LDAP+SAMBA=PDC

Speccyfan · Сообщение **Speccyfan** » 26 май 2005, 18:16

Пытаюсь сделать сабж.
Все вроде поднял. И завел несколько юзверей в LDAP

Пытаюсь войти в домен под юзверем который занесен в группу Doman Admins

Но вот что вижу в логах самбы:

init_sam_from_ldap: Entry found for user: Speccyfan
[2005/05/26 18:14:52, 3] smbd/sec_ctx.c:pop_sec_ctx(386)
pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2005/05/26 18:14:52, 1] auth/auth_util.c:make_server_info_sam(840)
User Speccyfan in passdb, but getpwnam() fails!
[2005/05/26 18:14:52, 0] auth/auth_sam.c:check_sam_security(324)
check_sam_security: make_server_info_sam() failed with 'NT_STATUS_NO_SUCH_USER'
[2005/05/26 18:14:52, 3] auth/auth_winbind.c:check_winbind_security(80)
check_winbind_security: Not using winbind, requested domain [PLCK] was for this SAM.
[2005/05/26 18:14:52, 2] auth/auth.c:check_ntlm_password(312)
check_ntlm_password: Authentication for user [Speccyfan] -> [Speccyfan] FAILED with error NT_ST
ATUS_NO_SUCH_USER

Почему User Speccyfan in passdb, but getpwnam() fails! ?

Speccyfan · Сообщение **Speccyfan** » 27 май 2005, 10:55

Кое-что исправил. У меня LAM писал малость не туда. Но ничего не изменилось

Поигрался с log level, вот что еще странное увидел:

[2005/05/27 10:48:32, 5] auth/auth_sam.c:logon_hours_ok(101)
logon_hours_ok: user speccyfan allowed to logon at this time (Fri May 27 10:48:32 2005
)
[2005/05/27 10:48:32, 1] auth/auth_util.c:make_server_info_sam(840)
User speccyfan in passdb, but getpwnam() fails!

Странно как-то вроде как и allowed, а затем сразу but getpwnam fails

Speccyfan · Сообщение **Speccyfan** » 02 июн 2005, 11:38

Понял, что в системе должны быть пользователь с таким же именем как и в лдап. Что бы самба могда к нему примапить. Настроил nsswitch.conf,pam_ldap.conf,nss_ldap.conf

В результате имеем вот что:

[root@mserver etc]# id speccyfan
uid=10000(speccyfan) gid=512(kadrshch) groups=512(kadrshch)

uid мой из ldap, а вот группа 512 она в LDAP типа Domain Admins, но совпадает с группой обычного пользователя (kadrshch) из passwd. Впринципе я освобождал группу, но это ничего не дало.

LDAP вроде нормально работает. Кстати никто не знает как его лог перенаправить в LOG_LOCAL5 ? А то подефолту он пишет в 4, а у меня туда cisco логи скидывает. В результате только grep спасает, но все равно это не верно.

К сожалению аутентификация не проходит

Хотя лдаповский пароль спрашивается.

[sf@mserver sf]$ su speccyfan
Password:
LDAP Password:
su: Authentication failure
[sf@mserver sf]$

Вот кусок лога с loglevel=256

Jun 2 11:37:03 mserver slapd[17481]: conn=30 fd=14 ACCEPT from IP=127.0.0.1:36755 (IP=0.0.0.0:389
)
Jun 2 11:37:03 mserver slapd[17490]: conn=30 op=0 BIND dn="" method=128
Jun 2 11:37:03 mserver slapd[17490]: conn=30 op=0 RESULT tag=97 err=0 text=
Jun 2 11:37:03 mserver slapd[17492]: conn=30 op=1 SRCH base="ou=Users,dc=plck,dc=rw" scope=1 dere
f=0 filter="(&(objectClass=posixAccount)(uid=speccyfan))"
Jun 2 11:37:03 mserver slapd[17492]: conn=30 op=1 SRCH attr=uid userPassword uidNumber gidNumber
cn homeDirectory loginShell gecos description objectClass
Jun 2 11:37:03 mserver slapd[17492]: conn=30 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jun 2 11:37:03 mserver slapd[17489]: conn=30 op=2 SRCH base="ou=Users,dc=plck,dc=rw" scope=1 dere
f=0 filter="(&(objectClass=shadowAccount)(uid=speccyfan))"
Jun 2 11:37:03 mserver slapd[17489]: conn=30 op=2 SRCH attr=uid userPassword shadowLastChange sha
dowMax shadowMin shadowWarning shadowInactive shadowExpire shadowFlag
Jun 2 11:37:03 mserver slapd[17489]: conn=30 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jun 2 11:37:03 mserver slapd[17481]: conn=30 fd=14 closed
Jun 2 11:37:04 mserver slapd[17481]: conn=31 fd=14 ACCEPT from IP=127.0.0.1:36756 (IP=0.0.0.0:389
)
Jun 2 11:37:04 mserver slapd[17490]: conn=31 op=0 BIND dn="" method=128
Jun 2 11:37:04 mserver slapd[17490]: conn=31 op=0 RESULT tag=97 err=0 text=
Jun 2 11:37:04 mserver slapd[17492]: conn=31 op=1 SRCH base="ou=Users,dc=plck,dc=rw" scope=1 dere
f=0 filter="(&(objectClass=posixAccount)(uid=speccyfan))"
Jun 2 11:37:04 mserver slapd[17492]: conn=31 op=1 SRCH attr=uid userPassword uidNumber gidNumber
cn homeDirectory loginShell gecos description objectClass
Jun 2 11:37:04 mserver slapd[17492]: conn=31 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jun 2 11:37:04 mserver slapd[17489]: conn=31 op=2 SRCH base="ou=Users,dc=plck,dc=rw" scope=1 dere
f=0 filter="(&(objectClass=shadowAccount)(uid=speccyfan))"
Jun 2 11:37:04 mserver slapd[17489]: conn=31 op=2 SRCH attr=uid userPassword shadowLastChange sha
dowMax shadowMin shadowWarning shadowInactive shadowExpire shadowFlag
Jun 2 11:37:04 mserver slapd[17489]: conn=31 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jun 2 11:37:04 mserver slapd[17481]: conn=31 fd=14 closed
Jun 2 11:37:04 mserver slapd[17481]: conn=32 fd=14 ACCEPT from IP=127.0.0.1:36757 (IP=0.0.0.0:389
)
Jun 2 11:37:04 mserver slapd[17490]: conn=32 op=0 BIND dn="cn=admin,dc=plck,dc=rw" method=128
Jun 2 11:37:04 mserver slapd[17490]: conn=32 op=0 BIND dn="cn=admin,dc=plck,dc=rw" mech=SIMPLE ss
f=0
Jun 2 11:37:04 mserver slapd[17490]: conn=32 op=0 RESULT tag=97 err=0 text=
Jun 2 11:37:04 mserver slapd[17481]: connection_input: conn=32 deferring operation: binding
Jun 2 11:37:04 mserver slapd[17492]: conn=32 op=1 SRCH base="ou=Users,dc=plck,dc=rw" scope=1 dere
f=0 filter="(uid=speccyfan)"
Jun 2 11:37:04 mserver slapd[17492]: conn=32 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jun 2 11:37:04 mserver slapd[17489]: conn=32 op=2 BIND anonymous mech=implicit ssf=0
Jun 2 11:37:04 mserver slapd[17489]: conn=32 op=2 BIND dn="uid=speccyfan,ou=Users,dc=plck,dc=rw"
method=128
Jun 2 11:37:04 mserver slapd[17489]: conn=32 op=2 BIND dn="uid=speccyfan,ou=Users,dc=plck,dc=rw"
mech=SIMPLE ssf=0
Jun 2 11:37:04 mserver slapd[17489]: conn=32 op=2 RESULT tag=97 err=0 text=
Jun 2 11:37:04 mserver slapd[17481]: connection_input: conn=32 deferring operation: binding
Jun 2 11:37:04 mserver slapd[17490]: conn=32 op=3 BIND anonymous mech=implicit ssf=0
Jun 2 11:37:04 mserver slapd[17490]: conn=32 op=3 BIND dn="cn=admin,dc=plck,dc=rw" method=128
Jun 2 11:37:04 mserver slapd[17490]: conn=32 op=3 BIND dn="cn=admin,dc=plck,dc=rw" mech=SIMPLE ss
f=0
Jun 2 11:37:04 mserver slapd[17490]: conn=32 op=3 RESULT tag=97 err=0 text=
Jun 2 11:37:05 mserver slapd[17492]: conn=32 op=4 BIND anonymous mech=implicit ssf=0
Jun 2 11:37:05 mserver slapd[17492]: conn=32 op=4 BIND dn="uid=speccyfan,ou=Users,dc=plck,dc=rw"
method=128
Jun 2 11:37:05 mserver slapd[17492]: conn=32 op=4 BIND dn="uid=speccyfan,ou=Users,dc=plck,dc=rw"
mech=SIMPLE ssf=0
Jun 2 11:37:05 mserver slapd[17492]: conn=32 op=4 RESULT tag=97 err=0 text=
Jun 2 11:37:05 mserver slapd[17489]: conn=32 op=5 BIND anonymous mech=implicit ssf=0
Jun 2 11:37:05 mserver slapd[17489]: conn=32 op=5 BIND dn="cn=admin,dc=plck,dc=rw" method=128
Jun 2 11:37:05 mserver slapd[17489]: conn=32 op=5 BIND dn="cn=admin,dc=plck,dc=rw" mech=SIMPLE ss
f=0
Jun 2 11:37:05 mserver slapd[17489]: conn=32 op=5 RESULT tag=97 err=0 text=
Jun 2 11:37:07 mserver slapd[17490]: conn=32 op=6 UNBIND
Jun 2 11:37:07 mserver slapd[17490]: conn=32 fd=14 closed

Где собака порылась, понять не могу

Speccyfan · Сообщение **Speccyfan** » 02 июн 2005, 12:48

Во еще нашел интересное замечание в /var/log/autch

Jun 2 12:48:46 mserver UNSPECIFIED (__progname="su" uid=500 euid=0)[18727]: pam_ldap: error tryin
g to bind as user "uid=speccyfan,ou=Users,dc=plck,dc=rw" (Invalid credentials)

Speccyfan · Сообщение **Speccyfan** » 09 июн 2005, 14:38

Продолжаем монолог

Вроде перетащил всех юзверей с passwd в LDAP, конечно не все может
атрибуты присудствуют, но это подправлю. Главное, что теперь вроде юзвери заведенные в лдап, нормально мапятся. т.е. можно сделать su -username и он войдет. Однако ж вот что в логе самбы опять отрыл, домен кстати создан, а она так вроде не считает

is_trusted_domain: Checking for domain trust with [PLCK]
[2005/06/09 14:25:01, 5] passdb/secrets.c:secrets_fetch_trusted_domain_password(334)
secrets_fetch failed!
[2005/06/09 14:25:01, 3] smbd/sec_ctx.c:pop_sec_ctx(386)
pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2005/06/09 14:25:01, 10] lib/gencache.c:gencache_get(298)
Cache entry with key = TDOM/PLCK couldn't be found
[2005/06/09 14:25:01, 5] libsmb/trustdom_cache.c:trustdom_cache_fetch(184)
no entry for trusted domain PLCK found.

Обидно. А в LAM'е вот он, вроде есть.

DOMAIN NAME DOMAIN SID DN
plck S-1-5-21-745694406-2009407841-1703632747 sambaDomainName=plck,ou=domains,dc=plck,dc=rw

Speccyfan · Сообщение **Speccyfan** » 09 июн 2005, 14:55

Переименовал в самбе домен (сделал маленькими буквами)
вроде ругаться прекратила, сейчас не может найти машину, т.е. юзверя kip-svt$

Хотя вроде должна была бы сама создять

Но у нее почему-то не получается

[2005/06/09 14:43:59, 5] lib/username.c:Get_Pwnam_internals(251)
Get_Pwnam_internals didn't find user [kip-svt$]!
[2005/06/09 14:43:59, 5] rpc_server/srv_samr_nt.c:_samr_create_user(2311)
_samr_create_user: can add this account : False
[2005/06/09 14:44:00, 0] rpc_server/srv_samr_nt.c:_samr_create_user(2324)
_samr_create_user: Running the command `/usr/sbin/smbldap-useradd -w' gave 1
[2005/06/09 14:44:00, 5] lib/username.c:Get_Pwnam(293)
Finding user kip-svt$
[2005/06/09 14:44:00, 5] lib/username.c:Get_Pwnam_internals(223)
Trying _Get_Pwnam(), username as lowercase is kip-svt$
[2005/06/09 14:44:00, 5] lib/username.c:Get_Pwnam_internals(239)
Trying _Get_Pwnam(), username as uppercase is KIP-SVT$
[2005/06/09 14:44:00, 5] lib/username.c:Get_Pwnam_internals(247)
Checking combinations of 0 uppercase letters in kip-svt$
[2005/06/09 14:44:00, 5] lib/username.c:Get_Pwnam_internals(251)
Get_Pwnam_internals didn't find user [kip-svt$]!

Speccyfan · Сообщение **Speccyfan** » 10 июн 2005, 11:46

Машины в домен так и не заводит, хотя в конфиге скрипты вроде подключил:
delete user script = /usr/sbin/smbldap-userdel
add group script = /usr/sbin/smbldap-groupadd -p
add user to group script = /usr/sbin/smbldap-groupmod -m %u
add user script = /usr/local/sbin/smbldap-useradd -m %u
delete user from group script = /usr/sbin/smbldap-groupmod -x
set primary group script = /usr/sbin/smbldap-usermod -g
add machine script = /usr/sbin/smbldap-useradd -w %u

Наверняка что-то не правильно ... но буду разбираться.

Прописал машину руками.
Очень обрадовался, когда увилел надпись "Добро пожаловать в домен PLCK", но попросила перегрузиться и тут облом

в домен не пустила. Стала ругаться то на неисправное устройство, то вообще на отсутствие домена PLCK

Очень долго тупит на "пойске доменов" наверное перебирает всю сетку ?

zotrix · Сообщение **zotrix** » 10 июн 2005, 12:53

еще чучуть и сможешь howto написать %)

Speccyfan · Сообщение **Speccyfan** » 10 июн 2005, 13:56

Эт точно

Speccyfan · Сообщение **Speccyfan** » 13 июн 2005, 10:12

Стал разбираться со скриптами добавления машин в домен.
Прописал вот так:

add user script = /usr/sbin/smbldap-useradd -a -m "%u"
delete user script = /usr/sbin/smbldap-userdel "%u"
add group script = /usr/sbin/smbldap-groupadd "%g"
delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
add machine script = /usr/sbin/smbldap-useradd -w "%u"

На вид красиво

Собственно машину то она заводит, но там не достаточно аттрибутов.
Почему при заведении через LAM или LdapAdmin аттрибутов больше ?
Где это и как настраивается ? Ну хоть кто-нибудь поможет разобраться ?

p.s. схема 3-й самбы подключена.

Speccyfan · Сообщение **Speccyfan** » 13 июн 2005, 10:19

Вот почему не могу зайти в домен, это строчка из лога самбы

The conflicting domain portions are not supported for NETLOGON calls

Но почему не поддерживаются NETLOGON calls понять не могу