LINUX.ORG.RU
ФорумAdmin

Samba + openLDAP не синхронизируются изменения

 , ,


0

1

Доброго времени суток, ребят. Есть две виртуальные машины, на одной установлен openLDAP по сие инструкции, а на другой Samba в качестве ADDC. Совместил их по следующей инструкции и всё было бы хорошо если бы не проблема отсутствия синхронизации между ними, то есть, если в ldap(или samba) создать пользователя, то в samba(или ldap) не будет никаких изменений. Вручную так и не понял как заставить ldap прочитать БД samba.

Но в целом, при первоначальной настройке, всё было нормально (Или Мне так казалось) ибо пользователя которого создал в samba, к которой позже подцепил openLDAP, отобразился в ldap (Просмотр через lam).

Вот конфиг samba:

# Global parameters
[global]
        dns forwarder = 8.8.8.8
        netbios name = dc
        realm = domain.LC
        server role = active directory domain controller
        workgroup = domain
        ldap ssl = start tls
#       ldapp ssl ads = yes
        winbind enum users = yes
        winbind enum groups = yes

        valid users = $a

        unix passwd sync - yes
        passwd program = /usr/bin/passwd Xu
        passwd chat = "*Enter OLD passwd*" *o\\n "*Enter NEW password" *n\\n "*Reenter NEW
        password*" *n\\n "*Password changed*"
# LDAP Settings
passdb backend = ldapsam:ldap://xxx.xxx.xxx.xxx
ldap suffix = dc=domain,dc=lc
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
ldap admin dn = cn=admin,dc=domain,dc=lc
ldap ssl = start tls
ldap passwd sync = yes

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[netlogon]
        path = /var/lib/samba/sysvol/domain.lc/scripts
        read only = No

[avatars]
       path = /var/lib/samba/avatars
       browseable = yes
       read only = no
       valid users = @"CN=Users,DC=domain,DC=lc"
       create mask = 0644
       directory mask = 0755
       read list = @"CN=Users,DC=domain,DC=lc"
       write list = @"CN=Users,DC=domain,DC=lc"

P.S.> Пытался ещё настроить аватарки, но сейчас не до этого.



Последнее исправление: VrDrakon (всего исправлений: 1)

The Samba server’s role will be that of a “standalone”

У тебя же:

server role = active directory domain controller

В общем случае оно работает, но в легаси режиме. Самба работает как файловый сервер, а не как контроллер домена, так как этим занимается лдап, к которому к винда не не умеет конектится по умолчанию.

Если нужен контроллер домена совместимый с виндой, то оставляй только самбу и ее реализацию лдап, опенлдап здесь не нужен.

einhander ★★★★★
()
Последнее исправление: einhander (всего исправлений: 2)
Ответ на: комментарий от einhander

Да, это так… Но вопрос тогда в управлении этим КД, точнее через какую панельку управлять Samba для к примеру созданию пользователей и групп, учитывая что заводить на него собираюсь Linux машины, а Windows, в общем случае, будет только 2-3 штуки. Знаю конечно про консоль, но не одиноким буду работать и ребята с куда более слабыми навыками будут «администрировать» данный КД, да и на сервер их пускать как-то не правильно.

VrDrakon
() автор топика
Ответ на: комментарий от einhander

Lam прекрасен, спору нет, но как подцепить к OpenLDAP клиентов Windows, если нет групповых политик? Cockpit не особо нужен, RSAT на Linux не поставить (Ибо там не нужен), а Webmin только для Samba и годится. Эти способы протестированы и всё упирается в то что либо Windows не подключить, либо Unix системы не могут нормально контроллироваться, по сравнению к примеру с FreeIPA, а сам IPA товарищ… Не особо в Windows умеет, насколько знаю.

VrDrakon
() автор топика
Ответ на: комментарий от VrDrakon

Lam прекрасен

Lam может работать с самбой.

Cockpit не особо нужен

Так в доках самбы описывается интерфейс плагина к этому кокпиту.

RSAT на Linux не поставить

Так тебе самба-АД контролировать надо, он для этого и предназначен. Линукс к нему и цепляется.

что либо Windows не подключить

А зачем 2 клиента подключать, это уже оверкилл. Пусть будут отдельно, по шарам и так смогут ходить.

einhander ★★★★★
()
Ответ на: комментарий от einhander

Lam может работать с самбой.

Может и криворуким являюсь, но не удалось подключить LAM к Samba. Тем более в интернетах практически везде связка OpenLDAP + Samba. К слову, здесь уже бывал.

Так в доках самбы описывается интерфейс плагина к этому кокпиту

Смею предположить, что про этот плагин.

Линукс к нему и цепляется.

Да, но и сам буду сидеть с Линукси, куда нет возможности установить RSAT, а держать виртуальную машину для только одной программы - не выйдет.

VrDrakon
() автор топика
Ответ на: комментарий от einhander

Я про этот плагин:

Да, но он устарел и при попытке найти репозиторий, получаем 404. Кажется Вы не проверили источник и тот факт, что Fedora 32 немного так… Устарела.

А нужна ли вообще совместимость с виндой

Да, нужна.

VrDrakon
() автор топика
Ответ на: комментарий от einhander

Наверное проще поднять самбу АД и проверить

Уже сделано и сделано давно, но вот что-то «полей» не наблюдаю, не знаю, есть ли возможность загрузить скриншот, но буду признателен, если укажете.

VrDrakon
() автор топика