Samba LDAP adatok frissítése

Debian GNU/Linux

Üdv

Készítettem egy Samba Domain-t LDAP-os Auth-tal.
A problémám hogy az adatok nem frissülnek át azonnal a Samba-ba, ha változtatok az LDAP-ban.

Pl. A felhasználó elsődleges csoportját megváltoztatom az LDAP-ban, az ldapsearch hozza is a megváltoztatott értéket, a getent passwd szintén, de az id -a [user] nem változik. A fő problémám, hogy még akkor sem változik, ha a samba-t és a ldap-ot újraindítom.

Olyan mintha a Samba be cache-elné és csak bizonyos idő után kérné le ezeket az infókat újra. Lehet ezen állítani esetleg más a probléma?

  • 2456 megtekintés

( wildy | 2008. 11. 21., p – 23:22 )

ennyi info alapjan sokkal inkabb nscd-nek tunik a dolog...

Kipróbáltam, ha leállítom az nscd-t akkor valóban egyből az ldap-ban beállított értékek jelennek meg. LDAP-os auth-ot még nem csináltam, de akkor ez teljesen normális. Gondolom, ha passwd-vel megváltoztatom a UNIX-os jelszót akkor az kikényszeríti a frissítést az nscd-ből, ezért nem jelentkezett még ilyen probléma eddig.
Egyébként phpLDAPAdmin-nel állítgatom az adatokat, az meg csak az adatbázist firkálja, gondolom ezért nem frissülnek az adatok.

Jó az okfejtésem?

nem kenyszerit lopikulat sem. :) az nscd nevtereket cache-el - mint a neve is mutatja. nincs koze az authentikaciohoz.
ha ldapsam:trusted=yes-t hasznalsz az smb.conf-ban akkor a samba kihagyja a nss-t es kozvetlenul az ldapbol dolgozik. erdemes ilyenkor meg az ldapsam:editposix=yes-t is hasznalni.
amugy ha lokalis ldap-ot hasznalsz en nem eroltetnem az nscd-t. pl. hosts-ra nem jo, egy ido utan hibakat ir ki.
en mindenkeppen lokalis ldap-ot hasznalok meg akkor is ha csak replika.

Sajnos a probléma továbbra is fennáll (az nscd kikapcsolva maradt, ezért működött)

Több helyen is azt olvastam, hogy visszaesik a sebesség, ha folyton az LDAP-tól kéri le az infókat a Samba, ez nem lesz gond? Egyébként az LDAP és a Samba egy gépen van, a hálózatban ~20 samba-s fiók és még ~20 virtualis mail fiók van.

Az ldapsam:trusted=yes és ldapsam:editposix=yes-re pánikot dob a samba, pedig a testparm nem jelez hibát

"Több helyen is azt olvastam, hogy visszaesik a sebesség, ha folyton az LDAP-tól kéri le az infókat a Samba, ez nem lesz gond?"

minek a sebessege? :)
ezhez tudni kellene hogy mikor ker le infokat a samba, mekkora es milyen bonyolultsagu a fa, vannak-e rajta megfelelo indexek, melyik backendet hasznalod, stb.
hogy pontosan mekkora overhead az nscd nelkuli mukodes egy tipikus felhasznalasnal amit a szerverednek ki kell szolgalnia, csak teszttel tudod megmerni. ha ugy latod hogy jelentos akkor kenytelen vagy egyutt elni az nscd-vel, 5 percenkent kiadni egy "nscd -i"-t a megfelelo nevterre.

az ldap is tartalmaz cache-t - illetve a backend? FIXME! - , ezert tuningolhato.

/etc/ldap/slapd.conf:
# For the Debian package we use 2MB as default but be sure to update this
# value if you have plenty of RAM
dbconfig set_cachesize 0 2097152 0

illetve ha itt jobban tetszik:
/var/lib/ldap/DB_CONFIG:
set_cachesize... stb...

"Az ldapsam:trusted=yes és ldapsam:editposix=yes-re pánikot dob a samba, pedig a testparm nem jelez hibát"

gondolom samba verzio fuggvenye :/
logokat kielemezted-e?

"ezhez tudni kellene hogy mikor ker le infokat a samba, mekkora es milyen bonyolultsagu a fa, vannak-e rajta megfelelo indexek, melyik backendet hasznalod, stb."

Hát én olvastam olyat, hogy egy "ls -l"-nél is többször lekérdezi az adatokat, ezért lassulhat be. A fa egyáltalán nem bonyolult. Index van az összes jelentősebb adaton


# Indexing options for database
index objectClass eq
index cn pres,sub,eq
index sn pres,sub,eq
index uid pres,sub,eq
index displayName pres,sub,eq
index uidNumber eq
index gidNumber eq
index memberUid eq
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
index givenname eq,sub

Egyébként az LDAP saját cache-ben igazad lehet, majd kipróbálom mennyit számít az nscd.

Az "ldapsam" azért hasalt le mert a nobody felhasználó nem volt megfelelően beállítva (a samba-n emelni kellett a loglevel szinten :)

Szóval a kompromisszumokkal együtt kezd beállni a dolog, viszont egy másik érdekes, dologra lettem figyelmes.
A másodlagos csoporttagság és a hozzáférés ellenőrzése. Ha egy felhasználót behelyezek egy csoportba az LDAP-on "memberUid" akkor a könyvtárakhoz való hozzáférések ellenőrzése nem az új beállításoknak megfelelően történik.

Pl. Egy könyvtárba csak a tulaj és az ldapusers csoport tagjai léphetnek be
"drwxrwx--- root ldapusers konyvtar"
van egy felhasználóm aki csak az ntadmins csoport tagja (primary group és nem ő a root)
Ebben az esetben az adott könyvtárba a felhasználó nem léphet be, ez így rendbe is működik.
Ezt követően beállítom a felhasználót tagnak az ldapusers csoportba, a felhasználónál meg is jelenik, hogy tagja lett a csoportnak. Látszik minden lekérdezésben "getent group ldapusers", "id -a admin" (admin a felhasználó azonosítója), "net rpc group members ldapusers" sőt még windows alól az "usrmrg.exe" is jól hozza az adatokat, ennek ellenére a könyvtárba továbbra sem tud belépni.
Egy samba restart-ot követően minden a helyére kerül, de ez nem túl elegáns megoldás. Van erre valami megoldás.

smb.conf fájl

#======================= Global Settings =======================

[global]

## Browsing/Identification ###
workgroup = ceg.hu
server string = Ceg Samba server

wins support = yes
dns proxy = no
name resolve order = wins lmhosts host bcast

#### Debugging/Accounting ####
log file = /var/log/samba/log.%m
max log size = 1000
syslog only = no
# syslog = 10
log level = 2
panic action = /usr/share/samba/panic-action %d

####### Authentication #######

security = user
encrypt passwords = true
passdb backend = ldapsam:"ldap://ldap.ceg.hu"
# obey pam restrictions = yes
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
pam password change = yes
allow trusted domains = yes

ldapsam:trusted=yes
ldapsam:editposix=yes

idmap uid = 1000-1999
idmap gid = 3000-3999

# LDAP
ldap admin dn = cn=admin,dc=ceg,dc=hu
ldap ssl = no
ldap suffix = dc=ceg,dc=hu
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap machine suffix = ou=Computers
ldap delete dn = no
# ldap replication sleep = 5000
ldap passwd sync = yes
ldap timeout = 15

########## Domains ###########

domain logons = yes
domain master = yes
local master = yes
preferred master = yes

logon path = \\%N\profiles\%U
logon drive = H:
logon home = \\%N\%U
logon script = login.bat %N

######### Printing ###########

printing = bsd
printcap name = /etc/printcap

############ Misc ############

socket options = SO_KEEPALIVE TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192

create mask = 0660
directory mask = 0770
usershare allow guests = no
guest ok = false
map to guest = bad user
guest account = nobody

add machine script = /etc/samba/SambaAddMachine.sh %u

> mint a neve is mutatja. nincs köze az authentikaciohoz.
Minden relatív..
.. ha ugyanis ha elolvasod mit irt a problémájáról:
>> A felhasználó elsődleges csoportját megváltoztatom az LDAP-ban
akkor egyértelmű, hogy a ludas az nscd, ami cache-li a user <> group
hozzárendeléseket többek közt... azaz ez a probléma akkor is előjön,
ha a megosztásnál @{group}-ot használ.

Arra már rájöttem, hogy az nscd-ben azért változnak meg azonnal a jelszó, csoport, ... beállítások mert van olyan opciója hogy figyelje, a fájl megváltozott-e "check-files", így egy passwd kiadása után a /etc/passwd megváltozik (hmm igazából a shadow, mindegy) így az nscd frissíti az adatokat. Viszont, ha az LDAP-ban változnak az adatok attól nem változik meg egyik fájl sem. Szóval alap beállításban a jelszavak percenként a csoporttagságok óránként frissülnek legrosszabb esetben az nscd-ben. Ha jól látom a dolgokat.

Jól látod..

Amúgy ez az egész a kompromisszumról szól..
.. nscd-vel kevesebb a kapcsolódás, a keresés, gyorsabb a rendszer a caching miatt..
itt van teszt: http://www.skills-1st.co.uk/papers/security-with-ldap-jan-2002/security…
.. nélküle viszont "lassabb", mert mindig hozzáfordul az ldap-hoz.
szóval mérlegelni kell.

Ami szerintem nem biztos, hogy jó ötlet a Részedről, hogy a felhasználók elsődleges groupját
módosítgatod..

( openstep | 2010. 03. 06., szo – 09:55 )

Sziasztok!

Én is ldap-os samba-t epítek, tulajdonképp már kész is van, de van pár gondom, tudnátok segíteni?

Én avval kavarodok meg, hogy míg ldap nélkül csak az smb.conf-ot elég volt szerkeszteni most /smbldaptools/-ban is van egy conf file.
Ebben a kettőben vannak egyező dolgok (a home mappa jele, elérési útja stb).
Az /smbldaptools/-ban lévő conf fileban le is van írva, hogy ha üresen hagyom akkor a régi smb.conf-ból fogja venni, de nálem nem működött ez.

Nehéz a problémát megfogni ezért írok ilyen hosszan.

Pl.: beállítottam, hogy a userek home-ja a /home/samba/shares/%U legyen.
Ezután felvettem egy usert a smbldap-useradd paranccsal, majd beléptem xp-vel, ekkor rendben volt a home mappa.
Kiléptem, majd az smb.conf fileban megadtam még egy share-t amit szintén be szeretettem volna csatolni+megadtam a netlogon-ba a megfelelő .bat-ot.
Ezután belépéskor a /home/samba/shares/%U helyett már a /home/felhasznalonev mappa volt becsatolva és a .bat se futott le helyesen.

Szóval olyan, mintha valami mást is be kéne állítani csak nem látom leírva, hogy mit.

Hát nem tudom, hogy érti e valaki amit írtam, mert én már belezavarodtam a probléma megtalálásába.

Van ötletetek?

Köszi

Hello

Értem a problémát, de nem teljesen világos. Be tudnád másolni az smb.conf ide vágó részleteit?

A logon scriptbe nem kell utasítást adni a home könyvtár felcsatolásásra, mert azt automatikusan az smb.conf beállításai alapján csatolja fel - ugye nem írdtad bele a logon.batba ome csatolást?

Üdv

Sempi

PHPAdmin - Egyedi felületek készítése

( openstep | 2010. 03. 06., szo – 18:04 )

Ide másoltam még az etc/smbldap-tools/smbldap.conf fájlt is, lejjebb csillaggal elválasztva.

Nem raktam a logon.bat-batba persze a homera való utalást, a probléma már akkor is volt, amikor logon.bat nem volt létrehozva.
Még infó annyi, hogy nálam az ldap gyökere dc=fserver, a domain name meg a workgroup=FSERVER, ha jól tudom.
Megnéznétek mit kavartam össze?

Köszi

Próbáltam utánaolvasni ennek a ldap samba párosnak, de nem találtam meg a probémát.
Olyan mintha nem lenne egy folyamat: hogy ha nem jó xy beállítás akkor egy másik szabály szerint járna el x user belépésekor.
Gyakran a home meghajtó visszaáll a unixos home-ra szemben avval amit szeretnék a /home/samba/homes alattiakra.

Másik gondom még, hogy squiirelmail nem engedi be az ldap-ban lévő usereket, tudnátok ebben is segíteni?
A konzolon be tudok velük lépni, szóval az rendben van. Esetleg kell valami plugin a squirrelmailho vagy az im ap szerverhez?

[global]
# Domain name ..
workgroup = FSERVER
# Server name - as seen by Windows PCs ..
netbios name = UBUNTULDAP
# Be a PDC ..
domain logons = Yes
domain master = Yes
# Be a WINS server ..
wins support = true

obey pam restrictions = Yes
dns proxy = No
os level = 35
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
pam password change = Yes

# Allows users on WinXP PCs to change their password when they press Ctrl-Alt-Del
unix password sync = no
ldap passwd sync = yes

# Printing from PCs will go via CUPS ..
load printers = yes
printing = cups
printcap name = cups

# Use LDAP for Samba user accounts and groups ..
passdb backend = ldapsam:ldap://localhost

# This must match init.ldif ..
ldap suffix = dc=fserver
# The password for cn=admin MUST be stored in /etc/samba/secrets.tdb
# This is done by running 'sudo smbpasswd -w'.
ldap admin dn = cn=admin,dc=fserver

# 4 OUs that Samba uses when creating user accounts, computer accounts, etc.
# (Because we are using smbldap-tools, call them 'Users', 'Computers', etc.)
ldap machine suffix = ou=Computers
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap idmap suffix = ou=Idmap
# Samba and LDAP server are on the same server in this example.
ldap ssl = no

# Scripts for Samba to use if it creates users, groups, etc.
add user script = /usr/sbin/smbldap-useradd -m '%u'
delete user script = /usr/sbin/smbldap-userdel %u
add group script = /usr/sbin/smbldap-groupadd -p '%g'
delete group script = /usr/sbin/smbldap-groupdel '%g'
add user to group script = /usr/sbin/smbldap-groupmod -m '%u' '%g'
delete user from group script = /usr/sbin/smbldap-groupmod -x '%u' '%g'
set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'

# Script that Samba users when a PC joins the domain ..
# (when changing 'Computer Properties' on the PC)
add machine script = /usr/sbin/smbldap-useradd -w '%u'

# Values used when a new user is created ..
# (Note: '%L' does not work properly with smbldap-tools 0.9.4-1)
logon drive = M:
#A kovetkezo sort azert kommenteztem ki mert az smblapd.conf-ban van
#megadva
logon home = \\ubuntuldap\homes\%U
logon path = \\ubuntuldap\Profiles\%U
logon script = logon2.bat

# This is required for Windows XP client ..
server signing = auto
server schannel = Auto

[homes]
comment = Home Directories
browseable = no
writable = yes
#path = /home/samba/homes/%U
valid users = %S

[netlogon]
comment = Network Logon Service
path = /home/samba/netlogon
admin users = root
guest ok = Yes
browseable = No

[Profiles]
comment = Roaming Profile Share
# would probably change this to elsewhere in a production system ..
path = /home/samba/profiles
read only = No
profile acls = Yes
browsable = No

[printers]
comment = All Printers
path = /var/spool/samba
use client driver = Yes
create mask = 0600
guest ok = Yes
printable = Yes
browseable = No
public = yes
writable = yes
admin users = root
write list = root

[print$]
comment = Printer Drivers Share
path = /home/samba/printers
write list = root
create mask = 0664
directory mask = 0775
admin users = root

[tanulok-kozos]
comment = Tanulok kozos
path = /home/samba/shares/tanulok
admin users = @admins @tanarok
valid users = @tanulok @admins @tanarok @Domain Users proba8
read only = no
writeable = yes
guest ok = yes
create mask = 0775
directory mask = 0775
browseable = yes

[tanarok-kozos]
comment = Tanulok kozos
path = /home/samba/shares/tanarok
admin users = @admins
valid users = @tanarok @admins @Domain Users proba8
read only = no
writeable = yes
guest ok = yes
create mask = 0775
directory mask = 0775
browseable = yes

***********************************************************

ez meg az /etc/smbldap-tools/smbldap.conf

# $Source: /opt/cvs/samba/smbldap-tools/configure.pl,v
# smbldap-tools.conf : Q & D configuration file for smbldap-tools

# This code was developped by IDEALX (http://IDEALX.org/) and
# contributors (their names can be found in the CONTRIBUTORS file).
#
# Copyright (C) 2001-2002 IDEALX
#
# This program is free software; you can redistribute it and/or
# modify it under the terms of the GNU General Public License
# as published by the Free Software Foundation; either version 2
# of the License, or (at your option) any later version.
#
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
# GNU General Public License for more details.
#
# You should have received a copy of the GNU General Public License
# along with this program; if not, write to the Free Software
# Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307,
# USA.

# Purpose :
# . be the configuration file for all smbldap-tools scripts

##############################################################################
#
# General Configuration
#
##############################################################################

# Put your own SID. To obtain this number do: "net getlocalsid".
# If not defined, parameter is taking from "net getlocalsid" return
SID="S-1-5-21-2457615716-1597075221-174827096"

# Domain name the Samba server is in charged.
# If not defined, parameter is taking from smb.conf configuration file
# Ex: sambaDomain="IDEALX-NT"
#sambaDomain="FSERVER"
sambaDomain="ubuntuldap"
##############################################################################
#
# LDAP Configuration
#
##############################################################################

# Notes: to use to dual ldap servers backend for Samba, you must patch
# Samba with the dual-head patch from IDEALX. If not using this patch
# just use the same server for slaveLDAP and masterLDAP.
# Those two servers declarations can also be used when you have
# . one master LDAP server where all writing operations must be done
# . one slave LDAP server where all reading operations must be done
# (typically a replication directory)

# Slave LDAP server
# Ex: slaveLDAP=127.0.0.1
# If not defined, parameter is set to "127.0.0.1"
slaveLDAP="localhost"

# Slave LDAP port
# If not defined, parameter is set to "389"
slavePort="389"

# Master LDAP server: needed for write operations
# Ex: masterLDAP=127.0.0.1
# If not defined, parameter is set to "127.0.0.1"
masterLDAP="localhost"

# Master LDAP port
# If not defined, parameter is set to "389"
masterPort="389"

# Use TLS for LDAP
# If set to 1, this option will use start_tls for connection
# (you should also used the port 389)
# If not defined, parameter is set to "1"
ldapTLS="0"

# How to verify the server's certificate (none, optional or require)
# see "man Net::LDAP" in start_tls section for more details
verify=""

# CA certificate
# see "man Net::LDAP" in start_tls section for more details
cafile=""

# certificate to use to connect to the ldap server
# see "man Net::LDAP" in start_tls section for more details
clientcert=""

# key certificate to use to connect to the ldap server
# see "man Net::LDAP" in start_tls section for more details
clientkey=""

# LDAP Suffix
# Ex: suffix=dc=IDEALX,dc=ORG
suffix="dc=fserver"

# Where are stored Users
# Ex: usersdn="ou=Users,dc=IDEALX,dc=ORG"
# Warning: if 'suffix' is not set here, you must set the full dn for usersdn
usersdn="ou=Users,${suffix}"

# Where are stored Computers
# Ex: computersdn="ou=Computers,dc=IDEALX,dc=ORG"
# Warning: if 'suffix' is not set here, you must set the full dn for computersdn
computersdn="ou=Computers,${suffix}"

# Where are stored Groups
# Ex: groupsdn="ou=Groups,dc=IDEALX,dc=ORG"
# Warning: if 'suffix' is not set here, you must set the full dn for groupsdn
groupsdn="ou=Groups,${suffix}"

# Where are stored Idmap entries (used if samba is a domain member server)
# Ex: groupsdn="ou=Idmap,dc=IDEALX,dc=ORG"
# Warning: if 'suffix' is not set here, you must set the full dn for idmapdn
idmapdn="ou=Idmap,${suffix}"

# Where to store next uidNumber and gidNumber available for new users and groups
# If not defined, entries are stored in sambaDomainName object.
# Ex: sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
# Ex: sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}"
sambaUnixIdPooldn="sambaDomainName=FSERVER,${suffix}"

# Default scope Used
scope="sub"

# Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT)
hash_encrypt="SSHA"

# if hash_encrypt is set to CRYPT, you may set a salt format.
# default is "%s", but many systems will generate MD5 hashed
# passwords if you use "$1$%.8s". This parameter is optional!
crypt_salt_format=""

##############################################################################
#
# Unix Accounts Configuration
#
##############################################################################

# Login defs
# Default Login Shell
# Ex: userLoginShell="/bin/bash"
userLoginShell="/bin/bash"

# Home directory
# Ex: userHome="/home/%U"
userHome="/home/%U"

# Default mode used for user homeDirectory
userHomeDirectoryMode="700"

# Gecos
userGecos="System User"

# Default User (POSIX and Samba) GID
defaultUserGid="513"

# Default Computer (Samba) GID
defaultComputerGid="515"

# Skel dir
skeletonDir="/etc/skel"

# Default password validation time (time in days) Comment the next line if
# you don't want password to be enable for defaultMaxPasswordAge days (be
# careful to the sambaPwdMustChange attribute's value)
defaultMaxPasswordAge="45"

##############################################################################
#
# SAMBA Configuration
#
##############################################################################

# The UNC path to home drives location (%U username substitution)
# Just set it to a null string if you want to use the smb.conf 'logon home'
# directive and/or disable roaming profiles
# Ex: userSmbHome="\\PDC-SMB3\%U"
userSmbHome="\\ubuntuldap\homes\%U"
#userSmbHome=""

# The UNC path to profiles locations (%U username substitution)
# Just set it to a null string if you want to use the smb.conf 'logon path'
# directive and/or disable roaming profiles
# Ex: userProfile="\\PDC-SMB3\profiles\%U"
userProfile="\\ubuntuldap\Profiles\%U"

# The default Home Drive Letter mapping
# (will be automatically mapped at logon time if home directory exist)
# Ex: userHomeDrive="H:"
userHomeDrive="M:"

# The default user netlogon script name (%U username substitution)
# if not used, will be automatically username.cmd
# make sure script file is edited under dos
# Ex: userScript="startup.cmd" # make sure script file is edited under dos
#userScript="%G.bat"
userScript="logon2.bat"

# Domain appended to the users "mail"-attribute
# when smbldap-useradd -M is used
# Ex: mailDomain="idealx.com"
mailDomain="pc5.krudy-szeged.sulinet.hu"

##############################################################################
#
# SMBLDAP-TOOLS Configuration (default are ok for a RedHat)
#
##############################################################################

# Allows not to use smbpasswd (if with_smbpasswd == 0 in smbldap_conf.pm) but
# prefer Crypt::SmbHash library
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"

# Allows not to use slappasswd (if with_slappasswd == 0 in smbldap_conf.pm)
# but prefer Crypt:: libraries
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"

# comment out the following line to get rid of the default banner
# no_banner="1"