Привет всем. После перерыва появилось время вернуться к настройке samba + ldap. Сначала опишу по шагам что я делал. Потом вопросы.
----------------------------------- что делал ----------------------- 1. поставил самбу из пакетов, которые можно взять по адресу http://us2.samba.org/samba/ftp/Binary_Packages/Debian/samba3/dists/stable/main/binary-i386/ 2. задал следующие настройки для самбы smb.conf: [global] netbios name = warasi workgroup = nezabudka server string = %h server (Samba %v) log file = /var/log/samba/log.%m max log size = 1000 log level = 2 passdb backend = ldapsam:ldap://warasi.nezabudka.ru ldap admin dn = cn=admin,dc=nezabudka,dc=ru ldap suffix = ou=samba,dc=nezabudka,dc=ru ldap delete dn = no ldap user suffix = ou=_people ldap group suffix = ou=_groups ldap machine suffix = ou=_computers ldap filter = (&(uid=%u)(objectclass=sambaSamAccount)) obey pam restrictions = yes os level = 255 domain master = yes preferred master = yes local master = yes security = user encrypt passwords = true unix password sync = no domain logons = yes wins support = yes panic action = /usr/share/samba/panic-action %d load printers = no socket options = TCP_NODELAY [netlogon] comment = Network Logon Service path = /home/samba/netlogon guest ok = yes writable = no share modes = no end of smb.conf 3. задал пароль для обращения к ldap #smbpasswd -w mega_password Setting stored password for "cn=admin,dc=nezabudka,dc=ru" in secrets.tdb 4. получил localsid. # net getlocalsid SID for domain WARASI is: S-1-5-21-1388057051-2671451769-3711989605 5. прописал в ldap: dn: dc=nezabudka,dc=ru objectClass: top objectClass: dcObject objectClass: organization o: Nezabudka dc: nezabudka structuralObjectClass: organization dn: cn=admin,dc=nezabudka,dc=ru objectClass: simpleSecurityObject objectClass: organizationalRole cn: admin description: LDAP administrator structuralObjectClass: organizationalRole userPassword:: secret dn: ou=samba,dc=nezabudka,dc=ru ou: samba objectClass: organizationalUnit objectClass: top structuralObjectClass: organizationalUnit dn: ou=_people,ou=samba,dc=nezabudka,dc=ru objectClass: organizationalunit ou: _people structuralObjectClass: organizationalunit dn: ou=_groups,ou=samba,dc=nezabudka,dc=ru objectClass: organizationalunit ou: _groups structuralObjectClass: organizationalunit dn: ou=_computers,ou=samba,dc=nezabudka,dc=ru objectClass: organizationalunit ou: _computers structuralObjectClass: organizationalunit 6. запустил pdbedit, после чего в ldap появилось следующее: dn: sambaDomainName=NEZABUDKA,ou=samba,dc=nezabudka,dc=ru sambaDomainName: NEZABUDKA sambaSID: S-1-5-21-1388057051-2671451769-3711989605 sambaAlgorithmicRidBase: 1000 objectClass: sambaDomain structuralObjectClass: sambaDomain 7. Дальше задаем группу Domain Admins и мега юзера. можно руками, можно через net. dn: cn=Domain Admins,ou=_groups,ou=samba,dc=nezabudka,dc=ru sambaSID: S-1-5-21-1388057051-2671451769-3711989605-512 sambaGroupType: 2 memberUid: root cn: Domain Admins objectClass: sambaGroupMapping objectClass: posixGroup objectClass: top structuralObjectClass: posixGroup gidNumber: 0 dn: uid=root,ou=_people,ou=samba,dc=nezabudka,dc=ru cn: root sn: administrator objectClass: inetOrgPerson objectClass: sambaSAMAccount objectClass: posixAccount gidNumber: 512 uid: root uidNumber: 998 homeDirectory: /dev/null sambaPwdLastSet: 0 sambaLogonTime: 0 sambaPwdCanChange: 0 sambaPrimaryGroupSID: S-1-5-21-1388057051-2671451769-3711989605-512 sambaLMPassword: и все такое закодированное sambaNTPassword: и все такое по другому закодированное sambaAcctFlags: [U ] sambaSID: S-1-5-21-1388057051-2671451769-3711989605-500 loginShell: /bin/false gecos: Netbios Domain Administrator structuralObjectClass: inetOrgPerson ---------------------- конец того чего делал. ------------- И после всего этого имею следующие неотвеченные вопросы: 1. как добавить машину в домен ? во всех доках how-to и прочая написано что нужно обязательно делать сначала adduser а потом уже скриптами от idealx добавлять в ldap. это непонятно. собственно ldap и городился затем чтобы отделить виндовую сетку ( и вообще параметры пользователей ) от юниксовых аккаунтов. 2. Если все используют скрипты от idealx и другого штатного пути нет ( в смысле готовых реализаций ), то почему нигде не приводятся примеры настройки и интеграции их с самбой, то есть параметры для smb.conf нигде толком не описаны. add user script, delete user script, add group script, delete group script, add user to group script, delete user from group script, set primary group script, add machine script, passwd program. буду очень рад примерам работающих конфигураций. eugene v. samusev
