samba PDC + samba domain member, как организовать id mapping при использовании ldap?

0

0

Все пользователи в ldap, настроены ldap.conf, nsswith.conf, к примеру на PDC 
- на шаре включены ACL и отображение верное как DOMAIN\username на клиенте samba
так же на шаре включены ACL но отображает их как COMPUTER\username !?

нужно настроить idmap между сервером и клиентами, но не соображу как.

Сейчас на сервере прописаны дополнительно опции, 
весь smb.conf приводить думаю смысле нет:
ldap idmap suffix = ou=idmap
idmap backend = ldap:ldap://localhost
idmap uid = 3000-1000000
idmap gid = 3000-1000000

Вопрос такой кто должен создавать в ветке ou=idmap объекты samba или winbind или я вручную?
Необходимо запускать winbind на сервере или только на клиентах?

Вообщем поэкспериментировал немного, скриптом создал объекты из ou=users в ou=idmap как к примеру:
dn: sambaSID=S-1-5-21-113194080-3713674248-2964181031-7346,ou=idmap,dc=local
uid: abakumova
displayName:: Абакумова А.П.
sambaDomainName: LOCAL
sambaSID: S-1-5-21-113194080-3713674248-2964181031-7346
uidNumber: 3173
gidNumber: 3009
objectClass: top
objectClass: sambaSamAccount
objectClass: sambaSidEntry
objectClass: sambaIdmapEntry

В результате авторизация в домене отвалилась сразу)))
Сижу думаю, нашел приличную статейку по этому поводу,
http://www.freesource.info/wiki/ALTLinux/Dokumentacija/samba/idmapldap?v=1733
но разница в конфигурациях клиетнов и сервера не описана...

Кто что знает по этому поводу поделитесь мыслями!

Ссылка

←	вторичный рут на серве в актив директори

Интересные вещи...

→

В дополнении Samba-HOWTO-Collection/idmapper.html так же читал, просветления нету..

anonymous2 ★★★★★
(14.02.06 09:27:43 MSK) автор топика

Ссылка

winbind тебе нафиг не нужен, и samba членом домена делать не надо, просто настрой аутентификацию в ldap.

VovanE ★
(14.02.06 09:56:00 MSK)

Ответ на: комментарий от VovanE 14.02.06 09:56:00 MSK

> просто настрой аутентификацию в ldap.
Естественно настроено и что дальше.. может вопрос не понятен?!
Есть домен samba PDC, мне надо поднять еще дополнительно файловый
сервер, и чтобы на шарах возможно было манипулировать ACL и они
отображались корректно из домена.

anonymous2 ★★★★★
(14.02.06 10:17:01 MSK) автор топика

Ответ на: комментарий от anonymous2 14.02.06 10:17:01 MSK

Ещё раз - если PDC на самбе, и файловый сервер на самбе, в домен включать его не надо, и winbind не нужен.
Настраиваешь на файловом сервере аутентификацию в том же ldap, где хранится база домена, в самбе security=user, и всё!
По поводу ACL см. соответствующие параметры smb.conf.
Короче, на файловом сервере smb.conf должен выглядеть так же,
как на PDC, только passdb backend = ldapsam:ldap://твой pdc,
и domain logons = no,
domain master = no

VovanE ★
(14.02.06 11:13:52 MSK)

Ответ на: комментарий от anonymous2 14.02.06 10:17:01 MSK

Естественно, POSIX Accounts тоже должны быть в LDAP.

VovanE ★
(14.02.06 11:16:36 MSK)

Ссылка

Ответ на: комментарий от VovanE 14.02.06 11:13:52 MSK

Сделал как ты говоришь.
Получил что на шаре ACL светится как DOMAIN\username
то по твоему методу ACL светится как "неизвестная учетная запись (SID юзера)" !!??

Причем ACL стандартно через setfacl -m u:abakumova:rwx folders
Манипуляции через Windows клиента (свойства папки - безопасность)
 так же невозможна так как samba то не в домене!! 
и списка пользователей домена нет!!

anonymous2 ★★★★★
(14.02.06 11:25:12 MSK) автор топика

Ответ на: комментарий от anonymous2 14.02.06 11:25:12 MSK

причем добавлю что после запуска samba создала свой идентификатор
с локальным доменом и новым SID а у всех пользователей из ветки
ou=users приписан SID нормального домена!:

dn: sambaDomainName=NFS1,dc=local
sambaDomainName: NFS1
sambaSID: S-1-5-21-3862444126-1941032159-386431789
sambaAlgorithmicRidBase: 1000
objectClass: sambaDomain

anonymous2 ★★★★★
(14.02.06 11:29:46 MSK) автор топика

Ответ на: комментарий от anonymous2 14.02.06 11:29:46 MSK

Понятно...
попробуй на файл-сервере сделать
net setlocalsid SID домена.

VovanE ★
(14.02.06 11:43:32 MSK)

Ответ на: комментарий от VovanE 14.02.06 11:43:32 MSK

сделал:
net setlocalsid S-1-5-21-113194080-3713674248-2964181031

и сразу:
net getlocalsid
SID for domain NFS1 is: S-1-5-21-3862444126-1941032159-386431789

:) в базе ldap изменений не вижу

anonymous2 ★★★★★
(14.02.06 11:48:42 MSK) автор топика

А вообще объекты в uo=idmap создает winbind, и запускаться он должен только на клиенте, но только после net rpc join.

VovanE ★
(14.02.06 11:50:18 MSK)

Ответ на: комментарий от VovanE 14.02.06 11:43:32 MSK

VovanE У вас работающие сервера на samba?

anonymous2 ★★★★★
(14.02.06 11:50:21 MSK) автор топика

Ответ на: комментарий от VovanE 14.02.06 11:50:18 MSK

> А вообще объекты в uo=idmap создает winbind

единственно что сделал winbind так это добавил 
objectclass sambaUnixIdPoll к ou=idmap

anonymous2 ★★★★★
(14.02.06 11:54:40 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous2 14.02.06 11:50:21 MSK

да... но поскольку вначале ставился файл-сервер, а потом уже мигрировал pdc с WinNT на самбу, то файл-сервер пока включен в домен, и на нём работает winbind. Сейчас планирую файл-сервер настроить через ldap, чтобы PID и GID на всех юниксах в одной базе были и совпадали.

VovanE ★
(14.02.06 11:55:47 MSK)

Ссылка

Ответ на: комментарий от anonymous2 14.02.06 11:50:21 MSK

вот кусок из рабочего smb.conf:
idmap backend = ldap:ldap://localhost
idmap gid = 10000-20000
idmap uid = 10000-20000
ldap admin dn = cn=sambaroot,dc=samba,dc=cge
ldap idmap suffix = ou=Idmap
ldap suffix = dc=samba,dc=cge

winbind cache time = 3600

template shell = /bin/bash

VovanE ★
(14.02.06 11:57:51 MSK)

Ссылка

Ответ на: комментарий от anonymous2 14.02.06 11:48:42 MSK

Да, по поводу net setlocalsid я, видимо, наврал, извиняюсь.
возможно, поможет
net rpc getsid -S <имя pdc> -U root

VovanE ★
(14.02.06 12:04:33 MSK)

Ответ на: комментарий от VovanE 14.02.06 12:04:33 MSK

вообщем получилось, определюсь с клиентом:
1. в домен вводить надо
2. winbind запускать надо
3. определить опции    
    passdb backend = ldapsam:ldap://ldap.local
    ldap suffix = dc=local
    ldap admin dn = cn=admin,dc=local
4. авторизация в системе через ldap

anonymous2 ★★★★★
(14.02.06 12:12:15 MSK) автор топика

Ответ на: комментарий от anonymous2 14.02.06 12:12:15 MSK

таакс осталась трабла)))
сейчас отображаются ACL верно,
а манипуляции через Windows клиента (свойства папки - безопасность)
отрабатывает верно и.. ACL просто не применяется!!??

кто сталкивался с подобным?

anonymous2 ★★★★★
(14.02.06 12:29:08 MSK) автор топика

Ответ на: комментарий от anonymous2 14.02.06 12:29:08 MSK

а в логе только:
unable to map SID S-1-5-21-113194080-3713674248-2964181031-7264 to uid or gid.

думаю надо по первому пути пойти заполнить
  ldap idmap suffix = ou=idmap
  idmap backend = ldap:ldap://ldap.local

anonymous2 ★★★★★
(14.02.06 12:36:04 MSK) автор топика

Ответ на: комментарий от anonymous2 14.02.06 12:36:04 MSK

в продолжении темы, кому интересно, увеличил лог до 4:
[2006/02/14 18:05:45, 5] lib/smbldap.c:smbldap_search_ext(1080) smbldap_search_ext: base =>
[ou=group,dc=local], filter => [(&(objectClass=sambaGroupMapping)(sambaSID=S-1-5-21-113194080-3713674248-29

64181031-7264))],
 scope =>[2] [2006/02/14 18:05:45, 0] smbd/posix_acls.c:create_canon_ace_lists(1405) create_canon_ace_lists: unable to map SID
S-1-5-21-113194080-3713674248-2964181031-7264 to uid or gid.

и вот не понимаю я зачем она (samba) лезет искать в ou=group когда я добавляю _пользователя_ в ACL??!!
новая самба новый баги!? )))

anonymous2 ★★★★★
(14.02.06 13:16:28 MSK) автор топика