Re: SAMBA+LDAP x Windows XP - mudar senha pelo XP-Acesso negado - RESOLVIDO
Edmundo Agora deu certo... nem precisei do ou=Users no slapd.conf eu apenas comentei o unix password sync = yes passwd program = /usr/sbin/smbldap-passwd -u %u passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n no meu smb.conf. Estou conseguindo autenticar as maq windows e alterar a senha. Muito obrigado pelas dicas. Abraço Pedro Edmundo Valle Neto escreveu: Debian escreveu: (...) Eu reiniciei o servidor, o micro, exclui e inclui o usuário novamente, mas não deu certo, não consigo alterar a senha pelo windows xp não, retorna a mensagem que não tenho permissão para alterar a senha. Estou enviando meu arquivo smb.conf, slapd.conf e um um trecho do log onde com a saída de qdo tento alterar a senha. Se puder dar uma olhada eu agradeço. Abraço Pedro (...) # Sincronização das senha dos usuários unix password sync = yes passwd program = /usr/sbin/smbldap-passwd -u %u passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n ldap passwd sync = yes Favor reler os e-mails anteriores ou a documentação do smbldap-tools, a respeito da sincronização de senhas, a resposta já foi dada e está lá. (...) #SLAPD.CONF (...) ### # ACL's PARA BASE DE DADOS ### access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange by dn=cn=admin,ou=Users,dc=ljussara write Isso já não foi respondido no e-mail anterior? Você não está notando nada de diferente nestas linhas? by anonymous auth by self write by * none access to * by dn=cn=admin,dc=ljussara write by * read Edmundo Valle Neto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: SAMBA+LDAP x Windows XP - Autenticando - mudar senha pelo XP
Edmundo Valle Neto escreveu: Pedro Celio escreveu: */Edmundo Valle Neto [EMAIL PROTECTED]/* escreveu: Debian escreveu: (...) Por algum motivo as contas que estou tentando criar pelo phpldapadmin no logam no windows XP de forma alguma. Ento tentei usar uma linha de comando daquele material que me passou. smbldap-useradd -a -G 513 -m -s /bin/bash -d /home/pedro -F /home/pedro/profile -D Z: -E /home/netlogon/logon.bat -P pedro Normalmente no necessrio colocar tantos flags, simplesmente "smbldap-useradd -a -m usuario" suficiente, grande parte das opes os scripts pegam do arquivo de configurao deles. registrei a senha, e consegui logar no windows XP. Porm, qdo logo com este usurio, o Windows d a seguinte mensagem " O Windows no pode localizar a cpia do servidor de perfil mvel e esta tentando utilizar o perfil local." Qdo o sistema inicia ele no deixa mudar para perfil local, esta opo fica desativada. E qdo fao logoff perco todas as configuraes que fiz no sistema. Est faltando fazer alguma coisa? No utilizo perfis, na verdade eu desabilito eles no samba. (...) * Como eu fao para desabilitar os perfis pelo samba, seria de grande ajuda Obrigado Pedro Segundo a documentao do samba existem trs maneiras, a maneira de se fazer isso atravs do samba alterando as opes "logon path" e "logon home", tipo: ... logon path = logon home = ... Funcionou perfeitamente, agora estou conseguindo autenticar corretamente as mquinas com o Windows XP. Valeu mesmo pelas dicas e pela pacincia. Eu estava tentando fazer com que os usurios pudessem eles mesmos alterar a senha da rede pelo windows XP. Mas qdo tendo aparece a mensagem de que no tenho acesso. Dando uma olhada naquele material que me mandou sobre o smbldap-tools, encontrei uma parte a respeito na configurao do slapd.conf no que diz respeito ao acesso a base de dados. access to attrs=userPassword, sambaNTPassword, sambaLMPassword by dn="cn=admin, dc=ljussara" write by anonymous auth by self write by * none eu acrescentei o ou=Users by dn="cn=admin, ou=Users,dc=ljussara" write mas no deu certo no. alguma coisa por aqui que precisa ser mudada? Eu preciso dar acesso aos usurios para gravar (chmod 666) no /var/lib/ldap ? Desde j muito obrigado Pedro Voc tambm no pode ter isso definido individualmente, portanto retire a opo sambaProfilePath que voc colocou nas contas. Edmundo Valle Neto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: SAMBA+LDAP x Windows XP - Autenticando - mudar senha pelo XP
Edmundo Valle Neto escreveu: Pedro Celio escreveu: */Edmundo Valle Neto [EMAIL PROTECTED]/* escreveu: Debian escreveu: (...) Por algum motivo as contas que estou tentando criar pelo phpldapadmin no logam no windows XP de forma alguma. Ento tentei usar uma linha de comando daquele material que me passou. smbldap-useradd -a -G 513 -m -s /bin/bash -d /home/pedro -F /home/pedro/profile -D Z: -E /home/netlogon/logon.bat -P pedro Normalmente no necessrio colocar tantos flags, simplesmente "smbldap-useradd -a -m usuario" suficiente, grande parte das opes os scripts pegam do arquivo de configurao deles. registrei a senha, e consegui logar no windows XP. Porm, qdo logo com este usurio, o Windows d a seguinte mensagem " O Windows no pode localizar a cpia do servidor de perfil mvel e esta tentando utilizar o perfil local." Qdo o sistema inicia ele no deixa mudar para perfil local, esta opo fica desativada. E qdo fao logoff perco todas as configuraes que fiz no sistema. Est faltando fazer alguma coisa? No utilizo perfis, na verdade eu desabilito eles no samba. (...) * Como eu fao para desabilitar os perfis pelo samba, seria de grande ajuda Obrigado Pedro Segundo a documentao do samba existem trs maneiras, a maneira de se fazer isso atravs do samba alterando as opes "logon path" e "logon home", tipo: ... logon path = logon home = ... Funcionou perfeitamente, agora estou conseguindo autenticar corretamente as mquinas com o Windows XP. Valeu mesmo pelas dicas e pela pacincia. Eu estava tentando fazer com que os usurios pudessem eles mesmos alterar a senha da rede pelo windows XP. Mas qdo tendo aparece a mensagem de que no tenho acesso. Dando uma olhada naquele material que me mandou sobre o smbldap-tools, encontrei uma parte a respeito na configurao do slapd.conf no que diz respeito ao acesso a base de dados. access to attrs=userPassword, sambaNTPassword, sambaLMPassword by dn="cn=admin, dc=ljussara" write by anonymous auth by self write by * none eu acrescentei o ou=Users by dn="cn=admin, ou=Users,dc=ljussara" write mas no deu certo no. alguma coisa por aqui que precisa ser mudada? Eu preciso dar acesso aos usurios para gravar (chmod 666) no /var/lib/ldap ? Desde j muito obrigado Pedro Voc tambm no pode ter isso definido individualmente, portanto retire a opo sambaProfilePath que voc colocou nas contas. Edmundo Valle Neto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: SAMBA+LDAP x Windows XP - mudar senha pelo XP
Segundo a documentao do samba existem trs maneiras, a maneira de se fazer isso atravs do samba alterando as opes "logon path" e "logon home", tipo: ... logon path = logon home = ... Funcionou perfeitamente, agora estou conseguindo autenticar corretamente as mquinas com o Windows XP. Valeu mesmo pelas dicas e pela pacincia. Eu estava tentando fazer com que os usurios pudessem eles mesmos alterar a senha da rede pelo windows XP. Mas qdo tendo aparece a mensagem de que no tenho acesso. Dando uma olhada naquele material que me mandou sobre o smbldap-tools, encontrei uma parte a respeito na configurao do slapd.conf no que diz respeito ao acesso a base de dados. access to attrs=userPassword, sambaNTPassword, sambaLMPassword by dn="cn=admin, dc=ljussara" write by anonymous auth by self write by * none eu acrescentei o ou=Users by dn="cn=admin, ou=Users,dc=ljussara" write mas no deu certo no. alguma coisa por aqui que precisa ser mudada? Eu preciso dar acesso aos usurios para gravar (chmod 666) no /var/lib/ldap ? Desde j muito obrigado Pedro Voc tambm no pode ter isso definido individualmente, portanto retire a opo sambaProfilePath que voc colocou nas contas. Edmundo Valle Neto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: SAMBA+LDAP x Windows XP - Autenticando - mudar senha pelo XP
Debian escreveu: (...) Funcionou perfeitamente, agora estou conseguindo autenticar corretamente as máquinas com o Windows XP. Valeu mesmo pelas dicas e pela paciência. Eu estava tentando fazer com que os usuários pudessem eles mesmos alterar a senha da rede pelo windows XP. Mas qdo tendo aparece a mensagem de que não tenho acesso. Dando uma olhada naquele material que me mandou sobre o smbldap-tools, encontrei uma parte a respeito na configuração do slapd.conf no que diz respeito ao acesso a base de dados. /access to attrs=userPassword, sambaNTPassword, sambaLMPassword by dn=cn=admin, dc=ljussara write by anonymous auth by self write by * none / Você não deveria precisar alterar isso, (somente acrescentar os atributos do samba para que os hashes não sejam vistos por qualquer um), a instalação da base deveria ter colocado esta linha pra você. Mas sim ela precisa estar lá. E conforme a RFC2253 Distinguished Names ou dn NÃO PODEM CONTER ESPAÇOS. Tire os espaços que você colocou após cada vírgula e reinicie o ldap. //eu acrescentei o ou=Users /by dn=cn=admin, ou=Users,dc=ljussara write/ mas não deu certo não. É alguma coisa por aqui que precisa ser mudada? Eu preciso dar acesso aos usuários para gravar (chmod 666) no /var/lib/ldap ? Se você fizer isso qualquer usuário vai conseguir alterar os arquivos da base. Ou seja, NÃO. Desde já muito obrigado Pedro Você também não pode ter isso definido individualmente, portanto retire a opção sambaProfilePath que você colocou nas contas. Edmundo Valle Neto Atenciosamente. Edmundo Valle Neto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: SAMBA+LDAP x Windows XP - mudar senha pelo XP-Acesso negado
Ignore a quantidade de mensgens anteriores, estavam demorando a entrar na lista qdo enviava, por isso mandei várias vezes, mas vc respondeu anteriormente. Funcionou perfeitamente, agora estou conseguindo autenticar corretamente as máquinas com o Windows XP. Valeu mesmo pelas dicas e pela paciência. Eu estava tentando fazer com que os usuários pudessem eles mesmos alterar a senha da rede pelo windows XP. Mas qdo tendo aparece a mensagem de que não tenho acesso. Dando uma olhada naquele material que me mandou sobre o smbldap-tools, encontrei uma parte a respeito na configuração do slapd.conf no que diz respeito ao acesso a base de dados. /access to attrs=userPassword, sambaNTPassword, sambaLMPassword by dn=cn=admin, dc=ljussara write by anonymous auth by self write by * none / Você não deveria precisar alterar isso, (somente acrescentar os atributos do samba para que os hashes não sejam vistos por qualquer um), a instalação da base deveria ter colocado esta linha pra você. Mas sim ela precisa estar lá. E conforme a RFC2253 Distinguished Names ou dn NÃO PODEM CONTER ESPAÇOS. Tire os espaços que você colocou após cada vírgula e reinicie o ldap. Os espaços foram um erro de digitação no email, no arquivo original eles não existem. //eu acrescentei o ou=Users /by dn=cn=admin, ou=Users,dc=ljussara write/ mas não deu certo não. É alguma coisa por aqui que precisa ser mudada? Eu preciso dar acesso aos usuários para gravar (chmod 666) no /var/lib/ldap ? Se você fizer isso qualquer usuário vai conseguir alterar os arquivos da base. Ou seja, NÃO. Desde já muito obrigado Pedro Você também não pode ter isso definido individualmente, portanto retire a opção sambaProfilePath que você colocou nas contas. Edmundo Valle Neto Atenciosamente. Edmundo Valle Neto Eu reiniciei o servidor, o micro, exclui e inclui o usuário novamente, mas não deu certo, não consigo alterar a senha pelo windows xp não, retorna a mensagem que não tenho permissão para alterar a senha. Estou enviando meu arquivo smb.conf, slapd.conf e um um trecho do log onde com a saída de qdo tento alterar a senha. Se puder dar uma olhada eu agradeço. Abraço Pedro #LOG 2007/07/13 03:58:40, 2] smbd/reply.c:reply_special(236) netbios connect: name1=SERVSAMBA name2=MAQ97 [2007/07/13 03:58:40, 2] smbd/reply.c:reply_special(243) netbios connect: local=servsamba remote=maq97, name type = 0 [2007/07/13 03:58:40, 0] lib/util_sock.c:write_socket_data(430) write_socket_data: write failure. Error = Connection reset by peer [2007/07/13 03:58:40, 0] lib/util_sock.c:write_socket(455) write_socket: Error writing 4 bytes to socket 5: ERRNO = Connection reset by peer [2007/07/13 03:58:40, 0] lib/util_sock.c:send_smb(647) Error writing 4 bytes to client. -1. (Connection reset by peer) [2007/07/13 03:58:40, 2] smbd/server.c:exit_server(609) Closing connections [2007/07/13 03:58:40, 2] lib/smbldap.c:smbldap_open_connection(692) smbldap_open_connection: connection opened [2007/07/13 03:58:40, 2] passdb/pdb_ldap.c:init_sam_from_ldap(499) init_sam_from_ldap: Entry found for user: nilson [2007/07/13 03:58:43, 2] smbd/chgpasswd.c:expect(281) expect: Success [2007/07/13 03:58:43, 2] passdb/pdb_ldap.c:init_sam_from_ldap(499) init_sam_from_ldap: Entry found for user: nilson [2007/07/13 03:58:46, 2] smbd/chgpasswd.c:expect(281) expect: Success [2007/07/13 03:58:48, 2] smbd/server.c:exit_server(609) Closing connections #SMB.CONF # SERVIDOR SAMBA/LDAP #=== Global Settings === [global] workgroup = JUSSARA server string = Serv. Samba netbios name = ServSamba wins support = yes dns proxy = no name resolve order = lmhosts host wins bcast Debugging/Accounting log level = 2 log file = /var/log/samba/samba.log max log size = 1000 ; syslog only = no syslog = 0 panic action = /usr/share/samba/panic-action %d ### Authentication ### security = user encrypt passwords = yes passdb backend = ldapsam:ldap://127.0.0.1 # passdb expand explicit = no obey pam restrictions = no ; guest account = nobody ; invalid users = root # username map /etc/samba/smbusers # Sincronização das senha dos usuários unix password sync = yes passwd program = /usr/sbin/smbldap-passwd -u %u passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n ldap passwd sync = yes # ldap ssl = start_tsl ldap admin dn = cn=admin,dc=ljussara ldap suffix = dc=ljussara ldap group suffix = ou=Groups ldap user suffix = ou=Users ldap machine suffix = ou=Computers ldap idmap suffix = ou=Idmap ldap delete dn = yes #Configurações dos scripts de adição/exclusão de usuários add user script = /usr/sbin/smbldap-useradd -m %u add machine script = /usr/sbin/smbldap-useradd -w %u add group script = /usr/sbin/smbldap-groupadd -p %g add user to group script = /usr/sbin/smbldap-groupmod -m %u %g delete user script =
Re: SAMBA+LDAP x Windows XP - mudar senha pelo XP-Acesso negado
Debian escreveu: (...) Eu reiniciei o servidor, o micro, exclui e inclui o usuário novamente, mas não deu certo, não consigo alterar a senha pelo windows xp não, retorna a mensagem que não tenho permissão para alterar a senha. Estou enviando meu arquivo smb.conf, slapd.conf e um um trecho do log onde com a saída de qdo tento alterar a senha. Se puder dar uma olhada eu agradeço. Abraço Pedro (...) # Sincronização das senha dos usuários unix password sync = yes passwd program = /usr/sbin/smbldap-passwd -u %u passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n ldap passwd sync = yes Favor reler os e-mails anteriores ou a documentação do smbldap-tools, a respeito da sincronização de senhas, a resposta já foi dada e está lá. (...) #SLAPD.CONF (...) ### # ACL's PARA BASE DE DADOS ### access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange by dn=cn=admin,ou=Users,dc=ljussara write Isso já não foi respondido no e-mail anterior? Você não está notando nada de diferente nestas linhas? by anonymous auth by self write by * none access to * by dn=cn=admin,dc=ljussara write by * read Edmundo Valle Neto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: SAMBA+LDAP x Windows XP - NÃO RESOLVIDO - QUASE CERTO
Edmundo Valle Neto escreveu: Debian escreveu: (...) Olá Edmundo, Fiz os acertos conforme vc tinha comentando acima, mas ainda não deu. Removi pelo phpldapadmin a maquina que tinha adicionado manualmente (maq97) para ver se o script ia adicionar ela mas também não foi. Independentemente de como a máquina foi adicionada NÃO PODE haver nenhuma conta existente com o nome da máquina ou ela não será criada por já existir. Eu postei abaixo o log do samba, para que se possível vc analisasse. Estou estudando o material da idealx que vc enviou para chegar alguma inconsistência em outros arquivos. Desde já muito obrigado Pedro Log samba [2007/07/11 06:30:13, 0] lib/util_sock.c:get_peer_addr(1150) getpeername failed. Error was Transport endpoint is not connected [2007/07/11 06:30:13, 2] smbd/reply.c:reply_special(236) netbios connect: name1=SERVSAMBA name2=MAQ97 [2007/07/11 06:30:13, 2] smbd/reply.c:reply_special(243) netbios connect: local=servsamba remote=maq97, name type = 0 [2007/07/11 06:30:13, 0] lib/util_sock.c:write_socket_data(430) write_socket_data: write failure. Error = Connection reset by peer [2007/07/11 06:30:13, 0] lib/util_sock.c:write_socket(455) write_socket: Error writing 4 bytes to socket 25: ERRNO = Connection reset by peer [2007/07/11 06:30:13, 0] lib/util_sock.c:send_smb(647) Error writing 4 bytes to client. -1. (Connection reset by peer) [2007/07/11 06:30:13, 2] smbd/server.c:exit_server(609) Closing connections [2007/07/11 06:30:13, 2] smbd/sesssetup.c:setup_new_vc_session(608) setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources. [2007/07/11 06:30:13, 2] smbd/sesssetup.c:setup_new_vc_session(608) setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources. [2007/07/11 06:30:13, 2] lib/smbldap.c:smbldap_open_connection(692) smbldap_open_connection: connection opened [2007/07/11 06:30:13, 2] passdb/pdb_ldap.c:init_sam_from_ldap(499) init_sam_from_ldap: Entry found for user: adm [2007/07/11 06:30:13, 2] passdb/pdb_ldap.c:init_group_from_ldap(2000) init_group_from_ldap: Entry found for group: 544 [2007/07/11 06:30:13, 2] auth/auth.c:check_ntlm_password(305) check_ntlm_password: authentication for user [adm] - [adm] - [adm] succeeded [2007/07/11 06:30:13, 2] smbd/server.c:exit_server(609) Closing connections [2007/07/11 06:30:14, 0] lib/util_sock.c:get_peer_addr(1150) getpeername failed. Error was Transport endpoint is not connected [2007/07/11 06:30:14, 2] smbd/reply.c:reply_special(236) netbios connect: name1=SERVSAMBA name2=MAQ97 [2007/07/11 06:30:14, 2] smbd/reply.c:reply_special(243) netbios connect: local=servsamba remote=maq97, name type = 0 [2007/07/11 06:30:14, 0] lib/util_sock.c:write_socket_data(430) write_socket_data: write failure. Error = Connection reset by peer [2007/07/11 06:30:14, 0] lib/util_sock.c:write_socket(455) write_socket: Error writing 4 bytes to socket 25: ERRNO = Connection reset by peer [2007/07/11 06:30:14, 0] lib/util_sock.c:send_smb(647) Error writing 4 bytes to client. -1. (Connection reset by peer) [2007/07/11 06:30:14, 2] smbd/server.c:exit_server(609) Closing connections [2007/07/11 06:30:14, 2] smbd/sesssetup.c:setup_new_vc_session(608) setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources. [2007/07/11 06:30:14, 2] smbd/sesssetup.c:setup_new_vc_session(608) setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources. [2007/07/11 06:30:14, 2] lib/smbldap.c:smbldap_open_connection(692) smbldap_open_connection: connection opened [2007/07/11 06:30:14, 2] passdb/pdb_ldap.c:init_sam_from_ldap(499) init_sam_from_ldap: Entry found for user: adm [2007/07/11 06:30:14, 2] passdb/pdb_ldap.c:init_group_from_ldap(2000) init_group_from_ldap: Entry found for group: 544 [2007/07/11 06:30:14, 2] auth/auth.c:check_ntlm_password(305) check_ntlm_password: authentication for user [adm] - [adm] - [adm] succeeded [2007/07/11 06:30:14, 2] rpc_server/srv_samr_nt.c:_samr_lookup_domain(2580) Returning domain sid for domain JUSSARA - S-1-5-21-421843368-2739757111-592531848 Unknown option: t (c) IDEALX 2004 (http://www.idealx.com)- Licenced under GPL [2007/07/11 06:30:16, 0] rpc_server/srv_samr_nt.c:_samr_create_user(2324) _samr_create_user: Running the command `/usr/sbin/smbldap-useradd -t 5 -w maq97$' gave 1 gave 1, o teu script deu erro e não reconheceu t como uma opção válida. Você não fez todos os acertos que deveria. [2007/07/11 06:30:16, 2] smbd/server.c:exit_server(609) Closing connections Atenciosamente. Edmundo Valle Neto Olá Edmundo, Realmente -t do script para adicionar a máquina no domínio estava atrapalhando. Retirei esta opção, e consegui ingressar com a máquina no domínio corretamente. Porém agora, a máquina com XP não consegue logar com nenhum usuário criado no ldap. Exclui, criei o usuário novamente e nada. No W98 ele está
Re: SAMBA+LDAP x Windows XP - NÃO RESOLVIDO - QUASE CERTO
Debian escreveu: (...) Olá Edmundo, Realmente -t do script para adicionar a máquina no domínio estava atrapalhando. Retirei esta opção, e consegui ingressar com a máquina no domínio corretamente. Porém agora, a máquina com XP não consegue logar com nenhum usuário criado no ldap. Exclui, criei o usuário novamente e nada. No W98 ele está logando, se entro como administrador da máquina local e acesso o compartilhamento samba pelo explorer com o usuário e senha que testei também funciona. O problema está mesmo na hora de logar na máquina. O usuário foi criado no container do dominio samba, conferi sua pasta no home/usuario. Conforme seus e-mails anteriores: ldap user suffix = ou=Users Se você configurou o samba para procurar os usuários em uma unidade organizacional chamada Users porque você está criando eles fora dela? Estou enviando abaixo a saida do log samba, e a estrutura do usuário que estou usando para logar no sistema, para que se possível pudesse analisar e me dizer se tem algum erro. Desde já muito obrigado. Pedro Executei o slapcat e coloquei a saída deste usuário abaixo. # id=0019 dn: uid=pedro,sambaDomainName=JUSSARA,dc=ljussara sambaDomainName não é um lugar para se criar usuários. Achei que já tinha ficado claro nos e-mails anteriores que as ous Users, Groups e Machines servem para armazenar as contas. cn: pedro displayName:: cGVkcm8g gecos:: cGVkcm8g gidNumber: 513 homeDirectory: /home/pedro loginShell: /bin/bash sambaAcctFlags: [U ] sambaPrimaryGroupSID: S-1-5-21-4147564533-719371898-3834029857-513 sambaSID: S-1-5-21-4147564533-719371898-3834029857-3010 shadowLastChange: 11778 uid: pedro uidNumber: 1005 userPassword:: e01ENX1ua1dBTDJWOUgycy8rUHdSNTFwSTBBPT0= sambaLMPassword: 77B2354D1217F31CAAD3B435B51404EE sambaNTPassword: A42E3ADEC85F42B1BAE18EA526EF4825 sambaPwdCanChange: 1182198196 sambaPwdLastSet: 1182198196 sambaPwdMustChange: 2147483647 objectClass: top objectClass: account objectClass: posixAccount objectClass: shadowAccount objectClass: sambaSamAccount structuralObjectClass: account entryUUID: 7f193f5c-b225-102b-8766-c44694b66b25 creatorsName: cn=admin,dc=ljussara createTimestamp: 20070618202318Z entryCSN: 20070618202318Z#01#00#00 modifiersName: cn=admin,dc=ljussara modifyTimestamp: 20070618202318Z (...) Atenciosamente. Edmundo Valle Neto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: SAMBA+LDAP x Windows XP - NÃO RESOLVIDO - QUASE CERTO
Edmundo Valle Neto escreveu: Debian escreveu: (...) Olá Edmundo, Realmente -t do script para adicionar a máquina no domínio estava atrapalhando. Retirei esta opção, e consegui ingressar com a máquina no domínio corretamente. Porém agora, a máquina com XP não consegue logar com nenhum usuário criado no ldap. Exclui, criei o usuário novamente e nada. No W98 ele está logando, se entro como administrador da máquina local e acesso o compartilhamento samba pelo explorer com o usuário e senha que testei também funciona. O problema está mesmo na hora de logar na máquina. O usuário foi criado no container do dominio samba, conferi sua pasta no home/usuario. Conforme seus e-mails anteriores: ldap user suffix = ou=Users Se você configurou o samba para procurar os usuários em uma unidade organizacional chamada Users porque você está criando eles fora dela? Olá, alguns tutoriais que usei acabaram me confundindo a este respeito, neles pedia-se para criar as contas dentro sambaDomainName. Estou enviando abaixo a saida do log samba, e a estrutura do usuário que estou usando para logar no sistema, para que se possível pudesse analisar e me dizer se tem algum erro. Desde já muito obrigado. Pedro Executei o slapcat e coloquei a saída deste usuário abaixo. # id=0019 dn: uid=pedro,sambaDomainName=JUSSARA,dc=ljussara sambaDomainName não é um lugar para se criar usuários. Achei que já tinha ficado claro nos e-mails anteriores que as ous Users, Groups e Machines servem para armazenar as contas. cn: pedro displayName:: cGVkcm8g gecos:: cGVkcm8g gidNumber: 513 homeDirectory: /home/pedro loginShell: /bin/bash sambaAcctFlags: [U ] sambaPrimaryGroupSID: S-1-5-21-4147564533-719371898-3834029857-513 sambaSID: S-1-5-21-4147564533-719371898-3834029857-3010 shadowLastChange: 11778 uid: pedro uidNumber: 1005 userPassword:: e01ENX1ua1dBTDJWOUgycy8rUHdSNTFwSTBBPT0= sambaLMPassword: 77B2354D1217F31CAAD3B435B51404EE sambaNTPassword: A42E3ADEC85F42B1BAE18EA526EF4825 sambaPwdCanChange: 1182198196 sambaPwdLastSet: 1182198196 sambaPwdMustChange: 2147483647 objectClass: top objectClass: account objectClass: posixAccount objectClass: shadowAccount objectClass: sambaSamAccount structuralObjectClass: account entryUUID: 7f193f5c-b225-102b-8766-c44694b66b25 creatorsName: cn=admin,dc=ljussara createTimestamp: 20070618202318Z entryCSN: 20070618202318Z#01#00#00 modifiersName: cn=admin,dc=ljussara modifyTimestamp: 20070618202318Z Por algum motivo as contas que estou tentando criar pelo phpldapadmin não logam no windows XP de forma alguma. Então tentei usar uma linha de comando daquele material que me passou. smbldap-useradd -a -G 513 -m -s /bin/bash -d /home/pedro -F /home/pedro/profile -D Z: -E /home/netlogon/logon.bat -P pedro registrei a senha, e consegui logar no windows XP. Porém, qdo logo com este usuário, o Windows dá a seguinte mensagem O Windows não pode localizar a cópia do servidor de perfil móvel e esta tentando utilizar o perfil local. Qdo o sistema inicia ele não deixa mudar para perfil local, esta opção fica desativada. E qdo faço logoff perco todas as configurações que fiz no sistema. Está faltando fazer alguma coisa? Estou mandando abaixo as novas propriedades do usuário criado através da linha de comando Mais uma vez muito obrigado Pedro dn: uid=pedro,ou=Users,dc=ljussara objectClass: top objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount objectClass: sambaSamAccount cn: pedro sn: pedro uid: pedro uidNumber: 1004 gidNumber: 513 homeDirectory: /home/pedro loginShell: /bin/bash gecos: System User description: System User structuralObjectClass: inetOrgPerson entryUUID: 6c9b0ab4-c48f-102b-9a64-b5cf43f95731 creatorsName: cn=admin,dc=ljussara createTimestamp: 20070712064655Z sambaLogonTime: 0 sambaLogoffTime: 2147483647 sambaKickoffTime: 2147483647 sambaPwdCanChange: 0 displayName: System User sambaSID: S-1-5-21-421843368-2739757111-592531848-3008 sambaPrimaryGroupSID: S-1-5-21-421843368-2739757111-592531848-513 sambaLogonScript: /home/netlogon/logon.bat sambaProfilePath: /home/pedro/profile sambaHomeDrive: z: sambaLMPassword: 507CD9234587B5E8AAD3B435B51404EE sambaAcctFlags: [U] sambaNTPassword: A1E45A379732590CF46D919E7D9DA708 sambaPwdLastSet: 1184222828 sambaPwdMustChange: 1192776428 userPassword:: e01ENX1qbUFOVXlzcURGTkZYWXFJTGJRYmhnPT0= entryCSN: 20070712064708Z#02#00#00 modifiersName: cn=admin,dc=ljussara modifyTimestamp: 20070712064708Z (...) Atenciosamente. Edmundo Valle Neto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: SAMBA+LDAP x Windows XP - NÃO RESOLVIDO - QUASE CERTO
Debian escreveu: (...) Por algum motivo as contas que estou tentando criar pelo phpldapadmin não logam no windows XP de forma alguma. Então tentei usar uma linha de comando daquele material que me passou. smbldap-useradd -a -G 513 -m -s /bin/bash -d /home/pedro -F /home/pedro/profile -D Z: -E /home/netlogon/logon.bat -P pedro Normalmente não é necessário colocar tantos flags, simplesmente smbldap-useradd -a -m usuario é suficiente, grande parte das opções os scripts pegam do arquivo de configuração deles. registrei a senha, e consegui logar no windows XP. Porém, qdo logo com este usuário, o Windows dá a seguinte mensagem O Windows não pode localizar a cópia do servidor de perfil móvel e esta tentando utilizar o perfil local. Qdo o sistema inicia ele não deixa mudar para perfil local, esta opção fica desativada. E qdo faço logoff perco todas as configurações que fiz no sistema. Está faltando fazer alguma coisa? Não utilizo perfis, na verdade eu desabilito eles no samba. (...) Edmundo Valle Neto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: SAMBA+LDAP x Windows XP - NÃO RESOLVID O - QUASE CERTO
Edmundo Valle Neto [EMAIL PROTECTED] escreveu: Debian escreveu: (...) Por algum motivo as contas que estou tentando criar pelo phpldapadmin não logam no windows XP de forma alguma. Então tentei usar uma linha de comando daquele material que me passou. smbldap-useradd -a -G 513 -m -s /bin/bash -d /home/pedro -F /home/pedro/profile -D Z: -E /home/netlogon/logon.bat -P pedro Normalmente não é necessário colocar tantos flags, simplesmente smbldap-useradd -a -m usuario é suficiente, grande parte das opções os scripts pegam do arquivo de configuração deles. registrei a senha, e consegui logar no windows XP. Porém, qdo logo com este usuário, o Windows dá a seguinte mensagem O Windows não pode localizar a cópia do servidor de perfil móvel e esta tentando utilizar o perfil local. Qdo o sistema inicia ele não deixa mudar para perfil local, esta opção fica desativada. E qdo faço logoff perco todas as configurações que fiz no sistema. Está faltando fazer alguma coisa? Não utilizo perfis, na verdade eu desabilito eles no samba. (...) * Como eu faço para desabilitar os perfis pelo samba, seria de grande ajuda Obrigado Pedro Edmundo Valle Neto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED] - Novo Yahoo! Cadê? - Experimente uma nova busca.
Re: SAMBA+LDAP x Windows XP - NÃO RESOLVIDO - QUASE CERTO
Pedro Celio escreveu: */Edmundo Valle Neto [EMAIL PROTECTED]/* escreveu: Debian escreveu: (...) Por algum motivo as contas que estou tentando criar pelo phpldapadmin não logam no windows XP de forma alguma. Então tentei usar uma linha de comando daquele material que me passou. smbldap-useradd -a -G 513 -m -s /bin/bash -d /home/pedro -F /home/pedro/profile -D Z: -E /home/netlogon/logon.bat -P pedro Normalmente não é necessário colocar tantos flags, simplesmente smbldap-useradd -a -m usuario é suficiente, grande parte das opções os scripts pegam do arquivo de configuração deles. registrei a senha, e consegui logar no windows XP. Porém, qdo logo com este usuário, o Windows dá a seguinte mensagem O Windows não pode localizar a cópia do servidor de perfil móvel e esta tentando utilizar o perfil local. Qdo o sistema inicia ele não deixa mudar para perfil local, esta opção fica desativada. E qdo faço logoff perco todas as configurações que fiz no sistema. Está faltando fazer alguma coisa? Não utilizo perfis, na verdade eu desabilito eles no samba. (...) * Como eu faço para desabilitar os perfis pelo samba, seria de grande ajuda Obrigado Pedro Segundo a documentação do samba existem três maneiras, a maneira de se fazer isso através do samba é alterando as opções logon path e logon home, tipo: ... logon path = logon home = ... Você também não pode ter isso definido individualmente, portanto retire a opção sambaProfilePath que você colocou nas contas. Edmundo Valle Neto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: SAMBA+LDAP x Windows XP - NÃO RESOLVIDO
Edmundo Valle Neto escreveu: Pedro Celio escreveu: * Olá... Estou usando marcadores para diferenciar as respostas Abraço Pedro */Edmundo Valle Neto [EMAIL PROTECTED]/* escreveu: Debian escreveu: Edmundo Valle Neto escreveu: Debian escreveu: (...) Como você populou sua base? Eu usei o escript de smb-tools OK. Menos probabilidade de ter erros na estrutura do seu ldap, já que não foi na mão. Como criou suas contas? Estou usando o phpldapadmin Não gosto muito phpldapadmin. Ele não costuma sincronizar as senhas das contas quando você muda ela. Eu recomendo utilizar o smbldap-tools também para criar usuários. Criou os grupos obrigatórios do domínio com os RIDs corretos? Os grupos que foram criados foram Users, Computers e Groups Estes não são grupos, são Containeres do ldap para separar onde diferentes contas ficam. Estava me referindo aos grupos Domain Users, Domain Admins e Domain Guests, mas SE VOCÊ UTILIZOU o smbldap-populate (como você disse * Quando eu entro no phpldapadmin ele me mostra os grupos que citou acima Domain Admins, etc OK. antes), ele deve ter criado isso pra você de forma correta. Todas as contas tem atributos posix e samba? estou usando uma conta administrador adm, criei ela tanto no grupo posix Users como nos usuários samba. ??? Não entendi. Mas como você chamou antes containeres de grupos, acho que tem alguma coisa errada aqui. Segue um exemplo de uma conta de um usuário chamado temp, todos atributos do samba começam com samba... e simplesmente fazem parte da conta junto com os atributos posix. A conta inteira fica em ou=Users,dc=minharede,dc=lan. dn: uid=temp,ou=Users,dc=minharede,dc=lan objectClass: top objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount objectClass: sambaSamAccount cn: temp sn: temp uid: temp uidNumber: 2006 gidNumber: 513 homeDirectory: /home/temp loginShell: /bin/bash gecos: System User description: System User userPassword:: e2NyeXB0fXg= structuralObjectClass: inetOrgPerson entryUUID: 1809903c-b88d-102b-9e72-e9eca2a03e10 creatorsName: cn=admin,dc=minharede,dc=lan createTimestamp: 2007062700Z displayName: System User sambaPwdLastSet: 0 sambaLogonTime: 0 sambaLogoffTime: 2147483647 sambaKickoffTime: 2147483647 sambaPwdCanChange: 0 sambaPwdMustChange: 2147483647 sambaAcctFlags: [UX] sambaSID: S-1-5-21-647137593-2241777951-1030635153-5012 sambaLMPassword: XXX sambaPrimaryGroupSID: S-1-5-21-647137593-2241777951-1030635153-513 sambaNTPassword: XXX entryCSN: 2007062700Z#04#00#00 modifiersName: cn=admin,dc=minharede,dc=lan modifyTimestamp: 2007062700Z Configurou o NSS? sim, usei o dpkg-reconfigure no libnss-ldap ldap-client e também configurei o nsswitch.conf para buscar na base no ldap. E ele funciona? getent passwd e getent group retorna as contas do LDAP também? * Sim, isso está funcionando corretamente, eu consilo logar nestas contas criadas pelo smbcliente e pelo windows 98/me. Conseguir logar não garante que ele esteja funcionando, isso se testa com o getent para ver se o sistema consegue resolver as contas posix no ldap. Ok. Me expressei mal novamente. O comando getent passwd / group está retornando corretamente o conteúdo dos respectivos arquivos. Que conta você está utilizando? Estou usando uma conta adm criada tanto no posix qto no samba como no administrador. Também não entendi. Para uma conta poder colocar estações no domínio ela deve ser root (o que a faz a conta ser considerada root é ter o uid=0 o nome não faz diferença) ou pode ser outra desde que você tenha privilegios corretamente configurados no smb.conf e adicionados na conta ou no grupo que a conta faz parte. * Eu me expressei mal. Eu criei no grupo Users e no Dominio samba dentro do phpldapadmin uma conta adm com uid=0 e defini como pertencente ao grupo Domain Admins configurei ela no smb.conf para ser o administrador. Como dito antes. Definir a conta como tendo uid=0, faz diferença. Colocar ela no grupo Domain Admins não faz diferença nenhuma pra o samba. Eu chutaria que você fez isso especificando o usuário através da opção admin users, se foi isso, esta opção não garante ao usuário direitos para ingressar clientes no dominio, não é para isso que ela serve. Por padrão o samba vem sem nenhum privilégio especial associado a nenhuma conta ou grupo, o grupo Domain Admins não faz nada de especial em relação ao samba, porém os usuários deste grupo passam a ser considerados Administradores na MÁQUINA CLIENTE automaticamente APÓS o ingresso no
Re: SAMBA+LDAP x Windows XP - NÃO RESOLVIDO
Debian escreveu: (...) Estou enviando abaixo o meu arquivo smb.conf, para que se possível pudesse analisar e verificar se tem algo errado nele. E também se tem alguma outra sugestão para eu procurar o erro. Obrigado Pedro SERVIDOR SAMBA/LDAP #=== Global Settings === [global] workgroup = JUSSARA server string = Serv. Samba netbios name = ServSamba wins support = yes dns proxy = no name resolve order = lmhosts host wins bcast Debugging/Accounting log level = 2 log file = /var/log/samba/samba.log max log size = 1000 ; syslog only = no syslog = 0 panic action = /usr/share/samba/panic-action %d ### Authentication ### security = user encrypt passwords = true passdb backend = ldapsam:ldap://127.0.0.1 # passdb expand explicit = no obey pam restrictions = no ; guest account = nobody ; invalid users = root username map /etc/samba/smbusers # este arquivo esta vazio # Sincronização das senha dos usuários ldap passwd sync = yes passwd program = /usr/sbin/smbldap-passwd %u passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n . A linha passwd program está errada dever conter -u para mudar somente o atributo userPassword. A linha passwd chat chat está errada deve conter as strings que o programa utilizado retorna. Exemplo: #unix password sync = Yes #passwd program = /opt/IDEALX/sbin/smbldap-passwd -u %u #passwd chat = Changing password for*\nNew password* %n\n *Retype new password* %n\n ldap passwd sync = Yes OU você usa ldap passwd sync OU as três linhas comentadas, se você não habilitar a opção unix password sync as outras duas linhas nem fazem diferença pois não são utilizadas. A documentação da idealx esclarece isso: http://sourceforge.net/docman/display_doc.php?docid=33543group_id=166108 # ldap ssl = start_tsl # nao estou usando tsl no slapd.conf ldap admin dn = cn=admin,dc=ljussara ldap suffix = dc=ljussara ldap group suffix = ou=Groups ldap user suffix = ou=Users ldap machine suffix = ou=Computers ldap idmap suffix = ou=Idmap ldap delete dn = yes #Configurações dos scripts de adição/exclusão de usuários add user script = /usr/sbin/smbldap-useradd -m %u add machine script = /usr/sbin/smbldap-useradd -t 0 -w %u Não sei o que -t 0 significa, meu smbldap-useradd não tem essa opção. Na linha add machine script é utilizada normalmente só a opção -w %u. add group script = /usr/sbin/smbldap-groupadd -p %g add user to group script = /usr/sbin/smbldap-groupmod -m %u %g delete user script = /usr/sbin/smbldap-userdel %u delete group script = /usr/sbin/smbldap-groupdel %g delete user from group script = /usr/sbin/smbldap-groupmod -x %u %g set primary group script = /usr/sbin/smbldap-usermod -g %g %u #Configuração de Dominio domain logons = yes enable privileges = yes Privilegios devem ser ativados com esse parâmetro, mas só tem utilidade após serem dados às contas através do comando net rpc rights. admin users = adm Isso não faz um usuário conseguir atribuir estações ao domínio, mas se este usuário tiver o uid=0 ele consegue. Esse parâmetro vai fazer ele executar as operações dentro dos compartilhamentos como root. # Misc socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 domain master = yes idmap uid = 1-2 idmap gid = 1-2 # Share Definitions [homes] comment = Home Directories browseable = no writable = no create mask = 0700 directory mask = 0700 [netlogon] comment = Network Logon Service path = /home/netlogon guest ok = yes writable = yes share modes = no [Arquivos] comment = Compartilhamento de arquivos path = /Arquivos browseable = yes writeable = yes Um pedaço do log do samba gerado com um log level = 3: ... [2006/06/26 14:47:28, 3] rpc_server/srv_samr_nt.c:_samr_create_user(2324) _samr_create_user: Running the command `/usr/sbin/smbldap-useradd -w testmachine$' gave 0 ... [2006/06/26 14:47:28, 3] passdb/pdb_ldap.c:ldapsam_add_sam_account(1832) ldapsam_add_sam_account: User exists without samba attributes: adding them [2006/06/26 14:47:28, 2] passdb/pdb_ldap.c:init_ldap_from_sam(912) init_ldap_from_sam: Setting entry for user: testmachine$ [2006/06/26 14:47:28, 2] passdb/pdb_ldap.c:ldapsam_add_sam_account(1942) ldapsam_add_sam_account: added: uid == testmachine$ in the LDAP database ... Indica o script adicionando a conta posix e retornando 0 (nenhum erro) e o samba adicionando o resto dos atributos. Atenciosamente. Edmundo Valle Neto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: SAMBA+LDAP x Windows XP - NÃO RESOLVIDO
Debian escreveu: (...) Olá Edmundo, Fiz os acertos conforme vc tinha comentando acima, mas ainda não deu. Removi pelo phpldapadmin a maquina que tinha adicionado manualmente (maq97) para ver se o script ia adicionar ela mas também não foi. Independentemente de como a máquina foi adicionada NÃO PODE haver nenhuma conta existente com o nome da máquina ou ela não será criada por já existir. Eu postei abaixo o log do samba, para que se possível vc analisasse. Estou estudando o material da idealx que vc enviou para chegar alguma inconsistência em outros arquivos. Desde já muito obrigado Pedro Log samba [2007/07/11 06:30:13, 0] lib/util_sock.c:get_peer_addr(1150) getpeername failed. Error was Transport endpoint is not connected [2007/07/11 06:30:13, 2] smbd/reply.c:reply_special(236) netbios connect: name1=SERVSAMBA name2=MAQ97 [2007/07/11 06:30:13, 2] smbd/reply.c:reply_special(243) netbios connect: local=servsamba remote=maq97, name type = 0 [2007/07/11 06:30:13, 0] lib/util_sock.c:write_socket_data(430) write_socket_data: write failure. Error = Connection reset by peer [2007/07/11 06:30:13, 0] lib/util_sock.c:write_socket(455) write_socket: Error writing 4 bytes to socket 25: ERRNO = Connection reset by peer [2007/07/11 06:30:13, 0] lib/util_sock.c:send_smb(647) Error writing 4 bytes to client. -1. (Connection reset by peer) [2007/07/11 06:30:13, 2] smbd/server.c:exit_server(609) Closing connections [2007/07/11 06:30:13, 2] smbd/sesssetup.c:setup_new_vc_session(608) setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources. [2007/07/11 06:30:13, 2] smbd/sesssetup.c:setup_new_vc_session(608) setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources. [2007/07/11 06:30:13, 2] lib/smbldap.c:smbldap_open_connection(692) smbldap_open_connection: connection opened [2007/07/11 06:30:13, 2] passdb/pdb_ldap.c:init_sam_from_ldap(499) init_sam_from_ldap: Entry found for user: adm [2007/07/11 06:30:13, 2] passdb/pdb_ldap.c:init_group_from_ldap(2000) init_group_from_ldap: Entry found for group: 544 [2007/07/11 06:30:13, 2] auth/auth.c:check_ntlm_password(305) check_ntlm_password: authentication for user [adm] - [adm] - [adm] succeeded [2007/07/11 06:30:13, 2] smbd/server.c:exit_server(609) Closing connections [2007/07/11 06:30:14, 0] lib/util_sock.c:get_peer_addr(1150) getpeername failed. Error was Transport endpoint is not connected [2007/07/11 06:30:14, 2] smbd/reply.c:reply_special(236) netbios connect: name1=SERVSAMBA name2=MAQ97 [2007/07/11 06:30:14, 2] smbd/reply.c:reply_special(243) netbios connect: local=servsamba remote=maq97, name type = 0 [2007/07/11 06:30:14, 0] lib/util_sock.c:write_socket_data(430) write_socket_data: write failure. Error = Connection reset by peer [2007/07/11 06:30:14, 0] lib/util_sock.c:write_socket(455) write_socket: Error writing 4 bytes to socket 25: ERRNO = Connection reset by peer [2007/07/11 06:30:14, 0] lib/util_sock.c:send_smb(647) Error writing 4 bytes to client. -1. (Connection reset by peer) [2007/07/11 06:30:14, 2] smbd/server.c:exit_server(609) Closing connections [2007/07/11 06:30:14, 2] smbd/sesssetup.c:setup_new_vc_session(608) setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources. [2007/07/11 06:30:14, 2] smbd/sesssetup.c:setup_new_vc_session(608) setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources. [2007/07/11 06:30:14, 2] lib/smbldap.c:smbldap_open_connection(692) smbldap_open_connection: connection opened [2007/07/11 06:30:14, 2] passdb/pdb_ldap.c:init_sam_from_ldap(499) init_sam_from_ldap: Entry found for user: adm [2007/07/11 06:30:14, 2] passdb/pdb_ldap.c:init_group_from_ldap(2000) init_group_from_ldap: Entry found for group: 544 [2007/07/11 06:30:14, 2] auth/auth.c:check_ntlm_password(305) check_ntlm_password: authentication for user [adm] - [adm] - [adm] succeeded [2007/07/11 06:30:14, 2] rpc_server/srv_samr_nt.c:_samr_lookup_domain(2580) Returning domain sid for domain JUSSARA - S-1-5-21-421843368-2739757111-592531848 Unknown option: t (c) IDEALX 2004 (http://www.idealx.com)- Licenced under GPL [2007/07/11 06:30:16, 0] rpc_server/srv_samr_nt.c:_samr_create_user(2324) _samr_create_user: Running the command `/usr/sbin/smbldap-useradd -t 5 -w maq97$' gave 1 gave 1, o teu script deu erro e não reconheceu t como uma opção válida. Você não fez todos os acertos que deveria. [2007/07/11 06:30:16, 2] smbd/server.c:exit_server(609) Closing connections Atenciosamente. Edmundo Valle Neto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
SAMBA+LDAP x Windows XP
Olá pessoal, A empreitada agora é com o samba+ldap. Já há algum tempo estou tentando substituir um servidor samba com o NIS por um com LDAP. Seguindo vários materiais e dicas conseguir montar um servidor. As máquinas windows 98,Me, autenticam na rede corretamente sem problemas. Já os benditos XP não estou conseguindo registrá-los no servidor. Qdo tento colocá-los no domínio, e solicitado o usuário e senha do adm samba, mas logo em seguida depois da entrada dos dados é retornada a seguinte mensagem: Erro na tentativa de ingresso no domínio. Não foi possível fazer o mapeamento entre os nomes de contas e as identificações de segurança Já verifiquei os arquivos de configuração (que não são poucos diga-se de passagem) e procurei por esta mensagem no google, mas ainda não consegui retorno. Alguém já passou por isso??? Podem me dar um dica de onde procurar o erro? Não estou usando cryptografia no LDAP TLS por enqto, até acertar isso. Desde já muito obrigado Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: SAMBA+LDAP x Windows XP
Debian escreveu: Olá pessoal, A empreitada agora é com o samba+ldap. Já há algum tempo estou tentando substituir um servidor samba com o NIS por um com LDAP. Seguindo vários materiais e dicas conseguir montar um servidor. E a documentação oficial do Samba você seguiu? As máquinas windows 98,Me, autenticam na rede corretamente sem problemas. Já os benditos XP não estou conseguindo registrá-los no servidor. Qdo tento colocá-los no domínio, e solicitado o usuário e senha do adm samba, mas logo em seguida depois da entrada dos dados é retornada a seguinte mensagem: Erro na tentativa de ingresso no domínio. Não foi possível fazer o mapeamento entre os nomes de contas e as identificações de segurança Já verifiquei os arquivos de configuração (que não são poucos diga-se de passagem) e procurei por esta mensagem no google, mas ainda não consegui retorno. Alguém já passou por isso??? Podem me dar um dica de onde procurar o erro? Não estou usando cryptografia no LDAP TLS por enqto, até acertar isso. Desde já muito obrigado Pedro Como você populou sua base? Como criou suas contas? Criou os grupos obrigatórios do domínio com os RIDs corretos? Todas as contas tem atributos posix e samba? Configurou o NSS? Que conta você está utilizando? Como você está tentando fazer o cliente ingressar no domínio? Que erro aparece nos logs do samba? (De preferência com um log level de 2 ou 3) Atenciosamente. Edmundo Valle Neto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
[Fwd: Re: SAMBA+LDAP x Windows XP]
Edmundo Valle Neto escreveu: Debian escreveu: Olá pessoal, A empreitada agora é com o samba+ldap. Já há algum tempo estou tentando substituir um servidor samba com o NIS por um com LDAP. Seguindo vários materiais e dicas conseguir montar um servidor. E a documentação oficial do Samba você seguiu? As máquinas windows 98,Me, autenticam na rede corretamente sem problemas. Já os benditos XP não estou conseguindo registrá-los no servidor. Qdo tento colocá-los no domínio, e solicitado o usuário e senha do adm samba, mas logo em seguida depois da entrada dos dados é retornada a seguinte mensagem: Erro na tentativa de ingresso no domínio. Não foi possível fazer o mapeamento entre os nomes de contas e as identificações de segurança Já verifiquei os arquivos de configuração (que não são poucos diga-se de passagem) e procurei por esta mensagem no google, mas ainda não consegui retorno. Alguém já passou por isso??? Podem me dar um dica de onde procurar o erro? Não estou usando cryptografia no LDAP TLS por enqto, até acertar isso. Desde já muito obrigado Pedro Como você populou sua base? Eu usei o escript de smb-tools Como criou suas contas? Estou usando o phpldapadmin Criou os grupos obrigatórios do domínio com os RIDs corretos? Os grupos que foram criados foram Users, Computers e Groups Todas as contas tem atributos posix e samba? estou usando uma conta administrador adm, criei ela tanto no grupo posix Users como nos usuários samba. Configurou o NSS? sim, usei o dpkg-reconfigure no libnss-ldap ldap-client e também configurei o nsswitch.conf para buscar na base no ldap. Que conta você está utilizando? Estou usando uma conta adm criada tanto no posix qto no samba como no administrador. Como você está tentando fazer o cliente ingressar no domínio? Estou indo na tela de alteração de nome do computado e inserindo no campo Membro de: para o grupo do dominio samba. Que erro aparece nos logs do samba? (De preferência com um log level de 2 ou 3) Usei tanto o log 2 e 3 mas o único erro que aparece é write_socket_data write failure. Error conection reset by peer Atenciosamente. Edmundo Valle Neto O que vc acha que pode ser? Obrigado Pedro -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: SAMBA+LDAP x Windows XP
Debian escreveu: Edmundo Valle Neto escreveu: Debian escreveu: (...) Como você populou sua base? Eu usei o escript de smb-tools OK. Menos probabilidade de ter erros na estrutura do seu ldap, já que não foi na mão. Como criou suas contas? Estou usando o phpldapadmin Não gosto muito phpldapadmin. Ele não costuma sincronizar as senhas das contas quando você muda ela. Eu recomendo utilizar o smbldap-tools também para criar usuários. Criou os grupos obrigatórios do domínio com os RIDs corretos? Os grupos que foram criados foram Users, Computers e Groups Estes não são grupos, são Containeres do ldap para separar onde diferentes contas ficam. Estava me referindo aos grupos Domain Users, Domain Admins e Domain Guests, mas SE VOCÊ UTILIZOU o smbldap-populate (como você disse antes), ele deve ter criado isso pra você de forma correta. Todas as contas tem atributos posix e samba? estou usando uma conta administrador adm, criei ela tanto no grupo posix Users como nos usuários samba. ??? Não entendi. Mas como você chamou antes containeres de grupos, acho que tem alguma coisa errada aqui. Segue um exemplo de uma conta de um usuário chamado temp, todos atributos do samba começam com samba... e simplesmente fazem parte da conta junto com os atributos posix. A conta inteira fica em ou=Users,dc=minharede,dc=lan. dn: uid=temp,ou=Users,dc=minharede,dc=lan objectClass: top objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount objectClass: sambaSamAccount cn: temp sn: temp uid: temp uidNumber: 2006 gidNumber: 513 homeDirectory: /home/temp loginShell: /bin/bash gecos: System User description: System User userPassword:: e2NyeXB0fXg= structuralObjectClass: inetOrgPerson entryUUID: 1809903c-b88d-102b-9e72-e9eca2a03e10 creatorsName: cn=admin,dc=minharede,dc=lan createTimestamp: 2007062700Z displayName: System User sambaPwdLastSet: 0 sambaLogonTime: 0 sambaLogoffTime: 2147483647 sambaKickoffTime: 2147483647 sambaPwdCanChange: 0 sambaPwdMustChange: 2147483647 sambaAcctFlags: [UX] sambaSID: S-1-5-21-647137593-2241777951-1030635153-5012 sambaLMPassword: XXX sambaPrimaryGroupSID: S-1-5-21-647137593-2241777951-1030635153-513 sambaNTPassword: XXX entryCSN: 2007062700Z#04#00#00 modifiersName: cn=admin,dc=minharede,dc=lan modifyTimestamp: 2007062700Z Configurou o NSS? sim, usei o dpkg-reconfigure no libnss-ldap ldap-client e também configurei o nsswitch.conf para buscar na base no ldap. E ele funciona? getent passwd e getent group retorna as contas do LDAP também? Que conta você está utilizando? Estou usando uma conta adm criada tanto no posix qto no samba como no administrador. Também não entendi. Para uma conta poder colocar estações no domínio ela deve ser root (o que a faz a conta ser considerada root é ter o uid=0 o nome não faz diferença) ou pode ser outra desde que você tenha privilegios corretamente configurados no smb.conf e adicionados na conta ou no grupo que a conta faz parte. Por padrão o samba vem sem nenhum privilégio especial associado a nenhuma conta ou grupo, o grupo Domain Admins não faz nada de especial em relação ao samba, porém os usuários deste grupo passam a ser considerados Administradores na MÁQUINA CLIENTE automaticamente APÓS o ingresso no domínio. Obs.: Privilégios não são direitos de acesso e são configurados com o comando net rpc rights. Como você está tentando fazer o cliente ingressar no domínio? Estou indo na tela de alteração de nome do computado e inserindo no campo Membro de: para o grupo do dominio samba. Ok. Pra isso funcionar a opção add machine script deve estar corretamente configurada. Já vi um monte de gente inventando flags para colocar na linha de comando. A documentação do samba e do smbldap-tools explica como fazer isso e mais TROCENTAS mensagens no histórico desta lista de discussão. Que erro aparece nos logs do samba? (De preferência com um log level de 2 ou 3) Usei tanto o log 2 e 3 mas o único erro que aparece é write_socket_data write failure. Error conection reset by peer Isso não quer dizer muita coisa. No log deve aparecer também a saída de erro do add machine script que será executado para criar a conta se é que ele chegou a ser executado. Atenciosamente. Edmundo Valle Neto O que vc acha que pode ser? Nunca vi essa mensagem de erro exatamente, mas nem sempre as mensagens de erro que o Windows mostra são muito esclarecedoras. Mas pelo erro, qual a saída do comando net groupmap list? Você retirou o NIS de sua rede? Há alguma possibilidade de haverem ids de usuários ou grupos colidindo (com o mesmo id) em backends diferentes? Obrigado Pedro Atenciosamente. Edmundo Valle Neto -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: SAMBA+LDAP x Windows XP
Olá... Estou usando marcadores para diferenciar as respostas Abraço Pedro Edmundo Valle Neto [EMAIL PROTECTED] escreveu: Debian escreveu: Edmundo Valle Neto escreveu: Debian escreveu: (...) Como você populou sua base? Eu usei o escript de smb-tools OK. Menos probabilidade de ter erros na estrutura do seu ldap, já que não foi na mão. Como criou suas contas? Estou usando o phpldapadmin Não gosto muito phpldapadmin. Ele não costuma sincronizar as senhas das contas quando você muda ela. Eu recomendo utilizar o smbldap-tools também para criar usuários. Criou os grupos obrigatórios do domínio com os RIDs corretos? Os grupos que foram criados foram Users, Computers e Groups Estes não são grupos, são Containeres do ldap para separar onde diferentes contas ficam. Estava me referindo aos grupos Domain Users, Domain Admins e Domain Guests, mas SE VOCÊ UTILIZOU o smbldap-populate (como você disse Quando eu entro no phpldapadmin ele me mostra os grupos que citou acima Domain Admins, etc antes), ele deve ter criado isso pra você de forma correta. Todas as contas tem atributos posix e samba? estou usando uma conta administrador adm, criei ela tanto no grupo posix Users como nos usuários samba. ??? Não entendi. Mas como você chamou antes containeres de grupos, acho que tem alguma coisa errada aqui. Segue um exemplo de uma conta de um usuário chamado temp, todos atributos do samba começam com samba... e simplesmente fazem parte da conta junto com os atributos posix. A conta inteira fica em ou=Users,dc=minharede,dc=lan. dn: uid=temp,ou=Users,dc=minharede,dc=lan objectClass: top objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount objectClass: sambaSamAccount cn: temp sn: temp uid: temp uidNumber: 2006 gidNumber: 513 homeDirectory: /home/temp loginShell: /bin/bash gecos: System User description: System User userPassword:: e2NyeXB0fXg= structuralObjectClass: inetOrgPerson entryUUID: 1809903c-b88d-102b-9e72-e9eca2a03e10 creatorsName: cn=admin,dc=minharede,dc=lan createTimestamp: 2007062700Z displayName: System User sambaPwdLastSet: 0 sambaLogonTime: 0 sambaLogoffTime: 2147483647 sambaKickoffTime: 2147483647 sambaPwdCanChange: 0 sambaPwdMustChange: 2147483647 sambaAcctFlags: [UX] sambaSID: S-1-5-21-647137593-2241777951-1030635153-5012 sambaLMPassword: XXX sambaPrimaryGroupSID: S-1-5-21-647137593-2241777951-1030635153-513 sambaNTPassword: XXX entryCSN: 2007062700Z#04#00#00 modifiersName: cn=admin,dc=minharede,dc=lan modifyTimestamp: 2007062700Z Configurou o NSS? sim, usei o dpkg-reconfigure no libnss-ldap ldap-client e também configurei o nsswitch.conf para buscar na base no ldap. E ele funciona? getent passwd e getent group retorna as contas do LDAP também? Sim, isso está funcionando corretamente, eu consilo logar nestas contas criadas pelo smbcliente e pelo windows 98/me. Que conta você está utilizando? Estou usando uma conta adm criada tanto no posix qto no samba como no administrador. Também não entendi. Para uma conta poder colocar estações no domínio ela deve ser root (o que a faz a conta ser considerada root é ter o uid=0 o nome não faz diferença) ou pode ser outra desde que você tenha privilegios corretamente configurados no smb.conf e adicionados na conta ou no grupo que a conta faz parte. Eu me expressei mal. Eu criei no grupo Users e no Dominio samba dentro do phpldapadmin uma conta adm com uid=0 e defini como pertencente ao grupo Domain Admins configurei ela no smb.conf para ser o administrador. Por padrão o samba vem sem nenhum privilégio especial associado a nenhuma conta ou grupo, o grupo Domain Admins não faz nada de especial em relação ao samba, porém os usuários deste grupo passam a ser considerados Administradores na MÁQUINA CLIENTE automaticamente APÓS o ingresso no domínio. Obs.: Privilégios não são direitos de acesso e são configurados com o comando net rpc rights. Este comando eu nunca usei... é necessário qdo se cria uma conta de administrador ? Como você está tentando fazer o cliente ingressar no domínio? Estou indo na tela de alteração de nome do computado e inserindo no campo Membro de: para o grupo do dominio samba. Ok. Pra isso funcionar a opção add machine script deve estar corretamente configurada. Já vi um monte de gente inventando flags para colocar na linha de comando. A documentação do samba e do smbldap-tools explica como fazer isso e mais TROCENTAS mensagens no histórico desta lista de discussão. Eu criei a conta da máquina manualmente no phpldapadmin, provavelmente dever ser uma flag q está errada como vc disse. No log do samba dá para ver que ele reconheceu a conta da máquina corretamente. Que erro aparece nos logs do samba? (De preferência com um log level de 2 ou 3) Usei tanto o log 2 e 3 mas o único erro que aparece é write_socket_data write failure. Error conection reset by peer Isso não quer dizer muita coisa. No log
Re: SAMBA+LDAP x Windows XP
Pedro Celio escreveu: * Olá... Estou usando marcadores para diferenciar as respostas Abraço Pedro */Edmundo Valle Neto [EMAIL PROTECTED]/* escreveu: Debian escreveu: Edmundo Valle Neto escreveu: Debian escreveu: (...) Como você populou sua base? Eu usei o escript de smb-tools OK. Menos probabilidade de ter erros na estrutura do seu ldap, já que não foi na mão. Como criou suas contas? Estou usando o phpldapadmin Não gosto muito phpldapadmin. Ele não costuma sincronizar as senhas das contas quando você muda ela. Eu recomendo utilizar o smbldap-tools também para criar usuários. Criou os grupos obrigatórios do domínio com os RIDs corretos? Os grupos que foram criados foram Users, Computers e Groups Estes não são grupos, são Containeres do ldap para separar onde diferentes contas ficam. Estava me referindo aos grupos Domain Users, Domain Admins e Domain Guests, mas SE VOCÊ UTILIZOU o smbldap-populate (como você disse * Quando eu entro no phpldapadmin ele me mostra os grupos que citou acima Domain Admins, etc OK. antes), ele deve ter criado isso pra você de forma correta. Todas as contas tem atributos posix e samba? estou usando uma conta administrador adm, criei ela tanto no grupo posix Users como nos usuários samba. ??? Não entendi. Mas como você chamou antes containeres de grupos, acho que tem alguma coisa errada aqui. Segue um exemplo de uma conta de um usuário chamado temp, todos atributos do samba começam com samba... e simplesmente fazem parte da conta junto com os atributos posix. A conta inteira fica em ou=Users,dc=minharede,dc=lan. dn: uid=temp,ou=Users,dc=minharede,dc=lan objectClass: top objectClass: inetOrgPerson objectClass: posixAccount objectClass: shadowAccount objectClass: sambaSamAccount cn: temp sn: temp uid: temp uidNumber: 2006 gidNumber: 513 homeDirectory: /home/temp loginShell: /bin/bash gecos: System User description: System User userPassword:: e2NyeXB0fXg= structuralObjectClass: inetOrgPerson entryUUID: 1809903c-b88d-102b-9e72-e9eca2a03e10 creatorsName: cn=admin,dc=minharede,dc=lan createTimestamp: 2007062700Z displayName: System User sambaPwdLastSet: 0 sambaLogonTime: 0 sambaLogoffTime: 2147483647 sambaKickoffTime: 2147483647 sambaPwdCanChange: 0 sambaPwdMustChange: 2147483647 sambaAcctFlags: [UX] sambaSID: S-1-5-21-647137593-2241777951-1030635153-5012 sambaLMPassword: XXX sambaPrimaryGroupSID: S-1-5-21-647137593-2241777951-1030635153-513 sambaNTPassword: XXX entryCSN: 2007062700Z#04#00#00 modifiersName: cn=admin,dc=minharede,dc=lan modifyTimestamp: 2007062700Z Configurou o NSS? sim, usei o dpkg-reconfigure no libnss-ldap ldap-client e também configurei o nsswitch.conf para buscar na base no ldap. E ele funciona? getent passwd e getent group retorna as contas do LDAP também? * Sim, isso está funcionando corretamente, eu consilo logar nestas contas criadas pelo smbcliente e pelo windows 98/me. Conseguir logar não garante que ele esteja funcionando, isso se testa com o getent para ver se o sistema consegue resolver as contas posix no ldap. Que conta você está utilizando? Estou usando uma conta adm criada tanto no posix qto no samba como no administrador. Também não entendi. Para uma conta poder colocar estações no domínio ela deve ser root (o que a faz a conta ser considerada root é ter o uid=0 o nome não faz diferença) ou pode ser outra desde que você tenha privilegios corretamente configurados no smb.conf e adicionados na conta ou no grupo que a conta faz parte. * Eu me expressei mal. Eu criei no grupo Users e no Dominio samba dentro do phpldapadmin uma conta adm com uid=0 e defini como pertencente ao grupo Domain Admins configurei ela no smb.conf para ser o administrador. Como dito antes. Definir a conta como tendo uid=0, faz diferença. Colocar ela no grupo Domain Admins não faz diferença nenhuma pra o samba. Eu chutaria que você fez isso especificando o usuário através da opção admin users, se foi isso, esta opção não garante ao usuário direitos para ingressar clientes no dominio, não é para isso que ela serve. Por padrão o samba vem sem nenhum privilégio especial associado a nenhuma conta ou grupo, o grupo Domain Admins não faz nada de especial em relação ao samba, porém os usuários deste grupo passam a ser considerados Administradores na MÁQUINA CLIENTE automaticamente APÓS o ingresso no domínio. Obs.: Privilégios não são direitos de acesso e são configurados com o comando net rpc rights. * Este comando eu nunca usei... é necessário qdo