Samba mint PDC !

Debian GNU/Linux

Jóemberek !

Csinált-e Valaki közületek Sambával windózos domaint, XP kliensekkel ???
Kicsit félek belevágni mert annyi problémáról olvasgattam itt ezzel kapcsolatban, hogy kezd elmenni a kedvem...
Helyzet: 1db Linux server (debian sarge)
legalább 50 kliens XP-vel.
A gépekhez bárhová, bárki leülhet, kb 5-700 user van(lesz).
Ennyi usert csak egy helyen lenne érdemes (lehetne) adminisztrálni.
Windows Serverrel nem lehet megcsinálni mert nincsen pénz, ja és a jelenlegi "server" sem igazán alkalmas erre (1,2Ghz AMD, 512 RAM, 2*80GB HDD).
Ergo: Samba mint DC lehet a megoldás.
Ha van más ötlet, ne habozzatok megosztani velem.
Valaki csinált már hasonlót ami működött is ?
üdv.

12345

  • 23053 megtekintés

( parocgab | 2006. 08. 24., cs – 07:50 )

Igen. Ezen a listán is többen. Kezd el, ha elakadsz, biztosan lesz segítség.

Már elkezdtem.. egyenlőre a hálózat (amit örököltem) eléggé romokban hever ezt próbálom helyre rázni.
A Samba már müxik mint sima wins server, ezután jön majd a PDC.
kb 40 gép és 7-800 user lesz... ilyet még nem adminoltam.
Ki fog ennyit gépelni ??
köszi.

( Loloke | 2006. 08. 24., cs – 08:21 )

Sot, ha megkeresel privatban, akkor adok egy errol szolo szakdogat, ami szepen lefedi az igenyeid, megmutatja a buktatokat, etc...

Felolem igazabol lehetne, ezert is nem valaszoltam a PM-ben keroknek, megprobalok beszelni a szerzovel, es megtudom, hogy milyen feltetelekkel lehet a doksit felhasznalni.

Mellesleg a pontos temaja Samba PDC, 2 peldan keresztul levezetve, egy sima domain halo, illetve egy Samba+LDAP+kerberos integracio, kevesse tudomanyos, mint inkabb gyakorlati megkozelitesbol... Sokkal inkabb neveznem mini-howto-nak, mint dokumentacionak, a lenyegretorosege miatt.

Amennyiben felvettem a kapcsolatot a szerzovel, ertesiteni fogok mindenkit, es kidobom ide a linket.

( Husi | 2006. 08. 24., cs – 11:45 )

kb 4 hetes s..pás után sikeresen összeütöttem a konfigot, most 5 useres XP-s gépek felett ketyeg a samba PDC-m :) (1,2-es cel 1G ram, 160G PATA HDD + realtek LAN forgatott kernel DEBIAN)

XP-n letolom a connect domain wizard-ot és nemes egyszerüséggel besüvitenek a gépek+userek, reboot után már lehetis használni :)

( edaile | 2006. 08. 24., cs – 22:16 )

Nem kell aggódni, ez már egy egyszerű probléma.
Én is üzemeltetek ilyesmi rendszert, 30 gép, kb 80 felhasználóval.
A samba 3.0 tökéletesen megcsinálja.

Csak egyetlen problémád lesz, hogy ha az egységsugarú felhasználók letöltögetnek mindenfélét a profiljukba, mondjuk egy Ubuntu Dapper imidzset. Szépen lementik az asztalra, és mikor átmennek egy másik géphez, akkor addig nem fognak tudni belépni, míg meg nem érkezik oda is a teljes user profil. Javaslom, hogy szerezz be méretes háttértárakat.

Ami elől menekülnek, az után szaladnak.

Nem nem! tessék beírni a profilba, hogy mennyi a max mérete, és utánna ki sem fognak tudni lépni a gépből, amíg nem törölnek. Márpedig amíg nem lépnek ki, nem szinkronizálódik a profiljuk a szerverrel, és addig a másik belépéskor nem is tud róla a másik gép, hogy mi mindent mentettek az egyik asztalára. kb 20-25 MB teljesen elég profilnak.

Az XP klienseknél be lehet állítani (mmc -vel pl.), hogy a Document and Settings az ne a C:\ -en legyen. Ez lehet egy hálózati meghajtón egy mappa is. Pl. a user home könyvtárában egy .profiles mappa. És ha valamit pl. az asztalra ment, akkor az már egyből a hálózati meghajtóra kerül, így nem kell másolgatni a profilt a hálózaton keresztül. Van valahol ehhez egy szép leírás, de én a linket már elszórtam. Egy srác írta le a howto -t, aki egy kollégiumban vagy suli gépteremben szívott a nagy profilok mozgatásával. Én egy helyen sok userrel csináltam ilyet és nagyon szépen működött. Meg ha a klienst újra is telepíted nem kell a beállítások mentegetésével szöszmötölni és utánna a visszaállítgatásukkal sem. Friss telepítés után felhasználó belép és minden a régi. Kivéve a programok. Igaz a Program Füles mappa helyét is meg lehet változtatni, de ez már szerintem elég határeset, de ha van kellő mennyiségű storage, akkor ez sem lehet bibi. Szerintem még ramot azért adagolj a szervernek szánt masinába. Meg szerintem a 80GB az kevés lesz a ~400 felhasználónak.
___________________________________________________________________
Lógnak a pálmafán a kókuszok .... :)
http://laszlo.co.hu/

Erre van egy nagyon "stílszerű" megoldás:
Az Xp-t egy kis registry buher árán rá lehet venni hogy az "Asztal" nevezetű könyvtárat a felhasználó esetleg bekvótázott meghajtóján hozza létre.Eredmény:
Amit a csülök az asztalra ment az is a pl. 15 Mb-nyi home meghajtóját fogja terhelni :) merjen csak oda nagyobb adatot tenni :) /ha bír/

Linket nekem is, nekem is!

Ja, és ha valaki tudna segíteni: pontosan mitől vendég felhasználó a vendég felhasználó? Csináltam egy usert az LDAP-ban, domain guests csoport tagja, ahogy kell. Mégis, belépéskor keresi a profilját a szerveren, holott én azt szeretném, hogy a helyi gép default profiljával lépjen be. Ez megoldható? Ha jól emlékszem windows szerver esetén így működik. Az is jó lenne, ha a szerverről húzná le a vendég profilt, de akkor ne írjon vissza bele semmit, maradjon ahogy volt. Olyasmi funkcionalitást szeretnék, mintha a gépre a helyi vendég felhasználóval lépne be.

Ennek kapcsán: csinálok sima usert, megcsinálom a home-ját, profilját. Első belépéskor a helyi gép default user profilja, vagy all users profilja (nem tudom pontosan melyik) másolódik bele. Ez így nem gáz? (pl. adott gépen fel van telepítve X program, akkor ugye benne lesz a profilban lévő start menüben. Utána leül másik géphez, kattint a shortcutra, és nem indul a program). Hogyan illik ezt megcsinálni?

Petya

Üdv!

Kivettem a logon path, logon home, logon drive paramétereket az smb.conf-ból, és a sima usereknek az LDAP bejegyzésébe raktam, a vendég usernek természetesen nincs ilyen bejegyzése az LDAP-ban. És mégis, keresi a szerveren a profilját. A logban nem látok semmit, csak hogy próbál csatlakozni a vendég user megosztásához, ugyanúgy, ahogyan a sima userek. Miért csinálja ezt? Hogyan tudom kideríteni, mi a baj?

Petya

Esetleg valami más ötlet?

Az működne, ha egy csak olvasható profilt tennék a vendég felhasználó alá? Ha igen, ezt hogyan tudom megcsinálni?

Azért elsősorban a roaming profile nélküli vendég usert szeretném megvalósítani...

Nos, debuggoltam, feltúrtam 3-ra a loglevelt, így ezt látom a logban: 


[2007/09/03 10:37:19, 3] smbd/password.c:register_vuid(280)
  User name: vendeg     Real name: Vendég
[2007/09/03 10:37:19, 3] smbd/password.c:register_vuid(301)
  UNIX uid 999 is UNIX user vendeg, and will be vuid 105
[2007/09/03 10:37:19, 3] smbd/password.c:register_vuid(332)
  Adding homes service for user 'vendeg' using home directory: '/path/to/directory'
[2007/09/03 10:37:19, 3] param/loadparm.c:lp_add_home(2596)
  adding home's share [vendeg] for user 'vendeg' at '/path/to/directory'
......
[2007/09/03 10:37:19, 1] smbd/service.c:make_connection_snum(950)
  kliens_gep_neve (IP) connect to service vendeg initially as user vendeg (uid=999, gid=514) (pid 12750)
[2007/09/03 10:37:19, 3] smbd/sec_ctx.c:set_sec_ctx(241)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2007/09/03 10:37:19, 2] smbd/reply.c:reply_tcon_and_X(711)
  Serving vendeg as a Dfs root
[2007/09/03 10:37:19, 3] smbd/reply.c:reply_tcon_and_X(716)
  tconX service=VENDEG
......
[2007/09/03 10:37:20, 3] smbd/msdfs.c:dfs_redirect(435)
  dfs_redirect: Not redirecting szerverneve/vendeg/profile.
[2007/09/03 10:37:20, 3] smbd/msdfs.c:dfs_redirect(439)
  dfs_redirect: Path converted to non-dfs path profile
[2007/09/03 10:37:20, 3] smbd/dosmode.c:unix_mode(147)
  unix_mode(profile) returning 0700
[2007/09/03 10:37:20, 2] smbd/open.c:open_directory(1936)
  open_directory: unable to create profile. Error was Permission denied
[2007/09/03 10:37:20, 3] smbd/error.c:unix_error_packet(90)
  unix_error_packet: error string = Permission denied
...
[2007/09/03 10:37:21, 3] smbd/service.c:make_connection_snum(761)
  Connect path is '/domain/userdata/netlogon' for service [netlogon]
...
[2007/09/03 10:37:37, 3] smbd/msdfs.c:dfs_redirect(435)
  dfs_redirect: Not redirecting SZERVERNEVE/netlogon.
[2007/09/03 10:37:37, 3] smbd/msdfs.c:dfs_redirect(439)
  dfs_redirect: Path converted to non-dfs path

A /path/to/directory az a könyvtár, ami az LDAP-ban a homeDirectory attribútumban található. Ez egy kötelező attribútum, így üresen nem hagyhatom, ha pedig /dev/null-t, /bin/false-t írok bele, akkor már 1-es loglevel-en is kiabál.

Petya

( mzs | 2006. 08. 26., szo – 10:18 )

Ezen a címen érhető el a fent említett Samba DC szakdolgozat:
http://sambadchowto.uw.hu/
Használjátok egészséggel.

ui. Amúgy a korábbi hozzászólás egy picit téves volt, ugyanis Kerberos nincs a dolgozatban.

( Tron | 2006. 08. 26., szo – 10:32 )

Samba PDc-vel kapcsolatos negatív észrevételeim:
- minden egyes win gépen fel kell venni azokat a usereket, akik be fognak jelentkezni (mivel a használandó accountnak a gépen is szerepelnie kell). Ezen az LDAP sem segít. 100 gép és 100 user esetében ez azt jelenti, hogy 10000 beregisztrálást kell összesen csinálnod!
- bejelentkezéskor a user profil a szerverről a kliens gépre másolódik, kijelentkezéskor pedig vissza. Elég gázos, ha gyenge a hálózat, vagy pl. jön egy lefagyás, restart, vagy áramszünet.

A PDC kb. 10 gép esetében még elmegy, de egy közepes méretű vállalat esetében (min. 30 gép) már elég necces. Ahol meg már meghaladja a 100-150 gépet, ott egyenesen katasztrófa. Sajnos az ADC (Activ Directory Cont.) szerepére ezidáig csak az M$ szolgáltat biztos megoldást.

A usereket nem kell felvenni az egyes gépeken, soha nem csináltam ilyet, akkor tényleg semmi értelme nem lenne az egésznek.
A user profil méretének kordában tartására át lehet irányítani a könyvtárakat valamint a Kapcsolat nélküli fájlok nevű csodát is érdemes tiltani - mindkettőről van szó a dolgozatban.

Már jópár leírást végig olvastam, és mindegyikben benne van, hogy helyileg is fel kell venni a usert. És amit fentebb leírtam, azt nem csak saját kútfőből vettem: ezzel kapcsolatban volt egy cikk is (Linuxvilág magazin)... érdemes lenne utána nézni, elolvasni, és kipróbálni.
Persze lehet, hogy sem én, sem a leírások szerzői, sem az említett cikk írója nem tud arról a megoldásról, amiről beszélsz.

Azonban most utána nézek megint a dolgoknak, és megint kipróbálom a lehetőségeket.

Nem kell felvenni! A PDC-n tárolod az usereket {esetleg LDAP vagy MYSQL}, de nem a klienseken!

http://www.ipszilon.iif.hu/samba/ipszilon_samba.pdf#search=%22lajber%20…
http://vod.niif.hu/index.php?lg=hu&mn=archive&eid=24&sm=listevent

http://www.fsf.hu/roadshow/pres/samba.pdf
http://szabadalma.hu/dl/samba.divx

Üdv: M.
http://www.pingit.homelinux.org a megoldás.

Akkor kell felvenni, ha a security szinted share és nem user. Ha user, akkor a kliensek felé egy windowsos TARTOMÁNYT emulálsz és nem egy windowsos MUNKACSOPORTOT. Nagy különbség ám!
Ugyanis a munkacsoportbe nem lehet bejelentkezni, mivel annak ilyen funkciója nincsen - pont ezért kell minden gépen felvenni minden usert.
A tartomány ezzel szemben pont a központi jogosultságkezelésről szól, azaz mindenki a szerverhez fordul, hogy ugyan, öreg modd mán meg, hogy xy jogosult-e az én abc megosztásom elérésére avagy sem. Tartomány esetében külső gépe nem is látja a helyi usereket. Érdemes azért egy-két Windowsos könyvet átbújni, mert hasznos tud lenni.

WORKGROUP esetén nem fontos, hogy mi a kliensen a user. Nálan működik. Egyszerű példa:
net use z: \\samba_server_neve\megosztas_neve /user:username jelszo
(de ezt meg lehet adni a hálózati meghajtó csatolásánál is, "bejelentkezés más felhasználói adatokkal", vagy hasonló)

A tartományos bejelentkezésnél azonban a következőt tapasztaltam:
a szerverről az egész user profil mappa átmásolódik a kliensre. És számomra ez az a pont, ami az egészet a feje tetejére állítja. Mivel ehhez neki kell egy ugyanazon a néven már létező helyi profil mappa, ahova be tudja másolni.

Természetesen nagyon könnyen előfordulhat, hogy az én felvetésem a helytelen, és mindenki mással ellentétben valamit kihagytam a számításból.

domaines bejelentkezésnél valóban átmásolja a profil mapát a helyi gépre, ám ezt ő maga hozza létre ha az nem létezne. Azaz ha pl. eddig arra a gépre xy user nem lépett be, most viszont belép, akkor a következő indul el:
- Authentikáció: xy jelszava valóban wz? -> igen
- Authorizáció : xy-nak van joga olvasni a \\server\profiles\xy megosztást -> igen
- Van %SYSTEMDRIVE%\Documents and Settings\xy mappa? -> nincs -> létrehozzuk, írni joga csak xy-nak van rá (meg persze a local adminnak)
- cp -rf \\server\propfiles\xy\* %SYSTEMDRIVE%\Documents and Settings\xy

De ez csak akkor van ha roaming profilt használsz (azaz van 'logon path' sor a smb.conf-odba). A home megosztás (tehát a /home/xy) azonban nem másolódik, csak a tényleges profilmappa.
A másolódást úgy tudod elkerülni ha nem használsz roaming profilt, azaz nincsen logon path a smb.conf-ba.

Ha pedig az a baj, hogy a új user nem tud belógni, mert a 3-as pontnál accdeniedet kap, akkor a Documents and Settings mappán kellene megnézni a jogokat (Mindenki/Everyone -> Módosítás/Modify).
Nekem ez a smb.conf hibátlajul viszi a XP-imet: 


[global]
        workgroup = DOMAIN
        unix charset = iso-8859-2
        dos charset = 852
        client codepage = cp852
        encrypt passwords = yes
        passdb backend = ldapsam
        ldap suffix = dc=domain,dc=hu
        ldap user suffix = ou=People
        ldap machine suffix = ou=People
        ldap group suffix = ou=Group
        ldap admin dn = cn=sysadmin,dc=domain,dc=hu
        logon path = \\%N\profiles\%U
        logon drive = O:
        security = user
        log file = /var/log/samba/log.%m
        max log size = 60
        syslog only = no
        domain logons = Yes
        local master = Yes
        domain master = Yes
        printcap name = cups
        printing = cups
        hosts allow = 192.168.2.0/24
        include = /etc/samba/smbshare.conf

Valamint a smbshare.conf lényegi része: 


[homes]
        read only = no
        browseable = no
        printable = no
        guest ok = no
        create mode = 0700
        directory mode = 0700

[print$]
        comment = Printer meghajtok
        path = /var/lib/samba/printers
        guest ok = yes
        browseable = no
        read only = yes
        write list = root

[printers]
        comment = Minden nyomtato
        path = /var/spool/samba
        browseable = no
        guest ok = no
        writable = no
        printable = yes
        create mode = 0700
        printer admin = root
        public = yes

[profiles]
        comment = Kozponti profilok
        path = /srv/samba/profiles
        read only = no
        public = no
        browseable = no

Nekem ez a rendszer még semmilyen galibát nem okozott. Arra vigyázz, hogy nekem LDAP backenddel van megcsinálva a domain, ergo ha te nem használsz ilyet, az ldap-pal kezdődő sorok törlendők.

- minden egyes win gépen fel kell venni azokat a usereket, akik be fognak jelentkezni (mivel a használandó accountnak a gépen is szerepelnie kell). Ezen az LDAP sem segít. 100 gép és 100 user esetében ez azt jelenti, hogy 10000 beregisztrálást kell összesen csinálnod!

:)))))))))))))))))
Bocs, de ez nagyon durva volt. ;)

De hogy a topicnyitóhoz is hozzászolják:

1) Ha 50 XP licenszre volt pénz, akkor egy Win2k3STD-re is kellene, hogy legyen.
2) Ha az 50 XP warezos, akkor már mit zavar, hogy ha a szerver is az? ;)
3) Azon a "szerver" gépen is el fut egy Windows 2003, nem kell aggódni.

Nah, örültem.

A Windows Server 2003 rendszerkövetelményei
Követelmény Web Server Standard Server Enterprise Server Datacenter Server
Minimális processzorsebesség 133 MHz 133 MHz 133 MHz 400 MHz

Ajánlott processzorsebesség 550 MHz 550 MHz 733 MHz 733 MHz

http://www.microsoft.com/hun/windowsserver2003/sysreq.mspx

Elfut, vagy használható?

--
Intel(R) Pentium(R) 4 CPU 1.80GHz, 512 MB ram, 2.6.17-gentoo-r6-cvk

Ez egy hulyeseg... Nem kell local usereket felvenni a gepeken... Illetve 1et, a rendszergazda felhasznalot, aztan onnantol tartomanyi felhasznalokrol beszelunk, nincs lokalis hozzaferesuk a gephez... Olvasson utana mindenki, aki nem hiszi, en is ilyen rendszert uzemeltetek, a kollega szakdogaja alapjan, es hibatlan minden.

A PM-et kuldoknek (plane azoknak, akik felajanlottak ezt-azt uzenem, hogy mzs kollega az, akit bombazni kell a koszonetekkel... :)

1) nem kell felvenni az usereket a lokális gépre, mivel a tartományba jelentkeznek be, nem a helyi gépre, így a tartományvezérő autentikál.

A helyi gépet a helyi rendszergazdával belépve a tartomány rendszergazda névvel és jelszóval belépteted a tartományba, onnatól meg oda kell bejelentkezni.

(300 useres hálózaton is remekül megy.)

2) csak abban az esetben lehet gond, ha mozgó profillal dolgozol, akkor viszont legyen elég hely a szerveren, ahova a profil tárolódhat , másrészt meg egy 10/100 -as hálón gond nélkül kell működnie.

--
Intel(R) Pentium(R) 4 CPU 1.80GHz, 512 MB ram, 2.6.17-gentoo-r6-cvk

képpel szeretném cáfolni azokat akik azt mondták, hogy PDC-s háló esetén minden gépre fel kell venni a usert. ez a screenshot egy samba-val auth-olt xp kliens. a földgömböcskés user az a domainból local-ba felvett user akinek admin jogai vannak lokálisan, ha nem lenne felvéve akkor a PDC által kiadott jogokkal rendelkezne.

http://www.kepfeltoltes.hu/060828/users_on_client_www.kepfeltoltes.hu_…

Nálam kb 300 felhsználó WinXP és Win2000 op rendszerrel dolgoznak Samba-PDC alatt. A gépeken_nincs_egyetlen_felhasználó sem. A felhasználókat az LDAP lépteti be a szerverre. A mozgó profilokat meg lehet szabályozni, hogy mi menjen fel a szerverre, és mi maradjon a kliensen. A munka_fájlokat_kötelező a szerveren tárolni, hisz azokat menteni is kell. A policyes-l pedig -ha nem is mindent- nagyon sok mindent lehet központilag szabályozni. Ha eredetileg is linuxon futott a rendszer, akkor onnan át lehet migrálni az LDAP alá a passwd és shadow adatait. Vagyis, minimális lesz a kézimunka.

( kacsa | 2006. 08. 27., v – 10:11 )

En is beüzemeltem egy Samba PDC szervert. A következő kérdésem lenne:
Amikor belépek a tartományba mint tartomámy adminisztrátor, a samba által létrehozott megosztásoknak a jogait nem tudom változtatni.(Jobb kattintas, Properties, Security).Megjelennek az illető megosztáshoz tartozo userek, de sajnos a jogaikat nem tudom változtatni.
Lehetséges egyátlán hogy változtassam MS alol a jogokat?

Lehetséges, ezért kell az ACL támogatás a PDC-n. Ma már mindegyik file-rendszerhez elérhető a POSIX ACL kiterjesztés, a 2.6-os kernelfában már alapban benne van, csak nincs bekapcsolva, kernelt kell hozzá fordítani. 2.4-es esetén meg le kell szedni a patch-et hozzá és utána kell kernelt forgatni.
Ha FreeBSD-t használsz PDC-nek, akkor ez se kell, ott a kernel alapban támogatja az acl-eket. Ekkor magát a Samba-t ports-ból telepítve eleve úgy tudod leszedni és lefordítani, hogy támogassa. Tehát kernel, file-rendszer és samba támogatás is kell hozzá.
Ha forrásból akarod feltenni az acl támogatást, akkor a coreutils-t is meg kell hozzá patch-elni, hogy a shell paracsok (ls, cp) tudják kezelni a kiterjesztett jogosultságokat másolásnál, különben elvesznek.
Bővebb info itt: http://acl.bestbits.at

Acl tamogatas:
acl compatibility=
acl check permisions = yes
acl group control = no
acl map full controll = yes
force unknown acl user = no
inherit acls = no
nt acl support = yes
profile acls = no
map acl inherit = no

Ezeket az acl-t kaptam a mikor lefutattam az testparm -v.
Nekem samba 3.0.20,Slackware 10.2, gyari kernellel 2.4.31

A net groupmap list:

System Operators (S-1-5-32-549) -> -1
Replicators (S-1-5-32-552) -> -1
Guests (S-1-5-32-546) -> -1
Domain Admins (S-1-5-21-2287596925-50925588-1267558579-512) -> admins
Power Users (S-1-5-32-547) -> -1
Print Operators (S-1-5-32-550) -> -1
Administrators (S-1-5-32-544) -> admins
Domain Users (S-1-5-21-2287596925-50925588-1267558579-513) -> users
Account Operators (S-1-5-32-548) -> admins
Domain Guests (S-1-5-21-2287596925-50925588-1267558579-514) -> -1
Backup Operators (S-1-5-32-551) -> -1
Users (S-1-5-32-545) -> -1

Van egy Linux userem. pld.:barni az beletartozik a: users es az admins csoportba, tehat amikor belepek a tartomanyba akkor administrator jogokkal rendelkezik. A tartomanyban van egy megosztasom. Amikor a megosztasba egy allomanyt hozok letre akkor annak a tulajdonosa root lesz, a csoportja admins. Miert nem lesz a tulajdonosa a "barni" user?
A fajl jogait (security) tudom valtoztani de uj usert nem tudok hozzadni a tartomanybol.
Ha konyvtarat hozok letre akkor ha annak a jogait valtoztatom akkor a linuxon megvaltozik de a MS nem mutatja es uj usert nem tudok hozzaadni.

Mit kell csinaljak hogy amikor konyvatart vagy allomanyt hozok letre akkor a tulajdonosa az a felhasznalo legyen aki be van lepve a tartomanyba es ne a "root".
Es tudjam a konyvtar/allomany jogait valtzotatni?

Szerintem fordítsd újra a Samba-t, és nézd meg, hogy a kernel config-ban a file-rendszerednél milyen ACL-ek vannak még bekapcsolva, és hogy a legfrissebb patch-et használod-e ahhoz 2.4-es alatt. Kapcsolj be a kernel config-ban minden kapcsolót. Ha esetleg ext3-at használsz, akkor újra kell mount-olnod azt a file-rendszert boot után az ACL támogatáshoz. Bővebben itt: http://www.bluelightning.org/linux/samba_acl_howto/
Valószínűleg azért nem tudod megcsinálni az általad leírt dolgokat, mert nincs meg minden az ACL-hez. Map acl inherit, inherit acls, profile acls...ezek kellenek ahhoz szerintem, hogy ha a felhasználóval létrehozol egy állományt, képes legyen azokat a jogokat és acl-eket örökölni a létrehozótól.

( Dudi | 2006. 08. 27., v – 16:28 )

Szia !

Csak most olvastam a kérésedet.
A topolya.uw.hu -n van egy sarge-re leírás.
samba pdc-ldap
Tuti működik töbször lett kipróbálva.
Használd egézséggel..

Dudi...

( SAGAL | 2006. 08. 27., v – 17:21 )

Azt szeretném megkérdezni, hog a samba workroupba történő használata esetén 10-15 MB/s a file másolás win kliens és linuxos file server között.
Ugyanez a win-es kliens és File szerver tartományban beállítvaa sebesség leesik 3 MB/s körülire.
Ez trend, vagy lehet javítani rajta valamit?

Örülök, hogy ilyen mértékben kibontakozott ez a topic, többet tudtam meg pár perc alatt, mint sokszor hónapok alatt sem...

( uid_1683 | 2006. 08. 30., sze – 22:21 )

Majdnem minden szép és jó de:
win98 alatt a loginscriptben a %USERNAME% értéke egy szép nagy üres string. Ugyanez xp és w2k alatt természetesen jó, és a korábbi 2.x samba esetén is működött szépen.
Ha valakinek van ötlete, ne fogja vissza magát :)

( uid_1683 | 2006. 09. 07., cs – 21:39 )

Szépen megy az ldap alapú PDC dapper alatt.

Egyetlen gondom, hogy nem működik az
username map = /etc/samba/smbusers
paraméter, ahol a fájl tartalma:
root: rendszergazda Rendszergazda administrator Administrator

root-ként belép, de a többi az alábbi üzenetet generálja a logban:
[2006/09/07 21:33:11, 2] auth/auth.c:check_ntlm_password(317)
check_ntlm_password: Authentication for user [rendszergazda] -> [rendszergazda] FAILED with error NT_STATUS_NO_SUCH_USER

Mit rontok el?

( ecosse | 2006. 09. 08., p – 08:28 )

Hy,

nyáron reszelgettünk össze egy samba tartományvezérlőt kb. 60 felhasználóra.
Most kezdték csak használni (oskolában vagyok rendszergazda), de eddig még működik.

Ha kell, elküldöm a doksik, amit leírtunk a telepítés alatt.
Illetve nézz utána itt:

www.linuxhomenetworking.com

Nagyon jó doksik vannak itt, és nem csak profiknak.
A linuxvilág oldalán, ha regisztráltatod magad, néhány részes nagyon jó magyar leírást találhatsz.

üdv.

ecosse

WARNING: passdb expand explicit = yes is deprecated Server role: ROLE_DOMAIN_PDC

hibaüzenetet kapom mikor készíteném a PDC-t mitől lehet ez ??

Amennyiben kell valami hozzá írjatok a config file megegyezik a

http://en.opensuse.org/Howto_setup_SUSE_10.1_as_Samba_PDC oldalon találtakkal.

Köszi a segítséget!

Idő és a google megoldotta ez a részt . a hiba egy rossz csomag. Frissítés a samba.org oldalról megoldotta a gondot.
Amit viszont nem tudok az nem más minthogy a smbuser fájlban található root=administrator esetén ki veszi fel a klienseket ??
Csak mert próbáltam administratorral és probáltam roottal is de nem engedett be. :-(

Ez a fájl úgynevezett aliasok létrehozására való. smb.conf oldalról szükség van a 'username map' beállításra a global szekcióban. Itt kell beállítani a fájlt (pl. /etc/samba/smbusers).
A root beléptetésére ezen kívül szükséges a invalid users = root sor kommentezése, valamint egy smbpasswd -a root parancs. Vigyázz, a smbpasswd-nél megadott jelszó lesz a Windowsos belépőjelszó, nem a root saját jelszava.

Szia!

Én szintén iskolában vagyok rendszergazda, viszont most láttam meg a a fórumban amiket írtál.
Esetleg elküldenéd az aktuális leírásodat samba pdc ügyben, meg azt, hogy mire érdemes figyelni suli esetén?

Az az igazság, hogy már összeütöttem egy pdc-t ubuntu 9 serverrel, ami egy ideig jól is ment, de újabban behal a samba.

Syslogban ez van ezerrel:

"Aug 3 09:48:14 pc3 winbindd[2915]: [2009/08/03 09:48:14, 0] libsmb/clientgen.c:cli_receive_smb(165)
Aug 3 09:48:14 pc3 winbindd[2915]: Receiving SMB: Server stopped responding
Aug 3 09:48:14 pc3 winbindd[2924]: [2009/08/03 09:48:14, 0] libsmb/namequery.c:saf_store(75)
Aug 3 09:48:14 pc3 winbindd[2924]: saf_store: refusing to store 0 length domain or servername! "

Már több napot elvacakoltam evvel eredménytelenül.

Most arra gondoltam, hogy visszalépek az ubuntu 8.04-re.

( elod v | 2006. 10. 11., sze – 18:40 )

A profile limit nagyon rossz ötlet. Elsőre "hű de jó"-nak tűnik, aztán, főleg ha sok a felhasználó és nagy a mozgás - mint pl. oktatásban (nálam többszáz felhasználó és nagyjából 45 perces órák) hamar bead mindenkinek.

100Mbps-on elég gyors már a másolás, s mikor a tanár ki akarja űzni a gyereket a teremből, csak az hiányzik, hogy a profile miatt panaszkodjon.

Linux-os quota-val ugyanez volt a helyzet. Elég nagyra kell szabni ahoz, hogy ne legyen akadály.

poledit használata szükséges, majdnem minden beállításhoz. Ez ugye nagyon szabad szoftver...
"My documents" átirányítása ugyancsak alapdolog.

Menni pedig megy, mégcsak samba 3 sem kell hozzá (legalább 5 éve megy ez a setup).

( ecosse | 2006. 10. 12., cs – 11:15 )

Jóemberek2!!!

Van-e olyan közületek, akik win98-as gépeket léptetnek be samba3 által vezérelt tartományba?

Lepukkant gépeket kell használnunk (iskolában vagyok rendszergazda) és nem bírnak masszívabb oprendszert, csak a fentit.

Azt tudom, hogy a titkosított jelszavakkal gondjai vannak a win98-nak, (ehhez már kaptam segítséget) ráadásul XP-s és Win2000-es gépek is lennének ugyanabban a tartományban.

Reszelt már valaki hasonlót?

(Nyáron csináltunk egy jól működő samba3 tartományvezérlőt, tisztán WinXP-s környezetben, mozgó profilokkal, igen jól működik. A win98-as gépektől kicsit fázok.)

Segítség!!!

Köszi.

ecosse

( _Petya_ v | 2007. 01. 05., p – 14:58 )

Üdv!

Egy 12 kliensből és egy PDC-ből álló domain-ben szeretném az erősen haldokló w2003server-t lecserélni samba-ra. Az lenne a kérdésem, hogy van-e esetleg olyan funkció, amit a samba nem tud, és a windows igen? (actie directory, egyszeű felhasználókezelés, stb.) Nem csak én kezelném a usereket, így jó lenne valami webes frontend is hozzá (webmin?) Az ilyen egyszerűbb feladatok, mint userek listázása táblázatba, elfelejtett jelszó reset, új user felvétele stb. megoldhatók mind webmin-ből?

Petya

Üdv!

Ez biztos? Mármint hogy átveszi a jelszavakat?

más: A Samba PDC tud olyasmit, mint pl a windowsos Group Policy? Meg lehet a szerveren modani, hogy akkor pl. mindenkinek ez és ez a browser kezdőlapja, bejelentkezéskor lefut egy adott script, jelszó elfelejtéskor tudok neki ideiglenes jelszót adni, amit első belépéskor meg kell változtatnia? Folder redirection, bejelentkezés csak megadott időpontok között, egy másik adott időpontban minden gép shutdown, esetleg az utóbbi kettő alól néhány gép és user kivétel... Mindezt valami webes felületen keresztül.. Meg lehet ezt csinálni? Mert ha igen, akkor egyértelműen samba lesz, és hagyom a fenébe a windows-t.

Petya

hali

Elvileg a samba 3 nem tud group policy-t, azt majd a 4-es, mert az már elvileg tudni fogja az AD-t. De javítsatok ha tévedek. Bejelentkezéskor tudsz scriptet futtatni, amiket a netlogon megosztásba pakolsz, azok bejelentkezéskor lefutnak. A jelszavakkal elvileg a pdbedit segítségével lehet trükközni de még sosem próbáltam.( man pdbedit :)))))) )

( macroharddoors v | 2007. 01. 09., k – 02:23 )

Udv!

Következő az észrevételem, freebsd6.x + samba3 ports-ból PDC nek konfigolva + roaming profil, namost x gépről belépek y felhasználóként minden rendben, de z gépről is be tudok lépni szintén y felhasználóként is mindezt egyszerre és egy időben, ez normális vagy én szúrtam el valamit ????

Nah, kiderült mint mindig, hogy a számitógép nem hülye. X user benne volt az admin user-ben

admin user = x y tothkarcsi admin

tehát root tulajdonossal hozta létre a fájlokat. Kivettem és láss csodát a saját owner-ével jönnek létre a dolgok.

Ugyhogy sorry mindenkitől én voltam a f@x.

Az előző problémától eltekintve még mindig nem jöttem rá, hogy hogyan tudok egyszerre egyidőben két különböző gépről ugyanazzal a felhasználó/jelszó párossal belépni a domain-ba. Ez több szempontból is gríz, egyrészt összevissza állítgathatom a profilomat egyszerre több gépről is egyidőben ill. insecure nem gyengén. Mi a franc lehet nyilván én konfigoltam valamit uberborzalmasan félre, de mit ...? :))

Nah tökölök rajta, de ha esetleg...tudjátok....ne tartsátok vissza...mármint információt...:)))

Reszelgetem, ha sikerült leírom, mondjuk most nézem, hogy ez a debian topic, én meg freebsd-én kínlódok. Mindegy gondolom ez samba specifikus nem os.

Nah közben agyamba jutott ez:

root preexec = itt futtat le valamit ha belépsz unix oldalon
root postexec = itt futtat le valamit ha kilépsz unix oldalon

valami lockolást kellene csinálni, gondolom, megvizsgálni hogy aktív-e az adott user SID-je vagy nem, ha igen akkor kidobni vagy valami ilyesmi. Na reszelgetem tovább.

( Lipiot | 2007. 02. 03., szo – 10:35 )

Sziasztok

A topicot olvasva, kezdőként szeretném a következő kérdést feltenni ,- biztos tudtok segíteni. Adva van egy woody-s szerver és 25 Xp-s gép hálozatban. Az egyiknél ujra kellett huzni a windowst és utolag akartam tartományba léptetni. Látszolag elfogadta , de mégsem tudok bejelentkezni mert hiba üzenetként a köv. irja ki: "a munkaállomás és a tartomány között nem jött létre megbizhatósági kapcsolat". Mit tippeltek, minek nézzek utána? A gép neve változatlan maradt , de uj accountot hoztam létre letörölve a régit, melyet be is irt a smpasswordbe, -ez nem hozott sikert. Inkább a helyi gépnél kereskednék....talán...

előre is köszönettel

Üdv
O.

Köszi, az a furcsa, hogy lehozza (már nem is tom hol) az eddigi userek listáját aki a tartományba van , de mégse enged be, se egy user nevén , se linux adminként, se a saját usernevemen , ami admin jogu. . Nem lehet , hogy az Xp-n kell valamit konfigurálnom, vagy ott nincs jó felhaszn. fiók?

Ottó

Ezért mondtam a reassign-t. Lehet, hogy nem teljesen 100-as volt az a beléptetés. Az a baja a dolognak ami az előnye is: sok mindennek a hiányát elviseli, nem szól érte. Elméletbe pl. lenni kellene speckó SRV rekordoknak a DNS-be, korrekt DNS szerver kellene, Kerberos, etc., de ezek mind nem szükségesek, mert sok mindent a XP maga talál ki/old meg. Valami viszont nem lehetett jó, hiába mondta azt, hogy minden rendben.

A Trust kapcsolat maga is igen kényes dolog. Van esetleg valami tűzfalféleség ezen a gépen? Vagy bármi eltérés a domain gépeihez képest?

Köszi az ötletet, de nem segített. Szóval az a helyzet , hogy már két gépről van szó, amik hasonlóan viselkednek. A történet röviden. Megváltozott a rendszergazda (én lettem) a két gép közül az egyik egy dhcp configban macaddressel konfigurált gép a másik nem. Az egyiknél ujra lett huzva az Xp a másiknál nem. internet van mindenhol. Nem tudom ilyenkor mikor tartományba jelentkezik be kell egy előre konfigurált helyi fiok , különben hova lép be a központiba?
Kicsit kezdő vagyok....
O.

Na, végre sikerült a fontosabbik gépet beléptetni.Valószinüleg az segitett, hogy egy usert felvettem aki a serveren is userként(adminként) lett definiálva. Vagy az ipconfig renew segithetett,-- nem tom. A csoport házirend biztonsági beálitásait néztem, hátha ott a megoldás, de azt meg a serverről tölti le, tehát az már következmény.
Mindenképpen köszi a tippet , most probáloma másik gépet is, hátha még arra is rájövök mit is csináltam jól.
Üdv
U.i. a profilméretek limitálásáról mia vélemény, nincs veszélye???

keresd a poledit.exe-t, ameg a hozzá való admin fileokat (*.adm). letölthetőek ingyér. készicc egy ntconfig.pol-t, ami a netlogon share gyöklerébe való (ha jól emléxem). ebbe beírható a profil max mérete, sőt, custom hibaüzenet is. Ha túlléped, nem enged kijelentkezni a ringyóz, amig le nem törölsz elég cuccot. Szerintem kb 20 mega elegendő, ha a Documets könyvtárat átrányítottad a homeshare-re.

( budacsik | 2007. 03. 04., v – 19:55 )

Hali!
El sem hiszem de ezúttal alig 2 nap alatt működik a samba PDC igaz csak virtualizációval (Ubuntu + vmware, és ezen fut egy xp kliens)

Csak az a bajon, hogy a samba usereket fel kell venni system usernek is és a profilokat is csak a home könyvtárukba tudom tenni. Erre milyen jobb megoldást tudnátok? Valamint majd a profile könyvtárakra 100MB-os quotat akarok beállítani.

Köszi a segítséget előre is.

Halihó!
Konkrét kérdés. Azt szeretném megoldani samba 3x-el, hogy a userekpasswordjei 30 naponta lejárjanak és újat kelljen nekik megadni. Ezt valami bejelentkezéskor felbukkanó ablakban lehetne. Hol lehet ezt beállítani?

Találtam ezeket a sorokat egy doksiban:
# A UNIX fiókok létrehozására és törlésére szolgáló szkriptek
#add user script = /usr/sbin/useradd %u
#add group script = /usr/sbin/groupadd %g
#add user to group script = /usr/sbin/usermod -G %g %u
#add machine script = /usr/sbin/useradd -s /bin/false -d /dev/null %u
#delete user script = /usr/sbin/userdel %u
#delete user from group script = /usr/sbin/deluser %u %g
#delete group script = /usr/sbin/groupdel %g

A global szekcióba kell tenni, de mikor? ill. hogy használatosak ezek a szkriptek? Valami windózos user manager progival lehet ezt használni és akkor nem parancssorban kell heggesztenem ezeket a dolgokat?

Még egy uccsó alap kérdés, de nagyon tuti akarok lenni benne.
Ez a sor ugye csak a megadott interfészen engedi működni a sambat? interfaces = vmnet8

Köszi / budacsik

Az interfaces kérdésre a válasz : igen, de nmap localhost
A jelszóváltás, ahogy én tudom
1) Vagy LDAP-ozol, és ott akár mindenkinek külön lejárati időt adhatsz
2) Vagy az NT policy-ban állítod be (goggle: poledit.exe, ADM file)
3) Az alapértelmezett tdb backenddel nem megy AFAIK.

Hali!

Ezt találtam
"A házirend állományt a telepítő CD-ken található poledit.exe-vel készíthetjük el, majd a tartományvezérlő NETLOGON megosztásába kell másolnunk."

Tehát ezzel generálok egy konfig file-t amit beteszek a netlogonba és ez a file fogja nekem ezeket a szép dolgokat megcsinálni?

nah, meglett ez a progi, ez ugyan az mint amit NT órán is tanultunk :)
Félre a vicceskedést, nem tudom elmenteni amit csináltam. Mindig hibát ír ki.

"An error occuredwriting the registry. The file cannot be saved."

Emlékszem (bár nem nagyon figyeltem sajna) NT órán sem volt mindegy, hogy hová mentjük és milyen néve. Tud valaki ebben hlep-et nyújtani? Hogy mentsem el azt a fájl?

( joszif | 2007. 03. 09., p – 12:08 )

sziasztok!

bocs hogy ide irok de nem akartam uj topicot nyitni.

adott egy kisebb halo, kb 30 kliens geppel(xp, 98 stb vegyesen), 1 samba server, nem PDC! (debian sarge 3.1 r4 + samba 3.0.14a) es egy dns server(bind 9.2.4), amin be van love a ddns, tehat a kliensek hostneveit automatikusan regisztralja amikor megkapjak az ip cimuket.

kerdes:megoldhato-e, hogy a samba a nevfeloldashoz dns -t hasznaljon? sajnos eddig sikertelenul probalkoztam...

koszi

Azzal kezdtem csak az a gáz, hogy a man szerint ebben az opcióban nem lehet dns-t beállítani. Van egy dns proxy opció de arra meg azt írja, hogy csak akkor használja a dns-t ha a wins -ben nem talál meg egy gépnevet. Viszont nem szeretnék WINS-t járatni, ha egyszer van ddns. Erre kéne valami megoldás ha csinált már ilyet valaki!?
DDNS-el kapcsolatban mi nem megy?

( fazy | 2007. 07. 09., h – 16:00 )

Üdvözlet, a kovetkezo problema merult fel a pdc telepitese soran, szepen mindent bekonfoltam beléptettem tartomanyba, be is jelentkezik minden user
megvan a default user dolog is, és amikor egy be nem jelentkezett felhasznalo lép be, onnan olvassa ki az alap dolgokat, és utána állandóra létrehoz 1 mappat a windowsos gépen, és nem szinkornizalja fel a kiszolgalora szabalyos kijelentkezes eseten..
amennnyiben felhasznaloi konyvtarba amibol a profilt szedi, felmasolok 1 fajta mapastrukturat, pl kék xp style stb akkor azt fogja betolteni, de ha modositom a modositasokat mar nem irja ki.. mindenhol az elozoleg kék style fog megjelenni, hiaba valtok hatteret akkor is...
a konyvtarak joga igy nez ki, az ezt tartalmazo mappa 1777es jogokkal bir:

drwx------ 15 fazy smbuser 480 2007-07-09 12:17 fazy

Ha valakinek valami ötlete lenne, kérem ossza meg velem..

Itt a config fileom,
[global]
netbios name = cerebro.wx
workgroup = TMVP
server string = TMVP Samba PDC server by FaZy
security = user
dos charset = CP852
unix charset = ISO8859-2
username map = /etc/samba/smbusers
log file = /var/log/samba/samba.%m
log level = 2
max log size = 50000
socket options = TCP_NODELAY SO_RCVBUF=65536 SO_SNDBUF=65536
local master = yes
os level = 256
domain master = yes
preferred master = yes
domain logons = yes
logon path = \\%L\Profiles\%U
logon drive = S:
#logon home = \\%L\%U
logon script = logon.bat
wins support = yes
dns proxy = no
time server = Yes
# A UNIX fiókok létrehozására és törlésére szolgáló szkriptek
add user script = /usr/sbin/useradd %u
add group script = /usr/sbin/groupadd %g
add user to group script = /usr/sbin/usermod -G %g %u
add machine script = /usr/sbin/useradd -s /bin/false -d /dev/null %u
delete user script = /usr/sbin/userdel %u
delete user from group script = /usr/sbin/deluser %u %g
delete group script = /usr/sbin/groupdel %g
#============= Megosztások =============
[homes]
comment = Home Directories
browseable = no
writable = yes
# A tartományi bejelentkezésekhez
[netlogon]
comment = Network Logon Service
path = /mnt/SAMBA/home/netlogon
guest ok = yes
writable = yes
locking = no
# A mozgó profilok helye
[Profiles]
path = /mnt/SAMBA/home/Profiles
browseable = no
hide files = /desktop.ini/ntuser.ini/NTUSER.*/
read only = no
writeable = Yes

A logban annyit látok, hogy megnyitja és lezárja azokat a default fileokat,
pc301 (192.168.3.101) connect to service Profiles initially as user fazy (uid=1000, gid=1000) (pid 7640)
[2007/07/09 16:02:32, 1] smbd/service.c:close_cnum(1230)
pc301 (192.168.3.101) closed connection to service Profiles
[2007/07/09 16:02:32, 1] smbd/service.c:close_cnum(1230)
pc301 (192.168.3.101) closed connection to service fazy
[2007/07/09 16:02:32, 1] smbd/service.c:close_cnum(1230)
pc301 (192.168.3.101) closed connection to service Profiles

Nemvágom mi baja lehet konkrétan, legalább valami hibát irna ki... lehet hogy a konf a rossz?:S

Ja és a homeokig egyenes utja van a sambanak, csak az userdirek vannak lekorlatozva... a /mnt/SAMBA/home/Profiles mind 777 esek.. a Profiles 1777 mint irtam

ez a sor lehet baj: hide files = /desktop.ini/ntuser.ini/NTUSER.*/
az ntuser.dat ugyebár az a rész ami a HKCU lesz a regisztriben. namost, ha ezt te neki nem adod oda, az az álmoskönyv szerint baj is lehet.

Ha véletelen mégsem, akkor másik tipp: pár éve volt olyan, hogy az akkori NVIDIA diverek el**ták a roaming profilt: ha futott az nvidia display manager nevű szolgáltatás, akkor minden hibaüzenet, log akármi nélkül nem ment a roaming profil. Ha esetleg régi (70-80) nvidia drivered van akkor lehet ilyen.

Gudlakk

Magam is igy gondoltam, de mint otletet kiprobaltam volna ha nem mondod, szerintem az Nvidisaba lehet valami, majd meglesem szépen delutan, aztan elvalik h mi a baj.. remélem :) Az nvidia driver lecserelese ezeken a gepeken nem johet szoba egy ideig, Oktatasi suli vagyunk és a SolidEdge 15 os verzionak csak 1 fajta driver jo kulonben kikapcsolja a 3d-s tamogatast... :) Ati karikkal pl 1általán nem megy... Ha lesz SE frissites, akkor lehet csak NV drivert birizgálni :)

( petty222 | 2007. 07. 10., k – 10:47 )

Sziasztok!

Van egy felhasználóm aki megtelt tárhelet kap válaszul maikor be szeretne lépni viszont nincs quota a szerveren a felhasznaló profilja 10 GB.
Szerintetek miért adja ezt a hibát ?? A kliensen is kell ennyi tárterületnek lenni ??

Köszi a segítséget!!!

Ha a felhasználó profilja 10 GB, akkor már régen rossz. Mivel a profil letöltődik, ezért a kliensen is ennyi helynek kell lenni.

De egyébként sem egészséges ekkora profilt tárolni. Kapjon egy teljesen új profilt, és ahova eddig bejelentkezett töröljétek a profiljának a másolatait, nehogy visszamásolódhasson. A régi profilját meg tegyétek át a home-jába, azzal a kitétellel, hogy másolja ki ami kell belőle, 5 nap mulva az a mappa törölve lesz. És ne a profiljába másolja.

A profilokra meg tessék egy 200MB/useres quotát beállítani de gyorsan.

( mickeyratt | 2007. 07. 23., h – 14:35 )

Sziasztok!

Remélem valaki tud segíteni nekem. Egy megörökölt helyen kellene egy hálózatban PDC-t beállítani, kb. 70 windows kliens, jelenleg csak munkacsoportos hálózat van, iszonyatos bcast forgalommal, így gondoltam arra, hogy jó lenne egy debian etch samba pdc-t beállítani wins szereverrel stb... Otthoni teszthálózatomon gyakorlok, az ebben a fórumban (is) szereplő útmutatások alapján összehozva működik is a dolog. Mozgó profilok fel-letöltése, névfeloldás, minden ok, csak egy dolog bánt engemet: minden bejelentkezéskor egy óriási hiba kerül a windows xp pro kliens eseménynaplójába:

Event ID: 1054 : Windows cannot obtain the domain controller name for your computer network. Group Policy processing aborted.

Sok dolgot kipróbáltam, de nem jövök rá, mitől lehet, és addig nem merem élesben is beüzemelni, amíg ki nem derül miért van ez.

Másik furcsaság, hogy ha elindítom a régi NT-s user managert, 5 mp után kidobja, hogy nem találja a domainhoz tartozó pdc-t, ezután tallózással megjeleníti KÉTSZER is. Egyszer a debian pdc host nevével, egyszer pedig a valós tartomány nevével. Nem tudom miért jelenik meg kétszer is a listán ugyanaz a PDC (ha a host -nevesre kattintok, akkor hiba, ha a másikra, gyönyörűen működik minden userek hozzáadása, módosítása stb...)

Köszi szépen előre is segítségetek!

Szia kbela, köszi a tippet!

Szerintem talán nem DNS gond, mert ha a pdc-n (debian, etch, samba: 3.0.24) az nsswitch.conf -ban a hosts: után mindhárom fő névfeloldási módszerrel egyenként lepróbálom ( files / dns / wins ) akkor mind NETBIOS, mind full domainnévre gyönyörűen lehet pingelni a szervert.
Természetesen a dhcp kiküldi a WINS server és DNS ip-t is, plussz, a netbios-node-type ot 8-ra, hogy eleve a PDC-hez forduljon a kliens a névfeloldásért)

Kell valami spec. bejegyzés a dns zónafile-ba esetleg, amiről nem tudok? Már kipróbálgattam a neten fellelhető megoldási javaslatokat, még az 1GB-es hálókártyák esetén javasolt auto-sense -t is kikapcsoltam, de semmi sem segít. Mintha két tartománynév alatt hirdetné magát a samba PDC.

Köszi!

Az USRMGR.EXE-hez:
sok verziója van, van ami megy, és van ami nem megy. Volt nekem is olyan ha jól emélxem, amelyik ilyen ökörségeket csinált.
Nekem ez ment:
ftp://ftp.microsoft.com/Softlib/MSLFILES/SRVTOOLS.EXE
lassú lesz, de lejön.
Ha LDAP is van, akkor (legalább is ubuntu 6.06-on) nem fog menni, ha indexelt bármi is az ldap-adatbázisban (elvileg ez nem lehetne hiba, de az).

Köszi Oops

Én is azt használom, működik is, csak kétszer jelenik meg a pdc a domain listában (mind a program indulásakor, és akkor is, ha a user > select domain-ra kattintok). Megjelenik a pdc NETBIOS neve is (ami nem ugyanaz, mint a tartomány neve), és a tartomány neve is. Tudtommal nem kelle a PDC netbios nevének megjelenni a listában, hanem csak a tartomány nevének. (kb 5-10 sec után jelenik csak meg, gondolom time-out után), de ez a kisebb gond, az aggasztó dolog az Event logba kerülő, már említett hiba. Most egy magyar XP alól is kipróbáltam, ott így fest (magyarul) a hiba:

A Windows nem tudja megszerezni a számítógép-hálózat tartományvezérlőjének nevét. (A megadott tartomány vagy nem létezik, vagy nem lehet csatlakozni hozzá. ). A csoportházirend-feldolgozás megszakadt.

ezután általában jön egy AutoEnrollment 15 id-es hiba is:

A(z) helyi rendszer automatikus tanúsítványigénylésének nem sikerült felvennie a kapcsolatot az Active Directory címtárral (0x8007054b). A megadott tartomány vagy nem létezik, vagy nem lehet csatlakozni hozzá. Nem kerül sor az igénylésre.

Ez nem zavar annyira, mert tudtommal, a samba csak NT4 típusú domain szolgáltatásokat tud, ActiveDirectory-t csak talán a 4-es verzióban a jövőben.

Olvastam valahol valami SRV rekordról a dns-ben, ez hiányozhat?

Nos.
1. Ha ugyanazt az usrmgr.exe-t használod (ugyanazt a letöltést) akkor annak mennie kell (mihelyt rendben van a névfeloldás)
2. SRV rekorodot nemtom, nálam ilyen tuti nincs.
3. Amit az active directoryról és a samba4-ről írál, azt én is úgy tudom.
4. Az eventlog és a dupla megjelenés nyilván összefügg, olyannyira, hogy az XP nem tököl órákig, a timeout után benyomja az üzenetet az eventlogba és továbblép, az usrmgr.exe egy kicsit tovább hajlandó tökölni, és ennek meg is van a - kétséges hasznú - eredménye.
5. Nézd meg az nmblookup (linux) és az nbtstat (win) paparncsok használatát és játszadozz velük, segíthetnek. Figyeld főleg, hogy a név melletti attribútumokból (nem megy fejből, a man után érteni fogod) azt látod-e, amit akarsz.
6. Mi van, ha lelövöd a dns-szervert? A wins-nek anélkül is kéne megyegetnie (legalábbis a klienseknek: ezek elvileg regisztrálják magukat és a share-jeiket a wins-ben)
7. Próbálkozz a /var/lib/samba/wins.dat és browse.dat törlésével (samba közben nem megy ugyebár), illetve nézd meg mi van bennük. A 3-as szambában előfordulhat korábban hibásan becache-elt (fúj, de ronda) nevek bennragadása
8. Ezek szerint be tudsz léptetni gépeket a domainbe. Azt pontosan hogy is csinálod? Hogyhogy akkor meg megvan a tartományvezérlő?
9. A PDC-n kiadott 'smbclient -L pdc_gep_neve -U%' mit ad vissza? Látszik benne, hogy ki a PDC? Mit ad ugyanez a parancs, ha a pdc_gep_neve helyett localhost, 127.0.0.1, illetve a hálókártya IP-je látszik?

Gudlakk

Szia Oops, nagyon köszi a sok tanácsot!
Lépésenként végigmentem rajtuk:

1: Ugyanaz, fc-re stimmel :)
2: Ez jó hír, akkor ezen a nyomon nem megyek tovább
3: OK
4: Logikusnak tűnik
5: Látszólag minden ok, az összes domain-specifikus
netbios típus név (1b-u / 1c-g / 00-g) a PDC-re mutat:

( a debiancsabi a samba pdc host és netbios neve, az INTRA a
tartomány neve)

debiancsabi:~# nmblookup -d 1 -S debiancsabi
querying debiancsabi on 192.168.11.255
192.168.11.1 debiancsabi<00>
Looking up status of 192.168.11.1
DEBIANCSABI <00> - H <ACTIVE>
DEBIANCSABI <03> - H <ACTIVE>
DEBIANCSABI <20> - H <ACTIVE>
..__MSBROWSE__. <01> - <GROUP> H <ACTIVE>
INTRA <1d> - H <ACTIVE>
INTRA <1b> - H <ACTIVE>
INTRA <1c> - <GROUP> H <ACTIVE>
INTRA <1e> - <GROUP> H <ACTIVE>
INTRA <00> - <GROUP> H <ACTIVE>

MAC Address = 00-00-00-00-00-00

6: Dns nélkül minden ugyanúgy működik, ugyanolyan hiba a logba,
és ugyanaz a működés is (csak a net nem megy így, mivel a dhcp
is a PDC ip-jét adja mint dns szerver - így a neveket nem tudja
feloldani)

7: Töröltem őket, sajnos semmi változás

8: igen, tökéletesen belépteti a gépeket a tartományba, workstation
módból az XP-n a szokásos módszerrel tagság: tartomány, megadom a nevet
(INTRA) erre rögtön kéri (nincs time-out) a usernevet/jelszót,
ekkor megadom a root usernevet és a PDC root jelszavát, reboot,
és gyönyörűen be van léptetve a gép, ott diszeleg a gépnév$ a passwd
és group -ban (/etc/..), ja és persze tdbsam -ot használok, amíg így se
jó, addig nem merek LDAP-ba belevágni

9: mind a 4 esetben tök ugyanaz:

debiancsabi:/etc/samba# smbclient -L localhost -U%
Domain=[INTRA] OS=[Unix] Server=[Samba 3.0.24]

Sharename Type Comment
--------- ---- -------
netlogon Disk Network Logon Service
profiles Disk Profile Share
accounts Disk Accounting Files
service Disk Financial Services Files
pidata Disk Property Insurance Files
apps Disk Application Files
IPC$ IPC IPC Service (Samba 3.0.24)
Domain=[INTRA] OS=[Unix] Server=[Samba 3.0.24]

Server Comment
--------- -------
CAD iP4 2,4G/1GB
DEBIANCSABI Samba 3.0.24

Workgroup Master
--------- -------
INTRA DEBIANCSABI

Asszem ez nehezebb lesz mint gondoltam, de akkor se szeretnék windows
szervert beüzemelni, ha még hetekig eltart is, amire kiderül a baj.
Várom további tippeteket!

Köszi előre is!!!

Csak azér' válaszolok a saját postoomra, hogy ne legyen túl keskeny itt a drupalban...
A helyzet kakis, de fel ne add! Fogynak az ötleteim, de azért hadd kérdezzem mán meg az alábbiakat:

1. Kérek egy cat /etc/samba/smbusers kimenetet

2. Az smbclient kimenetéből hiányzik egy
ADMIN$ IPC IPC Service (DEBIANCSABI)
megosztás (rögtön az IPC sor előtt illene lennie tudtommal), nemtom miért hiányozhat.

3. Ez a rész is zavar picit:

debiancsabi:~# nmblookup -d 1 -S debiancsabi
querying debiancsabi on 192.168.11.255

A baj(?): Itt illene rájönnie, hogy a debiancsabi a localhost, és illene ezért a broadcastot 127.255.255.255 -re nyomnia. A DNS-be saját magát beírtad? (feltételezem, ő a dns is) A resolv conf-ban az elsődleges nameserver lehet saját maga (127.0.0.1)

4. vissza az smbclient kimenetéhez:
Server Comment
--------- -------
CAD iP4 2,4G/1GB
DEBIANCSABI Samba 3.0.24

Sajna ebből nem vili, hogy mi meddig van, (hol vannak a tabok), de az oldaladon megadott configfile alapján ilyen nem jöhetne. Ez arra a (2 napig tartó) szívásomra emlékeztet, amikor a woodynak nem sikrült az egyik /etc/init.d/samba restart alatt az smbd-t lelőni DE az újat elindította, így ketten futottak. Nézz utánna, nehogy így járj.

5. A log level értékét toljad kicsit fölfele (9-es vagy több baba) és figyeld induláskor, ahogy megnyeri a választásokat. Meg utána is. Hátha látsz valamit.

6. A 'name resolve order = wins lmhosts' bejegyzést kipróbálhatod (bár itt már csak vagdalkozok)

7. Próbálj gépet parancssorból beléptetni (net join), hátha az mond is valamit. Sajna most nem vágom, hogy van-e valami debug/verbose kapcsolója... ipconfig/all mit mond?

8. Mi van, ha a dhcpt elrúgod, a wins szervert kézzel állítod be a hálózati kapcslatok fülön és kézzel adsz ipt is?

Gudlakk again.

Köszi Oops!

Feltettem egy txt file-t, amelyben megvannak a TAB-ok.

http://csabi.etata.hu/error/out.txt

Nekem is furcsa, hogy nincs ADMIN$ service, a gyári eredeti smb.conf -ot használva sincs, lehet, hogy ez is egy új 3.0.24 -es vívmány? Mint ahogy a groupmap is az volt. Nem értettem miért nincsenek a gyári 3.0.24 -es sambában eleve benne az alap groupmapok, mire ezt olvastam a samba honlapján:
Group Mapping Changes in Samba-3.0.23:
it is necessary to explicitly execute the net groupmap add to create group mappings, rather than use the net groupmap modify method to create the Windows group SID to UNIX GID mappings.

Amire rájöttem, hogy miért nem működnek az összes példaleírásokban szereplő net groupmap modify... parancsok !!!
Lehet, hogy ez az ADMIN$ eltűnés is valami ilyesmi?

Az a baj, hogy szerintem ezzel az új sambával nagyon kevesen csináltak még pdc-t, és kevés a tapasztalat.

Próbáltam kilőni a dns-t, kézzel bekonfigolni a windowst: ugyanaz.
Igen a resolv.conf-ban saját maga van csak mint dns szerver.

Már 3-as loglevel-en is jó sokat ír, kicopyztam néhány érdekes sort:

Samba server DEBIANCSABI is now a domain master browser for workgroup INTRA on subnet UNICAST_SUBNET

Samba server DEBIANCSABI is now a domain master browser for workgroup INTRA on subnet 192.168.11.1

Samba name server DEBIANCSABI is now a local master browser for workgroup INTRA on subnet 192.168.11.1

időnként ilyen is jön :
[2007/07/24 22:08:53, 2] nmbd/nmbd_browsesync.c:announce_local_master_browser_to_domain_master_browser(108)
announce_local_master_browser_to_domain_master_browser:
We are both a domain and a local master browser for workgroup INTRA. Do not announce to ourselves.

Ezt nem tudom miért csinálja.

Oops, egy olyan dolgot tehetnénk, -ha nem vagyok nagyon pofátlan-, hogy adnék ip címet, és root jelszót ehhez a szerverhez, alighanem sokkal több infód lenne, mint amit itt próbálok leírni?

Köszi szépen, és bocs, a pofátlan kérdésért!

Semmi porbléma, de ma már késő van:)
Nos, a bizalom igen megtisztelő, ámde a következő napokban tuti nem fogok ráérni...

Mindenesetre vadásztam egy keveset guglin, és igen aranyos dolgot találtam:
http://www.mithrandir.hu/doc/book/node5.html
A samba résznél neki sincs admin share-je... Hmmm. Mán megint valami új dolog, amit meg kell tanulni. Mire épp tudni kezdem, átírják. Mégis inkább klasszikafilológsnak kellett volna mennem. És a visztát még nem is láttam.

Megírhatnád majd, hogy jutottál-e valamire, mert
1. érdekel
2. remélhetőleg nem leszek örökké elfoglalva (jövő héten pl. asszem lesz időm, csak toom, hogy az egy örökkévalóságnak számít ilyenkor), s ha addig még mindig nem megy a buli, akkor megnézhetnénk.

Nos, úgy néz ki, hogy mégsem névfeloldási probléma volt.

Úgy jöttem rá, hogy egy orosz oldalról letöltöttem egy másik smb.conf-ot, a sambát purge-oltam, a viszarakás után az orosz smb.confot berakva gyönyörűen time-out nélkül működött a belépés, és az event logba sem került a szokásos hibaüzenet, + a user manager sem time-outolt, valamint azonnal beugrott az 1 db tartománynév. A lényeg, hogy a korábbi kísérletezések bennmaradtak a tdb fájlokban. Különösen a pasdb.tdb és secrets.tdb fájlokban. Nem tudtam, hogy ha akár a server netbios nevét, akár a tartománynevet megváltoztatom, akkor új SID generálódik a szerverhez, és ezek után az összes groupmapping, és minden más SID-hez kötödő dolog megváltozik. Így maradhatott benne a korábbi tartománynév, és ezért jelent meg duplán a listában. A pdbedit, és net parancsokkal kitöröltem minden régi bejegyzést, hozzáadtam újból a csoport-összerendeléseket és user/gép accountokat, és megszűntek a korábban ecsetelt hibák.

Mindezek ellenére még nagyon messze van a samba PDC a használhatóvá minősítéstől. Most újabb gondok vannak (főleg a USRMGR.EXE nem úgy működik, mint kellene, de majd ezekre később visszatérnék.)

Ok, ügyes.
Az, hogy a tartománynév bennmarad ilyenkor is, tudtommal nem normális: én változtattam tartománynevet, baj nem lett belőle.
Az USRMGR-rel mi a gond? (Nem fog tudni mindent megcsinálni, bár amire igazán kell, az szerintem:
1.) Account unlock
2.) Password változtatás
és kész. Esetleg csoporttagság *ellenőrzés*, egy normálisan összerakott rendszerben a csoporttagságok ritkán változnak.

Ok, ügyes.
Az, hogy a tartománynév bennmarad ilyenkor is, tudtommal nem normális: én változtattam tartománynevet, baj nem lett belőle.
Az USRMGR-rel mi a gond?
(Nem fog tudni mindent megcsinálni, bár amire igazán kell, az szerintem:
1.) Account unlock
2.) Password változtatás
és kész. Esetleg csoporttagság *ellenőrzés*, egy normálisan összerakott rendszerben a csoporttagságok ritkán változnak.)

Szia Oops
Ezek szerint visszatértél a szabadságból?

Akkor lehet, hogy nincs is olyan nagy gondja a USERMGR-nek, csak sokat vártam tőle? Simán lehet vele új usereket felvenni, régieket módosítani, csak a csoporttagság módosítás működik furcsán, hol sikerül neki, hol nem. De ezek szerint nem is kell ennél többet várni tőle?

Másik kérdésem az lenne, hogy ismert-e valamilyen jó módszer arra, hogy ne a teljes user profilt töltögesse oda-vissza az xp, hanem pl.: a Dokumentumok system-könyvtár alapból a szerverre mutasson, és kikerüljön a user profilból? (mindezt több kliensen is elvégezve, tehát valamilyen regedit nélküli megoldás lenne jó, vagy olyasmi, ami automatizálható)

Hali!
Nem még, nem tértem vissza, csak egy kicsit...
A csoporttagság-változtatás lehet, hogy megy neki, de nekem még sose kellett, egyszerűen nem bízom benne.

És igen, ismert.

Úgy fogsz hozzá, hogy csinálsz egy lokál (NEM RENDSZERGAZDA!!!!) felhasználót, akinek kézzel felcsatolsz egy hálózati meghajjtót, olyan betűre, ami majd a többi domain usernek a homeshare-e lesz (nálam S: - saját). Aztán csinálsz rajta egy Dokumentumok mappát.

Eztán asszem (francz, megin nincs vindóz előttem) bárhol, ahol látszik a dokumentumok mappa (nem a C:\D and S\usernev\Dokumentumok, hanem a hozzá való shortcut (?) vagy mi a fene, tehát ami a start menüben is van), ott a dokumentumok-on jobb gomb és lessz ott valami áthelyezés jellegű opció. Itt az S:\Dokumentumokra mutatsz és áthelyeződik a mappa az új helyre (meg lehet ezt oldani regedittel is, de így tuti nem felejtesz el valamit átírni). Ezek után beállítasz mindent úgy, ahogy a júzereknek is akarod (téma, háttér, hangok, billkiosztás, képernyővédő, vagy akár Word ezköztárak és helyesírási beállítások, böngészőproxy, amit akarsz.). Ha ezzel kész vagy, akkor kijelentkezel, és vissza rendszergazdaként. Keresel a neten valami ilyet:
http://support.microsoft.com/kb/319974
és ez alapján létrejön a local deafult user profilja. A feladat már csak annyi, hogy ezt az egészet felnyomod a pdc netlogon megosztására, Deafult User könyvtárba, és mindenki számára olvashatóvá teszed.

Szia, köszi a módszert!

Ezek szerint az Xp tudja azt, hogy ha domain környezetben a profiles alatt lát egy 'Default User' nevű könyvtárat, akkor az új user első bejelentkezésénél nem a helyi 'Default User' könyvtárat fogja használni a user profiljának felépítéséhez, hanem a PDC-n lévőt? Honnan tudja ezt automatikusan?

Másik kérdés, hogy ezek szerint minden usernek az első belépés előtt létre kell hozni a saját felcsatolandó könyvtárában egy 'Dokumentumok' könyvtárat? - vagy ez is auto módon megy?

Jelenleg automatikusan létrehozza az új user könyvtárát.

Félig megkaptam a választ a samba howto-ból:

When MS Windows 200x/XP participates in a domain security context, and if the default user profile is not found, then the client will search for a default profile in the NETLOGON share of the authenticating server. In MS Windows parlance, it is %LOGONSERVER%\NETLOGON\Default User, and if one exists there, it will copy this to the workstation in the C:\Documents and Settings\ under the Windows login name of the use.

Hali!

Látom, a felét már tood, a másikra meg igen a válasz: igen, létre kell hoznod.
Sok módszer lehet, az egyik pl a logon script, a másik (én ezt csinálom, mert ritkán, de akkor sok uj user van) a bash script a PDC-n Kvótát állítani úgyis kell, ha meg már kvótát állítasz, mehet a könyvtárcsinálás is. Ha ezt választod, ajánlom figyelmedbe az "id" parancsot.

Ja, hamár login script: lehet tökölni bat/cmd -vel, de előbb-utóbb rá fogsz kényszerülni a vbs-re, úgyhogy ha nem nagyon ronhansz, akkor hajrá. Kérdezz bátran, tudok vagy öt dolgot benne, de eddig elég vót.

Még 2 jótanács (eh, ma ilyen atyáskodó napom van, a kislányom ma fedezte fel az ujjait:), ami rohadtul nem vág ide, de mégis.
1. sokat fogsz szívni a "kapcsolat nélküli file-okkal", ami a gpedit.msc -ben letiltható, de csak gépenként. Ha keresgélsz, akkor fogsz taláni rá megoldást, hogy hogyan lehet a group policy-t txt-ba tenni és visszatölteni, az egyetlen gond, hogy az a progi XP alatt nem megy (2k alatt igen, de hát ugye...). Az MS valamikor az SP3-ban igért javítást. Viszont egy ronda, de annál hatásosabb regisztry-hack-kel kinyomhatóak a "Kapcsolat nélküli fájlok". Keresgélj, ha nem leled, akkor majd előbányászom neked.
2. Regisztry-hack-ek telepítéséhez egyszerre sok-sok gépre ajánlom a http://wpkg.org -ot. Látni fogod, hogy másra is jó:) És igen, kell majd a wpkg GUI is neked:)

Üdv!

Jó dolgokat írsz, nekem is szükségem lenne segítségre, a userek könyvtárainak létrehozásához. Annyi a változás, hogy nálam LDAP lesz, és saját készítésű php-s web-es cuccal kezelem a usereket. Tehát megcsinálom az LDAP-ban a usert (ez idáig működik), megpróbálok vele belépni, be is enged, de nem látja a megosztását, desktop-ját, dokumentumait. Ezeket nem is hozza létre. Ezt akkor ezek szerint nekem kell minden user hozzáadás után megcsinálni? Vagy rá lehet venni logon scriptbők, hogy létrehozza magának? Ezesetben milyen jogokat kap a könyvtár és a benne lévő file-ok?

Másik probléma: root userrel sikeresen beléptettem a tartományba egy klienst, ugyanazzal a root accounttal be is tudok lépni a kliensre, de nincs admin jogom. Miért van ez? Feltételezem, hogy a group map-eléssel van gond: 

# net groupmap list
Domain Admins (S-1-5-21-2150751134-181132125-2420386830-512) -> 512
Domain Users (S-1-5-21-2150751134-181132125-2420386830-513) -> 513
Domain Guests (S-1-5-21-2150751134-181132125-2420386830-514) -> 514
Domain Computers (S-1-5-21-2150751134-181132125-2420386830-515) -> 515
Administrators (S-1-5-32-544) -> 544
Account Operators (S-1-5-32-548) -> 548
Print Operators (S-1-5-32-550) -> 550
Backup Operators (S-1-5-32-551) -> 551
Replicators (S-1-5-32-552) -> 552

Itt az összes leírásban legalább az első 4 sorban group nevek vannak, nem számok. Nekem kell létrehozni ezeket a UNIX groupokat kézzel? Egyáltalán, mit csináljak ezzel, hogy működjön? Összefüggésben van ez azzal, hogy nem tekinti a win kliens a root-ot admin jogú felhasználónak?

Petya

Az első kérdésedre a válasz: logon scriptből sajna nem fog menni, mert az a kliens oldalán fut le, azaz ha a usernek eddig nem volt home-ja, ezután sem lesz.

Sajnos a home mappákat mindig meg kell csinálni, mert a samba nem hajt végre teljes értékű PAM bejelentkezést, csupáncsak a PAM-on keresztül ellenőrzi a user meglétét (ha nem LDAP a backend), ezért a pam által definiált home-létrehozási szabályok nem is futnak le. Így a kérdésedre a válasz: igen, mindig neked kell létrehozni, és gondoskodni a jogokról, iletve opcionálisan a Maildir-ről is, ha az szükséges.

Szerk: közben rájöttem mi van a fejedben: nem, a samba a windows nt-szerű rendszerektől eltérően első loginkor nem kreálja meg sem a home-t sem a profile-t. Bár a profile nem olyan biztos, lehet, hogy csak akkor nem kreálja le, ha annak a szülőmappája sem létezik (értsd: esetleg a home-ba van irányítva...)

Sziasztok, még Oops említette korábban, hogy vbs-ben írja a logon scripteket, találtam ezzel kapcsolatban egy használható weboldalt:

http://www.computerperformance.co.uk/Logon/logon_scripts.htm

A hálózati meghajtók felmappolása megy is rendesen a leírás szerint,
de egy dolgot nem említenek: hogyan kell az időszinkront megcsinálni
vbs sciptben.
Valaki tudná a választ? Esetleg kedves Oops, ha olvasod, és tudod hogyan kell,
örülnék valami tippnek. Köszi!

Azért válaszolok megint egy régi postra, mert nagyon vékonyodunk, én meg nem vagyok egy anorrexiás alkat:)

"Tehát megcsinálom az LDAP-ban a usert (ez idáig működik), megpróbálok vele belépni, be is enged, de nem látja a megosztását, desktop-ját, dokumentumait. Ezeket nem is hozza létre. Ezt akkor ezek szerint nekem kell minden user hozzáadás után megcsinálni?

Igen, a profiles megosztás könyvtárán belül te hozod létre a könyvtárat (pl a PHP-vel), a tulajdonlást odaadod a júzernak. Hogy jó-e, az letesztelhető: mappold fel, mint sima meghajtót. Az LDAP-ban a smbProfileDir, vagy mifene attribútum ide mutasson.
Ekkor a júzer első belogolásakor a \\pdc\netlogon\Default User -ből létrejön a c:\Doc and Set\júzernév, ami kilogoláskor már visszamásolódik a szerverre a most megcsinált könyvtárba.

Homeshare-t szintén kézzel/PHP-vel csinálsz, beírod a kívánt betűt és a path-t az LDAP-ba és megy.

Ezen a ponton az LDAP jól eltér a tdbsam backendtől: ott ugye minden user profilja és homeshare-e a profiles/%U miatt viszonylag fix nevű és nagyn fix helyű volt. Itt a fejenkénti LDAP bejegyzés miatt minden user lehet más szerveren, akármilyen megosztásban.

Ja, mért saját PHP? Az ldap-account-manager nem megy? Tölts le frisset, nagyjából jó. Főleg nekem, aki PHP-ben erősen kezdő vagyok...

"Másik probléma: root userrel sikeresen beléptettem a tartományba egy klienst, ugyanazzal a root accounttal be is tudok lépni a kliensre, de nincs admin jogom. Miért van ez? Feltételezem, hogy a group map-eléssel van gond:
# net groupmap list
Domain Admins (S-1-5-21-2150751134-181132125-2420386830-512) -> 512
Domain Users (S-1-5-21-2150751134-181132125-2420386830-513) -> 513
Domain Guests (S-1-5-21-2150751134-181132125-2420386830-514) -> 514
Domain Computers (S-1-5-21-2150751134-181132125-2420386830-515) -> 515
[...]
Itt az összes leírásban legalább az első 4 sorban group nevek vannak, nem számok."

Nálam is.

"Nekem kell létrehozni ezeket a UNIX groupokat kézzel?"

Igen, de LDAP csoportokat csinálj, ne unix csoportokat. Az más kérdés, hogy a UNIX-nak azt kell hinnie, hogy ezek saját csoportok. Akkor csináltad jól, ha az
#adduser júzernév csak-az-ldapban-létező-csoportnév
működik.

"Összefüggésben van ez azzal, hogy nem tekinti a win kliens a root-ot admin jogú felhasználónak?"

Hogyne. Ha a net groupmap jól megy, akkor
#adduser root "Domain Admins"
és jó vagy. Majdnem, mert ugye a csoportnevek csak konvenció, nincs bedrótozva (mint az NT-ben), ezért a sambának meg kell mondani külön, hogy a "Domain Admins"-nak milyen jogai legyenek. Ehhez a
#net rpc rights
parancs a barátod, meg ez:
http://samba.org/samba/docs/man/Samba-HOWTO-Collection/rights.html
Keresd a 15.1-es táblázatot.

Gudlakk.

Ja, és a root-ról szokj majd le, ha kész a domain-admins csoport (van erre valami idealix script, guglizzál), akkor hozz létre valakit, akinek a shellje /bin/false, és tedd be a csoportba és kész.
a smb.conf-ba még nem árthat egy
admin users = @"Domain Admins"
és ha megy az új admin, akkor egy
ivalid users = root
.

Root: Nem tudom, nekem az az érdekes, hogy a root eddig nekem mindig default Domain Admin volt, mindenféle beállítás nélkül. Ez mitől lehetett?

Amúgy neki asszem vagy integrálni kellett a rendszert egy meglévő portálba, vagy speckó funkciók kellettek, már nem is tudom, azért nem használ kész dolgokat. De lehet, keverem valakivel...

Igen, én vagyok az, aki PHP felületet ír az LDAP-hoz, bár az, hogy a homeshare-t meg a profilt is nekem kell létrehozni, kicsit megkavarja a dolgokat. (Egyik szerver a PDC, és a másikon fut az admin felület, ez LDAP-nál nem gond, mert azt másik gépről is el tudom érni simán, de a parancs futtatás így nem megy). Úgy oldottam meg, hogy a PDC-n is fut apache és php, és az admin felületről hívom meg a php-t, ami legyártja a megfelelő homeshare-t. Ennél szebb megoldást nem sikerült találnom, esetleg van ötletetek?

A fentieket kipróbálom mindjárt, beszámolok a fejleményekről.

Petya

Nem toom, hogy szebb-e, nekem olyan megódásom volt (mert a gyors gép kicsi vinyós), hogy a gyorson a profilok, lassabbon a homeshare-ek, és a vége az lett, hogy a php ssh-zik, kulcsos hitelesítve (nem kell jelszót pötyögnie). A célgépen van egy paraméterezhető script, readonly, immutable, és azt futtahatja sudo-val a be-ssh-zó php.

Nos, nézem a csoportokat, az LDAP csoportok eddig is megvoltak, és azok ugyanazok,amit kiír a 

net groupmap list

. (Tehát ugyanaz a group név, és gidNumber). Viszont: a 

getent group

nem látja ezeket az LDAP-ban megadott csoportokat, de a 

getent passwd

látja mind a unix, mind az ldap-os usereket.

Így természetesen nem megy az 

adduser root "Domain Admins"

sem. Mit rontok el? libnss_ldap.conf és a pam_ldap.conf elvileg jó, ott benne van, hogy az LDAP-ban hol keresse a csoportokat, usereket.

Petya

Üdv!

Sikerült megoldani (typo volt...), akkor ezekszerint így: http://molnarp.pastebin.com/m3668f897 jó lesz? (Kliensekkel momentán nem tudom kipróbálni, mert festés stb miatt szét vagyon verve a gépterem..)

A homeshare-ek kialakításáról, a szükséges jogokról, kvóta beállításról tudtok mutatni valami howto-t? A legfontosabb, hogy a windows-os folder redirection-hoz hasonlót szeretnék, semmit nem tárolunk le a klienseken, semmit nem húzunk le a szerverről longinkor, mindig, mindenki a szerverre dolgozik. (Ehhez a klienseken a kapcsoalt nélküli file-ok kikapcsolásán kívül mi kell? És a szerveren?)

Még egy dolog: azt hogyan lehetne megvalósítani, hogy lenne egy speciális account, amire belépve nincs start menü, nincs asztali ikon, csak egy firefox ablak fut, address bar nélkül, egy megadott url-t hoz be, a firefox ablak bezárásakor pedig automatikusan kijelentkezik? (így tudnánk a userek azonosítót regisztrálni maguknak)

Petya

Hát nem tudom, a roaming profile az mindenképp adatmozgást csinál a kliens és a szervergép között, mert a Doc & Sett mappa asszem nem irányítható át, és a másolgatás sem tiltható.

A homeshare az általába a adott user ${HOME} mappája, semmi egyéb.
Nekem: 


[homes]
        read only = no
        browseable = no
        printable = no
        guest ok = no
        create mode = 0700
        directory mode = 0700
        hide files = /desktop.ini/Thumbs.db/profile/.Trash/

Ez csak a user által írható-olvasható fájlokat generál a szerveren, és rejtett attríbutummal lát el minden desktop.ini, Thumbs.db fájlt illetőleg a .Trash/ és a profile/ mappákat.

Profile share: Én a home share-n belül alakítottam ki, így nem kellett külön megosztás. Gyak. ugyanaz kell rá, mint a home share-ra.

Quota: Ne samba oldalon keresgélj, fájlrendszer quotákba gondolkozz. A samba íráskor bizonyos szinten megszemélyesíti a kliens posix userét.

Üdv!

A dokumentumok mappát sem tudom átirányítani, hogy a homeshare-re mutasson? Win szerverrel is így volt, és akkor nem gáz, ha az r=1 user a Dokumentukokba menti a jó nagy cuccait.

Persze nyilván meghajtó betűelre is fel van mappelve, r=1 user kompatibilitási okokból (még régebben csak oda volt szabad menteni, és sipítozik, ha nem találja)

Ezt kellene megvalósítanom Sambával. Hogyan tudom ezt megtenni?

Petya

Ha a C:\Documents and Settings\$USER\My Documents mappát érted alatta, azt át tudod. Nem tudom, mi a registry kulcs, de futtass egy regmon-t amíg a következőt csinálod:

Jobbklikk az asztalon a Dokumentumok ikonon -> Tulajdonságok, majd a felbukkanó ablakba bevésed vagy kitallózod az új címet, majd apply.

Meg lehet csinálni azt is, hogy a profil ne töltődjön le, legalábbis win2k3 serverrel tutira, már láttam ilyet (de nemtom, hogy kell), sambával nemtom. Ha jól elméxem WebDAV-val volt megoldva, arra keresgélj.
A dolog hátránya, hogy egy-egy másdoperc lesz, mire beolvasódik pl a start menü, meg ilyenek, és mindeki azt fogja majd mondani: de lassú ez a szamba.
Az előnye, hogy pl olyan helyen (pl egyetemi könyvtár) ahol van roaming profil, de napjában akár 600 ember is belép ugyanarra a gépre, ott gyorsabb a belépés és nem teli be estére a vinyó.

A bcast ügyben (a hírek szerint) Samba 3.0 jelent megoldást, mert már együtt tud működni a DNS-szerverrel.
Úgy néz ki, muszáj lesz nekem is belevágnom.
Persze nem mindjárt élesben, hanem valahogy külön gépen, párhuzamosan a mostani működő Samba 2.0-vel.
(na, ez nagy segítség volt)

( connor v | 2007. 08. 23., cs – 10:54 )

(prológ: Mikor elkezdtem a pdc-t összerakni sok infót ebből a témából szedtem és hasznos volt így nem nyitnék újat inkább itt bővíteném a kérdéseket, és remélhetőleg a válaszokat)

A pdc összelövése során belefutottam pár kérdéses részbe, amivel kapcsolatban a segítségeteket kérném:

-- jelszavak --

1, Bejelentkezik a felhasználó majd jelszót módosít, kilép de már nem tud visszalépni, holott a phpldapadminban leeleőrizve az új jelszó jó. Mi lehet a probléma?
debug: smbldap-passwd -vel újra megadva ismét be tud jelentkezni.
debug2: bár nem tudom most ellenőrizni mert nem férek hozzá a szerverhez, de eszembejutott hogy a wines jelszómódosításkor {SSHA}, smbldap-passwd -kor meg {CRYPT} volt a jelszó.

2, a fenti adja a következő kérdést: "passwd program", "passwd chat" opciók mire vonatkoznak? Mivel ide kitöltöttem az smbldap-passwd -t de mintha nem ezt használná a jelszó módosításkor. (szóval ezt rosszul tudom hogy mire van)

-- jogok, profilok --

1, Ez a probléma úgy tűnik megoldódott de azért idevésem hátha valaki belefut: újonnan létrehozott profil olyan mellékhatással jön létre, hogy az összes desktop ini látható lesz a startmenu-ben, minek hatására induláskor egy desktop.ini megjelenik (indítópult minden nem hidden eleme lefut). Oka: a samba szerverre másolt profil elveszti a hidden opciót, mert a megosztás configjában "create files" miatt a hidden lekerül. Ha jól tudom az exec unix flag is kell a hiddenhez. Megoldás: opció ki :)

2, Valami miatt az új profil létrehozásakor az alapértelmezett profilt a helyi számítógép All Users profiljából másolja és nem a netlogon\Default Users -ből. Ez miért lehet? Van valami keresési sorrend esetleg a kliensen amit meg kell változtatni, hogy ott keresse elsődlegesen? (olvasási joga elméletileg van a felhasználónak a fájlokra)

3, Az utolsó a leghomályosabb témakör egyenlőre. A csoportok és a jogok kiosztása. Van pár olyan megosztás amit egy csoport közösen használ. Meg van adva, hogy csak ezen csoport tagjai képessek írni a mappát. A owner át van adva a csoportnak, ha a megosztás egyes elemeit megnézem akkor látom is, hogy ott a tulaj mint csoport, de azt írja, hogy a csoportnak semmilyen joga nincs a file/könyvtár-okra így nem tudom írni. Ha winből szeretném domain adminként módosítani akkor azt írja hogy nincs jogom a művelethez, amit szintúgy nem értek.

szerk: passbackend: ldapsam, sambaver.: 3.0.24, kliensek: xp prof, w2k prof, (később: sulinux, ubuntu)

Üdv!

A jelszavas dolgokra: a windows nem a userPassword attribútumot használja, hanem a sambaLMPassword és sambaNTPassword mezőket. Ezeket kell neked változtatni, és a windowsos jelszócserélő is csak ezt piszkálja. Nálam működik.

A profilt nálam is a helyi gépről húzza be első belépéskor, bár itt a gépek szoftveresen egyformák, mindegyiken ugyanazok a programok vannak telepítve.

Így tehát, ha a user először egy olyan géphez ül, ahol telepítve van X program, itt elkészül a profilja, majd átül egy másikhoz, ahol nincs, akkor egy dead link lesz a start menüjében? Ha igen, akkor nekem is ki kell találnom erre valamit...

Petya

Profil:
Első bejelentkezés elkészül a profil de nem onnan ahonnan én szeretném (szerverről), hanem a gépen lévő All Users-ből. Így nem lehet központosítani azt hogy mi az első profil (a kezdő profilban be lennének állítva olyan dolok mint pl a firefox és az IE cache könyvtára a profilon kívül legyen).

Jelszó: direktbe' vagy a passwd program, passwd chat -t használva módosítja a jelszó cserélő?

( mickeyratt | 2007. 09. 04., k – 23:11 )

Sziasztok, köszi a sok tippet a korábbi kérdéseimre, most ismét kérdeznék tőletek: guruktól :)

Úgy látom, hogy ez a roaming profil eléggé bonyolult, így én lemondanék róla, már csak amiatt is, mert a kliensek eléggé egyedi és sokféle programkörnyezettel rendelkeznek. Szóval, maradjon mindenki a saját gépénél!

Azt már tudom, hogyan kell letiltani a samba-ban a romaing profilokat, azt kérdezném, hogy ez kihatással van-e más - domainnel kapcsolatos - működésre? (pl.: ettől még használható-e a logon script stb..)
Ahol most jó lenne megvalósítani a samba-s pdc-t, jelenleg novell netware van, és gyakran van használva a novell azon lehetősége, hogy meg lehet nézni, kik vannak bejelentkezve és ki milyen fájlt nyitott meg, valamint adott esetben a usert "ki lehet lőni" ill. az általa használt fájlok elérését meg lehet szakítani. Ezeket a funkciókat meg lehet valósítani samba PDC - XP kliensekkel?

Köszi szépen előre is hogy foglalkoztok kérdésemmel!

Szia! Lehet, hogy fáradt vagyok és nem értem jól amit szeretnél.
Én az smbstatus parancsal szoktam megnézni a köetkező infókat: (sima munkacsoport, nem PDC)
- kik vannak "belépve" a szerverre (csak azokat látom akiknek fel van mappelve legalább egy könyvtár)
- megnyitott e valaki egy megosztásban vagy home konyvtárában lévő fájlt. Ha igen, azt mutatja alul és az id-ját is amivel megszakíthatnám ha akarnám.

Én pedig válaszolnék a domain w/o roaming profile kérdésre :)
A roaming profile használata opcionális. Mi pl. nem használjuk. Természetesen működik jól nélküle is, logon script is müxik.

root@dc1:~# grep logon /etc/samba/smb.conf
logon script = logon.cmd %U %G
logon path =
logon home =
domain logons = Yes
[netlogon]
path = /var/samba_share/netlogon

Viszont azt nem tudom, hogy megoldható-e az, hogy egyik user-nek local-ban tároljuk a profile-ját, a másik pedig használjon roaming profile-t. Az monnyuk jó lenne

( _Petya_ v | 2007. 09. 09., v – 18:47 )

Üdv!

Problémám lenne a hide files beállítással. 

hide files = /desktop.ini/Thumbs.db/profile/.Trash/

Ez van megadva a profil és a home share-en is, és a user mégis látja a desktop.ini-ket, és mivel az Indítópulban is van egy, ezért belépéskor feljön egy notepad-ben a desktop.ini.

Mi lehet a probléma?

Petya

( xray | 2007. 09. 12., sze – 09:00 )

Üdv mindenkinek!

Már össze vissza gugliztam de nem talaltam megoldast a problemamra. Adott egy PDC (samba) XP kliensekkel. Tökéletesen működik majdnem minden. Bejelentkezéskor lefut a login script ami becsatolja az adott usernek látható megosztásokat hálózati meghajtóként. A probléma kliens oldalon van. (Windows XP hol is lehetne:)) Szoval bejelentkezik egy felhasznalo, a samban van egy olyan megosztas, hogy "pub" és egy olyan hogy "repa" a "pub" lesz a 'P' meghajto a "repa" az 'R' meghajto. Namarmost ha egy felhasznalo bejelentkezik felcsatolja teljesen rendben. Viszont ha egy masik felhasznalo jeletkezik be ugyanazon gepen, s mondjuk csak a Pub ('P') megosztashoz van joga, akkor az R meghajtokent is a Pub tartalmat latja. Ez mitol lehet? Akkor is jelentkezik a jelenseg ha egy masik usernek teljesen mas az R meghajto, tehat egy harmadik megosztast kellene latnia. Gondolom valamit megjegyez a windoz vagy nemtudom. Lehet olyat csinalni hogy logout-nal vagy minden bejelentkezesnel eloszor a letezo de nem csatolt meghajtokat torolje? Kicsit bonyolultan fogalmaztam de remelem ertheto :) Esetleg logout script amit kozpontilag lehet kezelni a samban?

Szia!

A következő paranccsal tudod törölni az r: meghajtót:
net use /delete r: /yes
Érdemes ezzel kezdeni a login szkriptet! Van valami módja, hogy ne kelljen az összes meghajtót egyenként törölni, nézz utána a net use leírásában. Nekem azzal a variációval voltak gondjaim (talán win98-as kliensnél).

Üdv,
Imi

( _Petya_ v | 2007. 09. 12., sze – 15:14 )

Hello!

Ha már logon script a téma:

net time \\SZERVER /set /yes

Erre miért adja vissza a usernek, hogy nincs joga hozzá?

Petya

Szia!

A sima felhasználó nem állíthatja át az időt az XP-ben. Azt csak rendszergazdai jogosultsággal lehet. Lehet, hogy ez a probléma. Most nincs előttem XP, de valahol a Helyi házirend / Felhasználói jogok kiosztása helyen van olyan, hogy Rendszeridő megváltoztatása. Ott add hozzá a felhasználót. Szerintem ez segíteni fog. Ha nem találod hol van ez a beállítás holnap megnézem pontosan.

Üdv,
Imi

Köszönöm!

Újabb kérdés: LDAP-ban sambaPwdMustChange, ezt én úgy használom, hogy 2147483647 ha nem kell soha lecserélni a felhasználónak a jelszavát, ha pedig azt szeretném, hogy következő bejelentkezéskor lecserélje, akkor 0-ra állítom. Ekkor elvileg belépéskor fel kell jönnie hogy "jelszava lejárt, le kell cserélnie ". Nos, nálam ilyenkor időnként a jön fel, hogy "a jelszava ma jár le, akarja cserélni? ". Ez miért van? Nem látok logikát benne, hogy mikor jön fel ez, és mikor az, hogy "jelszava lejárt, le kell cserélnie ".

Láttatok már ilyet?

Petya

OK.
azonban hátha itt van amire vágyol:

http://searchenterpriselinux.techtarget.com/tip/0,289483,sid39_gci11528…
"root #> pdbedit --pwd-must-change-time="2006-01-31" \
--time-format="%Y-%m-%d" tbryant
Unix username: tbryant
...
Password last set: Mon, 05 Dec 2005 23:37:11 MST
Password can change: Wed, 07 Dec 2005 23:37:11 MST
Password must change: Tue, 31 Jan 2006 00:00:00 MST
...

In many cases, it is more desirable to create a global network access policy than to be required to set each account separately. The global setting must be in place before user accounts are created, otherwise the old settings will continue to be used. The per-user settings override the global settings. "

A desktop.ini-s kérdésedre a megoldás nálam annyi, hogy a desktop.ini-t a default profil indítópultból kitöröltem, mint a huzat.

Login meghiv egy scriptet amivel jogokat rendel a felhasznalohoz.
A peldaban a "DOMAIN\Domain Users" cserelheto "DOMAIN\\$1" -re;
nekem megfelel, az is ha minden authentikalt domainuser allithatja a gepidot.

(%D domain, %U felhasznalo, %m a kliens NETBIOS neve)

/etc/samba/smb.conf 


[netlogon]
...
  root preexec = /etc/samba/bin/autopoweruser.sh %U %m

/etc/samba/bin/autopoweruser.sh 


  net rpc rights grant 'DOMAIN\Domain Users' \
    seSystemtimePrivilege -S $2 -UAdministrator%password

( connor v | 2007. 09. 14., p – 16:44 )

Az smbhash perl modul nthash subrutinját portoltam php-ra, eredmény itt. lmhash még hátra van, de sajnos az még nekem is magas kicsit. Észrevételt szívesen várok. Liszenszelés szempontjából a kód a portolt, felhasznál kódok liszenszével megegyezik.

c

( alex1989 | 2007. 09. 21., p – 13:49 )

Végignéztem már minden leírást, amit kiszúrtam a sorok közül: howtoforge, szakdolgozat és így a további 3-4 leírást, de még mindig nem sikerült összehozni. A doksik egy része megegyezik, másik része nem, pl.: hol tárolja a profilokat a szerver. Mindig ott bukok el, amikor az XP klienst be akarom rakni a tartományba és kéri a felh. nevet... bármivel próbálkoztam nem tudok belépni...

Szeretnék egy olyan leírást kérni, ami up to date vagy esetleg egy hozzáértő ember segítségét online beszélgetésben, az kérem jelezze és a linket előre is köszönöm!

Tisztelettel: Alex

Mert a root felhasználó nevét kéri. A bekléptetéshez Domain Adminnak kell lenned, az pedig alapból csak a root. Az "invalid user = root" sort ki kell kommentezni, és a smbpasswd-vel hozzá kell adni a root-ot a Samba adatbázisához.

De szerintem előbb ismerkedj meg a windowsos hálózatok világával, és utána próbálj Sambázni, egyszerűbb út, hidd el...

Sziasztok, még Oops említette korábban, hogy vbs-ben írja a logon scripteket, találtam ezzel kapcsolatban egy használható weboldalt:

http://www.computerperformance.co.uk/Logon/logon_scripts.htm

A hálózati meghajtók felmappolása megy is rendesen a leírás szerint,
de egy dolgot nem említenek: hogyan kell az időszinkront megcsinálni
vbs sciptben.
Valaki tudná a választ? Esetleg kedves Oops, ha olvasod, és tudod hogyan kell,
örülnék valami tippnek. Köszi!

( mickeyratt | 2007. 09. 26., sze – 09:28 )

Sziasztok

Köszi az előző időszinkron tippet, ha valaki esetleg tudja hogy lehet ezt vb-ben megtenni, még mindig aktuális lenne a dolog.

Viszont lenne egy másik kérdésem is, még kapcsolódva a korábban említett novell -> samba pdc áttérés kapcsán.

Lehet-e olyat csinálni, hogy a userek eddigi xp-s helyi profiljai megmaradjanak, miközben áttérnénk samba pdc alapú serverre.
Eddig nem volt domain, csak munkacsoportos hálózat, ill. novell fájlszerver. Teljesen egyedi, speciális user munkakörnyezetek vannak, ezért volna nagyon jó, ha megmaradhatnának ezek a régi user profilok.
Roaming profil sem kell, de nem tudom, hogy ha beléptetem root-ként az egyes gépeket az új domainba, akkor használhatóak lesznek-e a régi profilok valahogy?

Köszi szépen előre is segítségetek!

( _Petya_ v | 2007. 09. 28., p – 19:29 )

Hello!

Samba PDC-n a Default User profile-t berakram a netlogon megosztásba, ennek ellenére az új felhasználók nem azt, hanem a kliens gép default user profile-ját kapják meg. Mi lehet a hiba? Logban nem látszik semmi...

Petya

Az egyik kliensre beléptem lokál rendszergazdaként, csináltam egy új user-t, beléptem a nevében, átirányítottam a Dokumentumokat, beálítottam még pár dolgot, majd, logout, vissza lokál rendszergazda user alá, rejtett file-ok láthatósága be, majd ftp-vel feltöltöttem a szerverre. ott pedig nobody:"Domain Users" ownert és ug+rwX jogot adtam rekurzívan az egész Default User könyvtárra.

Lemegyek és kipróbálom hogy tudom-e mappelni.

szerk: kipróbátam, simán tudtam mappelni, olvasni mindent, csak az ékezetek helyett _ jel van mindenhol (pl: Be_rkezett f_jlok). Lehet, hogy be kellett volna tömörítenem ftp-zés előtt? :D

Petya

ööö, ez nem a helyi gépnek a Default User-ét cseréli le?

szerk: oké, értem, kipróbálom

Kipróbáltam:

- ha a szerveren nincs fent a Default User profil, de a helyi gépen az általam módosított van, akkor az új userek azt kapják, szépen működik minden (módosítások: My Documents átirányítás IE és FF cache letiltás)
- ha ugyanezt (samba mappingen keresztül) felrakom a szerverre, jogot, ownert állítok neki, akkor az új userek ezt kapják, csakhogy itt már jönnek a hibák, pl. látszik a desktop.ini mindenhol, Kellékek Indítópult stb. csoportokból kettő van, egy a helyi gép All USers-éből, egy meg a profilból. Firefox induláskor panaszkodik, hogy a biztonsági beállításaival gond van, ezáltal pl. nem lehet POST-olni formot.

Mit csináltam rosszul?

Petya

csak egyre tudom a választ, a desktop.ini -re, de ezt fentebb itt ebben a topicban részben már kitárgyaltuk. A baj ott van, hogy a desktop.ini ugye rejtett, de ilyen attributum nincs a linuxos filerendszerekben (tudtommal egyikben sem, de ext3-ban tuti nincs) Man samba ad megoldást, be lehet vhogy állítani, de akkor mást kell feláldiznod. Vagyis: töröld le őket.

Kellékekből lehet 2, de ebből is az egyik mehet a francba. Indítópultból kifejezetten jó (lehet) a kettő: az egyik az All usersé, a másik csak a useré. (mondjuk kellékek is igí lesz). A firefoxot végkép nemtom.

A "hiden files" opció ad megoldást, de neki asszem vmi miatt nem megy.

A desktop.ini törlése nem ajánlott, mert ez alapjánderül ki, hogy ez speckó mappa. Lehet, hogy a indítópult mappa keresése azon alapszik, hogy ez a ini benne van-e (ezt nem tudom 100-ra.). De teljesen mindegy is, asszem visszateszi mindenképp.

A desktop.ini megoldva, a netlogon share-nél nem volt beálíltva a hide files. Viszont a többi probléma még mindig megvan, workaround-ként minden gépen lecserélem a default user profilt az általam módosítottra. Ahogy láttam, a default suer profil semmi gépspecifikus dolgot nem tartalmaz, így nem gáz, hogy nem a netlogon share-ből, hanem attól a géptől kapja meg a user a profilját, ahova először ül le dolgozni...

Köszönöm mindenkinek a segítséget!

Petya

( mickeyratt | 2007. 10. 17., sze – 21:31 )

Sziasztok!

Most egy újabb kérdésem lenne hozzátok.
Lehetséges-e, és ha igen, hogyan kell azt megcsinálni, hogy XPProf alatt adott egy helyi
user profil, az eddigi munkacsoportos hálózatot szeretném átalakítani samba PDC-s hálózatra,
mozgó profilokat letiltva, tehát minden profil a helyi gépeken marad, és szeretném, hogy a domainba való beléptetés után tudjam használni a korábbi helyi profilt (ami ezután is helyi profil marad, hiszen le van tiltva a mozgó profil). Sima fájlszintű átmásolással nem működik ( a következő belépéskor egy pillanatra megjelenik a korábbi profil háttérképe, de ezután rögtön hibát jelez), az XP profilkezelőjében pedig nem engedi másolni a használni kívánt profilt.

Azért lenne szükségem erre, mert a régi profilban benne van egy csomó beállítás, cookie, password stb... amit nagyon macerás lenne egyenként beállítani a sima új, szűz profilban.

Nagyon örülnék, ha valaki tudná a választ, és megosztaná. Köszi szépen előre is!!

( _Petya_ v | 2007. 10. 20., szo – 19:48 )

Hello!

A következő lenne a problémám:

Van egy PDC, azon egy share, amit csak egy bizonyos csoport tagjai érnek el. Simán net use-al szépen megy, de ha megadom a /persistent:yes kapcsolót (hogy betárolja az illető profiljába a mappelést, így köv. belépéskor automatikusan mappelődik), akkor az nagyon lassan (kb 1 perc) mappeli fel. Következő belépéskor rendesen ott a mappelt meghajtó, de amikor a user először megpróbálja elérni (total commanderrel), akkor megint megvan az 1 perc mire bejön a tartalma. Utána szépen, gyorsan megy. A PDC egyébként jól megy, a mappelt home meghajtókkal (logon path, logon drive) nincs probléma.

Mi lehet itt a lassúság oka?

Petya

Igen, azok a haverjaid. Esetleg -RR.
Kérdés: a bejelentkezés után és az 1 perc keresgélés után azonos az nbtstat kimenete?
Esetleg még arra gyanaxom, ami néha szokott lenni, hogy a wins-szerver cache-ben hibás adat szerepel erről a megosztásról. Ilyenkor a cache-filé-t lehet törölni, és az elvileg javíthat a helyzeten (googlizz, nem toom fejből). Ugyanennek a hibának az ellenőrzése: ha IP lalján mappolsz, akkor is van 1 perc? Ha létrehozol új share-t, és azt mappolod, akkor is van 1 perc?

( xray | 2007. 11. 16., p – 14:35 )

Sziasztok!

Egy olyan problemam lenne, hogy adott egy tartomany ebben a tartomanyban levo usereknek a gépen _lokális_ admin jogot kell adni. Az alábbi módon jártam el. A samba konfigban a netlogon megosztásban van egy preexec. Ami meghív egy scriptet ami megadja a jogot. Vagyis kellene, de nem csinálja. 


[netlogon]
    comment = Domain logon service
    path = /home/samba/netlogon
    # itt szeretnem a lokalis admin jogot megadni
    root preexec = /home/samba/netlogon/autolocaladmin.sh %U %m
    public = no
    writeable = no
    browsable = no
    write list = "@Domain Admins"
    read only = yes
    guest ok = Yes

autolocaladmin.sh tartalma: 


/usr/bin/net rpc group addmem "Rendszergazdák" "TARTOMANY\$1" -S $2 -Uadminuser%adminjelszo

log.smbd ide vonatkozó tartalma: 


Could not connect to server admin2
Connection failed: NT_STATUS_IO_TIMEOUT

Ha kézzel futtatom le az autolocaladmin.sh-t a megfelelő paraméterekkel akkor tökéletesen működik. RPC-vel hozzáadja a usert a Rendszergazdák csoporthoz. admin2 a gép neve. Sambával loginkor nem és a logban a fentebbi hibaüzit kapom :( ötlet?

Loglevelt növelve ezt kapom: 


[2007/11/16 16:38:20, 10] smbd/mangle_hash2.c:name_map(617)
  name_map: autolocaladmin.sh -> 4969BD12 -> AKDAVW~Y.SH (cache=0)
[2007/11/16 16:38:20, 8] smbd/trans2.c:get_lanman2_dir_entry(1110)
  get_lanman2_dir_entry:readdir on dirptr 0x83a1448 now at offset 1636051543
[2007/11/16 16:38:20, 8] smbd/trans2.c:get_lanman2_dir_entry(1110)
  get_lanman2_dir_entry:readdir on dirptr 0x83a1448 now at offset 1808498943
[2007/11/16 16:38:20, 8] smbd/trans2.c:get_lanman2_dir_entry(1110)
  get_lanman2_dir_entry:readdir on dirptr 0x83a1448 now at offset 2147483647
[2007/11/16 16:38:20, 8] smbd/trans2.c:get_lanman2_dir_entry(1110)
  get_lanman2_dir_entry:readdir on dirptr 0x83a1448 now at offset -1
[2007/11/16 16:38:20, 5] smbd/trans2.c:call_trans2findfirst(1828)
  call_trans2findfirst - (2) closing dptr_num 256
[2007/11/16 16:38:20, 4] smbd/dir.c:dptr_close_internal(239)
  closing dptr key 256
[2007/11/16 16:38:20, 3] smbd/error.c:error_packet(146)
  error packet at smbd/trans2.c(1844) cmd=50 (SMBtrans2) NT_STATUS_NO_SUCH_FILE

illetve még egy ide vonatkozó részt találtam: 


[2007/11/16 16:52:19, 5] smbd/service.c:make_connection_snum(834)
  cmd=/home/samba/netlogon/autolocaladmin.sh beloginoltuserneve admin2
Could not connect to server admin2
Connection failed: NT_STATUS_IO_TIMEOUT
[2007/11/16 16:52:29, 10] smbd/share_access.c:user_ok_token(229)

belekerülnek a logba a helyes paraméterek de a TIMEOUT-os hiba miatt amit feljebb írtam ezek egyértelmüek voltak számomra. kiprobáltam már azt is ha bedrótozom a paramétereket a gépnevet próbáltam ip-vel is akkoris. 


Could not connect to server 192.168.1.x
Connection failed: NT_STATUS_IO_TIMEOUT

Csak nemértem ha manualba futtatom akkor tökéletes.

még újabb 5let:
hátha a csoportot HOST\Rendszergazdák formában kell megadnod (tudom, hogy akkor nem menne a script magában sem, de.. de.. akkor is kipróbálnám - kínomban)

másik 5let:
ugye most azt nem tudjuk, hogy a script nem is kapcsolódik a hosthoz, vagy kapcsolódik, de a hozzáadás nem hajtódik végre
úgyhogy próbálj csak lekérdezést végrehajtani és logolni, valami olyat, amihez nem kellenek extra jogok, pl hogy milyen share-jei vannak az xp-nek. Ha ez megy, akkor olyat csinálnék még, hogy az xp 'control userpasswords2' -jével tenném be a tartományi júzert helyi rendszergazdaként a csoportba, és utána lekérdezni a preexec scripttel, hogy ez látszik-e?

Fiúk, nem lehet, hogy a gépnek egyszerűen nincs joga a csoportok bizgatásához? Mert csatoláskor ugye vagy user vagy gép joggal futnak a dolgok. A usernek gondolom tuti nincs joga, de lehet a gépnek sincs.

Én olyan próbát tennék, hogy script tegyen valami tesztusert local adminná, és lokál admin próbálja kiváltani a preexec scriptet.

Ja, és a scriptben mindent logolni, stderr, stdout, mindent.

( _Petya_ v | 2007. 11. 16., p – 15:11 )

Hello!

Kisebb probléma akadt a Samba PDC-vel:

Két felhasználó esetében fordult elő, hogy nem tudtak bejelentkezni, azzal a hibaüzenettel, hogy nincs bejelentkezési időszak. Holott abban az időpontban be kellett volna, hogy engedje őket a rendszer.

A log is szabályos: 

[2007/11/16 08:23:24, 1] auth/auth_sam.c:logon_hours_ok(114)
  logon_hours_ok: Account for user felhaszalo_neve not allowed to logon at this time (Fri Nov 16 08:23:24 2007)

Mások ugyanakkor be tudtak lépni, csak két felhasználó panaszkodott erre. LDAP-ból szedi a logonHours attribútumot, és az jó volt beállítva (ugyanaz, mint másoknak, akiket beengedett...)

Mi történhetett?

(Az egyik felhasználó kb 8-10 alkalommal egymás után megkísérelt belépni 10 perccel a bejelentkezési idő kezdete előtt, ez más biztos. De ez nem okozhat ilyen hibát szerintem...)

Petya

csak találgatás:
lehet, hogy az adatbázist (a fizikait, a file-t) kéne kicsit rendbehozni?
vagy az indexelése rossz?

Ha már itt tartunk, akkor kérdezek én is:
ha bekapcsolok indexelést a slapd-ban, akkor a LAM (ldap-account-manager) webes felület simán tudja használni az LDAP-ot, de a Windows-ok már el-elhasalnak, és pl az USRMGR.EXE teljesen üresnek látja a felhasználói adatbázist.
Erre tud valaki valamit?

Nem tudom, a default configba már eleve van indexing, és nekem nagyrészt default configgal szokott menni a slapd, és még nem taknyolt el. Eselteg slapd.conf részletekkel ha megdobnál...

Amúgy triviális,de slapd.conf bizgatás után a slapd újra lett indítva; volt idő hagyva az indexelésre?

Semmi indexelős cuccot nem állítottam át, default configgal megy. A slapd-t sem szerkesztettem, sőt sem a gép, sem a slapd nem lett újraindítva mióta élesben működik a rendszer. A két user logonHours attribútumára külön is ránéztem phpLdapAdmin-ból, és rendben voltak.

Petya

Ismét jelentkezett a probléma, ugyanannál a usernél, akinél a múltkor.

Van valakinek ötlete?

szerk: belenéztem a logba, ezzel van tele:

slapd[26925]: <= bdb_equality_candidates: (objectClass) index_param failed (18)

(objectClass helyett előfordul más is)

Hogyan tudom ezt helyrehozni?

slapd.conf: http://molnarp.pastebin.com/m4aeefb0b

Petya

Úgy, hogy ezekre az attributumokra létrehozol indexet.
Ennyi elég egy samba szerverhez (sőt kicsit sok is): 


index objectClass                       eq,pres
index ou,cn,mail,surname,givenname      eq,pres,sub
index uidNumber,gidNumber,loginShell,alias    eq,pres
index uid,memberUid                     eq,pres,sub
index nisMapName,nisMapEntry            eq,pres,sub
index sambaSID                          eq,sub
index sambaPrimaryGroupSID,sambaDomainName,sambaGroupType,sambaSIDList  eq
index entryUUID                         eq
index default                           sub

slapd.conf módosítása után ne felejts el slapindex-elni! És utána nézd is meg, hogy az index fájlokat az ldap user tudja-e írni/olvasni (praktikusan chown ldap:ldap /var/lib/ldap/*)

Tehát:

- leállítom a slapd-t
- átírom a konfigot
- slapindex
- elindítom a slapd-t
- és menni fog?

Olvastam olyat, hogy le kell törölni a /var/lib/ldap-ot (előtte slapcat, utána meg visszarakni az LDIF-et). Igaz ez?

szerk: Ha eddig nem volt index (márpedig nem volt), akkor hogyan működött eddig a rendszer, ill miért csak így jön elő a hiba?

Petya

Jól leírtad a menetét, ennyit kell tenni...
A /var/lib/ldap-ot ebben az esetben nem kell törölni.
Az indexek csak az LDAP filterek feldolgozási sebességén javítanak, meg nem fognak megjelenni a bdb_equality_candidates: xxx üzenetek a logban...

Nem tudom mennyi objektum van az adatbázisodban, de ha jó sok (1000-es nagyságrend), akkor elképzelhető, hogy 1-2 LDAP query már túlterhelte a szervert.

Hello!

kb 130 user, 20 gépaccount van az LDAP-ban. Többszöri próbálkozásra sem sikerült az illető usernek belépni, tehát szerintem ez nem túlterhelési ügy lesz. Főleg, hogy abban az időszakban alig használják a szervert.

Mindenesetre az indexelést megcsinálom, hátha ettől megjavul.

szerk: megcsináltam, beírtam az index-eket, a slapindex egy pillanat alatt lefutott, indítom a slapd-t, elindul, és továbbra is szórja a hibákat:

slapd[16468]: <= bdb_equality_candidates: (objectClass) index_param failed (18)
slapd[16468]: <= bdb_equality_candidates: (uid) index_param failed (18)
slapd[16468]: <= bdb_equality_candidates: (objectClass) index_param failed (18)
slapd[16468]: <= bdb_equality_candidates: (memberUid) index_param failed (18)
slapd[16468]: <= bdb_equality_candidates: (uniqueMember) index_param failed (18)
slapd[16468]: <= bdb_equality_candidates: (objectClass) index_param failed (18)
slapd[16468]: <= bdb_equality_candidates: (uniqueMember) index_param failed (18)
slapd[16468]: <= bdb_equality_candidates: (objectClass) index_param failed (18)

Petya

nálam ilyen akkor volt, amikor véletlen két azonos usernevű egyén került az LDAP-ba.
A kísérőjelenség:
Ha az usernevek
A
B
C
D
D
E
F
Akkor A, B és C jól megy, ami utánna van, az nem.

Azért lehet azonos usernév az LDAP-ban, mert a dn alapján különít el, az UID csak egy attribútum

Hello! 

index objectClass                       eq

Ez is benne van a configban a többi index-es sorral együtt. Ugyanakkor: 

/var/lib/ldap# ls -l
total 6236
-rw-r--r-- 1 openldap openldap      4096 2007-11-22 01:02 alock
-rw------- 1 openldap openldap      8192 2007-08-30 10:03 __db.001
-rw------- 1 openldap openldap 187506688 2007-08-30 10:03 __db.002
-rw------- 1 openldap openldap   2359296 2007-08-30 10:03 __db.003
-rw------- 1 openldap openldap    368640 2007-08-30 10:03 __db.004
-rw------- 1 openldap openldap     24576 2007-08-30 10:03 __db.005
-rw-r--r-- 1 openldap openldap       126 2007-06-22 22:04 DB_CONFIG
-rw------- 1 openldap openldap     49152 2007-11-22 01:02 dn2id.bdb
-rw------- 1 openldap openldap    376832 2007-11-22 01:02 id2entry.bdb
-rw------- 1 openldap openldap   3736488 2007-11-22 16:48 log.0000000001

Viszont: a slapindex lefutott, verbose módban ki is írta, hogy indexing: 0000xxx és xx szépen végigment (hexában) mind a 350 objektumon ami az adatbázisban van.

ps: el tudlak érni valami instant messenger rendszeren?

Petya

Nem, elé. Átrakom a végére. Tesztelni majd éjjel tudom, holnap megírom a tapasztalatokat.

Köszönöm!

szerk: az igazi bug is megvan, azt hiszem. Illetve egy bug miatt működik majdnem mindenkinek jól...

Tehát: 7-24 óráig van engedve a belépés, vagy pedig 0-24 óráig. Ez a két lehetőség van. A user hozzáadó script automatikusan 7-24-et adna minden újonnak kreált usernek (tehát logonHours: "01FFFF01FFFF01FFFF01FFFF01FFFF01FFFF01FFFF") de a bug miatt azt írja be, hogy 7-24. Ezt nyilván nem tudja kiolvasni a Samba, így nem veszi figyelembe. De ha kézzel belenyúlok valamelyik user adataiba, akkor a helyes string "01FFFF..stb" kerül be.

A log szerint, reggel 10 előtt jelentkezik csak a probléma. Elképzelhető, hogy pl UTC-ben számolja az időt a logonHours? Vagy ha nem, akkor miért nem jó a fenti logonHours string? Miért lesz a 7 órából 10?

szerk: átraktam az index-eket a végére, most más csak ez jelenik meg a logban:

bdb_equality_candidates: (uniqueMember) index_param failed (18)

erre is létrehozhatok ugyanúgy index-et?

Petya

( Oops | 2007. 11. 17., szo – 17:47 )

Emberek! A következő _új_ kérdést lehetne új topic-ba tenni?
Lécci-lécci-lécci, ez már olyan hosszú, hogy az itthoni 512-es netemmel sok-sok másodperc, mire lejön az oldal. Tudom, lehetne az "újakat előre" is, de az nemtetccik.
Szóval, aki legközelebb ide ír, az megtenné, hogy nyit egy új topicot, mondjuk
Samba, mint PDC! (2) címmel?
Köszi.

( talisker | 2010. 01. 05., k – 14:30 )

subscribe
---------------------------------------------------
Talisker Single Malt Scotch Whisky aged 10 years :)