Ключевые слова:samba, ldap, Smbldap, (найти похожие документы)
From: Тренин Сергей
Date: Mon, 3 Jul 2010 17:02:14 +0000 (UTC)
Subject: Smbldap-tools - руководство пользователя
Автор J.erome Tournier, Перевод Тренин Сергей, аkа greyzy
Версия : 1.7, от 22 апреля, 2008
Руководство применимо к версии smbldap-tools 0.9.3 (которое идет с пакетом версии 0.9.5, прим.перев.)
От переводчика:
Данный документ может быть вам полезен в случае, если вы собираетесь
поднять, или у вас уже есть действующий первичный контроллер домена на
linux, в качестве клиентов которого будут выступать рабочие станции
Windows XP. Инструменты, описываемые здесь, позволяют упростить
управление учетными записями пользователей, групп и компьютеров на PDC,
поднятом на связке Samba+LDAP.
Документация касается сугубо пакета smbldap-tools, поэтому перед
прочтением необходимо иметь какое-то представление о терминах, понятиях
и настройке серверов Samba и LDAP, в противном случае часть материала
не будет вам ясна.
0. Обновление этого документа
Последняя версия этого документа может быть получена на странице
проекта smbldap-tools по адресу https://gna.org/projects/smbldap-tools
Распространение документа
Оригинал документа является собственностью IDEALX (http://IDEALX.com),
распространяется под условием лицензии GNU Free Documentation License
(http://www.gnu.org/copyleft/fdl.html)
1 Введение
Smbldap-tools представляет из себя набор скриптов, обеспечивающий
синхронную работу с базами данных пользователей, групп и компьютеров
сервера Samba и LDAP каталога. Это инструмент как пользователей, так и
администраторов систем Linux. Пользователи могут изменять их пароли так
же, как и при использовании стандартной команды passwd.
1.1 Требования к программному обеспечению
Инструмент smbldap-tools был опробован и протестирован на следующем
программном обеспечении:
- Linux CentOS4 (это будет работать на любой платформе);
- Samba release 3.0.10;
- OpenLDAP release 2.2.13;
- Microsoft Windows NT 4.0, Windows 2000 and Windows XP Workstations
and Servers.
2 Установка2.1 Требования
Основное требование для использования smbldap-tools является наличие
двух модулей Net::LDAP и Crypt::SmbHash. В большинстве случаев, вам
потребуется модуль IO-Socket-SSL Perl для использования TLS.
Если вы хотите иметь возможность добавления, удаления, модификации
пользователей и групп при помощи диспетчера пользователей под
MS-Windows, сервер Samba и пакет smbldap-tools должны быть установлены
на одном компьютере. Openldap может быть установлен на каком-либо
другом компьютере. Но обязательно проверьте, чтобы ваш LDAP-клиент мог
подключиться к серверу LDAP.
В этом документе не обсуждается установка Samba и OpenLDAP (но пакет
Samba должен быть установлен с поддержкой LDAP, прим.перев.).
2.2 Установка
Архив со скриптами smbldap-tools может быть загружен со страницы нашего
проекта по адресу [14]http://download.gna.org/smbldap-tools/packages
Так же здесь доступен архив для RadHat. Если вы получили версию, более
новую, чем описана здесь, перед установкой прочитайте файл INSTALL.
2.2.1 Установка из rpm-пакета
Если у вас не RadHat, загрузите архив smbldap-tools-0.9.3.tar.gz
Распакуйте и скопируйте все Perl-скрипты в директорию /usr/sbin/ ,
также создайте директорию /etc/smbldap-tools/ и скопируйте туда два
конфигурационных файла:
mkdir /etc/smbldap-tools/
cp *.conf /etc/smbldap-tools/
cp smbldap-* /usr/sbin/
Все конфигурирование smbldap-tools базируется на двух файлах:
- smbldap.conf определяет общие параметры;
- smbldap_bind.conf определяет административный аккаунт для связи с
сервером LDAP.
Второй файл должен быть доступен для чтения только root. Установите
такие права на эти файлы:
chmod 644 /etc/smbldap-tools/smbldap.conf
chmod 600 /etc/smbldap-tools/smbldap_bind.conf
3. Конфигурирование smbldap-tools
Как было сказано выше, для конфигурирования используется всего два
файла. Первый - smbldap.conf - позволяет вам установить общие
параметры, и он доступен на чтение любому. Второй - smbldap_bind.conf -
определяет два административных аккаунта для связи с первичным и
вторичным (главным и подчиненным) LDAP-серверами, вы должны
позаботиться, чтобы он был доступен на чтение только суперпользователю
root.
Скрипт configure.pl, который вы можете найти в tarball или в директории
с документацией (если установка была из prm-пакета)
/usr/share/doc/smbldap-tools-0.9.3/, поможет вам заполнить эти файлы,
выполните команду:
/usr/share/doc/smbldap-tools-0.9.3/configure.pl
Вследствие выполнения этого скрипта, будут получены параметры файла
smb.conf и записаны в файлы конфигурации smbldap-tools. Исходя из
предназначения этого скрипта, очевидно, что файл smb.conf уже должен
быть сконфигурирован должным образом. Остановить скрипт можно командой
Ctrl+C.
Проверьте перед использованием этого скрипта, что:
- два конфигурационных файла smbldap-tools находятся в директории
/etc/smbldap-tools/;
- ваш Samba-сервер сконфигурирован и запущен (так скрипт сможет
получить SID вашего домена).
3.1 Файл smbldap.conf
Напоминаем, этот файл задает параметры, которые доступны для просмотра
всем. Пример этого файла представлен в п. 8.1.1
Давайте рассмотрим параметры этого файла:
> UID START и GID START - недействующий параметр
этот параметр должен быть удален или закомментирован;
доступные uid и gid сейчас по умолчанию определяются в значении
sambaUnixIdPooldn="sambaDomainName=$". Позже будут рассмотрены
параметры, имеющие к этому отношение ${sambaDomain} и ${suffix}.
> SID - идентификатор безопасности домена
пример: SID="S-1-5-21-3703471949-3718591838-2324585696"
примечание: вы можете получить SID, используя команду net
getlocalsid, сервер Samba при этом должен быть запущен.
> sambaDomain - имя домена Samba
пример: sambaDomain="DOMSMB"
примечание: если затрудняетесь, посмотрите соответствующую секцию
файла smb.conf
> slaveLDAP - вторичный (подчиненный) LDAP сервер
пример: slaveLDAP="127.0.0.1"
примечание: должно быть указано разрешенное DNS имя или IP адрес
> slavePort - порт для связи со вторичным сервером
пример: slavePort="389"
> masterLDAP - первичный (основной) LDAP server
пример: masterLDAP="127.0.0.1"
> masterPort - порт для связи с первичный сервером
пример: masterPort="389"
> ldapTLS - определяет, желаете ли вы использовать TLS соединение для
связи с LDAP сервером
пример: ldapTLS="1"
примечание: LDAP сервер должен быть сконфигурирован для поддержки ТLS
соединения. См. п. 5.2 документа <<Samba-LDAP Howto>>
(http://download.gna.org/smbldap-tools/docs/samba-ldap-howto/). Если вы
используете поддержку TLS, выберите порт 389 для соединения с первичным
или вторичным сервером.
> verify - вид проверки сертификата (нет, опционально или требовать).
пример: verify="require"
примечание: изучите man-страницу Net::LDAP, секция start tls section
для изучения подробностей.
> cafile - файл повышенной защищенности (дословно PEM-format file)
включающий сертификат для CA которым будет доверять slapd.
пример: cafile="/etc/smbldap-tools/ca.pem"
> clientcert - файл, содержащий клиентский сертификат
пример:
clientcert="/etc/smbldap-tools/smbldap-tools.iallanis.com.pem"
> clientkey - файл, содержащий приватный ключ, который соответствует клиентскому сертификату.
пример: clientkey="/etc/smbldap-tools/smbldap-tools.iallanis.com.key"
> suffix - отличительное имя поиска по базе
пример: suffix="dc=idealx,dc=com"
> usersdn - ветвь (выражаясь терминами LDAP), в которой могут быть
найдены, или в которую должны добавляться записи о пользователях
пример: usersdn="ou=Users,${suffix}"
примечание: эта ветвь не связана со значением suffix (см. выше)
> computersdn - ветвь, в которой могут быть найдены, или в которую должны
добавляться записи о компьютерах
пример: computersdn="ou=Computers,${suffix}"
примечание: эта ветвь не связана со значением suffix (см. выше)
> groupsdn - ветвь, в которой могут быть найдены, или в которую должны
добавляться записи о группах
пример: groupsdn="ou=Groups,${suffix}"
примечание: эта ветвь не связана со значением suffix (см. выше)
Ю idmapdn - строка указывает, где находятся значения Idmap (используется,
если сервер Samba является членом домена)
пример: idmapdn="ou=Idmap,${suffix}"
примечание: эта ветвь не связана со значением suffix (см. выше)
> sambaUnixIdPooldn - параметр, описывающий где хранятся следующие
свободные uidNumber и gidNumber
пример: sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}"
примечание: эта ветвь не связана со значением suffix (см. выше)
> scope - поиск области.
- пример: scope="sub"
> hash encrypt - способ хэширования паролей пользователей
пример: hash encrypt="SSHA"
примечание: параметр используется для хранения паролей unix и связан
с параметром userPassword.
> crypt salt format="%s" - если у предыдущего параметра установлено
значение CRYPT, вы можете установить тип шифрования <<salt>>. По
умолчанию используется значение "%s", но большинство систем способны
генерировать пароль с хэшированием MD5, если вы установите "$1$%.8s".
Этот параметр опционален.
> userLoginShell - оболочка пользователя по умолчанию
пример: userLoginShell="/bin/bash"
примечание: значение хранится в атрибуте loginShell (см. п. 8.2).
> userHome - по умолчанию определяет, где будет находиться домашняя
директория пользователя.
пример: userHome="/home/%U"
примечание: значение хранится в атрибуте homeDirectory (см. п. 8.2).
> userGecos - описание учетной записи пользователя (в unix)
пример: userGecos="System User"
> defaultUserGid - по умолчанию основная группа для учетных записей
пользователей
пример: defaultUserGid="513"
примечание: значение хранится в атрибуте gidNumber (см. п. 8.2).
> defaultComputerGid - по умолчанию основная группа для компьютеров
пример: defaultComputerGid="550"
примечание: значение хранится в атрибуте gidNumber (см. п. 8.2).
> skeletonDir - место, где находится <<скелетная>> директория, являющаяся
шаблоном для директорий пользователей
пример: skeletonDir="/etc/skel"
примечание: эта опция используется лишь в том случае, если вы явно
укажете создать домашнюю директорию пользователя в ходе создания нового
пользователя
> defaultMaxPasswordAge - параметр задает, через какое время (в днях)
должен быть изменен пароль пользователя
пример: defaultMaxPassword="55"
> userProfile - общий ресурс Samba для хранения профилей пользователей
пример: userProfile="\\PDC-SMB3\profiles\%U"
примечание: значение хранится в атрибуте sambaProfilePath (см. п. 8.2).
> userHomeDrive - буква диска, использующаяся в Windows для назначения домашней директории
пример: userHomeDrive="K:"
> userScript - по умолчанию имя скрипта, использующегося при входе
пользователя в систему. Если не определено, автоматически будет
использоваться скрипт username.cmd
пример: userScript="%U"
примечание: значение хранится в атрибуте sambaProfilePath.
> mailDomain - домен, добавляемый к атрибуту пользователя "mail".
пример: mailDomain="idealx.org"
> with smbpasswd - параметр, устанавливающий, будет ли использоваться
команда smbpasswd для установки пароля пользователя Samba (вместо
утилиты mkntpwd).
пример: with smbpasswd="0"
примечание: значение может быть 0 или 1.
> smbpasswd - путь, по которому находится smbpasswd
пример: smbpasswd="/usr/bin/smbpasswd"
> with slappasswd - параметр, устанавливающий, будет ли использоваться
команда slappasswd для установки пароля пользователя Unix (вместо
утилиты Crypt:: librairies)
пример: with smbpasswd="0"
примечание: значение может быть 0 или 1.
> slappasswd - путь, по которому находится slappasswd
пример: smbpasswd="/usr/sbin/slappasswd".
3.2 Файл smbldap_bind.conf
Напоминаем, что этот файл должен быть доступен для просмотра только
суперпользователю. Файл используется при модификации базы данных LDAP
каталога, он включает имя пользователя и его пароль, который имеет
право подключаться к первичному и вторичному LDAP каталогу. Пример
этого файла есть в п. 8.1.2
Рассмотрим параметры этого файла.
> slaveDN - отличительное имя, используемое для связи с вторичным сервером LDAP
пример 1: slaveDN="cn=Manager,dc=idealx,dc=com"
пример 2: slaveDN=""
примечание: это может быть админисративная учетная запись каталога
или другая учетная запись LDAP, которая имеет достаточные права для
чтения всего каталога (база данных вторичного сервера используется
только для чтения). Анонимные подключения подключаются, как показано в
примере 2.
> slavePw - пароль для доступа к вторичному серверу LDAP.
пример 1: slavePw="secret"
пример 2: slavePw=""
примечание: пароль должен быть записан в незашифрованном виде. Файл
должен быть доступен для чтения только суперпользователю root!
Анонимные подключения конфигурируются по примеру 2.
> masterDN - отличительное имя, используемое для связи с первичным сервером LDAP
пример: masterDN="cn=Manager,dc=idealx,dc=com"
примечание: это может быть административная учетная запись каталога
или другая учетная запись LDAP, который имеет достаточные права для
внесения изменений в базу данных LDAP. Анонимный доступ к первичному
серверу не допускается.
> masterPw - пароль пользователя с административными полномочиями
пример: masterPw="secret"
примечание: пароль должен быть записан в незашифрованном виде. Еще
раз убедитесь, что доступ к файлу не имеют те, кто его не должен иметь.
4. Использование скриптов4.1 Создание структуры каталога
Вы можете сделать начальную структуру LDAP каталога, используя скрипт
smbldap-populate. Чтобы сделать это, проверьте, что учетная запись,
описанная в файле /etc/smbldap-tools/smbldap_bind.conf, которая имеет
полномочия для связи с первичный LDAP сервером, так же является
административной учетной записью вашего LDAP каталога.
Ключи, которые могут быть использованы при запуске скрипта
smbldap-populate, представлены ниже:
> -u uidNumber
первый uidNumber, который будет назначен
значение по умолчанию: 1000
> -g gidNumber
первый gidNumber, который будет назначен
значение по умолчанию: 1000
> -a user
Логин администратора
значение по умолчанию: Administrator
> -b user
Логин гостя
значение по умолчанию: nobody
> -e file
Экспорт файла инициализации
> -i file
Импорт файла инициализации
В большинстве случаев, для построения структуры LDAP каталога,
достаточно выполнить команду
# smbldap-populate
Using builtin directory structure
Using the smbldap-tools scripts Revision : 1.7
adding new entry: dc=idealx,dc=com
adding new entry: ou=Users,dc=idealx,dc=com
adding new entry: ou=Groups,dc=idealx,dc=com
adding new entry: ou=Computers,dc=idealx,dc=com
adding new entry: ou=Idmap,dc=idealx,dc=org
adding new entry: cn=NextFreeUnixId,dc=idealx,dc=org
adding new entry: uid=Administrator,ou=Users,dc=idealx,dc=com
adding new entry: uid=nobody,ou=Users,dc=idealx,dc=com
adding new entry: cn=Domain Admins,ou=Groups,dc=idealx,dc=com
adding new entry: cn=Domain Users,ou=Groups,dc=idealx,dc=com
adding new entry: cn=Domain Guests,ou=Groups,dc=idealx,dc=com
adding new entry: cn=Print Operators,ou=Groups,dc=idealx,dc=com
adding new entry: cn=Backup Operators,ou=Groups,dc=idealx,dc=com
adding new entry: cn=Replicator,ou=Groups,dc=idealx,dc=com
adding new entry: cn=Domain Computers,ou=Groups,dc=idealx,dc=com
После этого шага, если вы больше не хотите использовать учетную запись
cn=Manager,dc=idealx,dc=com, вы можете создать специальную учетную
запись для Samba и smbldap-tools. Для подробностей обратитесь к п. 8.2
Строка cn=NextFreeUnixId,dc=idealx,dc=org используется только для
присвоения номеров uidNumber и gidNumber при создании новых
пользователей и групп. По умолчанию нумерация (см. таб. 1) начинается с
номера 1000. Для изменения этого числа используются ключи -u и -g.
Например, если вы хотите, чтобы нумерация начиналась с числа 1500, при
создании структуры каталога используйте такую команду:
#smbldap-populate -u 1500 -g 1500
4.2 Управление пользователями4.2.1 Добавление пользователей
Для добавления пользователей используется скрипт smbldap-useradd.
Ключи, которые могут быть использованы при его запуске, представлены ниже.
Пояснение: в четвертой колонке есть строки со значениями, которые
начинаются с символа $. Значения таких ключей, если не назначены
специально, берутся из файла /etc/smbldap-tools/smbldap.conf (с
указанием секции этого файла).
> -a
Создать учетную запись Windows, без ключа будет создан Posix-аккаунт
> -w
Создать учетную запись рабочей станции Windows
> -i
Создать учетную запись пользователя домена, с которым установлено
доверие, подробности см. в п. 4.4
> -u
Назначить uid
Пример: -u 1003
Значение по умолчанию: Первый из доступных uid
> -g
Назначить gid
Пример: -g 1003
Значение по умолчанию: Первый из доступных gid
> -G
Добавить новую учетную запись в одну или несколько групп (несколько
записываются через запятую)
Пример: -G 512,550
Значение по умолчанию: Без ключа -G все созданные аккаунты попадают в группу 513
(пользователи)
> -d
Назначить домашнюю директорию
Пример: -d /var/user
Значение по умолчанию: $userHomePrefix /user
> -s
Назначить оболочку (login shell)
Пример: -s /bin/ksh
Значение по умолчанию: $userLoginShell
> -с
Добавить описание пользовательской учетной записи
Пример: -c "admin user"
Значение по умолчанию: $userGecos
> -m
Создать домашнюю директорию пользователя и скопировать туда информацию
из папки /etc/skel/
> -k
Назначить <<скелетную>> директорию (используется без ключа -m)
Пример: -k /etc/skel2
Значение по умолчанию: $skeletonDir
> -P
По окончании обратится к скрипту smbldap-passwd для установки пароля
пользователя
> -А
Установить, имеет ли право пользователь изменять пароль, 0 - нет, 1- да
Пример: -А 1
> -B
Установить, должен ли пользователь изменить свой пароль после первого
входа в систему, 0 - нет, 1 - да
Пример: -B 0
> -С
Назначить домашнюю папку Samba
Пример: -С \\PDC\homes
Значение по умолчанию: $userSmbHome
> -D
Установить букву диска, монтирующегося при входе пользователя в систему
Пример: -D H:
Значение по умолчанию: $userHomeDrive
> -E
Установить скрипт, который будет выполняться при входе пользователя в
систему
Пример: -E common.bat
Значение по умолчанию: $userScript
> -F
Задать директорию с профилем пользователя
Пример: -F \\PDC\profiles\user
Значение по умолчанию: $userProfile
> -H
Установить флаг учетной записи Samba, наподобие [NDHTUMWSLKI]
Пример: -H [X]
Например, флаг D означает, что учетная запись отключена, прим.перев.
> -N
Установить реальное имя пользователя
> -S
Установить фамилию пользователя
> -M
Локальный электронный почтовый ящик (несколько записываются через
запятую)
Пример: -M testuser,aliasuser
> -T
Непосредственный электронный почтовый ящик (несколько записываются
через запятую)
Пример: -T testuser@domain.org
Например, если вы хотите создать пользователя с именем user_admin,
который:
- будет являться пользователем Windows
- должен входить в группу с gid=512 (группа в Windows "Domain Admins");
- иметь домашнюю директорию;
- не иметь оболочки входа (login shell);
- домашняя директория которого будет находиться в папке /dev/null;
- не иметь перемещаемого профиля;
- и которому при создании мы установим пароль.
то следует ввести команду: (примечание, символ \ означает, что команда
должна быть записана в одну строку, а \ следует заменить на пробел)
smbldap-useradd -a -G 512 -m -s /bin/false -d /dev/null -F "" -P user_admin
Еще несколько примеров (из Интернет, прим.перев.):
smbldap-useradd -a -m -M pupkin -c "vasya pupkin" pupkin
smbldap-useradd -a -c "Serg Alex Lad" -N "Serg Alex" -S "Lad" -s /bin/bash ladserg
4.2.2 Удаление пользователя
Для удаления учетной записи пользователя используется скрипт
smbldap-userdel, ниже представлены доступные ключи запуска:
-r Удалить домашнюю директорию (не спрашивая)
-R Удалить домашнюю директорию в диалоговом режиме
Например, если вы хотите удалить пользователя user1 из LDAP каталога, и
если вы также хотите удалить его домашнюю директорию, выполните
команду:
smbldap-userdel -r user1
Примечание: с осторожностью используйте ключ "-r", посредством его
применения вы можете лишиться ценных незарезервированных данных.
4.2.3 Внесение изменений в учетную запись пользователя
Для внесения изменений в учетную запись пользователя используется
скрипт smbldap-usermod. Ключи, используемые с этим скриптом, вынесены в
таблицу 4. Наряду с этим, для внесения некоторых изменений в учетные
данные, используется скрипт smbldap-userinfo. Ключи, используемые с
этим скриптом, вынесены в таблицу 5. Этот скрипт может быть использован
самими пользователями для внесения некоторых данных в их учетную запись
(ACL должен быть должным образом настроен на сервере каталогов).
Таблица 4
> -с
Добавить описание пользовательской учетной записи
Пример: -c "admin user"
> -d
Назначить домашнюю директорию
Пример: -d /var/user
> -u
Назначить uid
Пример: -u 1003
> -g
Назначить gid
Пример: -g 1003
-G
Добавить новую учетную запись в одну или несколько групп или удалить
пользователя из группы (несколько записываются через запятую)
Пример: -G 512,550 или -G -512,550 или -G +512,550
> -s
Назначить оболочку (login shell)
Пример: -s /bin/ksh
> -N
Установить реальное имя пользователя
> -S
Установить фамилию пользователя
> -P
По окончании обратится к скрипту smbldap-passwd для установки пароля
пользователя
> -a
Добавить класс объекта (objectClass) sambaSAMaccount
> -e
Установить дату истечения срока действия пароля пользователя (формат
ГГГГ-ММ-ДД ЧЧ:ММ:СС)
> -А
Устанавливает, имеет ли право пользователь изменять пароль, 0 - нет, 1- да
> -B
Устанавливает, должен ли пользователь изменить свой пароль после
первого входа в систему, 0 - нет, 1 - да
> -С
Назначить домашнюю папку Samba
Пример: -С \\PDC\homes или -С ""
> -D
Установить букву диска, монтирующегося при входе пользователя в систему
Пример: -D H:
> -E
Установить скрипт, который будет выполняться при входе пользователя в
систему
Пример: - E common.bat
> -F
Задать директорию с профилем пользователя
Пример: -F \\PDC\profiles\user
> -H
Установить флаг учетной записи Samba, наподобие [NDHTUMWSLKI]
Пример: -H [X]
> -I
Отключить учетную запись пользователя
Пример: -I 1
> -J
Включить учетную запись пользователя
Пример: -J 1
> -w
Создать учетную запись рабочей станции Windows
> -i
Создать учетную запись пользователя домена, с которым установлено
доверие, подробности см. в п. 4.4
-M
Локальный электронный почтовый ящик (несколько записываются через запятую)
Пример: -M testuser,aliasuser
> -T
Непосредственный электронный почтовый ящик (несколько записываются
через запятую)
Пример: -T testuser@domain.org
Таблица 5
> -f
Задать полное имя пользователя
Пример: -f MyName
> -r
Задать номер кабинета
Пример: -r 99
> -w
Задать номер рабочего телефона
Пример: -w 11111111
> -h
Задать номер домашнего телефона
Пример: -h 2222222
> -o
Записать другую информацию (в секцию gecos)
Пример: -o "second stage"
> -s
Задать оболочку по умолчанию
Пример: -s /bin/ksh
4.3 Управление группами4.3.1 Создание группы
Для добавления новой группы в LDAP каталог используется скрипт
smbldap-groupadd. Ключи, которые могут быть использованы при запуске
этого скрипта, представлены в таблице 6.
> -a
Добавить группу и автоматически установить соответствие (mapping)
> -g gid
Установить gidNimber для группы
Пример: -g 1002
> -о
gidNimber не будет уникальным
> -r group-rid
Установить rid группы
Пример: -r 1002
> -s group-sid
Установить sid группы
Пример: -s S-1-5-21-3703471949-3718591838-2324585696-1002
> -t group-type
Установить sambaGroupType
Пример: -t 2
> -p
Вывести gidNimber на экран
Например, так вы можете создать группу group1 и поместить в нее ранее
созданного пользователя user1
# smbldap-groupadd -a group1
# smbldap-usermod -G +group1 user1
4.3.2 Удаление группы
Для удаления группы используется скрипт smbldap-userdel, например, для
удаления группы group1 следует выполнить команду:
# smbldap-userdel group1
4.4 Добавление пользователя доверенного домена
Для добавления учетной записи доверенного домена на контроллере домена
trust-pdc, используйте ключ -i команды smbldap-useradd
# smbldap-useradd -i trust-pdc
New password : *******
Retype new password : *******
Работа скрипта будет окончена после запроса на ввод пароля доверенного
пользователя. Учетная запись будет создан в том месте каталога, где
хранятся записи обо всех компьютерах (по умолчанию это ou=Computers).
Таким образом, у этой учетной записи две особенности, это установка
пароля для него, и флаг [I ].
5. Samba и smbldap-tools5.1 Основное конфигурирование
Samba может быть сконфигурирована с использованием поддержки
smbldap-tools. Это позволит администраторам добавлять, удалять или
изменять группы и учетные записи пользователей операционной системы MS
Windows, используя для этого, например, диспетчер пользователей. Для
приведенной возможности следует добавить в файл smb.conf следующие
команды:
ldap delete dn = Yes
add user script = /usr/local/sbin/smbldap-useradd -m "%u"
add machine script = /usr/local/sbin/smbldap-useradd -w "%u"
add group script = /usr/local/sbin/smbldap-groupadd -p "%g"
add user to group script = /usr/local/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/local/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/local/sbin/smbldap-usermod -g "%g" "%u"
Примечание: также могут быть добавлены команды delete user script и
delete group script. Однако в этом случае могут появляться сообщения об
ошибке в диспетчере пользователей каждый раз после успешного удаления
пользователя или группы. Если вы все-таки решите добавить данные
команды, вам следует внести такие строки:
delete user script = /usr/local/sbin/smbldap-userdel "%u"
delete group script = /usr/local/sbin/smbldap-groupdel "%g"
5.2 Миграция PDC c NT4 на Samba 3
Процедура переноса учетных записей по настоящему проста, если сервер
Samba сконфигурирован с использованием smbldap-tools. Файл smb.conf
должен включать команды для управления пользователями, группами и
компьютерами (см. п. 5.1) Процесс миграции детально описан в части 30
Samba Howto (http://sambafr.idealx.org/samba/docs/man/Samba-HOWTO-Collection/NT4Migration.html).
(В данный момент для прочтения этого документа вам
следует установить пакет samba-doc, и найти главу 36 "MIGRATION FROM
NT4 PDC TO SAMBA-3 PDC" файла Samba3-Howto.pdf , прим.перев.)
6. Часто задаваемые вопросы6.1 Могу ли я использовать старые версии uidNumber и gidNumber ?
Есть два пути для решения этого вопроса:
измените строку cn=NextFreeUnixId,dc=idealx,dc=org и измените
значение uidNumber и/или gidNumber. Это должно быть сделано вручную.
Например, если вы хотите использовать все значения uidNumber и
gidNumber, номер которых выше, чем 1500, вы должны написать
dn: cn=NextFreeUnixId,dc=idealx,dc=org
changetype: modify
uidNumber: 1500
gidNumber: 1500
А затем выполнить команду:
ldapmodify -x -D "cn=Manager,dc=idealx,dc=org" -w secret -f update-NextFreeUnixId.ldif
используйте ключи -u или -g скрипта smbldap-populate.
6.2 Я получаю ошибку "Can't locate IO/Socket/SSL.pm"
Это происходит, когда вы хотите использовать сертификат. В этом случае
вам следует установить IOSocket-SSL Perl module.
6.3 Я не могу создать начальную структуру каталога при помощи smbldap-populate
Когда я запускаю этот скрипт, я получаю такое сообщение об ошибке:
# smbldap-populate.pl
Using builtin directory structure
adding new entry: dc=IDEALX,dc=COM
Can't call method "code" without a package or object reference at
/usr/local/sbin/smbldap-populate.pl line 270, <GEN1> line 2.
Проверьте конфигурацию TLS
если вы не хотите иметь поддержку TLS, установите в файле
/etc/smbldap-tools/smbldap.conf следующий параметр на значение <<0>>
ldapTLS="0"
если вы хотите иметь поддержку TLS, установите в файле
/etc/smbldap-tools/smbldap.conf этот параметр на значение "1"
ldapTLS="1"
и проверьте, что сервер LDAP каталога сконфигурирован с поддержкой TLS
соединений.
6.4 Я не могу присоединить компьютер к домену с аккаунтом суперпользователя
проверьте, что root-аккаунт имеет класс объекта (objectClass) sambaSAMaccount
проверьте, что команда add machine script есть и правильно описана.
6.5 Класс объекта sambaSamAccount есть, но я не могу авторизоваться
Проверьте, что значение атрибута не равно нулю.
6.6 Я хочу создать учетную запись компьютера при вводе компьютера в
домен, но это не работает, сначала приходится заводить учетную запись
на сервере
команда add machine script не должна добавлять учетной записи
компьютера класс объекта sambaSamAccount, эта команда должна лишь
добавить Posix аккаунт компьютера. Samba добавит класс объекта
sambaSamAccount при вводе компьютера в домен.
проверьте, что строка add machine script есть в файле smb.conf
6.7 Я не могу управлять базой данных Oracle
Если вы видите примерно такую ошибку
Function Not Implemented at /usr/local/sbin/smbldap_tools.pm line 187.
Function Not Implemented at /usr/local/sbin/smbldap_tools.pm line 627.
в базе данных Oracle проверьте, все ли атрибуты, по которым будут
выполнятся запросы, индексированы. Добавьте новый индекс для Samba и
удостоверьтесь, что следующие атрибуты также индексированы:
uidNumber, gidNumber, memberUid, homedirectory, description, userPassword ...
6.8 Программа установки пароля /usr/local/sbin/smbldap-passwd -u %u не
работает, или я получаю сообщение об ошибке, когда меняю пароль из под Windows.
Установите значение
unix password sync = Yes.
Примечание: также вы должны записать строку
passwd sync = Yes
эта команда лишь обновит атрибут userPassword. Это из-за ключа -u.
Пароли samba будут обновлены самой Samba.
команда passwd chat должна выполняться согласованно с командой
smbldap-passwd
6.9 Новой учетной записи компьютера нет в хранилище cn=Computers
Это известный баг Samba. Смотрите здесь
http://marc.theaimsgroup.com/?l=samba&m=108439612826440&w=2 (данной страницы не удалось
обнаружить, надеюсь и баг устранен, прим.перев.)
6.10 Я подключился к домену, но я не могу авторизоваться
См. п. 6.9
6.11 Я не могу создать пользователя, используя команду smbldap-useradd,
я получаю следующую ошибку:
/usr/local/sbin/smbldap-useradd.pl: unknown group SID not set for unix group 513
проверьте:
корректно ли настроен nss ldap?
присоединена ли группа пользователя, в которую он входит по
умолчанию, к группе NT "Domain Users"? Для этого вы можете использовать
такую команду:
net groupmap add rid=513 unixgroup="Domain Users" ntgroup="Domain Users"
6.12 Я не могу создать пользователя, используя команду smbldap-useradd,
я получаю следующую ошибку:
Can't call method "get value" on an undefined value at
/usr/local/sbin/smbldap-useradd line 154
существует ли группа, в которую по умолчанию помещается новый
пользователь (defaultUserGid="513")?
присоединена ли группа NT "Domain Users" к группе unix, имеющей rid
513? (для установки rid см. ключ -r для команд smbldap-groupadd и
smbldap-groupmod)
6.13 Типичные ошибки, возникающие при создании нового пользователя или группы
я получаю следующую ошибку:
Could not find base dn, to get next uidNumber at /usr/local/sbin/smbldap_tools.pm
Причина:
вы не можете создать объект, так как невозможно определить следующий
по порядку uidNumber или gidNumber
Решение:
для версии 0.8.7: единственное, что вы можете сделать, это запустить
скрипт smbldap-populate и обновить значения sambaDomain, в которых
хранится эта информация
для версии ранее 0.8.7: вы должны обновить свой пакет smbldap-tools,
затем создайте LDIF-файл примерно такого содержания:
dn: cn=NextFreeUnixId,dc=idealx,dc=org
objectClass: inetOrgPerson
objectClass: sambaUnixIdPool
uidNumber: 1000
gidNumber: 1000
cn: NextFreeUnixId
sn: NextFreeUnixId
И внесите эти сведения в LDAP каталог:
ldapadd -x -D "cn=Manager,dc=idealx,dc=org" -w secret -f add.ldif
Где 1000, это первое доступное значение uidNumber и gidNumber
(разумеется, если это значение уже используется каким-либо
пользователем или группой, используйте следующий за ним номер uid или
gid).
я получаю следующую ошибку:
Use of uninitialized value in string at
/usr/local/sbin//smbldap\_tools.pm line 914.
Error: No DN specified at /usr/local/sbin//smbldap\_tools.pm line 919
Решение: конфигурационный файл с описанными объектами и с доступными
номерами uidNumber и gidNumber следует исправить. В нашем примере вы
должны добавить следующую строку в файл
/etc/smbldap-tools/smbldap.conf:
# Where to store next uidNumber and gidNumber available
sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}"
я получаю следующую ошибку:
Use of uninitialized value in concatenation (.) or string at
/usr/local/sbin/smbldap-useradd Use of uninitialized value in
substitution (s///) at /usr/local/sbin/smbldap-useradd line Use of
uninitialized value in string at /usr/local/sbin/smbldap-useradd line
264.
failed to add entry: homedirectory: value #0 invalid per syntax at
/usr/local/sbin/smbldap-userHomeDirectory=User "jto" already member of
the group "513".
failed to add entry: No such object at /usr/local/sbin/smbldap-useradd
line 382.
Решение: вы должны изменить имя переменной userHomePrefix на userHome в
файле /etc/smbldaptools/smbldap.conf
я получаю следующую ошибку:
failed to add entry: referral missing at
/usr/local/sbin/smbldap-useradd line 279
Решение: вы должны исправить конфигурационный файл, в котором
определяются dn пользователей, групп и компьютеров. Эти параметры не
должны соответствовать параметру suffix. Типичная конфигурация показана
ниже:
usersdn="ou=Users,${suffix}"
computersdn="ou=Computers,${suffix}"
groupsdn="ou=Groups,${suffix}"
я получаю следующую ошибку:
erreur LDAP: Can't contact master ldap server (IO::Socket::INET: Bad protocol 'tcp')
at /usr/local/sbin//smbldap_tools.pm line 153.
Решение: удалите запись ldap из файла /etc/nsswitch.conf, то есть у вас
должна быть запись
services files
а не
services: ldap [NOTFOUND=return] files
7. Благодарности
Люди, работавшие над этим документом:
J.erome Tournier (jerome.tournier@IDEALX.com)
David Barth (david.barth@IDEALX.com)
Nat Makarevitch (nat@IDEALX.com)
Авторы благодарят следующих людей за предоставление помощи в некоторых
более запутанных вопросах, за прояснение некоторых внутренних аспектов
работы пакетов Samba и OpenLDAP, за указание на ошибки или заблуждения
в первичной версии этого документа, за советы и предложения:
Команда IDEALX team:
Romeo Adekambi (romeo.adekambi@IDEALX.com)
Aurelien Degremont (adegremont@IDEALX.com)
Renaud Renard (rrenard@IDEALX.com)
John H Terpstra ([34]jht@samba.org)
8. Приложения8.1 Примеры конфигурационных файлов
8.1.1 Файл /etc/smbldap-tools/smbldap.conf
# $Source: $
# $Id: smbldap.conf,v 1.18 2005/05/27 14:28:47 jtournier Exp $
#
# smbldap-tools.conf : Q & D configuration file for smbldap-tools
#
# This code was developped by IDEALX (http://IDEALX.org/) and
# contributors (their names can be found in the CONTRIBUTORS file).
#
# Copyright (C) 2001-2002 IDEALX
#
# This program is free software; you can redistribute it and/or
# modify it under the terms of the GNU General Public License
# as published by the Free Software Foundation; either version 2
# of the License, or (at your option) any later version.
#
# This program is distributed in the hope that it will be useful,
# but WITHOUT ANY WARRANTY; without even the implied warranty of
# MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the
# GNU General Public License for more details.
#
# You should have received a copy of the GNU General Public License
# along with this program; if not, write to the Free Software
# Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA 02111-1307,
# USA.
# Purpose :
# . be the configuration file for all smbldap-tools scripts
# --------------------------------------------------------------
#
# General Configuration
#
# Put your own SID. To obtain this number do: "net getlocalsid".
# If not defined, parameter is taking from "net getlocalsid" return
SID="S-1-5-21-2252255531-4061614174-2474224977"
# Domain name the Samba server is in charged.
# If not defined, parameter is taking from smb.conf configuration file
# Ex: sambaDomain="IDEALX-NT"
sambaDomain="DOMSMB"
# --------------------------------------------------------------
#
# LDAP Configuration
#
# --------------------------------------------------------------
# Notes: to use to dual ldap servers backend for Samba, you must patch
# Samba with the dual-head patch from IDEALX. If not using this patch
# just use the same server for slaveLDAP and masterLDAP.
# Those two servers declarations can also be used when you have
# . one master LDAP server where all writing operations must be done
# . one slave LDAP server where all reading operations must be done
# (typically a replication directory)
# Slave LDAP server
# Ex: slaveLDAP=127.0.0.1
# If not defined, parameter is set to "127.0.0.1"
slaveLDAP="ldap.iallanis.info"
# Slave LDAP port
# If not defined, parameter is set to "389"
slavePort="389"
# Master LDAP server: needed for write operations
# Ex: masterLDAP=127.0.0.1
# If not defined, parameter is set to "127.0.0.1"
masterLDAP="ldap.iallanis.info"
# Master LDAP port
# If not defined, parameter is set to "389"
#masterPort="389"
masterPort="389"
# Use TLS for LDAP
# If set to 1, this option will use start_tls for connection
# (you should also used the port 389)
# If not defined, parameter is set to "0"
ldapTLS="1"
# Use SSL for LDAP
# If set to 1, this option will use SSL for connection
# (standard port for ldaps is 636)
# If not defined, parameter is set to "0"
ldapSSL="0"
# How to verify the server's certificate (none, optional or require)
# see "man Net::LDAP" in start_tls section for more details
verify="require"
# CA certificate
# see "man Net::LDAP" in start_tls section for more details
cafile="/etc/smbldap-tools/ca.pem"
# certificate to use to connect to the ldap server
# see "man Net::LDAP" in start_tls section for more details
clientcert="/etc/smbldap-tools/smbldap-tools.iallanis.info.pem"
# key certificate to use to connect to the ldap server
# see "man Net::LDAP" in start_tls section for more details
clientkey="/etc/smbldap-tools/smbldap-tools.iallanis.info.key"
# LDAP Suffix
# Ex: suffix=dc=IDEALX,dc=ORG
suffix="dc=iallanis,dc=info"
# Where are stored Users
# Ex: usersdn="ou=Users,dc=IDEALX,dc=ORG"
# Warning: if 'suffix' is not set here, you must set the full dn for usersdn
usersdn="ou=Users,${suffix}"
# Where are stored Computers
# Ex: computersdn="ou=Computers,dc=IDEALX,dc=ORG"
# Warning: if 'suffix' is not set here, you must set the full dn for computersdn
computersdn="ou=Computers,${suffix}"
# Where are stored Groups
# Ex: groupsdn="ou=Groups,dc=IDEALX,dc=ORG"
# Warning: if 'suffix' is not set here, you must set the full dn for groupsdn
groupsdn="ou=Groups,${suffix}"
# Where are stored Idmap entries (used if samba is a domain member server)
# Ex: groupsdn="ou=Idmap,dc=IDEALX,dc=ORG"
# Warning: if 'suffix' is not set here, you must set the full dn for idmapdn
idmapdn="ou=Idmap,${suffix}"
# Where to store next uidNumber and gidNumber available for new users and groups
# If not defined, entries are stored in sambaDomainName object.
# Ex: sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
# Ex: sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}"
sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
# Default scope Used
scope="sub"
# Unix password encryption (CRYPT, MD5, SMD5, SSHA, SHA, CLEARTEXT)
hash_encrypt="SSHA"
# if hash_encrypt is set to CRYPT, you may set a salt format.
# default is "%s", but many systems will generate MD5 hashed
# passwords if you use "$1$%.8s". This parameter is optional!
crypt_salt_format="%s"
# --------------------------------------------------------------
#
# Unix Accounts Configuration
#
# --------------------------------------------------------------
# Login defs
# Default Login Shell
# Ex: userLoginShell="/bin/bash"
userLoginShell="/bin/bash"
# Home directory
# Ex: userHome="/home/%U"
userHome="/home/%U"
# Default mode used for user homeDirectory
userHomeDirectoryMode="700"
# Gecos
userGecos="System User"
# Default User (POSIX and Samba) GID
defaultUserGid="513"
# Default Computer (Samba) GID
defaultComputerGid="515"
# Skel dir
skeletonDir="/etc/skel"
# Default password validation time (time in days) Comment the next line if
# you don't want password to be enable for defaultMaxPasswordAge days (be
# careful to the sambaPwdMustChange attribute's value)
defaultMaxPasswordAge="45"
# --------------------------------------------------------------
#
# SAMBA Configuration
#
# --------------------------------------------------------------
# The UNC path to home drives location (%U username substitution)
# Just set it to a null string if you want to use the smb.conf 'logon home'
# directive and/or disable roaming profiles
# Ex: userSmbHome="\\PDC-SMB3\%U"
userSmbHome="\\PDC-SRV\%U"
# The UNC path to profiles locations (%U username substitution)
# Just set it to a null string if you want to use the smb.conf 'logon path'
# directive and/or disable roaming profiles
# Ex: userProfile="\\PDC-SMB3\profiles\%U"
userProfile="\\PDC-SRV\profiles\%U"
# The default Home Drive Letter mapping
# (will be automatically mapped at logon time if home directory exist)
# Ex: userHomeDrive="H:"
userHomeDrive="H:"
# The default user netlogon script name (%U username substitution)
# if not used, will be automatically username.cmd
# make sure script file is edited under dos
# Ex: userScript="startup.cmd" # make sure script file is edited under dos
userScript="logon.bat"
# Domain appended to the users "mail"-attribute
# when smbldap-useradd -M is used
# Ex: mailDomain="idealx.com"
mailDomain="iallanis.info"
# --------------------------------------------------------------
#
# SMBLDAP-TOOLS Configuration (default are ok for a RedHat)
#
# --------------------------------------------------------------
# Allows not to use smbpasswd (if with_smbpasswd == 0 in smbldap_conf.pm) but
# prefer Crypt::SmbHash library
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
# Allows not to use slappasswd (if with_slappasswd == 0 in smbldap_conf.pm)
# but prefer Crypt:: libraries
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd"
# comment out the following line to get rid of the default banner
# no_banner="1"
Файл /etc/smbldap-tools/smbldap_bind.conf
# Credential Configuration #
# Notes: you can specify two differents configuration if you use a
# master ldap for writing access and a slave ldap server for reading access
# By default, we will use the same DN (so it will work for standard Samba
# release)
slaveDN="cn=Manager,dc=iallanis,dc=info"
slavePw="secret"
masterDN="cn=Manager,dc=iallanis,dc=info"
masterPw="secret"
Файл /etc/samba/smb.conf
# Global parameters
[global]
workgroup = DOMSMB
netbios name = PDC-SRV
security = user
enable privileges = yes
#interfaces = 192.168.5.11
#username map = /etc/samba/smbusers
server string = Samba Server %v
#security = ads
encrypt passwords = Yes
min passwd length = 3
#pam password change = no
#obey pam restrictions = No
# method 1:
#unix password sync = no
#ldap passwd sync = yes
# method 2:
unix password sync = yes
ldap passwd sync = no
passwd program = /usr/sbin/smbldap-passwd -u "%u"
passwd chat = "Changing *\nNew password*" %n\n "*Retype new password*" %n\n"
log level = 0
syslog = 0
log file = /var/log/samba/log.%U
max log size = 100000
time server = Yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
mangling method = hash2
Dos charset = 850
Unix charset = ISO8859-1
logon script = logon.bat
logon drive = H:
logon home =
logon path =
domain logons = Yes
domain master = Yes
os level = 65
preferred master = Yes
wins support = yes
# passdb backend = ldapsam:"ldap://ldap1.company.com ldap://ldap2.company.com"
passdb backend = ldapsam:ldap://127.0.0.1/
ldap admin dn = cn=Manager,dc=company,dc=com
#ldap admin dn = cn=samba,ou=DSA,dc=company,dc=com
ldap suffix = dc=company,dc=com
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Computers
#ldap idmap suffix = ou=Idmap
add user script = /usr/sbin/smbldap-useradd -m "%u"
#ldap delete dn = Yes
delete user script = /usr/sbin/smbldap-userdel "%u"
add machine script = /usr/sbin/smbldap-useradd -t 0 -w "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
#delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'
# printers configuration
#printer admin = @"Print Operators"
load printers = Yes
create mask = 0640
directory mask = 0750
#force create mode = 0640
#force directory mode = 0750
nt acl support = No
printing = cups
printcap name = cups
deadtime = 10
guest account = nobody
map to guest = Bad User
dont descend = /proc,/dev,/etc,/lib,/lost+found,/initrd
show add printer wizard = yes
; to maintain capital letters in shortcuts in any of the profile folders:
preserve case = yes
short preserve case = yes
case sensitive = no
[netlogon]
path = /home/netlogon/
browseable = No
read only = yes
[profiles]
path = /home/profiles
read only = no
create mask = 0600
directory mask = 0700
browseable = No
guest ok = Yes
profile acls = yes
csc policy = disable
# next line is a great way to secure the profiles
#force user = %U
# next line allows administrator to access all profiles
#valid users = %U "Domain Admins"
[printers]
comment = Network Printers
#printer admin = @"Print Operators"
guest ok = yes
printable = yes
path = /home/spool/
browseable = No
read only = Yes
printable = Yes
print command = /usr/bin/lpr -P%p -r %s
lpq command = /usr/bin/lpq -P%p
lprm command = /usr/bin/lprm -P%p %j
# print command = /usr/bin/lpr -U%U@%M -P%p -r %s
# lpq command = /usr/bin/lpq -U%U@%M -P%p
# lprm command = /usr/bin/lprm -U%U@%M -P%p %j
# lppause command = /usr/sbin/lpc -U%U@%M hold %p %j
# lpresume command = /usr/sbin/lpc -U%U@%M release %p %j
# queuepause command = /usr/sbin/lpc -U%U@%M stop %p
# queueresume command = /usr/sbin/lpc -U%U@%M start %p
[print$]
path = /home/printers
guest ok = No
browseable = Yes
read only = Yes
valid users = @"Print Operators"
write list = @"Print Operators"
create mask = 0664
directory mask = 0775
[public]
path = /tmp
guest ok = yes
browseable = Yes
writable = yes
Файл /etc/openldap/slapd.conf
#
# See slapd.conf(5) for details on configuration options.
# This file should NOT be world readable.
#
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/samba.schema
schemacheck on
# Allow LDAPv2 client connections. This is NOT the default.
allow bind_v2
# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral ldap://root.openldap.org
pidfile /var/run/slapd.pid
argsfile /var/run/slapd.args
# Load dynamic backend modules:
# modulepath /usr/sbin/openldap
# moduleload back_bdb.la
# moduleload back_ldap.la
# moduleload back_ldbm.la
# moduleload back_passwd.la
# moduleload back_shell.la
# The next three lines allow use of TLS for encrypting connections using a
# dummy test certificate which you can generate by changing to
# /usr/share/ssl/certs, running "make slapd.pem", and fixing permissions on
# slapd.pem so that the ldap user or group can read it. Your client software
# may balk at self-signed certificates, however.
#TLSCertificateFile /etc/openldap/ldap.company.com.pem
#TLSCertificateKeyFile /etc/openldap/ldap.company.com.key
#TLSCACertificateFile /etc/openldap/ca.pem
#TLSCipherSuite :SSLv3
# Sample security restrictions
# Require integrity protection (prevent hijacking)
# Require 112-bit (3DES or better) encryption for updates
# Require 63-bit encryption for simple bind
# security ssf=1 update_ssf=112 simple_bind=64
# Sample access control policy:
# Root DSE: allow anyone to read it
# Subschema (sub)entry DSE: allow anyone to read it
# Other DSEs:
# Allow self write access
# Allow authenticated users read access
# Allow anonymous users to authenticate
# Directives needed to implement policy:
# access to dn.base="" by * read
# access to dn.base="cn=Subschema" by * read
# access to *
# by self write
# by users read
# by anonymous auth
#
# if no access controls are present, the default policy
# allows anyone and everyone to read anything but restricts
# updates to rootdn. (e.g., "access to * by * read")
#
# rootdn can always read and write EVERYTHING!
# --------------------------------------------------------------
# ldbm and/or bdb database definitions
# --------------------------------------------------------------
database bdb
suffix "dc=company,dc=com"
rootdn "cn=Manager,dc=company,dc=com"
# Cleartext passwords, especially for the rootdn, should
# be avoided. See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
rootpw secret
# rootpw {crypt}ijFYNcSNctBYg
# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd and slap tools.
# Mode 700 recommended.
directory /var/lib/ldap
lastmod on
# Indices to maintain for this database
index objectClass eq,pres
index ou,cn,sn,mail,givenname eq,pres,sub
index uidNumber,gidNumber,memberUid eq,pres
index loginShell eq,pres
## required to support pdb_getsampwnam
index uid pres,sub,eq
## required to support pdb_getsambapwrid()
index displayName pres,sub,eq
index nisMapName,nisMapEntry eq,pres,sub
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
index default sub
# users can authenticate and change their password
access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdMustChange,sambaPwdLastSet
by dn="cn=Manager,dc=company,dc=com" write
by self write
by anonymous auth
by * none
# those 2 parameters must be world readable for password aging to work correctly
# (or use a priviledge account in /etc/ldap.conf to bind to the directory)
access to attrs=shadowLastChange,shadowMax
by dn="cn=Manager,dc=company,dc=com" write
by self write
by * read
# all others attributes are readable to everybody
access to *
by * read
# Replicas of this database
#replogfile /var/lib/ldap/openldap-master-replog
#replica host=ldap-1.example.com:389 starttls=critical
# bindmethod=sasl saslmech=GSSAPI
#authcId=host/ldap-master.example.com@EXAMPLE.COM
8.2 Изменение административной учетной записи (ldap admin dn в файле smb.conf)
Если вы больше не хотите использовать учетную запись, описанную
атрибутами cn=Manager,dc=idealx,dc=com, вы можете создать специальную
учетную запись для сервера Samba и набора скриптов smbldap-tools. Чтобы
сделать это, заведем пользователя с именем, например samba при помощи
следующей команды (для подробностей в синтаксисе данной команды
обратитесь к п. 4.2.1):
# smbldap-useradd -s /bin/false -d /dev/null -P samba
После ввода этой команды вам будет предложено ввести пароль для
создаваемого пользователя, в нашем примере он тоже будет samba
После этого измените соответствующим образом
файл /etc/smbldap-tools/smbldap_bind.conf:
slaveDN="uid=samba,ou=Users,dc=idealx,dc=com"
slavePw="samba"
masterDN="uid=samba,ou=Users,dc=idealx,dc=com"
masterPw="samba"
файл /etc/samba/smb.conf:
# ldap admin dn = uid=samba,ou=Users,dc=idealx,dc=com
Не забудьте после этого записать пароль в файл secrets.tdb
# smbpasswd -w samba
в файле /etc/openldap/slapd.conf вам стоит добавить полномочий
пользователю samba
# users can authenticate and change their password
access to attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange
by dn="uid=samba,ou=Users,dc=idealx,dc=com" write
by self write
by anonymous auth
by * none
# some attributes need to be readable anonymously so that 'id user' can answer cor rectly
access to attrs=objectClass,entry,gecos,homeDirectory,uid,uidNumber,gidNumber,cn,memberUid
by dn="uid=samba,ou=Users,dc=idealx,dc=com" write
by * read
# somme attributes can be writable by users themselves
access to attrs=description,telephoneNumber
by dn="uid=samba,ou=Users,dc=idealx,dc=com" write
by self write
by * read
# some attributes need to be writable for samba
access to attrs=cn,sambaLMPassword,sambaNTPassword,sambaPwdLastSet,sambaLogonTime,sambaLogoffTime,sambaKickoffTime,
sambaPwdCanChange,sambaPwdMustChange,sambaAcctFlags,displayName,sambaHomePath,sambaHomeDrive,sambaLogonScript,
sambaProfilePath,description,sambaUserWorkstations,sambaPrimaryGroupSID,sambaDomainName,sambaSID,sambaGroupType,
sambaNextRid,sambaNextGroupRid,sambaNextUserRid,sambaAlgorithmicRidBase
by dn="uid=samba,ou=Users,dc=idealx,dc=com" write
by self read
by * none
# samba need to be able to create the samba domain account
access to dn.base="dc=idealx,dc=com"
by dn="uid=samba,ou=Users,dc=idealx,dc=com" write
by * none
# samba need to be able to create new users account
access to dn="ou=Users,dc=idealx,dc=com"
by dn="uid=samba,ou=Users,dc=idealx,dc=com" write
by * none
# samba need to be able to create new groups account
access to dn="ou=Groups,dc=idealx,dc=com"
by dn="uid=samba,ou=Users,dc=idealx,dc=com" write
by * none
# samba need to be able to create new computers account
access to dn="ou=Computers,dc=idealx,dc=com"
by dn="uid=samba,ou=Users,dc=idealx,dc=com" write
by * none
# this can be omitted but we leave it: there could be other branch
# in the directory
access to *
by self read
by * none
8.3 Известные ошибки
Ключ -B (пользователь должен изменить свой пароль) команды
smbldap-useradd не работает: когда вызывается команда smbldap-passwd,
атрибут sambaPwdMustChange перезаписывается.