Samba3 + Ldap

[quote:8b8b7282bc="broven"][quote:8b8b7282bc="djsmiley"]A script nem hibas az fix, ugyanis nalam tokeletesen mukodik. Samba-3.0.10 debianon.

És az mit csinál egyáltalán? Én nem is használtam. :)

Ezt most nem értem, a fenti hibaüzenetet küldi.
De ha van rá más módszer, hogy beállítsam azt amit a samba szerver igényel az ldap oldalon akkor szívesen fogadom, mert nekem még ehgyenlőre ködös ez az egész.... Tudom, hogy mit akarok, csak a leírások alapján nem működik semmi, mintha (és most jön az összeesküvés elmélet) valaki azt akarná, hogy ne tudjál beállítani egy normális konfigot a sambához, mert free software. Nem értem, hogy miért nem aalakítja ki a samba team a szabványt, amit megkövetel, és a dokumentációt miért nem frissíti. Mindenfelé keresgél az ember és nem talál egy jó megoldást leírást, arra a megoldásra, amit a samba alapból tud elméletileg, csak nem tudom működésre bírni....

[quote:bf6b264921="mocsi"][quote:bf6b264921="kissgyula"][quote:bf6b264921="broven"][quote:bf6b264921="djsmiley"]A script nem hibas az fix, ugyanis nalam tokeletesen mukodik. Samba-3.0.10 debianon.

És az mit csinál egyáltalán? Én nem is használtam. :)

Ezt most nem értem, a fenti hibaüzenetet küldi.
De ha van rá más módszer, hogy beállítsam azt amit a samba szerver igényel az ldap oldalon akkor szívesen fogadom, mert nekem még ehgyenlőre ködös ez az egész.... Tudom, hogy mit akarok, csak a leírások alapján nem működik semmi, mintha (és most jön az összeesküvés elmélet) valaki azt akarná, hogy ne tudjál beállítani egy normális konfigot a sambához, mert free software. Nem értem, hogy miért nem aalakítja ki a samba team a szabványt, amit megkövetel, és a dokumentációt miért nem frissíti. Mindenfelé keresgél az ember és nem talál egy jó megoldást leírást, arra a megoldásra, amit a samba alapból tud elméletileg, csak nem tudom működésre bírni....

Szabvany azert nincs, mert meg nem olyan elterjedt, de foleg azert, mert mindenki a sajat alkalmazasaira allitja be az LDAP-auth-ot. Nem biztos hogy az ugy jo lesz neki. Az LDAP elonye pont a nagyfoko flexibilitas es a keves megkotes. A doksi vacsi friss az eredeti site-on. idealx.org Most neztem.

Amugy a populate csak egy strukturat hoz letre, amit vegul is ldif-ben is meg lehet csinalni.

Egy leírás szerint kb 2 éve már egyszer sikerült beállítanom az ldap servert, csak akkor nem volt rá időm hogy tökéletesen beállítsam, és még nem tudtam, hogy mi a jelentőssége, de most hogy ráébredtem, nem találom sehol azt a doksit, és az is az alapán indult ki, hogy kellet ehy ldif fájlt létrehozni, és manuálisan hozzáadni. Mos meg szenvedek, mint pata a napon, mert nem igazán elterjedt még mindíg a dolog, gondolom, sokan ott vannak, mint én 2 éve. Szóval akkor az lenne a kérésem, hogy segítséget kérnék egy korrekt ldif létrehozásához, amit (nyilván a samba configban lehet sokmindent beállítani) illeszteni tudok a sambához...

Hosszas próbálkozás után sem sikerül beállítanom az ldap szervert, valamiért a smbldap-populate.pl szkript nem fut le rendesen, hiába állítok be mindent a smbldap_conf.pm-ben amire a dokumentáció is hivatkozik, mindíg a következő hibaüzenet lesz a kimenete:

[code:1:ec4b1da989]
./smbldap-populate.pl
Using builtin directory structure
Use of uninitialized value in concatenation (.) or string at ./smbldap-populate.pl line 102, <DATA> line 225.
adding new entry: dc=elite
failed to add entry: o: value #0 invalid per syntax at ./smbldap-populate.pl line 323, <GEN1> line 2.
adding new entry: ou=_USERS_,dc=elite
failed to add entry: parent does not exist at ./smbldap-populate.pl line 323, <GEN1> line 3.

és így tovbb...

[/code:1:ec4b1da989]

Nem igazán egyértemű ez a hibaüzenet amit ad, mert olyan, mintha rossz lenne a szkript, de ugye mondtátok, hogy jó, de akkor mégi mi lehet a hiba, mert biztos valami egyszerű a megoldás, csak nekem ez még egy kicsit ködös...

Köszi, kipróbálom...

Király, na ehez mit szóltok:

[code:1:ab39553eb7]
#./smbldap-populate
Bareword "print_banner" not allowed while "strict subs" in use at /usr/share/samba/scripts/smbldap-populate line 53.
Execution of /usr/share/samba/scripts/smbldap-populate aborted due to compilation errors.
[/code:1:ab39553eb7]

A 0.8.7-es smbldap-tools most meg a következő hibaüzenetet adja:

[code:1:fcbaa8270e]
Using workgroup name from sambaUnixIdPooldn (smbldap.conf): sambaDomainName=elite
Using builtin directory structure
Use of uninitialized value in string ne at /usr/share/samba/scripts/smbldap-populate line 169.
Use of uninitialized value in concatenation (.) or string at /usr/share/samba/scripts/smbldap-populate line 173.
adding new entry: dc=elite
failed to add entry: no structural object class provided at /usr/share/samba/scripts/smbldap-populate line 460, <GEN1> line 2.
adding new entry: ou=Users,dc=elite
.
.
.
a fa többi részét ugyanígy nem adja hozzá...
[/code:1:fcbaa8270e]

Valami kimaradhatott az életemből... Valahol még mindíg nem állíthattam be valamit, de mit?

Valamit az openldap configban ronthattam el, mert nem tud csatlakozni az ldapadd sem a szerverhez: ldap_bind: Can't contact LDAP server (81)

Itt vannak a configok:

openldap.conf:
[code:1:cdb4bc587e]

# $OpenLDAP: pkg/ldap/libraries/libldap/ldap.conf,v 1.9 2000/09/04 19:57:01 kurt Exp $
#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE dc=example, dc=com
#URI ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never

HOST 127.0.0.1
BASE dc=elite

[/code:1:cdb4bc587e]

slapd.conf:

[code:1:cdb4bc587e]
# $OpenLDAP: pkg/ldap/servers/slapd/slapd.conf,v 1.23.2.8 2003/05/24 23:19:14 kurt Exp $
#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/samba.schema

# Define global ACLs to disable default read access.

# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral ldap://root.openldap.org

pidfile /var/run/openldap/slapd.pid
argsfile /var/run/openldap/slapd.args

# Load dynamic backend modules:
# modulepath /usr/lib/openldap/openldap
# moduleload back_bdb.la
# moduleload back_ldap.la
# moduleload back_ldbm.la
# moduleload back_passwd.la
# moduleload back_shell.la

# Sample security restrictions
# Require integrity protection (prevent hijacking)
# Require 112-bit (3DES or better) encryption for updates
# Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64

# Sample access control policy:
# Root DSE: allow anyone to read it
# Subschema (sub)entry DSE: allow anyone to read it
# Other DSEs:
# Allow self write access
# Allow authenticated users read access
# Allow anonymous users to authenticate
# Directives needed to implement policy:
# access to dn.base="" by * read
# access to dn.base="cn=Subschema" by * read
# access to *
# by self write
# by users read
# by anonymous auth
#
# if no access controls are present, the default policy is:
# Allow read by all
#
# rootdn can always write!

#######################################################################
# ldbm database definitions
#######################################################################

database bdb
suffix "dc=elite"
rootdn "cn=Manager,dc=elite"
# Cleartext passwords, especially for the rootdn, should
# be avoid. See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
rootpw AzÉnJelszavam...
# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd and slap tools.
# Mode 700 recommended.
directory /var/lib/openldap-data
# Indices to maintain
#index objectClass eq

index objectClass,uidNumber,gidNumber eq
index cn,sn,uid,displayName pres,sub,eq
index memberUid,mail,givenname eq,subinitial
index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq

access to attrs=userPassword,sambaLMPassword,sambaNTPassword
by self write
by anonymous auth
by * none
access to *
by * read

[/code:1:cdb4bc587e]

Valaki lát benne valami hibát? Vagy ha nem itt van akkor hol keressek hibát?

találtam még egy ldap.conf-ot a /etc/ ben beállíjtottam abban is mindent, de akkor is ugyan az marad a jelenség, nem tud csatlakotni az ldap szerverhez...

Üdv mindenkinek, segítséget kérnék a címben lévő dolgokkal kapcsolatban.

Egyszeűen egyedül nem tudom beállítani a hálózatunkon lévő samba pdc szervert, hogy ldap-ban tárolja az adatokat...

Gentoo alatt a samba 3.0.9-r1 verziót akarom az ldap-al együttműködésre bírni, csak nem megy.

Mindíg elakadok valahol, már több leírást is próbáltam.
Most pl. a http://www.idealx.org/prj/samba/smbldap-howto.en.html leírása alapján futottam hibába, annál a résznél ahol a local SID-et kéne lekérni a következő hibaüzenet fogad:

[code:1:4f55ea697e]
bash-2.05b# net getlocalsid
[2005/01/13 20:07:53, 0] param/loadparm.c:map_parameter(2443)
Unknown parameter encountered: "ldap port"
[2005/01/13 20:07:53, 0] param/loadparm.c:lp_do_parameter(3133)
Ignoring unknown parameter "ldap port"
[2005/01/13 20:07:53, 0] lib/smbldap.c:smbldap_open_connection(678)
Failed to issue the StartTLS instruction: Connect error
Törött cső(pipe)
[/code:1:4f55ea697e]

Mindent lépésről lépésre a leírás alapján csináltam, és már többször is leellenőriztem...

Az is lehet, hogy mivel már több leírást próbáltam végigjárni, valami nagyon összekeveredett nálam, és már azt sem tudom, ki kivel van.

Valaki tudna esetleg egy jó leírást ami alapján be lehet állítani ezt az egészet?

[quote:55ff58e782="x-daemon"]hol figyel az ldap és hova akarsz csatlakozni hozzá?
389/tcp? 636/tcp? unix domain socket?
ehhez kellene egy netstat -plan és egy cat /etc/samba/smb.conf|grep -i ldap kimenet

A smbd configban:
[code:1:55ff58e782]
ldap port = 389
[/code:1:55ff58e782]

netstat -plan | grep slap:
[code:1:55ff58e782]
tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 19890/slapd
tcp 0 0 0.0.0.0:636 0.0.0.0:* LISTEN 19890/slapd
tcp 0 0 127.0.0.1:389 127.0.0.1:4090 ESTABLISHED 19890/slapd
unix 2 [ ACC ] STREAM LISTENING 391318 19890/slapd /var/run/openldap/slapd.sock
unix 3 [ ] STREAM CONNECTED 391313 19890/slapd[/code:1:55ff58e782]

[quote:44b3d0b628="x-daemon"]a smb.conf-ban ennyi?!? ráadásul ilyen paramétert nem is ismer! (kiírta) ezekhez mit szólsz?:
ldap admin dn =
ldap delete dn = No
ldap filter = (uid=%u)
ldap group suffix =
ldap idmap suffix =
ldap machine suffix =
ldap passwd sync = no
ldap replication sleep = 1000
ldap suffix =
ldap ssl =
ldap timeout = 15
ldap user suffix =
ezek csak default paraméterek, szerintem kezdd a man smb.conf-al
Example: passdb backend = ldapsam:ldaps://ldap.example.com

cat /etc/samba/smb.conf|grep -i ldap:

[code:1:44b3d0b628]
bash-2.05b# cat /etc/samba/smb.conf|grep -i ldap
ldap passwd sync = Yes
# Scripts for LDAP backend (assumes nss_ldap is in use on the domain controller.
# Needs IDEALX scripts, and configuration in smbldap_conf.pm.
add user script = /usr/share/samba/scripts/smbldap-useradd.pl '%u'
delete user script = /usr/share/samba/scripts/smbldap-userdel.pl '%u'
add user to group script = /usr/share/samba/scripts/smbldap-groupmod.pl -m '%u' '%g'
delete user from group script = /usr/share/samba/scripts/smbldap-groupmod.pl -x '%u' '%g'
set primary group script = /usr/share/samba/scripts/smbldap-usermod.pl -g '%g' '%u'
add group script = /usr/share/samba/scripts/smbldap-groupadd.pl '%g' && /usr/share/samba/scripts/smbldap-groupshow.pl %g|awk '/^gidNumber:/ {print $2}'
delete group script = /usr/share/samba/scripts/smbldap-userdel.pl '%g'
# Script for domain controller with LDAP backend for adding machines (You need
# the IDEALX scripts, and to configure the smbldap_conf.pm first):
add machine script = /usr/share/samba/scripts/smbldap-useradd.pl -w -d /dev/null -g machines -c 'Machine Account' -s /bin/false %u
# LDAP with fallback to smbpasswd guest
# Enable SSL by using an ldaps url, or enable tls with 'ldap ssl' below.
; passdb backend = ldapsam:ldaps://ldap.mydomain.com smbpasswd guest
# Use the samba2 LDAP schema:
; passdb backend = ldapsam_compat:ldaps://ldap.mydomain.com smbpasswd guest
passdb backend = ldapsam:ldap://127.0.0.1/
# LDAP configuration for Domain Controlling:
# The account (dn) that samba uses to access the LDAP server
# This account needs to have write access to the LDAP tree
ldap admin dn = cn=Manager,dc=elite
ldap ssl = start_tls
ldap port = 389
ldap suffix = dc=elite
; ldap server = ldap.mydomain.com
# ldap suffix appears first, it is appended to the specific suffix.
ldap machine suffix = ou=Computers
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
; ldap idmap suffix = ou=Idmap
; ldap machine suffix = cn=Computers
; ldap user suffix = cn=Users
; ldap group suffix = cn=Groups
; ldap idmap suffix = cn=Idmap
[/code:1:44b3d0b628]

Viszont a fent említett leírás szerint volt olyan (a 3.0.2a-ban), akkor ezek szerint már nem létezik... De mégis akkor milyen leítást kövessek ami jó is?

Kikommenteltem a következő sorokat:
[code:1:1b56d3389c]
# ldap ssl = start_tls
# ldap port = 389
[/code:1:1b56d3389c]
ekkor tovább tudtam menni, viszont nem használ ssl-t... amit nem értékelek, de legalább tovább tudok menni...

erre a következő lépésben ezt kaptam a smbldap-populate script futtatásakor:

[code:1:1b56d3389c]
/usr/share/samba/scripts/smbldap-populate
Bareword "print_banner" not allowed while "strict subs" in use at /usr/share/samba/scripts/smbldap-populate line 53.
Execution of /usr/share/samba/scripts/smbldap-populate aborted due to compilation errors.
[/code:1:1b56d3389c]

Megpróbáltam belenézni, de a perl nyelvet nem ismerem. De mintha a scrip lenne hibás vagy mi van most megint...

Hihetetlen, hogy nincs rendes dokumentáció... :cry:

[quote:15d3d7980d="djsmiley"]Hi!

A script nem hibas az fix, ugyanis nalam tokeletesen mukodik. Samba-3.0.10 debianon.
En a helyedben megegyszer nekifutnek annak a doksinak, annak idejen enis abbol csinaltam es nagyon korrekten le van irva minden.
ssl-hez a slapd-t is be kell allitani rendesen. Biztos h. van samba.schema pl. slapd.conf -ban? ha nem megy a populate script akkor az ldap beallitasban keresd a megoldast + a script config filejaban.

Udv.

Felteszem a 3.0.10-es sambát, és próbálkozok újra, még valami eszembe jutott, haogy az előző próbálkozásaimat hogy tudnám lenullázni, lehet, hogy az a baj... Ha újra felteszem az összes szükséges programot, akkor a config fájlok visszaállnak a "default"-ra gentoo alatt?

Valaki esetleg tudna segíteni, hogy egy ldif fájlt létrehozzak amit aztán manuálisan hozzáadok az ldap-hoz? Mert ez a szkript nekem nem igazán akar működni.

Kérdésem van:

Az ldap könyvtár fastruktúrájának bejegyzései ahány leírás annyi féle...

Például a Gentoo lapján az ldap leírásban így néz ki:
[code:1:1d4c6cb6fb]
dc: com
|
dc: genfic (Organisation)
/ \
ou: people servers (Organisational Units)
/ \ ..
uid: .. jhon (OU-specific data)
[/code:1:1d4c6cb6fb]

Az Idealx-es leírás alapján meg így:
[code:1:1d4c6cb6fb]
dc=IDEALX,dc=ORG
|
`--- ou=Users : to store user accounts for Unix and Windows systems
|
`--- ou=Computers : to store computer accounts for Windows systems
|
`--- ou=Groups : to store system groups for Unix and Windows
| systems (or for any other LDAP-aware systems)
|
`--- ou=DSA : to store special accounts (simpleSecurityObject)
systems (or for any other LDAP-aware systems)
[/code:1:1d4c6cb6fb]

Szóval a Users és a People az már nem egyezik, gondolom itt van a hiba egyik forrása. A Gentoo féle leírás alapján be tudtam állítani az ldap servert hogy működjön, viszont abban meg nincs leírva a samba. Az idealx szerint meg nem tudom beállítani...

Én ezt nem értem, egyszerűen lövésem sincs, hogy mi lehet a hiba, a conig fájlok rendben vannak, (már a dokumentáció szerint, és ha jó a dokumentáció) és mégsem fut le a script. Valaki próbálta már. és sikerült Gentoo alatt beállítani ezt a rendszert? Please Help!