openldap-2.2.15 + samba-3.0.10.1 = pdc
 

Хай.
у меня есть: openldap-2.2.15 и samba-3.0.10.1 (Фря 5.2.1)
собсно в итоге хотелось бы PDC =)

Подскажите где можно найти доки по установке и настройке openldap...
ну вот пожалуй для начала все :)

Читай мануал, там все расписано. Ещё можно на опеннете поискать, там была пара стоящих статей про это.

P.S. только учти, что BDC к этому ты прикрутить не сможешь... (по крайней мере до 4ой самбы).

А почему PDC не смогу прикрутить??!?!??! если не смогу тогда забудем про опенлдап :)

Мне главное PDC сделать... (если можно не говорите ищи в гугле и на опеннете :)))

Первичный контроллер домена (Primary Domain Controller) на самбЕ заводится и отлично работает, а вот вторичный (Backup Domain Controller) к такому PDC ты прикрутить не сможешь ни на самбе ни на винде (из - за того, что самба не поддерживает полностью реплики между PDC и BDC).

если я не ошибаюсь, samba работает, как PDC в домене NT4 и не работает для домена w2k (с active directory и прочими наворотами)

<B>mar</b>
На сколько я знаю, то может. В свое время я док 5 на opennet нашел...

все таки нифига не могу настроить :)) самба с лдапом не хочет дружить :(

Люди! :) нид хелп!!! мне просто СРОЧНО нужно насетапить PDC на самбе! и от этой срочности у меня мозги кипят :)
Вот что нужно:
Логин юзверей в домен!!! :) ВСЕ!!!

не важно с LDAP'om или без! юзверей ручками в файлик прописать.. не важно... их не много :) главное что б логинились и радовались!
Плизззззз!!!! напишите как можно подробней ) еще раз повторяю без наворотов :) не нужен мне полноценный ПДЦ... логин юзверей и все. ну + подключение дисков... но это мелочи..

www.samba.org
www.openldap.org

Читай HOW-TO

Можно получить и PDC и BDC, только настраивать нужно все, как PDC - Samba сама разрулит.
Плюс, либо делаешь один LDAP-каталог, либо репликацию с одного основного на остальных.

Ну млин народ... ПОЖАЛУЙСТА!!! ЕСЛИ МОЖЕТЕ! ОБЬЯСНИТЕ!
Я понимаю что гугл маны и оффсайты рулят... я прошу рассказать как сделать самый простенький Pdc именно P БЕЗ B!!! мне нужен просто PrimaryDC!
Еще раз повторю мне НЕ нужен ПОЛНОЦЕННЫЙ АктивДиректори. НЕ нужно предлагать винду и флеймить...

Нужно:
компы (winxp) добавить в домен.
юзера могли логинится в домен.
ВСЕ!

Вот что у меня получается:
-------------------------------------smb.conf-------------------------------------
[global]
workgroup = POEVM
server string = Samba Server with full LDAP support
netbios name = main
announce version = 5.1
hide unreadable = yes
dos charset = CP866
unix charset = KOI8-R
display charset = KOI8-R
os level = 255
local master = yes
domain master = yes
preferred master = yes
wins support = yes
dns proxy = yes
security = user
password server = *
encrypt passwords = yes
null passwords = yes
invalid users = nobody
domain logons = yes
logon path = \\%L\Profiles\9x\%m\%U
logon home = \\%L\%U
logon drive = H:
passdb backend = ldapsam:ldap://127.0.0.1
ldap admin dn = "ou=samba,dc=poevm,dc=kture"
ldap suffix = "ou=samba,dc=poevm,dc=kture"
ldap ssl = off
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Computers
winbind uid = 10000-65000
winbind gid = 10000-65000
winbind separator = +
socket options = TCP_NODELAY
log file = //var/logs/samba/log.%m
log level = 1
max log size = 50
[netlogon]
path = /opt/samba/var/netlogon
locking = no
read only = yes
[profiles]
path = /opt/samba/var/profiles
read only = no
writeable = yes
create mask = 0600
directory mask = 0700
[homes]
comment = user homes
browsable = no
read only = no
writeable = yes
create mask = 0600
directory mask = 0700
-----------------------------------------------------------------------------------

-----------------------------------sldap.conf------------------------------------------------
include /usr/local/etc/openldap/schema/core.schema
include /usr/local/etc/openldap/schema/cosine.schema
include /usr/local/etc/openldap/schema/inetorgperson.schema
include /usr/local/etc/openldap/schema/misc.schema
include /usr/local/etc/openldap/schema/nis.schema
include /usr/local/etc/openldap/schema/openldap.schema
include /usr/local/etc/openldap/schema/samba.schema
pidfile /var/run/slapd.pid
argsfile /var/run/slapd.args
allow bind_v2
access to dn="ou=samba,dc=poevm,dc=kture"
by dn="cn=admin,dc=poevm,dc=kture" write
by dn="ou=samba,dc=poevm,dc=kture" write
by self write
by anonymous auth
access to dn="ou=NIS,dc=poevm,dc=kture"
by dn="cn=admin,dc=poevm,dc=kture" write
by dn="ou=samba,dc=poevm,dc=kture" write
by self write
by anonymous auth
access to attrs=userPassword,sambaLMPassword,sambaNTPassword
by self write
by anonymous auth
by * none
access to *
by * read
access to attr=userPassword
by self write
by anonymous auth
by dn="cn=admin,dc=poevm,dc=kture" write
by * none
access to *
by dn="cn=admin,dc=poevm,dc=kture" write
by self write
by anonymous auth
TLSCertificateFile /usr/local/etc/openldap/keys/slapd.pem
TLSCertificateKeyFile /usr/local/etc/openldap/keys/slapd.pem
database bdb
suffix "dc=poevm,dc=kture"
rootdn "cn=admin,dc=poevm,dc=kture"
rootpw {CRYPT}T.vaLqrO2k6f3
directory /var/db/openldap-data
index objectClass,uidNumber,gidNumber eq
index cn,sn,uid,displayName pres,sub,eq
index memberUid,mail,givenname eq,subinitial
index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq
---------------------------------------------------------------------------------------------

--------------------------------------ldap.conf--------------------------------------------
BASE dc=poevm,dc=kture
URI ldap://127.0.0.1
TLS hard
TLS_CERT /usr/local/etc/openldap/keys/ldap.pem
TLS_KEY /usr/local/etc/openldap/keys/ldap.pem
TLS_REQCERT allow
----------------------------------------------------------------------------------------------

--------------------------------------base.ldif----------------------------------------------
dn: dc=poevm,dc=kture
objectClass: dcObject
objectclass: organization
dc: poevm
o: poevm
dn: ou=Users,dc=poevm,dc=kture
objectClass: organizationalUnit
ou: Users
dn: ou=Groups,dc=poevm,dc=kture
objectClass: organizationalUnit
ou: Groups
dn: ou=Computers,dc=poevm,dc=kture
objectClass: organizationalUnit
ou: Computers
-------------------------------------------------------------
$ pdbedit -L
failed to add domain dn= sambaDomainName=POEVM,ou=samba,dc=poevm,dc=kture with: Insufficient access
no write access to entry
Adding domain info for POEVM failed with NT_STATUS_UNSUCCESSFUL
failed to add domain dn= sambaDomainName=POEVM,ou=samba,dc=poevm,dc=kture with: Insufficient access
no write access to entry
Adding domain info for POEVM failed with NT_STATUS_UNSUCCESSFUL
Administrator:4294967295:Administrator

$ smbpasswd -w lalala
Setting stored password for "ou=samba,dc=poevm,dc=kture" in secrets.tdb

$ smbpasswd
failed to add domain dn= sambaDomainName=POEVM,ou=samba,dc=poevm,dc=kture with: Insufficient access
no write access to entry
Adding domain info for POEVM failed with NT_STATUS_UNSUCCESSFUL
New SMB password:
Retype new SMB password:
Failed to find entry for user root.
Failed to modify password entry for user root

-------------------------smbpasswd-----------------------------------
root:0:671EF74D684816252105B18654FE47C2:94AB183A6C9DCC7AE0FJF48354A4138A:[U ]:LCT-420B846E:
user:1003:22124EV690B43BFBAGD3B435B51414EE:57D583AA46D571502AAD4BB7AEA09C70:[U ]:LCT-420B8682:
ws-287-3$:1004:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:E96C3CC3F953E20CFEC78979B1880642:[W ]:LCT-420B872E:
--------------------------------------------------------------------------

Ну вот примерно и все... как вы понимаете ничего не работает :))))
Я догадываюсь что половина того бреда что я написал никому не нужна...
Если кто нибудь может понять что да как... пишите плиз в чем баг :)
Если можно подредактируйте мои конфиги... или может у кого есть готовые :) рабочие...
Зараннее спасиб за помощь... (хотя бы за то что прочитали этот пост до конца :))

З.Ы. Если у меня заработает ПДЦ ... :)) отблагодарю чем смогу :))

Demiurg
ты не путаешь? По-моему, PDC домена в стиле NT4, а вот клиенты могут быть и win2k.
strejiok
посмотрите, на opennet на запрос PDC samba ldap вылезло всего 11 статей - может поможет :)

Читай доки, опеннет. И пиши правильно свои конфиги. Как минимум
ldap admin dn у тебя не совпадает с указанным в slapd.conf cn=admin,dc=poevm,dc=kture
Плюс, если хочешь NT4 PDC на Samba, то winbindd тебе не нужен и password server параметр тоже. Читай.

З.Ы. А зачем тебе PDC, если ты включил пустые пароли? Ну и сделай просто выделенный сервер и не мучайся.

IgorK что знач "ну сделай просто выделенный сервер и не мучайся" ?? какой сервер? :)

З.Ы. пасиб конеш.... опеннет рулит. я знаю.
З.З.Ы. если еще есть мысли буду рад.... пасиб...

Как мне кажется, у меня не всё создано в базе ldap'a.
Посмотрите плиз. схему кто знаком с ldap. Правильная структура?

Вот например что выдаёт самба:
# net groupmap list
[2005/02/12 20:25:54, 0] passdb/pdb_ldap.c:ldapsam_setsamgrent(2458)
ldapsam_setsamgrent: LDAP search failed: Invalid DN syntax
[2005/02/12 20:25:54, 0] passdb/pdb_ldap.c:ldapsam_enum_group_mapping(2523)
ldapsam_enum_group_mapping: Unable to open passdb

Вот файлики:
http://strelok.dergachi.net/ldap/full.ldif
http://strelok.dergachi.net/ldap/slapd.conf
http://strelok.dergachi.net/ldap/smb.conf

ПАСИБ!!

Поставь log level, скажем, в 10 и посмотри логи еще раз. Может чего и увидишь.

пасиб. :) не видно нифига... лан... буду еще спрашивать...

Судя по логам ругается на некорректный суффикс домена. ИМХО LDAP проверяет на корректность суффикс (грубо говоря имя домена первого уровня в FQDN). Попробуй вместо сделать что - нить в духе

...не знаю в тему это или нет, но: в сетях W2k (без NT 4.0 и еже с ними) устраняется концепция PDC и BDC, все контроллеры в сети - равноправны...
...что касается LDAP - то на citforum.ru недавно было несколько неплохих статей на эту тему...

2Demiurg ты неправ. Всегда был 1 PDC (в котором разрешен доступ на запись к базе) и любое количество BDC (где доступ к базе только на чтение и репликация базы с PDC). Это оригинальная концепция домена NT.

P.S. хотя интересно было бы посмотреть на работу нескольких PDC для одного домена, особенно одновременное редактирование одного элемента каталога :lol:

...а вот смех тут не к месту... концепция доменов в сетях NT и Win2000 - несколько разная... одно из различий как раз и состоит в устранении понятий PDC и BDC... не веришь? Загляни в "Windows Server 2000. Справочник администратора (Microsoft Press)"...