| |
| |
| 3.5, odip (?), 18:02, 29/11/2005 [^] [^^] [^^^] [ответить] [↓] [п©б╘п▒Б┬≥Б∙≈ п©б╘п▒Б┬≥Б∙≥п©б╘п▒Б┬≥Б∙⌡п©б╘п▒Б┬≥Б∙▓п©б╘п▒Б┬≥я▒я▐Б√░п▒Б√═Б■─п©б╘п▒Б┬≥ц╥я▐Б√░п▒Б√═Б√└п©б╘п▒Б┬≥Б∙⌡я▐Б√░п▒Б√═Б■─я▐Б√░п▒Б√═Б√▒]
| +/– | |
Связать под какой OS ?
pam_ldap + nss_ldap можно отдельно не писать - они сразу идут в комплекте с openldap. В смысле если ты их не поставишь - то ничего хорошего не будет.
DHCP - ldap тут совершенно не нужен.
DNS - можно, но опять же не вижу смысла.
Могу еще добавить - proftpd + ldap.
pppd + ldap.
Еще важный момент - работать должно через LDAPS, а не через ldap. Иначе никакого смысла не вижу ;)
Имеющихся статей под Linux более чем достаточно чтобы настроить ldap.
Собственно специфичное для FreeBSD я видел только
1) nsswitch.conf - отличия минимальны
2) pppd по умолчанию не хочет работать с pam
3) Особенности настройки pam - не все категории прописаны в /etc/pam.d
| | |
|
|
| |
| |
| 3.11, mike (??), 08:23, 30/11/2005 [^] [^^] [^^^] [ответить] [п©б╘п▒Б┬≥Б∙≈ п©б╘п▒Б┬≥Б∙≥п©б╘п▒Б┬≥Б∙⌡п©б╘п▒Б┬≥Б∙▓п©б╘п▒Б┬≥я▒я▐Б√░п▒Б√═Б■─п©б╘п▒Б┬≥ц╥я▐Б√░п▒Б√═Б√└п©б╘п▒Б┬≥Б∙⌡я▐Б√░п▒Б√═Б■─я▐Б√░п▒Б√═Б√▒]
| +/– |
 Хм.. Ну, допустим, потерплю я без политик и прочего (тем более что виндовс тачек не так много осталось - переходим на тонкие клиенты, которые грузят линуксовый десктоп или только 1С с ТермСерв-ра). Бог с ними, с шарами и принтерами - все рукамми сделаю. Мне хочется просто перенести пользователей так, чтобы не пострадали права на файл-сервере. Т.е. с теми же SID я так понимаю. Потому что права и, главное, владение очень важны. Еще и потому, что файл-сервером пользуютмся и по NFS и по Samba. А аутентификация единая. Т.е. в моих мечтах это должен быть LDAP+Samba и чтобы все у всех со всех сторон срослось :). Вот и интересно, описывал ли кто-нибудь подобное | | |
|
| |
| 3.15, mike (??), 10:08, 30/11/2005 [^] [^^] [^^^] [ответить] [п©б╘п▒Б┬≥Б∙≈ п©б╘п▒Б┬≥Б∙≥п©б╘п▒Б┬≥Б∙⌡п©б╘п▒Б┬≥Б∙▓п©б╘п▒Б┬≥я▒я▐Б√░п▒Б√═Б■─п©б╘п▒Б┬≥ц╥я▐Б√░п▒Б√═Б√└п©б╘п▒Б┬≥Б∙⌡я▐Б√░п▒Б√═Б■─я▐Б√░п▒Б√═Б√▒]
| +/– |
Как вам повезло! :)
Интересует, как перелезть на самбу с винды, в общем-то.
Вот у нас есть DC+Terminal Server под Win2k3, Linux с LTSP (в качестве терминального сервера), тонкие клиенты (ок 50), которые грузят с него десктоп, несколько (ок. 15) клиентов под XP, файл-сервер под FreeBSD. LTSP-сервак - член виндового домена, т.е. аутентификация везде одна. id Пользователей определенным образом замэплены так, что самба на LTSP-серваке и самба на FreeBSD-файл-сервере имеют взаимопонимание при сопотавлениии SID и Unix id. В отдаленной перспективе останутся только тонкие клиенты (тогда и домен не нужен, просто LDAP в качестве службы каталогов ну и там как угодно), но сейчас все-таки еще много виндов. А такой связке клиентов нужен вин-домен, иначе ничего не срастается. Проблема в том, что переход нужно сделать в очень маленький промежуток времени, т.к., например, файл-сервером пользуются одновременно все клиенты, а там права и проч.
Виндой (ТерминалСервером) тоже все пользуются (1С, Гарант и проч.) а для этого нужна аутентификация. А она для линукс-клиентов не сквозная (т.е. он сначала логинится на десктоп, а потом когда запускает 1С его креденшелы просто передаются в командной строке). Т.е. куча граблей. Вот и хотелось бы найти возможно сложный, но реальный алгоритм перехода без кровопролития.
P.S.: На самом деле серваков больше и все несколько сложнее :). Но хотелось бы решить задачу хотя бы в таком виде. | | |
| |
| 4.19, rrv (?), 10:48, 30/11/2005 [^] [^^] [^^^] [ответить] [п©б╘п▒Б┬≥Б∙≈ п©б╘п▒Б┬≥Б∙≥п©б╘п▒Б┬≥Б∙⌡п©б╘п▒Б┬≥Б∙▓п©б╘п▒Б┬≥я▒я▐Б√░п▒Б√═Б■─п©б╘п▒Б┬≥ц╥я▐Б√░п▒Б√═Б√└п©б╘п▒Б┬≥Б∙⌡я▐Б√░п▒Б√═Б■─я▐Б√░п▒Б√═Б√▒]
| +/– | |
Как перевести автоматом не знаю (опять же специфика винды), в теории необходимо перенести всю информацию о пользователях, группах и компьютерах в LDAP-дерево. Затем перенести все профили на samba в папку Profiles, но скорее всего из под винды не получится, есть несколько файлов которые она не позволит скопировать. Можно ручками попробовать подмонтировать винт под фряху и перенести либо с каждой виндовой машины (локальный и удаленный профили). Но вообще надо пробовать, причем виндовый сервер и клиентов трогать не надо, не получилось, включил винду. Или как делал я, создал маленькую экспериментальную сеть и тестил идеи. | | |
|
|
|
| 1.17, Zerot (?), 10:21, 30/11/2005 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©б╘п▒Б┬≥Б∙≈ п©б╘п▒Б┬≥Б∙≥п©б╘п▒Б┬≥Б∙⌡п©б╘п▒Б┬≥Б∙▓п©б╘п▒Б┬≥я▒я▐Б√░п▒Б√═Б■─п©б╘п▒Б┬≥ц╥я▐Б√░п▒Б√═Б√└п©б╘п▒Б┬≥Б∙⌡я▐Б√░п▒Б√═Б■─я▐Б√░п▒Б√═Б√▒]
| +/– |
 вопрос к понимающим суть
услышал, что можно портировать иерархическое дерево ActiveDirectory в Самбу
я напоролся в своё время, что при размещении пользователей в LDAP иерархия поддерживается плохо,
т.е. максимум, чего удалось добиться - включение пользователей из разных контекстов в одну группу
чтобы Самба работала с иерархией, нужно в LDAP иметь UNIX и SAMBA учетные записи. Но pam_ldap+nss_ldap вроде не поддерживают иерархию - т.е. низя сделать иерархические учетные записи UNIX, да и SAMBA требует указания отдельного контекста, т.е. опять же нема иерархии
правильно я понимаю, что перевод с ActiveDirectory в LDAP+SAMBA - это перевод в плоское дерево | | |
| |
| 2.30, odip (?), 18:47, 05/12/2005 [^] [^^] [^^^] [ответить] [п©б╘п▒Б┬≥Б∙≈ п©б╘п▒Б┬≥Б∙≥п©б╘п▒Б┬≥Б∙⌡п©б╘п▒Б┬≥Б∙▓п©б╘п▒Б┬≥я▒я▐Б√░п▒Б√═Б■─п©б╘п▒Б┬≥ц╥я▐Б√░п▒Б√═Б√└п©б╘п▒Б┬≥Б∙⌡я▐Б√░п▒Б√═Б■─я▐Б√░п▒Б√═Б√▒]
| +/– |
>чтобы Самба работала с иерархией, нужно в LDAP иметь UNIX и SAMBA
>учетные записи. Но pam_ldap+nss_ldap вроде не поддерживают иерархию -
Собственно если uid/gid в LDAP, то загнать туда Samba
- это просто добавить еще одну схему ( samba3 )
и добавить специфических аттрибутов
т.е. низя
>сделать иерархические учетные записи UNIX, да и SAMBA требует указания отдельного
>контекста, т.е. опять же нема иерархии
>
>правильно я понимаю, что перевод с ActiveDirectory в LDAP+SAMBA - это перевод
>в плоское дерево
Что такое иерархические учетные записи - если можно с примером ?
В любом случае AD != LDAP+Samba
Если нужно полноценное управление AD - то только Windows
| | |
|
| 1.20, Zerot (?), 11:04, 30/11/2005 [ответить] [﹢﹢﹢] [ · · · ] [↑] [п©б╘п▒Б┬≥Б∙≈ п©б╘п▒Б┬≥Б∙≥п©б╘п▒Б┬≥Б∙⌡п©б╘п▒Б┬≥Б∙▓п©б╘п▒Б┬≥я▒я▐Б√░п▒Б√═Б■─п©б╘п▒Б┬≥ц╥я▐Б√░п▒Б√═Б√└п©б╘п▒Б┬≥Б∙⌡я▐Б√░п▒Б√═Б■─я▐Б√░п▒Б√═Б√▒]
| +/– |
В целом статья грамотная, понравилась
тоже в своё время собирал по крупицам, тогда и под linux еще мало было статей
что хочу добавить - если серверов несколько, удобнее написать скрипт, добавляющий в LDAP полную учетную запись, в т.ч. с полями Samba, а не пользоваться командами net и smbpassword
формулу
nss_base_passwd ou=users,dc=test,dc=ru?one, а вернее
nss_base_passwd ou=users,dc=test,dc=ru?sub попробую, если дойдут руки, она может решить вопрос с иерархической базой UNIX пользователей (хотя остается требование уникальности имени пользователя)
к тому же остается вопрос поддержки иерархии LDAP в Samba
| | |
| |
| 2.28, chas (?), 11:47, 02/12/2005 [^] [^^] [^^^] [ответить] [п©б╘п▒Б┬≥Б∙≈ п©б╘п▒Б┬≥Б∙≥п©б╘п▒Б┬≥Б∙⌡п©б╘п▒Б┬≥Б∙▓п©б╘п▒Б┬≥я▒я▐Б√░п▒Б√═Б■─п©б╘п▒Б┬≥ц╥я▐Б√░п▒Б√═Б√└п©б╘п▒Б┬≥Б∙⌡я▐Б√░п▒Б√═Б■─я▐Б√░п▒Б√═Б√▒]
| +/– |
Было бы хорошо, если бы было меньше подробностей процесса установки, а то смахивает на руководство для чайников по установке приложений из портов. Всетаки тема статьи иная (личное мнение).
Судя по содержанию "make configure" подразумевает "make config".
Судя по использованию
ldap filter = (uid=%u)
исользуется не самая последняя версия Samba, т.к. согласно
http://us2.samba.org/samba/ftp/rc/WHATSNEW-3-0-21rc1.txt
опция ldap filter была Removed.
В связи с этим возникает вопрос, были ли у кого-нибудь следующие проблемы:
1) На samba-cервере
1.1) cat /etc/rc.conf|grep samba
samba_enable="YES"
1.2) cat /etc/rc.conf|grep slapd
slapd_enable="YES"
1.3) /usr/local/etc/rc.d/slapd.sh start
1.4) /usr/local/etc/rc.d/samba.sh start
(другие подробности опускаю, допустим все правильно)
2) На любой станции в сети, например, Unix-станции:
2.1) mount_smbfs ...@samba-сервер/ресурс /mnt
2.2) umount /mnt
2.3) и еще так (п.2.1,2.2) пару раз!
У всех все работает?
Еще раз обращаю внимание, сначала запускаем slapd, затем samba (smbd, nmbd)...
| | |
| |
| |
| 4.32, chas (?), 10:18, 06/12/2005 [^] [^^] [^^^] [ответить] [п©б╘п▒Б┬≥Б∙≈ п©б╘п▒Б┬≥Б∙≥п©б╘п▒Б┬≥Б∙⌡п©б╘п▒Б┬≥Б∙▓п©б╘п▒Б┬≥я▒я▐Б√░п▒Б√═Б■─п©б╘п▒Б┬≥ц╥я▐Б√░п▒Б√═Б√└п©б╘п▒Б┬≥Б∙⌡я▐Б√░п▒Б√═Б■─я▐Б√░п▒Б√═Б√▒]
| +/– |
>
>Запускать в другом порядке бессмысленно.
Не все так просто. Во-первых если запустить в порядке:
1) /usr/local/etc/rc.d/samba.sh start
2) /usr/local/etc/rc.d/slapd.sh start
При старте, возникнут сообщения, что всё не совсем корректно, но тем не менее всё работать будет. Обращу внимание, что по умолчанию, после перезагрузки из /usr/local/etc/rc.d всё именно так и стартует (т.е. в алфавитном порядке, поэтому судя по всему многие даже не обращали на это внимание).
Второй пример, если демон smbd, запускать, через inetd, то тоже все будет работать.
А вот если запустить всё в порядке:
1) /usr/local/etc/rc.d/slapd.sh start
2) /usr/local/etc/rc.d/samba.sh start
то вы вероятно получите, что-то вроде следующего результата:
# mount_smbfs //пользователеь@сервер/папка /mnt
Password:
mount_smbfs: unable to open connection: syserr = Socket is not connected
Есть у кого-то идеи?
| | |
|
|
|
| |
| 2.35, alex (??), 09:32, 11/03/2006 [^] [^^] [^^^] [ответить] [п©б╘п▒Б┬≥Б∙≈ п©б╘п▒Б┬≥Б∙≥п©б╘п▒Б┬≥Б∙⌡п©б╘п▒Б┬≥Б∙▓п©б╘п▒Б┬≥я▒я▐Б√░п▒Б√═Б■─п©б╘п▒Б┬≥ц╥я▐Б√░п▒Б√═Б√└п©б╘п▒Б┬≥Б∙⌡я▐Б√░п▒Б√═Б■─я▐Б√░п▒Б√═Б√▒]
| +/– |
у меня тоже
# id admin
id: admin: no such user
------------
openldap-client-2.2.30
openldap-server-2.2.30
nss_ldap-1.244
samba-3.0.21b,1
-------------
на запрос id admin
в логах /var/log/debug.log такие строки
Mar 11 09:29:11 ns slapd[34697]: conn=45 fd=9 ACCEPT from IP=127.0.0.1:57835 (IP=0.0.0.0:389)
Mar 11 09:29:11 ns slapd[34697]: conn=45 op=0 BIND dn="" method=128
Mar 11 09:29:11 ns slapd[34697]: conn=45 op=0 RESULT tag=97 err=0 text=
Mar 11 09:29:11 ns slapd[34697]: conn=45 op=1 SRCH base="ou=users,dc=test,dc=test-domain,dc=ru" scope=1 deref=0 filter="(&(objectClass=posixAccount)(uid=admin))"
Mar 11 09:29:11 ns slapd[34697]: conn=45 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass shadowLastChange shadowMax shadowExpire
Mar 11 09:29:11 ns slapd[34697]: conn=45 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text=
Mar 11 09:29:11 ns slapd[34697]: conn=45 fd=9 closed
какие будут идеи? | | |
|
| 1.36, alex (??), 11:56, 11/03/2006 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©б╘п▒Б┬≥Б∙≈ п©б╘п▒Б┬≥Б∙≥п©б╘п▒Б┬≥Б∙⌡п©б╘п▒Б┬≥Б∙▓п©б╘п▒Б┬≥я▒я▐Б√░п▒Б√═Б■─п©б╘п▒Б┬≥ц╥я▐Б√░п▒Б√═Б√└п©б╘п▒Б┬≥Б∙⌡я▐Б√░п▒Б√═Б■─я▐Б√░п▒Б√═Б√▒]
| +/– |
нашел в чем дело нужно в /usr/local/etc/openldap/slapd.conf
# Basic ACL
access to attr=userPassword
by self write
by anonymous auth
by dn="uid=root,dc=test,dc=test-domain,dc=ru" write
by * none
access to attrs=sambaLMPassword,sambaNTPassword
by dn="cn=admin,ou=users,dc=test,dc=test-domain,dc=ru" write
by * none
access to *
by dn="uid=root,dc=test,dc=test-domain,dc=ru" write
by * read
| | |
| 1.39, Nick_n (ok), 12:49, 29/07/2006 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©б╘п▒Б┬≥Б∙≈ п©б╘п▒Б┬≥Б∙≥п©б╘п▒Б┬≥Б∙⌡п©б╘п▒Б┬≥Б∙▓п©б╘п▒Б┬≥я▒я▐Б√░п▒Б√═Б■─п©б╘п▒Б┬≥ц╥я▐Б√░п▒Б√═Б√└п©б╘п▒Б┬≥Б∙⌡я▐Б√░п▒Б√═Б■─я▐Б√░п▒Б√═Б√▒]
| +/– |
 Здравствуйте... Помогите пожалуйста разобраться в чем грабли. Имеется FreeBSD 5.2-RELEASE, хочу поднять Samba с хранением в LDAP системных и аккаунтов sambausers. За мануал была принята статья http://rrv.jino-net.ru/Samba3.htm , все пакеты ставились из портов, порты перед установкой проапдейтил cvsup и portupgrade -arfRF . Процесс установки пакета nss_ldap прерывается вот таким образом:
IC -D_REENTRANT -O -pipe -mcpu=pentiumpro -Wall -fPIC -c bsdnss.c
bsdnss.c:111:51: macro "__nss_compat_result" passed 2 arguments, but takes just
1
bsdnss.c: In function '__nss_compat_gethostbyname':
bsdnss.c:111: error: '__nss_compat_result' undeclared (first use in this functio
n)
bsdnss.c:111: error: (Each undeclared identifier is reported only once
bsdnss.c:111: error: for each function it appears in.)
bsdnss.c:132:51: macro "__nss_compat_result" passed 2 arguments, but takes just
1
bsdnss.c: In function '__nss_compat_gethostbyname2':
bsdnss.c:132: error: '__nss_compat_result' undeclared (first use in this functio
n)
bsdnss.c:155:51: macro "__nss_compat_result" passed 2 arguments, but takes just
1
bsdnss.c: In function '__nss_compat_gethostbyaddr':
bsdnss.c:155: error: '__nss_compat_result' undeclared (first use in this functio
n)
gmake: *** [bsdnss.o] Ошибка 1
*** Error code 2
Stop in /usr/ports/net/nss_ldap. | | |
| 1.52, blackmanos (ok), 17:34, 02/12/2006 [ответить] [﹢﹢﹢] [ · · · ] [↓] [↑] [п©б╘п▒Б┬≥Б∙≈ п©б╘п▒Б┬≥Б∙≥п©б╘п▒Б┬≥Б∙⌡п©б╘п▒Б┬≥Б∙▓п©б╘п▒Б┬≥я▒я▐Б√░п▒Б√═Б■─п©б╘п▒Б┬≥ц╥я▐Б√░п▒Б√═Б√└п©б╘п▒Б┬≥Б∙⌡я▐Б√░п▒Б√═Б■─я▐Б√░п▒Б√═Б√▒]
| +/– |
 Привет All! Нужен хелп уже не стартует ldap делал по статье http://argo-uln.blogspot.com/2006/08/samba-3-pdc-ldap-freebsd-61.html
ldap пишет в лог воттакую лабуду:
Dec 2 16:23:53 lordos slapd[669]: /usr/local/etc/openldap/slapd.conf: line 33: rootdn is always granted unlimited privileges.
Dec 2 16:23:53 lordos slapd[669]: /usr/local/etc/openldap/slapd.conf: line 35: rootdn is always granted unlimited privileges.
Dec 2 16:23:53 lordos slapd[669]: /usr/local/etc/openldap/slapd.conf: line 37: rootdn is always granted unlimited privileges.
Dec 2 16:23:53 lordos slapd[669]: /usr/local/etc/openldap/slapd.conf: line 39: rootdn is always granted unlimited privileges.
Dec 2 16:23:53 lordos slapd[669]: /usr/local/etc/openldap/slapd.conf: line 41: rootdn is always granted unlimited privileges.
Dec 2 16:23:53 lordos slapd[669]: /usr/local/etc/openldap/slapd.conf: line 43: rootdn is always granted unlimited privileges.
Dec 2 16:23:53 lordos slapd[669]: /usr/local/etc/openldap/slapd.conf: line 45: rootdn is always granted unlimited privileges.
Dec 2 16:23:53 lordos slapd[669]: /usr/local/etc/openldap/slapd.conf: line 47: rootdn is always granted unlimited privileges.
что соответствует строке
#any users can authenticate and change his password
33 access to attrs=userPassword,sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaPwdMustChange by dn="cn=Manager,dc=test,dc=ru" write by self write by anonymous auth by * none
и т,д, в томже духе!!! что соответствует строкам начинающимся с access to
Уже незнаю чё делать!!!! | | |
|
