LINUX.ORG.RU
ФорумAdmin

LDAP+SAMBA=Domain Controller(Ububntu 10.04)


0

1

В который раз пытаюсь поднять домен и каждый раз спотыкаюсь на одном и том же:

Failed to grant privileges for Domain Admins (NT_STATUS_ACCESS_DENIED)- эта ошибка появляется сразу же после выполнения этого действия:

Дадим группе Domain Admins права администратора домена для этого выполним следующее:

net rpc rights grant «Domain Admins» SeMachineAccountPrivilege SeTakeOwnershipPrivilege \ SeBackupPrivilege SeRestorePrivilege SeRemoteShutdownPrivilege SePrintOperatorPrivilege \ SeAddUsersPrivilege SeDiskOperatorPrivilege -Uadmins%secret

Делаю по этому ману: http://help.ubuntu.ru/wiki/samba_pdc_ldap_ubuntu_10_04

В чем мой косяк? Я уже все перепробовал, гугл тоже не особо помог.

>-Uadmins%secret
пользователь admins и у него пароль secret должны заранее существовать и меть привилегии устанавливать права.

Обычно этот пользователь root.

zgen ★★★★★
()
Ответ на: комментарий от zgen

Если я ввожу root с соответствующим паролем, то выдает:

root@pdc:/home/vtulich# net rpc rights grant «Domain Admins» SeMachineAccountPrivilege SeTakeOwnershipPrivilege \ SeBackupPrivilege SeRestorePrivilege SeRemoteShutdownPrivilege SePrintOperatorPrivilege \ SeAddUsersPrivilege SeDiskOperatorPrivilege -Uroot%--- Could not connect to server 127.0.0.1 The username or password was not correct. Connection failed: NT_STATUS_LOGON_FAILURE

Если пишу админский ник, тогда:

root@pdc:/home/vtulich# net rpc rights grant «Domain Admins» SeMachineAccountPrivilege SeTakeOwnershipPrivilege \ SeBackupPrivilege SeRestorePrivilege SeRemoteShutdownPrivilege SePrintOperatorPrivilege \ SeAddUsersPrivilege SeDiskOperatorPrivilege -Uvtulich%--- Failed to grant privileges for Domain Admins (NT_STATUS_ACCESS_DENIED)

vtulich
() автор топика
Ответ на: комментарий от vtulich

>Если я ввожу root с соответствующим паролем, то выдает:
Прежде, чем вводить root с паролем, его надо завести в samba т.е. в ldap'е с соответственными полями.

zgen ★★★★★
()
Ответ на: комментарий от zgen

Ммм...а поподробнее можно? В какой именно конфиг и какие права должны быть?-Если не сложно. Я не очень давно со всем этим делом вожусь, поэтому не силен, в не раскрытых ответах.

vtulich
() автор топика
Ответ на: комментарий от zgen

samba name server PDC is now a local master browser for workgroup UNIX on subnet 192.168.17.124 Это пишет в логе самбы, когда пытаюсь добавить нового юзера, принимает команду, но не выполняет, как буд-то виснет, и дальше дело не продвигается.

vtulich
() автор топика
Ответ на: комментарий от vtulich

причем тут samba? В ldap заводи с помощью smbldap-tools, samba учетки там ищет, если ты конечно настроил все правильно.

zgen ★★★★★
()
Ответ на: комментарий от zgen

[global]
server string =
workgroup = TERRA
netbios name = dc
passdb backend = ldapsam:ldap://localhost
obey pam restrictions = no
security = user
encrypt passwords = yes
unix extensions = no
local master = yes
os level = 255
domain master = yes
preferred master = yes
time server = yes
admin users = admins,vtulich,ajev
log level = 1
log file = /var/log/samba/workstations/%m.log
max log size = 50
socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384
getwd cache = yes
read raw = yes
write raw = yes
max xmit = 65536
wins support = yes
wins proxy = yes
dns proxy = no
name resolve order = wins hosts bcast lmhosts
wide links = yes
hosts allow = 192.168. 127.0.0.1 127.0.1.1
hosts deny = 0.0.0.0/0
idmap uid = 10000-20000
idmap gid = 10000-20000
ldap suffix = dc=terra,dc=local
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap machine suffix = ou=Computers
#ldap machine suffix = ou=Users
ldap idmap suffix = ou=Idmap
ldap admin dn = cn=vtulich,dc=terra,dc=local
ldap ssl = start tls
ldap passwd sync = yes
ldap delete dn = no
#add machine script = sudo /usr/sbin/smbldap-useradd -t 0 -w «%u»
add machine script = /usr/sbin/smbldap-useradd -i -w %u
passwd program = /usr/sbin/smbldap-passwd %u
passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*tokens*updated*
domain logons = yes
invalid users = root
load printers = no

vtulich
() автор топика
Ответ на: комментарий от vtulich

>socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384
Убрать. Целиком.

invalid users = root

Это бред, убрать.

add machine script = /usr/sbin/smbldap-useradd -i -w %u

-i не нужна, убрать.

Что дает запуск
#smbldap-useradd -w test_computer
и
#id test_computer$
?

zgen ★★★★★
()
Ответ на: комментарий от vtulich

>wins support = yes

wins proxy = yes

Писец. Вы откуда это содрали? Всякое убожество пишет статьи, а потом другие чинить должны. Уберите либо одно, либо другое. И, вероятно, второе, если у вас других wins серверов нет.

zgen ★★★★★
()
Ответ на: комментарий от vtulich

>security = user
Убрать.

После всех манипуляций запустить testparm

zgen ★★★★★
()
Ответ на: комментарий от zgen

testparm:

Load smb config files from /etc/samba/smb.conf Loaded services file OK. Server role: ROLE_DOMAIN_PDC Это после всех манипуляций.

vtulich
() автор топика
Ответ на: комментарий от zgen

slapd.conf у меня вообще нету, есть только ldap.conf

vtulich
() автор топика
Ответ на: комментарий от zgen

root@dc:/etc# smbldap-useradd -w dc /usr/sbin/smbldap-useradd: user dc$ exists

vtulich
() автор топика
Ответ на: комментарий от zgen

root@dc:/etc# id dc

id: dc: Такого пользователя нет

vtulich
() автор топика
Ответ на: комментарий от zgen

А лучше всего, дайте статью путную, чтоб ldap+samba можно было поднять на ubuntu 10.10 или 10.04. Я вижу что вы во всем этом профан.

vtulich
() автор топика
Ответ на: комментарий от zgen

ой, глубоко извиняюсь, перепутал смыслы слов.

vtulich
() автор топика
Ответ на: комментарий от zgen

Я реально не хотел Вас оскорбить. Еще раз извиняюсь.

vtulich
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.