* [Sysadmins] Samba PDC+LDAP - смена пароля пользователем и другие вопросы
@ 2010-02-18 4:27 Евгений Баженов
2010-02-18 7:49 ` Евгений Баженов
2010-02-18 8:05 ` Anton A. Vinogradov
0 siblings, 2 replies; 6+ messages in thread
From: Евгений Баженов @ 2010-02-18 4:27 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Доброе время суток!
Пытаюсь поставить Samba PDC+LDAP на ARK сервере.
Машины и пользователи в домен входят, доменные админы админят,
перемещаемые профили отключены за ненадобностью.
Единственная проблема на данный момент - пользователь с клиентской машины
не может поменять себе пароль в домене,
при попытке получает сообщение
"В данное время изменение пароля этой учетной записи невозможно".
Собственно, и smbpasswd из-под пользователя пароль не меняет:
[vbox@arkpdc ~]$ smbpasswd
Old SMB password:
New SMB password:
Retype new SMB password:
machine 127.0.0.1 rejected the password change: Error was : Account restriction.
Failed to change password for vbox
Чуствую, где-то недокрутил. Прошу помочь советом.
Смущает атрибут sambaPwdCanChange=0 в лдап-записи пользователя, это нормально?
И еще вопросик - как идеологически правильно добавлять учетки для машин?
На данный моммент пользователи вводятся через веб-интерфейс, а машины ввожу
примерно так:
# useradd -g machines -d /dev/null -s /bin/false nit1$ && smbpasswd -am nit1
Конфиг самбы:
[global]
dos charset = CP866
unix charset = utf8
display charset = utf8
workgroup = DKVKO
realm = DKVKO.LAN
server string = Samba server on %h (v. %v)
interfaces = 192.168.137.2/24, 127.0.0.1/24
bind interfaces only = Yes
map to guest = Bad User
passdb backend = ldapsam:ldap://127.0.0.1/
passwd chat debug = Yes
use kerberos keytab = Yes
log file = /var/log/samba/log.%U.%m.%G.%I
max log size = 50
max xmit = 64000
time server = Yes
unix extensions = No
socket options = IPTOS_LOWDELAY TCP_NODELAY SO_SNDBUF=64000 SO_RCVBUF=64000 SO_KEEPALIVE
printcap name = cups
logon path =
logon drive = x:
logon home = \\%L\vol1
domain logons = Yes
os level = 64
preferred master = Yes
domain master = Yes
dns proxy = No
wins support = Yes
ldap admin dn = cn=ldaproot,dc=dkvko,dc=lan
ldap group suffix = ou=Group
ldap passwd sync = Yes
ldap suffix = dc=dkvko,dc=lan
ldap user suffix = ou=People
admin users = @domainadmins
hosts allow = 192.168., 127.
use sendfile = Yes
[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon
write list = @domainadmins
guest ok = Yes
[Profiles]
path = /var/lib/samba/profiles
read only = No
create mask = 0600
directory mask = 0700
browseable = No
[vol1]
path = /mnt/samba/vol1
read only = No
create mask = 0777
directory mask = 0777
use sendfile = No
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] Samba PDC+LDAP - смена пароля пользователем и другие вопросы
2010-02-18 4:27 [Sysadmins] Samba PDC+LDAP - смена пароля пользователем и другие вопросы Евгений Баженов
@ 2010-02-18 7:49 ` Евгений Баженов
2010-02-18 8:05 ` Anton A. Vinogradov
1 sibling, 0 replies; 6+ messages in thread
From: Евгений Баженов @ 2010-02-18 7:49 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Очень извиняюсь, но проблема со сменой пароля с клиентских машин
решилась добавлением
ldap machine suffix = ou=Computers в smb.conf
Еще добавил unix password sync = No, но, насколько я помню, при
предыдущих попытках это
эффекта не давало.
Остается вопрос - как идеологически правильно добавлять учетки для машин?
На данный моммент пользователи вводятся через веб-интерфейс, а машины ввожу
примерно так:
# useradd -g machines -d /dev/null -s /bin/false nit1$ && smbpasswd -am nit1
Это нормально, или есть других путей?
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] Samba PDC+LDAP - смена пароля пользователем и другие вопросы
2010-02-18 4:27 [Sysadmins] Samba PDC+LDAP - смена пароля пользователем и другие вопросы Евгений Баженов
2010-02-18 7:49 ` Евгений Баженов
@ 2010-02-18 8:05 ` Anton A. Vinogradov
2010-02-18 11:25 ` Евгений Баженов
1 sibling, 1 reply; 6+ messages in thread
From: Anton A. Vinogradov @ 2010-02-18 8:05 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Вот где-то так:
[global]
realm = DOMEN.LCL
netbios name = PDCSRV
server string = PDCSRV.DOMEN.LCL
use kerberos keytab = Yes
log file = /var/log/samba/log.%m
max log size = 50
printcap name = cups
printing = cups
os level = 254
dns proxy = No
name resolve order = wins bcast hosts
use sendfile = Yes
workgroup = DOMEN
security = user
wins support = yes
encrypt passwords = yes
dos charset = 866
unix charset = UTF-8
client use spnego = yes
client signing = yes
nt acl support = yes
acl compatibility = auto
map acl inherit = yes
acl map full control = yes
dos filemode = yes
force unknown acl user = no
map read only = Permissions
enable privileges = yes
obey pam restrictions = no
passdb backend = ldapsam:ldap://127.0.0.1/
ldap admin dn = cn=ldaproot,dc=DOMEN,dc=LCL
ldap suffix = dc=DOMEN,dc=LCL
ldap group suffix = ou=Group
ldap user suffix = ou=People
ldap machine suffix = ou=Hosts
ldap idmap suffix = ou=Idmap
ldap passwd sync = Yes
passwd program = /usr/sbin/smbldap-passwd %u
passwd chat = *New*password* %n\n *Retype*new*password* %n\n
*all*authentication*tokens*updated*
add user script = /usr/sbin/smbldap-useradd -m "%u"
add user script = /usr/sbin/useradd -g Hosts -d /dev/null -s /bin/false
-M "%u"
ldap delete dn = Yes
delete user script = /usr/sbin/smbldap-userdel "%u"
add machine script = /usr/sbin/smbldap-useradd -w "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
local master = yes
domain master = yes
preferred master = yes
domain logons = yes
logon path = \\pdcsrv\profiles\%U
logon drive =
logon home =
logon script = logon.bat
admin users = Administrator
[netlogon]
comment = Network Logon Service
path = /domain/netlogon
browseable = no
guest ok = yes
writable = no
write list = Administrator
[profiles]
path = /domain/profiles
browseable = no
read only = no
create mask = 0666
directory mask = 0777
profile acls = yes
#Install
[install]
path = /domain/share/install
browseable = yes
read only = yes
guest ok = yes
public = yes
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] Samba PDC+LDAP - смена пароля пользователем и другие вопросы
2010-02-18 8:05 ` Anton A. Vinogradov
@ 2010-02-18 11:25 ` Евгений Баженов
2010-02-18 11:48 ` Anton A. Vinogradov
0 siblings, 1 reply; 6+ messages in thread
From: Евгений Баженов @ 2010-02-18 11:25 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Anton A. Vinogradov пишет:
> Вот где-то так:
>
> passwd program = /usr/sbin/smbldap-passwd %u
> passwd chat = *New*password* %n\n *Retype*new*password* %n\n
> *all*authentication*tokens*updated*
> add user script = /usr/sbin/smbldap-useradd -m "%u"
> add user script = /usr/sbin/useradd -g Hosts -d /dev/null -s
> /bin/false -M "%u"
> ldap delete dn = Yes
> delete user script = /usr/sbin/smbldap-userdel "%u"
> add machine script = /usr/sbin/smbldap-useradd -w "%u"
> add group script = /usr/sbin/smbldap-groupadd -p "%g"
> delete group script = /usr/sbin/smbldap-groupdel "%g"
> add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
> delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
> set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
>
Так я smbldap-tools не использую:)
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] Samba PDC+LDAP - смена пароля пользователем и другие вопросы
2010-02-18 11:25 ` Евгений Баженов
@ 2010-02-18 11:48 ` Anton A. Vinogradov
2010-02-18 12:06 ` Евгений Баженов
0 siblings, 1 reply; 6+ messages in thread
From: Anton A. Vinogradov @ 2010-02-18 11:48 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
18.02.2010 14:25, Евгений Баженов пишет:
> Anton A. Vinogradov пишет:
>> Вот где-то так:
>>
>> passwd program = /usr/sbin/smbldap-passwd %u
>> passwd chat = *New*password* %n\n *Retype*new*password* %n\n
>> *all*authentication*tokens*updated*
>> add user script = /usr/sbin/smbldap-useradd -m "%u"
>> add user script = /usr/sbin/useradd -g Hosts -d /dev/null -s
>> /bin/false -M "%u"
>> ldap delete dn = Yes
>> delete user script = /usr/sbin/smbldap-userdel "%u"
>> add machine script = /usr/sbin/smbldap-useradd -w "%u"
>> add group script = /usr/sbin/smbldap-groupadd -p "%g"
>> delete group script = /usr/sbin/smbldap-groupdel "%g"
>> add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
>> delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
>> set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
>>
> Так я smbldap-tools не использую:)
>
1. А я использую
2. >> passwd program = /usr/sbin/smbldap-passwd %u -- если сточку
поменять на Вашу?
^ permalink raw reply [flat|nested] 6+ messages in thread
* Re: [Sysadmins] Samba PDC+LDAP - смена пароля пользователем и другие вопросы
2010-02-18 11:48 ` Anton A. Vinogradov
@ 2010-02-18 12:06 ` Евгений Баженов
0 siblings, 0 replies; 6+ messages in thread
From: Евгений Баженов @ 2010-02-18 12:06 UTC (permalink / raw)
To: ALT Linux sysadmins' discussion
Anton A. Vinogradov пишет:
> 18.02.2010 14:25, Евгений Баженов пишет:
>> Anton A. Vinogradov пишет:
>>> Вот где-то так:
>>>
>>> passwd program = /usr/sbin/smbldap-passwd %u
>>> passwd chat = *New*password* %n\n *Retype*new*password* %n\n
>>> *all*authentication*tokens*updated*
>>> add user script = /usr/sbin/smbldap-useradd -m "%u"
>>> add user script = /usr/sbin/useradd -g Hosts -d /dev/null -s
>>> /bin/false -M "%u"
>>> ldap delete dn = Yes
>>> delete user script = /usr/sbin/smbldap-userdel "%u"
>>> add machine script = /usr/sbin/smbldap-useradd -w "%u"
>>> add group script = /usr/sbin/smbldap-groupadd -p "%g"
>>> delete group script = /usr/sbin/smbldap-groupdel "%g"
>>> add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
>>> delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
>>> set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
>>>
>> Так я smbldap-tools не использую:)
>>
> 1. А я использую
> 2. >> passwd program = /usr/sbin/smbldap-passwd %u -- если сточку
> поменять на Вашу?
>
Да вроде заработала смена пароля, я выше отписался.
А какие плюсы есть у smbldap-tools, вот сижу думаю - мож оно мне надо?:)
^ permalink raw reply [flat|nested] 6+ messages in thread
end of thread, other threads:[~2010-02-18 12:06 UTC | newest]
Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2010-02-18 4:27 [Sysadmins] Samba PDC+LDAP - смена пароля пользователем и другие вопросы Евгений Баженов
2010-02-18 7:49 ` Евгений Баженов
2010-02-18 8:05 ` Anton A. Vinogradov
2010-02-18 11:25 ` Евгений Баженов
2010-02-18 11:48 ` Anton A. Vinogradov
2010-02-18 12:06 ` Евгений Баженов
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git