Итак степ 5 1. Форматирую диск и ставлю новую систему /home не форматирую для последующиего восстановления там данные. 2. В центре управления раскладка клавы winkeys комбинации клавиш меню + контрл. 3. Терминал схема бумажный по умолчанию , комбинации клавиш для ++ 4. service iptables stop; chkconfig iptables off; chkconfig --list | grep iptables; 5. echo 0 > /selinux/enforce and also in file /etc/sysconfig/selinux set SELINUX=disabled ; shutdown -h now 6. /etc/sysconfig/network NETWORKING=yes 7. DEVICE=eth0 BOOTPROTO=none HWADDR=00:80:48:1C:AC:52 ONBOOT=yes IPADDR=192.168.0.7 NETMASK=255.255.255.0 TYPE=Ethernet USERCTL=no IPV6INIT=no PEERDNS=no 8. [root@localhost pub_repo]# rpm -ihv createrepo* предупреждение: createrepo-0.4.11-3.el5.noarch.rpm: Заголовок V3 DSA signature: NOKEY, key ID e8562897 Подготовка... ########################################### [100%] 1:createrepo ########################################### [100%] [root@localhost pub_repo]# [root@localhost pub_repo]# createrepo /home/pub_repo/pdc 35/35 - perl-Crypt-SmbHash-0.12-6.el5.noarch.rpm Saving Primary metadata Saving file lists metadata Saving other metadata также создал репо BASE-CentOS.repo из 7 дисков. Потом все отключил в enabled=0 оставив только BASE and pdc и установил требуемые пакеты [root@localhost yum.repos.d]# yum install openldap-servers openldap-clients nss_ldap samba httpd openssl mod_ssl mysql mysql-server php php-xml php-ldap php-mysql php-pdo php-cli php-common smbldap-tools Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile Setting up Install Process Resolving Dependencies --> Running transaction check --> Processing Dependency: httpd = 2.2.3-43.el5.centos for package: httpd-manual ---> Package httpd.i386 0:2.2.3-65.el5.centos set to be updated ................................. ................................... ................................ ............................ .......................... Installed: mysql-server.i386 0:5.0.95-1.el5_7.1 openldap-clients.i386 0:2.3.43-25.el5_8.1 openldap-servers.i386 0:2.3.43-25.el5_8.1 php-mysql.i386 0:5.1.6-39.el5_8 php-pdo.i386 0:5.1.6-39.el5_8 php-xml.i386 0:5.1.6-39.el5_8 smbldap-tools.noarch 0:0.9.6-3.el5 Dependency Installed: perl-Crypt-SmbHash.noarch 0:0.12-6.el5 perl-DBD-MySQL.i386 0:3.0007-2.el5 perl-Digest-MD4.i386 0:1.5-4.el5 perl-Jcode.noarch 0:2.06-6.el5 perl-LDAP.noarch 1:0.33-4.el5_8 perl-Unicode-Map.i386 0:0.112-12.el5 perl-Unicode-Map8.i386 0:0.12-15.el5 perl-Unicode-MapUTF8.noarch 0:1.11-7.el5 perl-Unicode-String.i386 0:2.09-7.el5 perl-XML-NamespaceSupport.noarch 0:1.11-1.el5.rfx perl-XML-SAX.noarch 0:0.14-11 Updated: httpd.i386 0:2.2.3-65.el5.centos mod_ssl.i386 1:2.2.3-65.el5.centos mysql.i386 0:5.0.95-1.el5_7.1 nss_ldap.i386 0:253-49.el5 openssl.i686 0:0.9.8e-22.el5_8.4 php.i386 0:5.1.6-39.el5_8 php-cli.i386 0:5.1.6-39.el5_8 php-common.i386 0:5.1.6-39.el5_8 php-ldap.i386 0:5.1.6-39.el5_8 samba.i386 0:3.0.33-3.39.el5_8 Dependency Updated: httpd-manual.i386 0:2.2.3-65.el5.centos libsmbclient.i386 0:3.0.33-3.39.el5_8 openldap.i386 0:2.3.43-25.el5_8.1 samba-client.i386 0:3.0.33-3.39.el5_8 samba-common.i386 0:3.0.33-3.39.el5_8 Complete! [root@localhost yum.repos.d]# итак продолжаю. ====================================================================== новый день ======================================================================= итак далее [root@localhost ~]# slappasswd New password: Re-enter new password: {SSHA}PjZtZLUNFQLoy3KbW0wRm53OhdZA/cAP [root@localhost ~]# затем [root@pdc ~]# cp /usr/share/doc/samba-3.0.33/LDAP/samba.schema /etc/openldap/schema/ [root@localhost ~]# vi /etc/openldap/slapd.conf здесь надо учесть такой момент Необязательный параметр default содержит те индексы, которые должны поддерживаться по умолчанию. Они применяются к атрибутам в последующих директивах index, в которых пропущен список индексов. Директива index со значением default должна быть определена до появления директив index без списка индексов. Если определено несколько директив index со значением default, каждая из них будет влиять на директивы index, следующие непосредственно за ней, до появления очередной директивы index со значением default. ========================================================================= ========================================================================= [root@localhost ~]# cat /etc/openldap/slapd.conf # # See slapd.conf(5) for details on configuration options. # This file should NOT be world readable. # include /etc/openldap/schema/core.schema include /etc/openldap/schema/cosine.schema include /etc/openldap/schema/inetorgperson.schema include /etc/openldap/schema/nis.schema include /etc/openldap/schema/samba.schema # Allow LDAPv2 client connections. This is NOT the default. allow bind_v2 # Do not enable referrals until AFTER you have a working directory # service AND an understanding of referrals. #referral ldap://root.openldap.org pidfile /var/run/openldap/slapd.pid argsfile /var/run/openldap/slapd.args database bdb # Load dynamic backend modules: # modulepath /usr/lib/openldap # Modules available in openldap-servers-overlays RPM package # Module syncprov.la is now statically linked with slapd and there # is no need to load it here # moduleload accesslog.la # moduleload auditlog.la # moduleload denyop.la # moduleload dyngroup.la # moduleload dynlist.la # moduleload lastmod.la # moduleload pcache.la # moduleload ppolicy.la # moduleload refint.la # moduleload retcode.la # moduleload rwm.la # moduleload smbk5pwd.la # moduleload translucent.la # moduleload unique.la # moduleload valsort.la # modules available in openldap-servers-sql RPM package: # moduleload back_sql.la # The next three lines allow use of TLS for encrypting connections using a # dummy test certificate which you can generate by changing to # /etc/pki/tls/certs, running "make slapd.pem", and fixing permissions on # slapd.pem so that the ldap user or group can read it. Your client software # may balk at self-signed certificates, however. # TLSCACertificateFile /etc/pki/tls/certs/ca-bundle.crt # TLSCertificateFile /etc/pki/tls/certs/slapd.pem # TLSCertificateKeyFile /etc/pki/tls/certs/slapd.pem # Sample security restrictions # Require integrity protection (prevent hijacking) # Require 112-bit (3DES or better) encryption for updates # Require 63-bit encryption for simple bind # security ssf=1 update_ssf=112 simple_bind=64 # Sample access control policy: # Root DSE: allow anyone to read it # Subschema (sub)entry DSE: allow anyone to read it # Other DSEs: # Allow self write access # Allow authenticated users read access # Allow anonymous users to authenticate # Directives needed to implement policy: # access to dn.base="" by * read # access to dn.base="cn=Subschema" by * read # access to * # by self write # by users read # by anonymous auth # # if no access controls are present, the default policy # allows anyone and everyone to read anything but restricts # updates to rootdn. (e.g., "access to * by * read") # # rootdn can always read and write EVERYTHING! ####################################################################### # ldbm and/or bdb database definitions ####################################################################### database bdb suffix "dc=sunport,dc=ms" rootdn "cn=tirex,dc=sunport,dc=ms" # Cleartext passwords, especially for the rootdn, should # be avoided. See slappasswd(8) and slapd.conf(5) for details. # Use of strong authentication encouraged. # rootpw secret # rootpw {crypt}ijFYNcSNctBYg rootpw kdx200sr rootpw {SSHA}PjZtZLUNFQLoy3KbW0wRm53OhdZA/cAP # The database directory MUST exist prior to running slapd AND # should only be accessible by the slapd and slap tools. # Mode 700 recommended. directory /var/lib/ldap # Indices to maintain for this database #index objectClass eq,pres #index ou,cn,mail,surname,givenname eq,pres,sub #index uidNumber,gidNumber,loginShell eq,pres #index uid,memberUid eq,pres,sub #index nisMapName,nisMapEntry eq,pres,sub index default eq,pres,sub index cn,sn,uid,displayName index default eq index uidNumber,gidNumber,sambaSID,sambaPrimaryGroupSID,sambaDomainName,objectClass #index objectClass eq # Replicas of this database #replogfile /var/lib/ldap/openldap-master-replog #replica host=ldap-1.example.com:389 starttls=critical # bindmethod=sasl saslmech=GSSAPI # authcId=host/ldap-master.example.com@EXAMPLE.COM [root@localhost ~]# ============================================================================ end slapd.conf ============================================================================ правим [root@localhost ~]# vi /etc/hosts [root@localhost ~]# cat /etc/hosts # Do not remove the following line, or various programs # that require network functionality will fail. 127.0.0.1 localhost.localdomain localhost 192.168.0.7 pdc pdc.sunport.ms [root@localhost ~]# ================================================ DB_CONFIG ================================================ http://pro-ldap.ru/tr/zytrax/ch6/bdb.html [root@pdc ~]# cp /etc/openldap/DB_CONFIG.example /var/lib/ldap/DB_CONFIG правим DB_CONFIG http://pro-ldap.ru/tr/zytrax/ch6/bdb.html Ответ на вопрос, зачем использовать файл DB_CONFIG, прост: если Вы заботитесь о производительности - используйте его, если не заботитесь - забудьте о нём. ОДНАКО, если Вы решили не использовать DB_CONFIG, то Вы ДОЛЖНЫ определить директиву checkpoint в файле slapd.conf. Разработчики OpenLDAP всё чаще советуют использовать DB_CONFIG вместо определения аналогичных директив в slapd.conf. Файл DB_CONFIG располагается в директории, указанной в директиве directory. Используемые в этом файле директивы полностью описаны в руководстве по BDB. Можно заменить директивы checkpoint, lockdetect, dbnosync файла slapd.conf эквивалентными директивами файла DB_CONFIG, а также добавить дополнительные директивы настройки производительности по мере необходимости. Ах да, ещё лучше бы держать логи низкоуровневой БД и собственно данные на разных дисках . Цитирую OL Admin Guide: Use fast subsystems. Put each database and logs on separate disks configurable via DB_CONFIG: # Data Directory set_data_dir /data/db # Transaction Log settings set_lg_dir /logs ========================================================================================= [root@pdc ~]# cat /var/lib/ldap/DB_CONFIG # $OpenLDAP: pkg/ldap/servers/slapd/DB_CONFIG,v 1.1.2.4 2007/12/18 11:51:46 ghenry Exp $ # Example DB_CONFIG file for use with slapd(8) BDB/HDB databases. # # See the Oracle Berkeley DB documentation # # for detail description of DB_CONFIG syntax and semantics. # # Hints can also be found in the OpenLDAP Software FAQ # # in particular: # # Note: most DB_CONFIG settings will take effect only upon rebuilding # the DB environment. # one 0.25 GB cache set_cachesize 0 268435456 1 # Data Directory set_data_dir db # Transaction Log settings set_lg_regionmax 262144 set_lg_bsize 2097152 set_lg_dir logs # Note: special DB_CONFIG flags are no longer needed for "quick" # slapadd(8) or slapindex(8) access (see their -q option). [root@pdc ~]# ============================================================================================ ============================================================================================== ИЗУЧИТЬ http://pro-ldap.ru/tr/zytrax/ не забыть http://www.diary.ru/~ldap а это броузер лдапа http://rpm.pbone.net/index.php3/stat/4/idpl/11310306/dir/redhat_el_5/com/lbe-2.8.2-0.1.b2.el5.pp.noarch.rpm.html ========================================================================================= ======================================================================================== ============================================= день 1710 ============================================================ 17-10 ================================================================= =========================================================== создаю каталоги для DB_CONFIG и даю права лдапу на каталог [root@pdc ~]# mkdir /var/lib/ldap/{db,logs} [root@pdc ~]# ls /var/lib/ldap db DB_CONFIG DB_CONFIG~ logs openldap-severs-update.log [root@pdc ~]# ls -lF /var/lib/ldap итого 20 drwxr-xr-x 2 root root 4096 Окт 17 09:08 db/ -rw-r----- 1 root root 919 Окт 16 15:06 DB_CONFIG -rw-r----- 1 root root 921 Окт 16 14:49 DB_CONFIG~ drwxr-xr-x 2 root root 4096 Окт 17 09:08 logs/ -rw-r--r-- 1 root root 37 Окт 15 11:09 openldap-severs-update.log [root@pdc ~]# chown -R ldap:ldap /var/lib/ldap/ [root@pdc ~]# ls -lF /var/lib/ldap итого 20 drwxr-xr-x 2 ldap ldap 4096 Окт 17 09:08 db/ -rw-r----- 1 ldap ldap 919 Окт 16 15:06 DB_CONFIG -rw-r----- 1 ldap ldap 921 Окт 16 14:49 DB_CONFIG~ drwxr-xr-x 2 ldap ldap 4096 Окт 17 09:08 logs/ -rw-r--r-- 1 ldap ldap 37 Окт 15 11:09 openldap-severs-update.log ========================================================================= ================================================================ организуем лог лдапа [root@pdc ~]# vi /etc/syslog.conf [root@pdc ~]# cat /etc/syslog.conf # Log all kernel messages to the console. # Logging much else clutters up the screen. #kern.* /dev/console # Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages # The authpriv file has restricted access. authpriv.* /var/log/secure # Log all the mail messages in one place. mail.* -/var/log/maillog # Log cron stuff cron.* /var/log/cron # Everybody gets emergency messages *.emerg * # Save news errors of level crit and higher in a special file. uucp,news.crit /var/log/spooler # Save boot messages also to boot.log local7.* /var/log/boot.log local4.* /var/log/ldap.log # # INN # news.=crit /var/log/news/news.crit news.=err /var/log/news/news.err news.notice /var/log/news/news.notice [root@pdc ~]# touch /var/log/ldap.log [root@pdc ~]# chmod 640 /var/log/ldap.log [root@pdc ~]# service syslog restart Останавливается служба журналирования ядра: [ OK ] Останавливается служба журналирования системы: [ OK ] Запускается служба журналирования системы: [ OK ] Запускается служба журналирования ядра: [ OK ] [root@pdc ~]# ======================================================================== ======================================================================= И последний момент, который нам необходимо сделать, это добавить одну строку в конец файла /etc/sysconfig/ldap SLAPD_OPTIONS="-4" Таким образом наш демон slapd будет слушать только IPv4 адреса. [root@pdc ~]# vi /etc/sysconfig/ldap [root@pdc ~]# cat /etc/sysconfig/ldap # Parameters to ulimit called right before starting slapd # - use this to change system limits for slapd ULIMIT_SETTINGS= # How long to wait between sending slapd TERM and KILL # signals when stopping slapd by init script # - format is the same as used when calling sleep STOP_DELAY=3s # By default only listening on ldap:/// is turned on. # If you want to change listening options for slapd, # set following three variables to yes or no SLAPD_LDAP=yes SLAPD_LDAPS=no SLAPD_LDAPI=no SLAPD_OPTIONS="-4" [root@pdc ~]# ========================================================================== ======================================================================== теперь была попытка запуска [root@pdc ~]# service ldap start Проверяются конфигурационные файлы для slapd: [ СБОЙ ] /etc/openldap/slapd.conf: line 117: substr index of attribute "uidNumber" disallowed slaptest: bad configuration file! [root@pdc ~]# вероятно это обоснованно тем что не указанны ACL in slapd.conf, счас проверим. access to attrs=userPassword,sambaNTPassword,sambaLMPassword by self write by anonymous auth by * none access to * by self read by users read by anonymous auth by * none нет, попробую описать по другому в slapd.conf когда же указал так: index objectClass eq index cn pres,sub,eq index sn pres,sub,eq index uid pres,sub,eq index displayName pres,sub,eq index uniqueMember eq index uidNumber eq index gidNumber eq index memberUID eq index sambaSID eq index sambaPrimaryGroupSID eq index sambaDomainName eq index sambaGroupType eq index sambaSIDList eq ldap запустился ========================================================= ========================================================== редактировать /etc/openldap/ldap.conf URI ldap://127.0.0.1 BASE dc=sunport,dc=ms получается # # LDAP Defaults # # See ldap.conf(5) for details # This file should be world readable but not world writable. #BASE dc=example, dc=com #URI ldap://ldap.example.com ldap://ldap-master.example.com:666 #SIZELIMIT 12 #TIMELIMIT 15 #DEREF never URI ldap://127.0.0.1 BASE dc=sunport,dc=ms #TLS_CACERTDIR /etc/openldap/cacerts =================================================================== =================================================================== Редактируем файл /etc/nsswitch.conf и настраиваем поиск пользователей в LDAP каталоге. Так же поиск компьютеров будет производиться с помощью wins сервера. passwd: files ldap shadow: files ldap group: files ldap hosts: files dns wins Все остальные строки оставляем без изменений. Таким образом при поиске пользователей, групп и их паролей система так же будет обращаться в LDAP каталог. Для того, чтобы система знала к какому именно LDAP каталогу обращаться и где искать необходимую информацию нам необходимо настроить nss_ldap. Редактируем файл /etc/ldap.conf. Настройки производим в соответствии с нашей структурой ====================================================================== SMBLDAP-TOOLS ====================================================================== [root@pdc ~]# net getlocalsid SID for domain PDC is: S-1-5-21-908575252-4283640319-1824563763 [root@pdc ~]# редактирую smbldap_bind.conf and smbldap.conf ======================================================================= ======================================================================= smbldap-populate -a tirex -g 10000 -l 11111 -r 10000 -u 10000 ==================================================================== 1810 ==================================================================== я хотел сделать предварительное заполнение каталога, такой командой, но smbldap-populate -a tirex -g 10000 -l 11111 -r 10000 -u 10000 но в конфигурировании smbldap нашел такую рекомендацию, ---------------------------------------------------- http://kostyalamer.narod.ru/smbldap/smbldap.html ---------------------------------------------------- примечание: вы можете получить SID, используя команду net getlocalsid, сервер Samba при этом должен быть запущен. поэтому я решил сначала сконфигурировать сервер samba и только потом выполнить заполнение, да и проверить перед этим сид. Возможно сид будет отличаться. Строка cn=NextFreeUnixId,dc=idealx,dc=org используется только для присвоения номеров uidNumber и gidNumber при создании новых пользователей и групп. По умолчанию нумерация (см. таб. 1) начинается с номера 1000. Для изменения этого числа используются ключи –u и –g. Например, если вы хотите, чтобы нумерация начиналась с числа 1500, при создании структуры каталога используйте такую команду: #smbldap-populate -u 1500 -g 1500 ===================================================================== Итак конфигурирую самбу ===================================================================== !!!!!ВАЖНО logon script = script\%u.bat описываю logon script, logon drive = Z: logon home = \\pdc\%u logon path = \\pdc\profiles\%u при чем надо будет обязательно описать секции ---------------------------------------- Параметр заставляет синхронизировать пароль UNIX с паролем SMB при изменении зашифрованного пароля SMB в файле smbpasswd. При включении этого параметра (yes) от пользователя ROOT вызывается программа, определенная в параметре passwd program, что позволяет установить новый пароль UNIX без доступа к старому паролю UNIX (т.к. у программы смены пароля SMB нет никакого доступа к старому паролю cleartext, есть только новый пароль). По умолчанию: unix password sync = no -------------------------------------------- ============================================================= ========================================================== 19102012 ============================================================= ========================================================== итак самба сконфигурированна, смотреть в config НЕТ ОШИБКА между плюсами самба будет переконфигурироваться, а это для инфо ++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++ -------------------------------------------------------- запустим и проверим [root@pdc ~]# service ldap start Запускается slapd: [ OK ] [root@pdc ~]# chkconfig ldap on [root@pdc ~]# service smb start Запускаются службы SMB: [ OK ] Запускаются службы NMB: [ OK ] [root@pdc ~]# chkconfig smb on [root@pdc ~]# service ldap status slapd (pid 3754) выполняется... [root@pdc ~]# service smb status smbd (pid 3771) выполняется... nmbd (pid 3774) выполняется... [root@pdc ~]# [root@pdc ~]# testparm Load smb config files from /etc/samba/smb.conf Processing section "[netlogon]" Processing section "[Profiles]" Processing section "[printers]" Processing section "[public]" Loaded services file OK. Server role: ROLE_DOMAIN_PDC Press enter to see a dump of your service definitions [global] workgroup = SUNPORT server string = "" map to guest = Bad User passdb backend = ldapsam:ldap://127.0.0.1 passwd program = /usr/sbin/smbldap-passwd -u "%u" passwd chat = "Changing *\nNew password*" %n\n "*Retype new password*" %n\n" unix password sync = Yes client NTLMv2 auth = Yes client lanman auth = No client plaintext auth = No log file = /var/log/samba/log.%U max log size = 100000 deadtime = 10 socket options = TCP_NODELAY SO_RCVBUF=8192 SO_KEEPALIVE printcap name = lpstat add user script = /usr/sbin/smbldap-useradd -m "%u" delete user script = /usr/sbin/smbldap-userdel "%u" add group script = /usr/sbin/smbldap-groupadd -p "%g" add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g" set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u" add machine script = /usr/sbin/smbldap-useradd -m "%u" logon script = scripts\%u.bat logon path = \\pdc\profiles\%u logon drive = Z: logon home = \\pdc\%u domain logons = Yes os level = 65 preferred master = Yes domain master = Yes ldap admin dn = cn=tirex,dc=sunport,dc=ms ldap group suffix = ou=Group ldap idmap suffix = ou=Idmap ldap machine suffix = ou=Computers ldap passwd sync = Yes ldap suffix = dc=sunport,dc=ms ldap ssl = no ldap user suffix = ou=People admin users = tirex create mask = 0640 directory mask = 0750 case sensitive = No dont descend = /proc,/dev/etc,/lib,/lost+found,/initrd [netlogon] path = /var/lib/samba/netlogon guest ok = Yes browseable = No [Profiles] comment = Users profiles path = /var/lib/samba/profiles read only = No create mask = 0600 directory mask = 0700 guest ok = Yes profile acls = Yes browseable = No [printers] comment = Network Printers path = /var/spool/samba guest ok = Yes printable = Yes browseable = No [public] path = /tmp read only = No guest ok = Yes [root@pdc ~]# но нет самба с задержкой ругается и кажется понятно почему [2012/10/19 09:10:35, 0] lib/smbldap.c:smbldap_connect_system(942) ldap_connect_system: Failed to retrieve password from secrets.tdb поэтому [root@pdc ~]# smbpasswd -w kdx200sr Setting stored password for "cn=tirex,dc=sunport,dc=ms" in secrets.tdb [root@pdc ~]# также проверить необходимо наличие [root@pdc ~]# authconfig-tui я указал лдап и достаточно локальной авторизации. теперь запустить самбу и как надо при запущенной самбе проверю в логе самбы [2012/10/19 09:25:40, 0] services/services_db.c:svcctl_init_keys(420) svcctl_init_keys: key lookup failed! (WERR_ACCESS_DENIED) [2012/10/19 09:25:40, 0] smbd/server.c:main(1073) ERROR: failed to setup guest info. но пока нет заполнения какого либо лдапа. [root@pdc ~]# service smb status smbd неживой, но pid-файл существует nmbd (pid 3976) выполняется... [root@pdc ~]# ========================================== +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ ========================================================= заполню предварительно каталог лдапа smbldap-populate -a tirex -g 10000 -l 11111 -r 10000 -u 10000 [root@pdc ~]# smbldap-populate -a tirex -g 10000 -l 11111 -r 10000 -u 10000 Populating LDAP directory for domain sunport (S-1-5-21-908575252-4283640319-1824563763) (using builtin directory structure) adding new entry: dc=sunport,dc=ms adding new entry: ou=People,dc=sunport,dc=ms adding new entry: ou=Group,dc=sunport,dc=ms adding new entry: ou=Computers,dc=sunport,dc=ms adding new entry: ou=Idmap,dc=sunport,dc=ms adding new entry: uid=tirex,ou=People,dc=sunport,dc=ms adding new entry: uid=nobody,ou=People,dc=sunport,dc=ms adding new entry: cn=Domain Admins,ou=Group,dc=sunport,dc=ms adding new entry: cn=Domain Users,ou=Group,dc=sunport,dc=ms adding new entry: cn=Domain Guests,ou=Group,dc=sunport,dc=ms adding new entry: cn=Domain Computers,ou=Group,dc=sunport,dc=ms adding new entry: cn=Administrators,ou=Group,dc=sunport,dc=ms adding new entry: cn=Account Operators,ou=Group,dc=sunport,dc=ms adding new entry: cn=Print Operators,ou=Group,dc=sunport,dc=ms adding new entry: cn=Backup Operators,ou=Group,dc=sunport,dc=ms adding new entry: cn=Replicators,ou=Group,dc=sunport,dc=ms adding new entry: sambaDomainName=sunport,dc=sunport,dc=ms Please provide a password for the domain tirex: Changing UNIX and samba passwords for tirex New password: Retype new password: [root@pdc ~]# смотрю в апачи директори студио =========================================================== [root@pdc ~]# mkdir /var/lib/samba [root@pdc ~]# mkdir /var/lib/samba/netlogon [root@pdc ~]# [root@pdc ~]# mkdir /var/lib/samba/netlogon/scripts [root@pdc ~]# mkdir /var/lib/samba/profiles [root@pdc ~]# mkdir /var/lib/samba/spool [root@pdc ~]# mkdir /var/lib/samba/printers [root@pdc ~]# chmod 1777 /var/lib/samba/profiles [root@pdc ~]# после того как созданы директории и чуть подредактирован smb.conf лог не ругается, надо проверить причину. ===================================================== [root@pdc ~]# net groupmap list Domain Admins (S-1-5-21-908575252-4283640319-1824563763-512) -> Domain Admins Domain Users (S-1-5-21-908575252-4283640319-1824563763-513) -> Domain Users Domain Guests (S-1-5-21-908575252-4283640319-1824563763-514) -> Domain Guests Domain Computers (S-1-5-21-908575252-4283640319-1824563763-515) -> Domain Computers Administrators (S-1-5-32-544) -> Administrators Account Operators (S-1-5-32-548) -> Account Operators Print Operators (S-1-5-32-550) -> Print Operators Backup Operators (S-1-5-32-551) -> Backup Operators Replicators (S-1-5-32-552) -> Replicators [root@pdc ~]# =========================================== [root@pdc ~]# getent passwd | grep tirex tirex:x:0:0:Netbios Domain Administrator:/home/tirex:/bin/false [root@pdc ~]# getent group | grep Domain Domain Admins:*:512:tirex Domain Users:*:513: Domain Guests:*:514: Domain Computers:*:515: [root@pdc ~]# ============================================================== [root@pdc ~]# net rpc group members "Domain Admins" -U tirex%kdx200sr [root@pdc ~]# ================================================================ net rpc rights grant "Domain Admins" SeMachineAccountPrivilege SeTakeOwnershipPrivilege SeBackupPrivilege SeRestorePrivilege SeRemoteShutdownPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege -U tirex%kdx200sr [root@pdc ~]# net rpc group members "Domain Admins" -U tirex%kdx2 Could not connect to server 127.0.0.1 The username or password was not correct. Connection failed: NT_STATUS_LOGON_FAILURE [root@pdc ~]# net rpc group members "Domain Admins" -U tirex%kdx200sr [root@pdc ~]# net rpc rights grant "Domain Admins" SeMachineAccountPrivilege SeTakeOwnershipPrivilege SeBackupPrivilege SeRestorePrivilege SeRemoteShutdownPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege -U tirex%kdx200sr Successfully granted rights. [root@pdc ~]# ============================================================ запустим винбинд и добавим сервер в домен. [root@pdc ~]# service winbind start Запускаются службы Winbind: [ OK ] [root@pdc ~]# net rpc join -U tirex MEMBER Password: Joined domain SUNPORT. [root@pdc ~]# [root@pdc ~]# smbldap-usershow pdc$ dn: uid=pdc$,ou=People,dc=sunport,dc=ms objectClass: top,person,organizationalPerson,inetOrgPerson,posixAccount,shadowAccount,sambaSamAccount cn: pdc$ sn: pdc$ givenName: pdc$ uid: pdc$ uidNumber: 10000 gidNumber: 513 homeDirectory: /home/pdc$ loginShell: /bin/bash gecos: System User userPassword: {crypt}x sambaSID: S-1-5-21-908575252-4283640319-1824563763-10001 displayName: System User sambaLMPassword: 84BF175C3934FFAF8BB4D7E7F3309E50 sambaNTPassword: 03F4E9DF9467CCEF2800D61DA81BC302 sambaAcctFlags: [W ] [root@pdc ~]# ================================================================ Проверяем информацию о домене [root@pdc ~]# net rpc info -U tirex%kdx200sr Domain Name: SUNPORT Domain SID: S-1-5-21-908575252-4283640319-1824563763 Sequence number: 1350632498 Num users: 2 Num domain groups: 4 Num local groups: 0 [root@pdc ~]# wbinfo -p Ping to winbindd succeeded on fd 4 [root@pdc ~]# wbinfo -t checking the trust secret via RPC calls succeeded [root@pdc ~]# wbinfo -i tirex tirex:*:0:513:tirex:/home/SUNPORT/tirex:/bin/false [root@pdc ~]# wbinfo -g | grep "domain" domain admins domain users domain guests domain computers [root@pdc ~]# Проверяем аутентификацию через демон winbind [root@pdc ~]# wbinfo -a tirex%kdx200sr plaintext password authentication succeeded challenge/response password authentication succeeded [root@pdc ~]# wbinfo --name-to-sid=sunport\\tirex S-1-5-21-908575252-4283640319-1824563763-500 User (1) [root@pdc ~]# ================================================= [root@pdc ~]# getent passwd | grep tirex tirex:x:0:0:Netbios Domain Administrator:/home/tirex:/bin/false [root@pdc ~]# getent group | grep Domain Domain Admins:*:512:tirex Domain Users:*:513: Domain Guests:*:514: Domain Computers:*:515: [root@pdc ~]# net rpc group members "Domain Admins" Password: [root@pdc ~]# net rpc group members "Domain Admins" -U tirex%kdx200sr [root@pdc ~]# net rpc group members "Domain Admins" -U tirex%kdx2 Could not connect to server 127.0.0.1 The username or password was not correct. Connection failed: NT_STATUS_LOGON_FAILURE [root@pdc ~]# net rpc group members "Domain Admins" -U tirex%kdx200sr [root@pdc ~]# net rpc rights grant "Domain Admins" SeMachineAccountPrivilege SeTakeOwnershipPrivilege SeBackupPrivilege SeRestorePrivilege SeRemoteShutdownPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege SeDiskOperatorPrivilege -U tirex%kdx200sr Successfully granted rights. [root@pdc ~]# service winbind start Запускаются службы Winbind: [ OK ] [root@pdc ~]# net rpc join -U tirex MEMBER Password: Joined domain SUNPORT. [root@pdc ~]# smbldap-usershow pdc$ dn: uid=pdc$,ou=People,dc=sunport,dc=ms objectClass: top,person,organizationalPerson,inetOrgPerson,posixAccount,shadowAccount,sambaSamAccount cn: pdc$ sn: pdc$ givenName: pdc$ uid: pdc$ uidNumber: 10000 gidNumber: 513 homeDirectory: /home/pdc$ loginShell: /bin/bash gecos: System User userPassword: {crypt}x sambaSID: S-1-5-21-908575252-4283640319-1824563763-10001 displayName: System User sambaLMPassword: 84BF175C3934FFAF8BB4D7E7F3309E50 sambaNTPassword: 03F4E9DF9467CCEF2800D61DA81BC302 sambaAcctFlags: [W ] [root@pdc ~]# ==================================================================== Итак все нормально, я смог ввести винду , просто из самой винды, добавив ее в домен и введя админовские права. Потом локально создал пользователя на сервере и вощел с его учеткой в домен. Но так же не отображается SambaPrimaryGroup only SambaSID Успешно видно из винды всех пользователей домена. НО не видно в пользователе sambaSID хотя пользователь без проблем в домене работает.