LINUX.ORG.RU
ФорумAdmin

nexenta (open solaris) + ldap

 , , ,


0

1

добрый день,

Понимаю, что не линукс, но быть может кто знаком) Есть хост с nexentastor (проще говоря open solaris 10), и не могу понять где тут и что писать, чтобы по

id hostname$

находились компы из ldap (ou=computers,dc=my,dc=org)

Прикол, в том, что обычные юзеры видятся

id username - вполне корректно возвращает юзера и его группы..

root@nexenta:/etc# cat /etc/nsswitch.conf | grep ldap
passwd: files ldap
group: files ldap
netgroup:   files ldap
root@nexenta:/etc# ldapclient list
NS_LDAP_FILE_VERSION= 2.0
NS_LDAP_BINDDN= uid=sysadm,ou=Service,dc=my,dc=org
NS_LDAP_BINDPASSWD= {NS1}5449666ba81687778080
NS_LDAP_SERVERS= 192.168.1.28
NS_LDAP_SEARCH_BASEDN= dc=my,dc=org
NS_LDAP_AUTH= simple
NS_LDAP_SEARCH_REF= FALSE
NS_LDAP_CACHETTL= 0
NS_LDAP_CREDENTIAL_LEVEL= proxy
NS_LDAP_SERVICE_SEARCH_DESC= passwd:ou=users,dc=my,dc=org
NS_LDAP_SERVICE_SEARCH_DESC= group:ou=groups,dc=my,dc=org

что куда еще писать?


В

NS_LDAP_SERVICE_SEARCH_DESC= passwd:ou=users,dc=my,dc=org

д.б.
dc=my,dc=org
А тип запроса выставлен с one в sub.

Не знаю, почему так.

zgen ★★★★★ ()
Ответ на: комментарий от zgen

После затишься, вернулся к проблеме.. Я поправил one -> sub, в общем мелочи, но id hostname$ резолвится из ldap.

Это была лишь мелкая проблема, а попал на ее из-за того, что не могу ввести опенсоляру в домен (fds+samba). Сейчас дошел до того, что создал в домене учетку машины, заполнил поля руками )), но согласно общим алгоритмам и правилам

root@gis:/etc/samba/private# pdbedit -w nexenta$
NEXENTA$:1688:095632A0B8099781AAD3B435B51404EE:212DB2D2EA55E7973591301C028F7773:[W          ]:LCT-51F20EA2:
root@gis:/etc/samba/private# pdbedit -r nexenta$
Unix username:        NEXENTA$
NT username:          NEXENTA$
Account Flags:        [W          ]
User SID:             S-1-5-21-2068682600-2350025889-3278183345-5326
Primary Group SID:    S-1-5-21-2563210257-1044235779-3118251634-513
Full Name:            NEXENTA$
Home Directory:       \\nexenta\nexenta_
HomeDir Drive:
Logon Script:
Profile Path:         \\nexenta\nexenta_\profile
Domain:               NEXENTA
Account desc:         Computer
Workstations:
Munged dial:
Logon time:           0
Logoff time:          never
Kickoff time:         never
Password last set:    Fri, 26 Jul 2013 11:52:34 YEKT
Password can change:  Fri, 26 Jul 2013 11:52:34 YEKT
Password must change: never
Last bad password   : 0
Bad password count  : 0
Logon hours         : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF

Пароли (samba{LM,NT}Password) сгенерил по правилам (т.е. они валидные, и я знаю что они в человеческом исполнении значат), но (!) я не понимаю механику их использования - в ldap они есть, но как самбе на конкретном хосте сказать их использовать?

Сейчас при попытке подключится к хосту, в логе контроллера домена вижу реджект

_netr_ServerAuthenticate2: netlogon_creds_server_check failed. Rejecting auth request from client NEXENTA machine account NEXENTA$

А я всего лишь хочу ввести в домен, но используя полностью «ручной» механизм )))))

x09 ()
Ответ на: комментарий от x09
[root@arm ~]# ldapsearch -x uid=nexenta$
# extended LDIF
#
# LDAPv3
# base <> with scope subtree
# filter: uid=nexenta$
# requesting: ALL
#

# NEXENTA$, Computers, geo.org
dn: uid=NEXENTA$,ou=Computers,dc=my,dc=org
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: sambaSamAccount
cn: NEXENTA$
uid: NEXENTA$
uidNumber: 1688
gidNumber: 515
homeDirectory: /dev/null
loginShell: /bin/false
description: Computer
gecos: Computer
sambaSID: S-1-5-21-2068682600-2350025889-3278183345-5326
sambaAcctFlags: [W]
sambaNTPassword: 212DB2D2EA55E7973591301C028F7773
sambaLMPassword: 095632A0B8099781AAD3B435B51404EE
sambaPwdLastSet: 1374817954

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1
x09 ()
Ответ на: комментарий от x09

но (!) я не понимаю механику их использования - в ldap они есть, но как самбе на конкретном хосте сказать их использовать?

Не майтесь дурью и описывайте всю схему изначально. Что за «конкретный хост»? Это сервер, клиент, DC?

Нихрена же не понятно, видно только, что гланды через задний проход пытаетесь удалять.

zgen ★★★★★ ()
Ответ на: комментарий от zgen

Я ждал этого ответа) понимаю, что выглядит сумбурно если начинать смотреть на процесс с середины. Ладно пойдем с начала.

Есть nexenta (opensolaris). Отключаю cifs который в ядре и не использую его вообще. Его нет. Забыли. Ставлю обычную самбу

apt-get install service-network-samba

поставил

smbd --version
Version 3.5.8

Настраиваю самбу как члена домена, сотни раз делал, все как обычно. Добавляю пароль от admin dn в secrets.tdb

smbpasswd -w пароль

самба настроена. Сама система подружена с ldap, видит юзеров, машны, авторизация - все ок..

На контроллере домена (centos5, fedoraDS, samba 3.4.8 - да версия ниже, я знаю))), завожу аккаунт машины

smbldap-adduser -w nexenta

, создается запись в uid=nexenta, ou=computers,dc=my,dc=org, все отлично.

Пытаюсь ввести в домен

root@gis:/etc/samba/private# net join -S ARMADA
Enter root's password:
Could not connect to server ARMADA
The username or password was not correct.
Connection failed: NT_STATUS_LOGON_FAILURE
ни рутовым (ldap), ни доменным админом, никем.. До тех, пор пока руками не стал вписывать sambaSID, sambaNTPassword и прочее.. в логах на DC ругался

[2013/07/26 10:53:18,  0] rpc_server/srv_netlog_nt.c:584(_netr_ServerAuthenticate3)                                                   
  _netr_ServerAuthenticate2: failed to get machine password for account NEXENTA$: NT_STATUS_ACCESS_DENIED 

ну на этом можно закончить)

x09 ()
Ответ на: комментарий от x09

Настраиваю самбу как члена домена, сотни раз делал, все как обычно. Добавляю пароль от admin dn в secrets.tdb

А зачем domain member'у вообще LDAP?
testparm запустите и сюда результат.

zgen ★★★★★ ()
Ответ на: комментарий от zgen

А зачем domain member'у вообще LDAP?

вы имеете в виду зачем ldap admin dn?

root@gis:/etc/samba/private# testparm
Load smb config files from /etc/samba/smb.conf
rlimit_max: increasing rlimit_max (256) to minimum Windows limit (16384)
Processing section "[BAZA]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

[global]
        dos charset = CP866
        display charset = UTF-8
        workgroup = GEO
        netbios name = NEXENTA
        server string = NEXENTA ZFS Server
        security = DOMAIN
        passdb backend = ldapsam:ldap://192.168.1.28
        log file = /var/log/samba/%m.log
        os level = 33
        local master = No
        wins server = 192.168.1.29
        ldap admin dn = uid=samba,cn=Directory Administrators,dc=my,dc=org
        ldap group suffix = ou=Groups
        ldap machine suffix = ou=Computers
        ldap passwd sync = yes
        ldap suffix = dc=my,dc=org
        ldap ssl = no
        ldap user suffix = ou=Users
        cups options = raw

[BAZA]
        path = /volumes/RZ2/BAZA
        create mask = 0666
        directory mask = 0777
x09 ()
Ответ на: комментарий от x09

вы имеете в виду зачем ldap admin dn?

Domain member'у вообще не нужен LDAP. Он получает информацию из winbind, который получает её у DC, который получает её в LDAP.

zgen ★★★★★ ()
Ответ на: комментарий от zgen

У меня нигде winbind не работает. Все напрямую из ldap.

x09 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.