb
Looking up login cache for user winroot
No cache entry found
No cache entry, bad count = 0, bad time = 0
Returning expired cache entry: key = ACCT_POL/maximum password age,
value = 4294967295
, timeout = Tue Jan 8 14:22:22 2008
ldapsam_get_account_policy_from_ldap
smbldap_search_ext: base => [sambaDomainName=TANTAL,dc=tantal,dc=org],
filter => [(objectclass=*)], scope => [0]
cache_account_policy_set: updating account pol cache
Adding cache entry with key = ACCT_POL/maximum password age; value = 4294967295
and timeout = Tue Jan 8 14:32:40 2008
(60 seconds ahead)
Finding user winroot
Trying _Get_Pwnam(), username as lowercase is winroot
Get_Pwnam_internals did find user [winroot]!
smbldap_search_ext: base => [ou=Groups,dc=tantal,dc=org], filter =>
[(&(objectClass=sambaGroupMapping)(gidNumber=1000))], scope => [2]
ldapsam_getgroup: Did not find group
Returning valid cache entry: key = ACCT_POL/password history, value = 0
, timeout = Tue Jan 8 14:32:40 2008
pdb_set_username: setting username winroot, was
pdb_set_domain: setting domain TANTAL, was
pdb_set_nt_username: setting nt username winroot, was
pdb_set_full_name: setting full name winroot, was
pdb_set_homedir: setting home dir \\SMB\homes, was
pdb_set_dir_drive: setting dir drive Z:, was NULL
pdb_set_logon_script: setting logon script , was
pdb_set_profile_path: setting profile path \\SMB\Profiles\winroot, was
pdb_set_workstations: setting workstations , was
Returning valid cache entry: key = ACCT_POL/password history, value = 0
, timeout = Tue Jan 8 14:32:40 2008
pdb_set_user_sid: setting user sid S-1-5-21-3954618794-1045869161-2900433472-500
pdb_set_user_sid_from_rid:
setting user sid S-1-5-21-3954618794-1045869161-2900433472-500
from rid 500
Returning valid cache entry: key = ACCT_POL/password history, value = 0
, timeout = Tue Jan 8 14:32:40 2008
ldapsam_update_sam_account: user winroot to be modified has dn:
uid=winroot,ou=People,dc=tantal,dc=org
init_ldap_from_sam: Setting entry for user: winroot
Returning valid cache entry: key = ACCT_POL/maximum password age,
value = 4294967295
, timeout = Tue Jan 8 14:32:40 2008
smbldap_make_mod: attribute |sambaLMPassword| not changed.
smbldap_make_mod: attribute |sambaNTPassword| not changed.
Returning valid cache entry: key = ACCT_POL/password history, value = 0
, timeout = Tue Jan 8 14:32:40 2008
smbldap_make_mod: attribute |sambaPasswordHistory| not changed.
smbldap_make_mod: deleting attribute |sambaPwdLastSet| values |1199791282|
smbldap_make_mod: adding attribute |sambaPwdLastSet| value |1199791900|
smbldap_make_mod: attribute |sambaAcctFlags| not changed.
smbldap_modify: dn => [uid=winroot,ou=People,dc=tantal,dc=org]
Extended operation failed with error: 13 (Confidentiality required)
(Operation requires a secure connection.
)
ldapsam_modify_entry: LDAP Password could not be changed for user
winroot: Confidentiality required
Operation requires a secure connection.
Failed to modify entry for user winroot.
Failed to modify password entry for user winroot
-bash-3.1#
--
zOrg
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sarlug] FDS, PDC и все все все :)
2008-01-23 8:28 [Sarlug] FDS, PDC и все все все :) zOrg
@ 2008-01-23 13:06 ` zOrg
2008-01-24 6:50 ` Genix
1 sibling, 0 replies; 8+ messages in thread
From: zOrg @ 2008-01-23 13:06 UTC (permalink / raw)
To: Sarlug
В догонку...
Прошерстив доки на samba.org "мелким шрифтом" нашел фразочку о том,
что виндовые пароли лучше даже хешами в открытую не пересылать и
устанавливать параметр ldap ssl как минимум в on.
Последовав этой рекомендации, прикрутил (и вроде работает) к FDS SSL
соединения, нагенерировав соответствующих сертификатов. Однако, как бы
я ни устанавливал опцию passdb backend в smb.conf
(ldapsam:ldap://fds.tantal.org/, ldapsam:ldaps://fds.tantal.org/,
ldapsam:ldap://fds.tantal.org:636/,
ldapsam:ldaps://fds.tantal.org:636/), просветления утилите smbpasswd
не наступило, ибо она стала ругаться на сам сертификат следующими
матюками:
ldap_connect_system: Binding to ldap server ldaps://fds.tantal.org/ as
"cn=directory manager"
failed to bind to server ldaps://fds.tantal.org/ with dn="cn=directory
manager" Error: Can't contact LDAP server
error:14090086:SSL
routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Connection to LDAP server failed for the 1 try!
Подскажите, я должен как то самбе дать сертификат или что то поменять
в FDS? Просто к своему стыду, защищенные соединения через tls сам не
настраивал. (
--
zOrg
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sarlug] FDS, PDC и все все все :)
2008-01-23 8:28 [Sarlug] FDS, PDC и все все все :) zOrg
2008-01-23 13:06 ` zOrg
@ 2008-01-24 6:50 ` Genix
2008-01-24 7:36 ` zOrg
1 sibling, 1 reply; 8+ messages in thread
From: Genix @ 2008-01-24 6:50 UTC (permalink / raw)
To: Saratov Linux User Group Maillist
zOrg пишет:
> Здравствуйте!
>
> Вот хотел спросить у сообщества: кто-то заводил связку Fedora
> Directory Server и Samba в качестве PDC?
>
> Я уж некоторое время мучаюсь, но что то не клеится. :(
> Вопросов много возникает, но для начала спрошу только один насущный. В
> очередной раз, настраивая с нуля все это хозяйство (новым способом),
> делаю smbpasswd winroot для задания созданному уже пользователю
> winroot пароля и другой атрибутики.
> smbpasswd ругается (как я напишу ниже), но создает запись самого
> домена dn: sambaDomianName=TANTAL,dc=tantal,dc=org.
>
могу посоветовать русскоязычную рассылку/nntp по самбе.
интересует?
а какой версии у тебя самба? после 3.0.23 (точно не помню версию)
довольно много чего меняли, ищи актуальные доки
--
У каждого в башке свои тараканы...
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sarlug] FDS, PDC и все все все :)
2008-01-24 6:50 ` Genix
@ 2008-01-24 7:36 ` zOrg
2008-01-24 8:04 ` Genix
0 siblings, 1 reply; 8+ messages in thread
From: zOrg @ 2008-01-24 7:36 UTC (permalink / raw)
To: Saratov Linux User Group Maillist
24.01.08, Genix<genix@list.ru> написал(а):
> могу посоветовать русскоязычную рассылку/nntp по самбе.
> интересует?
спасибо, но наверно нагуглю сам её. :)
> а какой версии у тебя самба? после 3.0.23 (точно не помню версию)
> довольно много чего меняли, ищи актуальные доки
samba-3.0.28-alt1.i586.rpm
думал доки на samba.org актуальны :(
--
zOrg
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sarlug] FDS, PDC и все все все :)
2008-01-24 7:36 ` zOrg
@ 2008-01-24 8:04 ` Genix
2008-01-24 8:47 ` zOrg
0 siblings, 1 reply; 8+ messages in thread
From: Genix @ 2008-01-24 8:04 UTC (permalink / raw)
To: Saratov Linux User Group Maillist
zOrg пишет:
>
> samba-3.0.28-alt1.i586.rpm
>
> думал доки на samba.org актуальны :(
>
я имел ввиду доки времен царя гороха, размазанные тонким слоем по
интернету =)
--
У каждого в башке свои тараканы...
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sarlug] FDS, PDC и все все все :)
2008-01-24 8:47 ` zOrg
@ 2008-01-24 8:46 ` Genix
2008-01-24 9:20 ` zOrg
0 siblings, 1 reply; 8+ messages in thread
From: Genix @ 2008-01-24 8:46 UTC (permalink / raw)
To: Saratov Linux User Group Maillist
zOrg пишет:
> 24.01.08, Genix<genix@list.ru> написал(а):
>
>> я имел ввиду доки времен царя гороха, размазанные тонким слоем по
>> интернету =)
>>
>
> Есть такое. :)
>
> Гугление по спискам рассылки дало кое-что (я даже внимание сразу не
> обратил). Надо учитывать, что суперюзер в FDS - 'то cn=Directory
> Manager, а не cn=Directory Manager,dc=mycomp,dc=com. После этого
> начали работать smbldaptools с которыми сейчас и воюю. Сама же самба
> параметр admin dn использует в том виде, что и записано, т.е. в моем
> случае именно cn=Directory Manager, однако ошибка с smbpasswd пока
> живет...
>
о как!
если не сложно закинь потом выжимку из полученного опыта на сайт, всяко
польза будет.
спасибо
--
У каждого в башке свои тараканы...
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sarlug] FDS, PDC и все все все :)
2008-01-24 8:04 ` Genix
@ 2008-01-24 8:47 ` zOrg
2008-01-24 8:46 ` Genix
0 siblings, 1 reply; 8+ messages in thread
From: zOrg @ 2008-01-24 8:47 UTC (permalink / raw)
To: Saratov Linux User Group Maillist
24.01.08, Genix<genix@list.ru> написал(а):
> я имел ввиду доки времен царя гороха, размазанные тонким слоем по
> интернету =)
Есть такое. :)
Гугление по спискам рассылки дало кое-что (я даже внимание сразу не
обратил). Надо учитывать, что суперюзер в FDS - 'то cn=Directory
Manager, а не cn=Directory Manager,dc=mycomp,dc=com. После этого
начали работать smbldaptools с которыми сейчас и воюю. Сама же самба
параметр admin dn использует в том виде, что и записано, т.е. в моем
случае именно cn=Directory Manager, однако ошибка с smbpasswd пока
живет...
--
zOrg
^ permalink raw reply [flat|nested] 8+ messages in thread
* Re: [Sarlug] FDS, PDC и все все все :)
2008-01-24 8:46 ` Genix
@ 2008-01-24 9:20 ` zOrg
0 siblings, 0 replies; 8+ messages in thread
From: zOrg @ 2008-01-24 9:20 UTC (permalink / raw)
To: Saratov Linux User Group Maillist
24.01.08, Genix<genix@list.ru> написал(а):
> о как!
> если не сложно закинь потом выжимку из полученного опыта на сайт, всяко
> польза будет.
Конечно закину. ;)
В перспективе, хочу поднять такую машинку (под неё правда пока сервер
не купили, но по крайней мере экспириенс):
* ALTLinux Server
* всё в OpenVZ
* всё что можно засунуто в Fedora Directory Server
* имеется доменный сервер для виндов и линуксов, почтовый сервер,
прокси сервер, файл сервер ну и по мелочи
* обслуживать это будет хозяйство из нескольких физически разделённых
(вплоть до этой машины) сетей как с виндами, так и линуксами
Пока реально только наброски есть..
Вот уже кое что получилось с PDC, винда юзера зацепила, при попытке
авторизации дальше вываливается на невозможности подцепить сетевой
ресурс. При этом сам explorer этот ресурс тоже не открывает. Однако,
Линуксовая машина из тойже подсети, смотрящая на тот же ДНС сервер
этот ресурс спокойно смотрит. Единственно.. винда через vmplayer. :)
Идея и реализация OpenVZ нагло спёрты с:
http://www.freesource.info/wiki/SergeyLebedev/EisSystem/
--
zOrg
^ permalink raw reply [flat|nested] 8+ messages in thread
end of thread, other threads:[~2008-01-24 9:20 UTC | newest]
Thread overview: 8+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-01-23 8:28 [Sarlug] FDS, PDC и все все все :) zOrg
2008-01-23 13:06 ` zOrg
2008-01-24 6:50 ` Genix
2008-01-24 7:36 ` zOrg
2008-01-24 8:04 ` Genix
2008-01-24 8:47 ` zOrg
2008-01-24 8:46 ` Genix
2008-01-24 9:20 ` zOrg
Saratov Linux User Group
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sarlug/0 sarlug/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sarlug sarlug/ http://lore.altlinux.org/sarlug \
sarlug@lists.lug.ru sarlug@lug.ru
public-inbox-index sarlug
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sarlug
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git