Создаем конфигурационные файлы для smbldap-tools:
# vim /etc/smbldap-tools/smbldap_bind.conf
slaveDN="cn=admin,dc=lxf,dc=su"
slavePw="example"
masterDN="cn=admin,dc=lxf,dc=su"
masterPw="example"
В следующий файлик надо будет вставить наши данные и SID, который получили пару шагов назад:
SID="S-1-2-51-6367416939-3848486559-4512677050"
sambaDomain="IT"
ldapTLS="0"
suffix="dc=lxf,dc=su"
usersdn="ou=Users,${suffix}"
computersdn="ou=Computers,${suffix}"
groupsdn="ou=Groups,${suffix}"
idmapdn="ou=Idmap,${suffix}"
sambaUnixIdPooldn="sambaDomainName=IT,${suffix}"
scope="sub"
hash_encrypt="SSHA"
userLoginShell="/bin/bash"
userHome="/home/%U"
userHomeDirectoryMode="700"
userGecos="System User"
defaultUserGid="513"
defaultComputerGid="515"
skeletonDir="/etc/skel"
defaultMaxPasswordAge="45"
userSmbHome="\\PDC-IT\%U"
userProfile="\\PDC-IT\profiles\%U"
userHomeDrive="H:"
userScript="logon.bat"
mailDomain="lxf.su"
smbpasswd="/usr/bin/smbpasswd"
Задаем права на файлы:
# chmod 0644 /etc/smbldap-tools/smbldap.conf
# chmod 0600 /etc/smbldap-tools/smbldap_bind.conf
Теперь заполнеям ldap базу и создаем аккаунт администратора (Administrator):
# smbldap-populate -m 512 -a Administrator
Populating LDAP directory for domain IT (S-1-2-51-6367416939-3848486559-4512677050)
(using builtin directory structure)
entry dc=lxf,dc=su already exist.
adding new entry: ou=Users,dc=lxf,dc=su
adding new entry: ou=Groups,dc=lxf,dc=su
adding new entry: ou=Computers,dc=lxf,dc=su
adding new entry: ou=Idmap,dc=lxf,dc=su
adding new entry: uid=Administrator,ou=Users,dc=lxf,dc=su
adding new entry: uid=nobody,ou=Users,dc=lxf,dc=su
adding new entry: cn=Domain Admins,ou=Groups,dc=lxf,dc=su
adding new entry: cn=Domain Users,ou=Groups,dc=lxf,dc=su
adding new entry: cn=Domain Guests,ou=Groups,dc=lxf,dc=su
adding new entry: cn=Domain Computers,ou=Groups,dc=lxf,dc=su
adding new entry: cn=Administrators,ou=Groups,dc=lxf,dc=su
adding new entry: cn=Account Operators,ou=Groups,dc=lxf,dc=su
adding new entry: cn=Print Operators,ou=Groups,dc=lxf,dc=su
adding new entry: cn=Backup Operators,ou=Groups,dc=lxf,dc=su
adding new entry: cn=Replicators,ou=Groups,dc=lxf,dc=su
entry sambaDomainName=IT,dc=lxf,dc=su already exist. Updating it...
Please provide a password for the domain Administrator:
Changing UNIX and samba passwords for Administrator
New password:
Retype new password:
В двух послених строчках думаю все понятно - задаем пароль. Я как и везде выбрал example.
Так же добавим Administrator в Domain Users:
# smbldap-usermod -u 3000 -G "Domain Users" Administrator
Заменим /etc/nsswitch.conf на предложенный MMC:
#cp /usr/share/doc/python-mmc-base/contrib/ldap/nsswitch.conf /etc/nsswitch.conf
И создадим каталоги описанные в smb.conf:
# mkdir -p /home/samba/shares/public/
# mkdir /home/samba/netlogon/
# mkdir /home/samba/profiles/
# mkdir /home/samba/partage/
# mkdir /home/samba/archives/
Поправим права доступа:
# chmod 777 /var/spool/samba/ /home/samba/shares/public/
# chmod 755 /home/samba/netlogon/
# chmod 770 /home/samba/profiles/ /home/samba/partage/
# chmod 700 /home/samba/archives/
PAM LDAP
Добавляем поддержку ldap в PAM. После редакции необходимых нам файлов, они должны выглядеть так:
# cat /etc/pam.d/common-account
account required pam_unix.so
account sufficient pam_ldap.so
# cat /etc/pam.d/common-auth
auth sufficient pam_unix.so nullok_secure
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
# cat /etc/pam.d/common-password
password sufficient pam_unix.so nullok obscure min=4 max=8 md5
password sufficient pam_ldap.so use_first_pass use_authtok
password required pam_deny.so
# cat /etc/pam.d/common-session
session required pam_unix.so
session optional pam_ldap.so
Теперь reboot
ОБЯЗАТЕЛЬНО!
Теперь можно сделать то, что в оригинальной документации написанно раньше, но без настройки взоимодействия PAM и ldap - точно не работает:
# chown -R :"Domain Users" /home/samba/
Теперь надо дать право Domain Admins добавлять машины в домен:
# net -U Administrator rpc rights grant 'IT\Domain Admins' SeMachineAccountPrivilege
Enter Administrator's password:
Successfully granted rights.
На этом настройка домена закончилась. Поздравляю!
На этом шаге наткнулся на проблемы!
ОтветитьУдалитьво первых после перезагрузки один хер пишет
chown -R :"Domain Users" /home/samba/
chown: неверная группа: `:Domain Users'
и вот на этом шаге ошибка:
net -U Administrator rpc rights grant 'shahsbrf\Domain Admins' SeMachineAccountPrivilege
Enter Administrator's password:
Could not connect to server 127.0.0.1
The username or password was not correct.
Connection failed: NT_STATUS_LOGON_FAILURE
Подскажите куда копать?
Нашел где копать!! После перезагрузки запускаем службы самбы и ldap (/etc/init.d/slapd start и /etc/init.d/samba start) После этого команды работают
ОтветитьУдалить