LINUX.ORG.RU

6
Всего сообщений: 84

Как получить список пользователей LDAP

Ребят не подскажите как из Linux можно получить список пользователей Active Directory в определённой группе?

Установил программу ldap-utils, в ней есть утилита ldapsearch. Пробовал с ней получить список пользователей, там такая ахинея получается.

Может кто сталкивался с таким?

 

Andrei_IW ()

CentOS 7 доменная и локальная учетные записи

Добрый день!

Ситуация следующая. Тачка с CentOS введена в домен, есть одна учетка локальная и доменная с одинаковым именем. Как мне в sudoers прописать разрешения на локальную учетку, а не доменную?, ибо в первую очередь сервер обращается ко второй.

 , ,

Growlert ()

Ansible + Windows Active Directory

Надо одну штуку сделать для винды.
Есть актив директори, где админ домена domain.com --> Main\Administrator и есть компик Computer\Administrator, собственно надо, чтобы при подключении на этот компик (Computer\Administrator) логинился под Main\Administrator.
Мне это как-то через kerberos делать или есть путь полегче? С ним не работал. В конфиге хоста у ansible у меня просто айпи, логин с паролем, который по winrm подключается

 , ,

Deleted ()

Определить AD Logon Server

Всем привет, простой вопрос - есть несколько серверов AD (Win Server), в сети «зоопарк клиентов» (Win\Linux\Mac)

Что бы узнать на каком сервере залогинился клиент Windows - достаточно ввести команду в cmd:

set logon

Вывод:

LOGONSERVER=\\AD

Есть ли аналогичная команда в Ubuntu?

Примечание: Linux-клиентов вводил в домен через sssd

 ,

dim4k ()

Не работает squid на втором DC

Коллеги, добрый день! Бьюсь долгое время с данной проблемой. Имеем Squid 3.5.8, Active Directory (два DC). Настроена интеграция через керберос с AD. Все работает, всё здорово. Но когда отключаешь DC1 - сквид начинает блокировать весь траффик. Если включить тутже DC1, то все работает как надо. (группы, блокировки, ACL все работает) Пересоздавал krb5.keytab. При выключении DC1, squid получает билет от DC2, все отображается в klist. PTR записи имеются, всё резолвится. Ниже конфиги, логи.

В момент блокировки в access.log в основном код 407. А в cache.log следующее: kerberos_ldap_group: ERROR: ldap_sasl_interactive_bind_s error: Can’t contact LDAP server kerberos_ldap_group: ERROR: Error while binding to ldap server with SASL/GSSAPI: Can’t contact LDAP server

squid.conf (ниже):

auth_param negotiate program /usr/lib64/squid/negotiate_kerberos_auth -s HTTP/prx.domen.local@DOMEN.LOCAL auth_param negotiate children 60 auth_param negotiate keep_alive off

external_acl_type inet_medium ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g Internet-medium@DOMEN.LOCAL external_acl_type inet_full ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g Internet-full@DOMEN.LOCAL external_acl_type inet_low ttl=300 negative_ttl=60 %LOGIN /usr/lib64/squid/ext_kerberos_ldap_group_acl -g Internet-low@DOMEN.LOCAL

acl localnet src 192.168.10.0/24

acl my_full external inet_full acl my_medium external inet_medium acl my_low external inet_low acl auth proxy_auth REQUIRED

krb5.conf (ниже):

[realms] DOMEN.LOCAL = { kdc = dc1.domen.local kdc = dc2.domen.local admin_server = dc1.domen.local default_domain = domen.local}

 , , ,

John1216 ()

Samba 4.0.3 НЕ впускает в домен

Помогите разобраться с ситуацией: имеется сервер ubuntu 16.04, на нем поднята самба 4.0.3. и стоит Webmin. (настраивал не я)

конфиг:

# Global parameters
[global]
        netbios name = TTTT
        workgroup = TTTTGGG
        os level = 20
        winbind trusted domains only = yes
        force create mode = 777
        directory mode = 777
        force directory mode = 777
        realm = TTTTGGG.ORG
        wins support = true
        dns forwarder = 192.168.117.1
        winbind use default domain = yes
        locking = no
        encrypt passwords = yes
        create mode = 777
        server role = active directory domain controller
#       allow dns updates = nonsecure and secure
#       printing = bsd
#       printcap name = /dev/null

[netlogon]
        path = /opt/samba/var/locks/sysvol/ttttggg.org/scripts
        read only = No

[sysvol]
        path = /opt/samba/var/locks/sysvol
        read only = No

[work]
        writable = yes
        comment = Project documentation
        path = /home/samba

Комп (Prj1) на Вин 10 был в домене и все работало. Я его вывел из домена (не спрашивайте зачем) и при попытке ввести его обратно в тот же домен выдает:

При присоединении к домена «TTTTGGG.ORG» произошла следующая ошибка: Указанный сервер не может выполнить требуемую операцию.

Подскажите, что нужно сделать чтобы ввести машину обратно в домен? С линуксом знаком поверхностно.

Каталог на сервере «path = /opt/samba/var/locks/sysvol/ttttggg.org/scripts» пустой.

 , ,

dimadih ()

Samba 4.11.X

Всем привет! Настраиваю samba 4.11.4 (Compile Source) в качестве AD DC на ОС Debian 10.2 по этому руководству.
Руководство всегда работало для версий 4.8.x и 4.9.x.

Собирал с этими флагами:

./configure --bindir=/usr/local/bin --sbindir=/usr/local/sbin \
--sysconfdir=/etc/samba --localstatedir=/var --libdir=/usr/local \
--datarootdir=/usr/share/samba --mandir=/usr/share/man --with-systemd \
--with-logfilebase=/var/log/samba --enable-selftest
После запуска ч/з systemd получаю такие ошибки:
# systemctl status samba-ad-dc
● samba-ad-dc.service - Samba Active Directory Domain Controller
   Loaded: loaded (/etc/systemd/system/samba-ad-dc.service; enabled; vendor preset: enabled)
   Active: failed (Result: exit-code) since Tue 2019-12-24 14:40:58 MSK; 5s ago
  Process: 7805 ExecStart=/usr/local/sbin/samba -D (code=exited, status=0/SUCCESS)
 Main PID: 7806 (code=exited, status=1/FAILURE)

дек 24 14:40:58 dc0 systemd[1]: Starting Samba Active Directory Domain Controller...
дек 24 14:40:58 dc0 samba[7805]: [2019/12/24 14:40:58.291087,  0] ../../source4/smbd/server.c:624(binary_smbd_main)
дек 24 14:40:58 dc0 samba[7805]:   samba version 4.11.4 started.
дек 24 14:40:58 dc0 systemd[1]: samba-ad-dc.service: Can't open PID file /run/samba.pid (yet?) after start: No such file or directory
дек 24 14:40:58 dc0 samba[7805]:   Copyright Andrew Tridgell and the Samba Team 1992-2019
дек 24 14:40:58 dc0 systemd[1]: Started Samba Active Directory Domain Controller.
дек 24 14:40:58 dc0 samba[7806]: [2019/12/24 14:40:58.874002,  0] ../../lib/util/become_daemon.c:122(exit_daemon)
дек 24 14:40:58 dc0 samba[7806]:   exit_daemon: daemon failed to start: Samba failed to setup parent messaging, error code -1073741801
дек 24 14:40:58 dc0 systemd[1]: samba-ad-dc.service: Main process exited, code=exited, status=1/FAILURE
дек 24 14:40:58 dc0 systemd[1]: samba-ad-dc.service: Failed with result 'exit-code'.

# cat /var/log/samba/log.samba

[2019/12/24 14:30:49.021699,  0] ../../source4/smbd/server.c:624(binary_smbd_main)
  samba version 4.11.4 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2019
[2019/12/24 14:30:49.570644,  0] ../../lib/util/become_daemon.c:122(exit_daemon)
  exit_daemon: daemon failed to start: Samba failed to setup parent messaging, error code -1073741801
[2019/12/24 14:40:58.291087,  0] ../../source4/smbd/server.c:624(binary_smbd_main)
  samba version 4.11.4 started.
  Copyright Andrew Tridgell and the Samba Team 1992-2019
[2019/12/24 14:40:58.874002,  0] ../../lib/util/become_daemon.c:122(exit_daemon)
  exit_daemon: daemon failed to start: Samba failed to setup parent messaging, error code -1073741801

# cat /etc/systemd/system/samba-ad-dc.service

[Unit]
Description=Samba Active Directory Domain Controller
After=network.target remote-fs.target nss-lookup.target

[Service]
Type=forking
ExecStart=/usr/local/sbin/samba -D
PIDFile=/var/run/samba.pid
ExecReload=/bin/kill -HUP $MAINPID

[Install]
WantedBy=multi-user.target
# systemctl daemon-reload
Как правильно завести новую самбу? Спасибо!

 , , ,

Breaking ()

Samba отпал пользовтель

Стоит Samba, интегрированная с AD. Отпал один пользователь, остальные работают нормально.

Отпал следующим образом:

[root@work ~]$ id i.ivanov
id: i.ivanov: no such user

[root@work ~]$ su - i.ivanov
/usr/bin/id: cannot find name for user ID 2001166
/usr/bin/id: cannot find name for user ID 2001166
[I have no name!@work ~]$

Как аккуратно можно восстановить? Был опыт, когда ложилась вся самба после редактирования конфига, боюсь сделать лишний шаг.

 , , , ,

Molodoy ()

zimbra акаунт АД игнор блокировки

Есть АД и zimbra учетки синхронизированы, но зимбра при авторизации всегда лезет в АД и проверяет пароль, сделал чтобы после двух раз не правильного ввода пароля учетка в зимбре блокировалась, блокирует все хорошо но даже если учтка заблокирована зимбра все равно лезет в АД сверяться (после 5 ошибок банится учетка в АД), как настроить если учетка в zimbre забанина не надо лезть в АД?

 ,

pehser ()

Один файл-сервер на два Windows-домена - как?

Привет всем!

Ребята, подскажите, имеются два Windows-домена: 1.LOCAL и 2.LOCAL, а также один файл-сервер на Ubuntu 18.04. Хотелось бы файл-сервер присоединить в оба домена таким образом, чтобы, условно, группе 1\Domain Admins и 2\Domain Users дать доступ в папку Porno. Доверия между доменами нет.

Спасибо за помощь!

 ,

ravdinve ()

FreeIPA стягивать пользователей с AD

Сабж коллеги! AD на WinServ2012R2, FreeIPA Центос 7

Trust настроил, но судя по всему, это для залива пользователей с FreeIPA в AD. Есть какая-то возможность сливать AD пользователей во FreeIPA? Спасибо, а то уже голова оловяная, обгуглился

 , , ,

Deleted ()

Samba не верно показывает UID

Здравствуйте! Samba, синхронизирована с AD начала неверно отображать uid пользователей. Ранее все работало хорошо.

Пример, пишу пользователя i.ivanov, а выдаёт, как zabbix:

id i.ivanov
uid=10000(zabbix) gid=10000(\everyone) groups=10000(\everyone),10006(BUILTIN\users)

smb.conf
[global]
  security = ads
  workgroup = xs
  realm = xs.lan

  passdb backend = tdbsam

  printing = cups
  printcap name = cups
  load printers = no
  cups options = raw

  kerberos method = system keytab
  template homedir = /home/%U
  template shell = /bin/bash
  idmap config * : backend = tdb
  idmap gid = 10000-2000000
  idmap uid = 10000-2000000
  idmap config * : range = 10000-2000000
  winbind use default domain = yes
  winbind refresh tickets = yes
  winbind offline logon = yes
  winbind enum groups = no
  winbind enum users = no

  client use spnego = yes
  client ntlmv2 auth = yes
  encrypt passwords = yes

 , ,

Molodoy ()

Ubuntu(18.04) + ActiveDirectory::получение сертификата

Всем привет. Сгенерировал файл запроса сертификата .csr по этой инструкции

https://www.dmosk.ru/miniinstruktions.php?mini=linux-cert-adcs

Что нужно делать с ним дальше. Пишут, что нужно передать этот файл (в т.ч. по почте) или скопировать в центр сертификации AD. Не понятно, как это сделать.. Развернул этот центр сертификации на отдельном сервере

http://osdevice.com/threads/ustanovka-sluzhby-sertifikacii-active-directory-ad-cs-v-windows-server-2012-r2.88/

, установил там веб-службу, и посылаю свой CSR-файл post-запросом, да даже просто пытаюсь достучаться на этот сервер (в локалке) - вебовская морда открывается, а морда службы сертификации - нет.

Может быть, я плохо искал, но перерыл все, что можно было в инете, и не нашел, как послать этот CSR. Может быть, я чего не понимаю в работе таинства выпуска сертификатов, но по-другому, как это сделать из под linux, мне не понятно. Подскажите, если кто имел с этим дело

 ,

Tumyq ()

Display manager с запоминанием пользователей Active Directory, OpenSUSE

Вопрос, вообщем-то простой. OpenSUSE с окошками XFCE или LXDE. Авторизация через AD. Проблема в том, что запоминать пользователя домена умеет только GDM, ну или я чего-то не знаю. Можно, как-то научить это делать, например, LXDM или, какой-то другой DM? GDM для моих целей слишком красивый..

 ,

AndrK189100 ()

OpenSuse и Active Directory Windows

Облазил весь гугл и яндекс. Все HowTo до 2011 года (типа самый свежий). Прошу помощи, дайте HowTo для «идиотов» :) ну не спец я в настройках этого «безобразия». Я в общих понятиях, понимаю что такое LDAP, и каким тут макаром привязан Kerberos, и зачем SAMBA, но стреляйте меня, не могу настроить этого зверя в OpenSuse 15, для логина пользователя через AD. Вроде пишет что комп подключен к AD, но при логине ничерта не может сединиться для проверки пароля.

Уважаемые гуру, подскажите пошагово, как настроить эти сервисы? Надо присоединить машину к AD, и чтоб при входе в систему, пользователь брался или из локали или из AD. Собственно как и при входе в винду, я могу логиниться локальным юзером или юзером из AD.

P.S. Я не хочу досконально залезать в эту «кусю-месю» из разных протоклов и систем, поверьте, из без того «задач выше крыши». Просто раньше, на OpenSuse 11.4, я это делал без танцев с бубнами, все просто настраивалось через yast. Тут же третий день пытаюсь настроить, и ничерта не сростается :(( ну полный пипец. P.P.S. сервер AD «достался в наследство», перенастраивать его нууу нет ни какой возможности и желания. Хотел быстро настроить свое рабочее место на Suse, и не париться, а тут такая засада :(

 , ,

ssnakess ()

Из Appache под LDAP.

Здравствуйте. Имеется сервер ActiveDirectory под windows. А так же RHEL сервер с установленным Apache. Поставлена задача настроить LDAP авторизацию на web страницу под учетными записями из общего домена AD.

Собственно в чем вопрос, нужно ли ставить openldap-server и openldap-client сервисы для реализации данной задачи? Или будет достаточно установить необходимые модули для Appache, прописав свои DC в конфигурации?

 , , , ,

kiskopatrul ()

Active Directory и LDAP клиент

Добрый день! Направьте на путь истинный люди. ) Я же правильно понимаю что рабочая станция на любом линуксе не может в принципе аутентифицироваться через голый ldap, без kerberos и без ssl в MS Active Directory? Или в самом MS Active Directory нужно что-то подкрутить, чтобы клиент получил доступ к каталогу? Я понимаю, что это не безопасно, но это только эксперименты. Заранее всем спасибо.

 ,

mr_dedic ()

LDAP или не LDAP? Вот вопрос.

Разбираюсь с аналогами AD для линукса. оказывается, есть ещё какой то
Fedora 389 DS. На опенлдап забили?

Что использовать то в итоге? какие плюсы и минусы?
Может на таблицу сравнения наталкивались?

 ,

darkenshvein ()

Как добавить samba-сервер на Ubuntu 16.04 LTS в Windows-домен?

Доброй ночи.

Подскажите, пожалуйста, как правильно добавить samba-сервер на Ubuntu 16.04 LTS в Windows-домен (сервера на Windows 2012 R2) для того, чтобы доменные пользователи могли прозрачно авторизовываться на общих ресурсах samba-сервера? Может статью какую посоветуете?

Заранее спасибо!

 ,

ravdinve ()

Samba4. Редактирование/Создание групповых политик

Всем привет. Столкнулся со странным поведением контроллера домена на Samba4.

При поднятии домена, в тестовых целях пробовал создать групповую политику и она без проблем создалась.

Недавно, решил запилить гр. политику для разворачивания ПО. Зашел в оснастку gpmc.msс под встроенным Administrator (у которого максимальные права), удалил эту старую, тестовую политику и попробовал создать новую. Но получаю «Group Policy Management. Access is Denied».

Подумал, может права сбились, по какой то причине (с чего бы, конечно), пробовал сбросить

samba-tool ntacl sysvolreset
не помогло.

Кто сталкивался?

 , ,

check777 ()