samba+ldap - не видно administrator

во, щаз немного прояснилось, если добавляю sambaSamAccount, то он не видится, а posixAccount видится :(

А в базе LDAP (не SambaSID, а sid, uid) этот новый логин, запись присутствуют?

uid только есть, то что я показал выдрано с помощью ldapsearch

Немного странно, что smbclient ругается.
У меня так:
]$ smbclient -L 127.0.0.1 -U eugene
Password:
Domain=[WORKGROUP] OS=[Unix] Server=[Samba 3.0.7]

Sharename Type Comment
--------- ---- -------
tmp Disk Temporary file space
public Disk Public Stuff
docs Disk Linux Docs
PRN_NETADM Printer HP LaserJet 4100
cdrom Disk
IPC$ IPC IPC Service (xxxx Samba Server)
ADMIN$ IPC IPC Service (xxxx Samba Server)
eugene Disk Home Directories
Domain=[WORKGROUP] OS=[Unix] Server=[Samba 3.0.7]

Server Comment
--------- -------
ANY SERVER Server
xxxx xxxx Samba Server

Workgroup Master
--------- -------
WORKGROUP xxxx

]$ ldapsearch -x uid=eugene
# extended LDIF
#
# LDAPv3
# base <> with scope sub
# filter: uid=eugene
# requesting: ALL
#

# eugene, People, parex.lv
dn: uid=eugene,ou=People,dc=xx,dc=yy
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 100
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
uid: eugene
gecos: Eugene Surname
cn: Eugene Surname
homeDirectory: /home/eugene
host: xxxx.xx.yy
host: localhost
o: Organization
ou: Organizations Div.

# eugene, SambaUsers, xx.yy
dn: uid=eugene,ou=SambaUsers,dc=xx,dc=yy
uid: eugene
sambaSID: S-1-5-21-3518789948-2081175294-3466315519-3000
sambaPrimaryGroupSID: S-1-5-21-3518789948-2081175294-3466315519-1201
displayName: Eugene Surname
sambaPwdCanChange: 1084819520
sambaPwdMustChange: 2147483647
sambaPwdLastSet: 1084819520
sambaAcctFlags: [U ]
objectClass: sambaSamAccount
objectClass: account

# search result
search: 2
result: 0 Success

# numResponses: 3
# numEntries: 2

Т.е. никаких проблем.

а с Администратором как ? можешь скинуть свои smb.conf && ldap.conf && sldap.conf на neonman at avtograd.ru ? заранее сенкс

Могу рассказать как работает у меня, рабочий вариант:
openldap-2.2.15
samba-3.0.7

1. В базе ldap 6 записей (administrator, guest, win2k$, Domain Admins, Domain Guests, Domain Users, Domain Computers)

cn=administrator,ou=users,dc=domain,dc=ru
objectClass: top
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
sn: administrator
cn: administrator
uidNumber: 0
gidNumber: 0
loginShell: /sbin/nologin
uid: administrator
homeDirectory: /home/administrator
 
cn=guest,ou=users,dc=domain,dc=ru
objectClass: top
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
sn: guest
cn: guest
uidNumber: 20000
gidNumber: 20000
loginShell: /sbin/nologin
uid: guest
homeDirectory: /home/guest
 
dn: uid=win2k$,ou=users,dc=domain,dc=ru
objectClass: top
objectClass: account
objectClass: posixAccount
uid: win2k$
cn: win2k$
uidNumber: 20001
gidNumber: 553
homeDirectory: /dev/null
loginShell: /sbin/nologin
 
dn: cn=Domain Admins,ou=group,dc=domain,dc=ru
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 512
cn: Domain Admins
description: Netbios Domain Administrators
sambaSID: S-1-5-21-697237067-838656905-3145779674-512
sambaGroupType: 2
displayName: Domain Admins
memberUid: administrator
 
dn: cn=Domain Users,ou=group,dc=domain,dc=ru
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 513
cn: Domain Users
description: Netbios Domain Users
sambaSID: S-1-5-21-697237067-838656905-3145779674-513
sambaGroupType: 2
displayName: Domain Users
 
dn: cn=Domain Guests,ou=group,dc=domain,dc=ru
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 514
cn: Domain Guests
description: Netbios Domain Guests Users
sambaSID: S-1-5-21-697237067-838656905-3145779674-514
sambaGroupType: 2
displayName: Domain Guests
memberUid: guest
 
dn: cn=Domain Computers,ou=group,dc=domain,dc=ru
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 553
cn: Domain Computers
description: Netbios Domain Computers accounts
sambaSID: S-1-5-21-697237067-838656905-3145779674-553
sambaGroupType: 2
displayName: Domain Computers
memberUid: win2k$


Групповые записи оставил после сгенеренной smbldap-populate.pl все остальное руками.

2. Добавляю в samba
smbpasswd -a administrator
smbpasswd -n -a guest

проверяем
getent passwd
getent shadow
getent group

В базе ldap изменил пароль для administrator на {CRYPT} т.к. по умолчанию smbpasswd генерит в {SMD5},
а pam_ldap в системе у меня не стоит и getent shadow хеш пароля не отображал.
Так же полезно проверить залогиниться в систему через запись administrator незабыв при этом поменять loginShell.
Так же изменил для administrator групповой sid (sambaPrimaryGroupSID) в конце на 512 и для guest на 514.

3. Вот теперь можно подключить и в домен.
Windows 2000 Professional OEM версия + встроенный сервис пак 4.
Ни каких ключей в реестре не менял.
ошибка "Не найдено имя пользователя" выдается в случае описанном выше, когда машинную запись win2k$ создал в отдельной ветке hosts.
ошибка "имя и пароль не опознаны" выдается когда машинная запись у меня была в обеих ветках hosts и users.
В домен подключил, когда удалил из hosts запись win2k$, при этом автоматом сгененилась запись sambaSamAccount в базе Ldap.
Перегрузил компьютер и подключился через запись administrator.

так же что бы машинные записи не сорились вместе с пользовательскими, можно сделать под уровень uo=computers,ou=users

А нельзя чтобы было так:
ou=Users,dc=test...  
ou=Groups,dc=test...  
ou=Computers,dc=test...  ??
Ну то есть как создаёт smbldap-populate по умолчанию ..
Или так не получается залогиниться из W2K в домен?
Просто у меня подобная ситуация и я уже устал искать в чём грабли :(
Пишет NT_STATUS_NO_SUCH_USER. Даёт логиниться только root'у
getent passwd & group отображает вроде нормально.

Вообще, если не трудно, объясните, пожалуйста, разницу между тем, чтобы
создавать аккаунты с posixAccount и posixSAMAccount в дереве и
влияет ли это на корректный логин в систему.

У меня машина находится в Computers, а юзер в Users.

SandySandy, я не совсем понял, в чём состояла суть проблемы из за разного
местонахождения аккаунтов машины и юзера?
Как корректно расположить каждый аккаунт?
И у меня ещё такая проблема, что smbclient -Llocalhost -Uюзер
тоже не показывает и говорит: NT_STATUS_LOGON_FAILURE

при подключении в домен ищется запись машины но как учетная запись в системе.
более детально можно смотреть при smbpasswd с ключем дебагга.

ou=Users,dc=test...
ou=Computers,dc=test..
работать не будет 100% так как нельзя определить в ldap.conf
два раза nss_base_passwd
Теперь понятно? А если сделать подуровень то будет работать.

что то я тоже нифига не понял, в чем разница то ? компы то создаются в подветке Computers (у меня это machines) или надо их запихать в ou=machines,ou=users,... ??

2RomanU: оставь свой емайл, на всякий случай, вдруг разберешься :)

сецчас попробовал smbpasswd -a root, получил в итоге:

ldapsam_modify_entry: LDAP Password could not be changed for user root: Object class violation
entry modify failed
ldapsam_update_sam_account: failed to modify user with uid = root, error: entry modify failed (Success)
Failed to modify entry for user root.
Failed to modify password entry for user root

епт а пароль администратора LDAP сохранял в smbpasswd -w ?

А почему у меня может быть так, что только root (uid=0,gid=0) может
залогиниться в win2k? В чём тут может быть ошибка?
то есть запись машины и пользователя root он видит, а остальным говорит
no such user :(

у пользователя поменяй групповой sid на который используется в Domain Users, вроде все расписано выше

> у пользователя поменяй групповой sid на который используется в Domain Users, вроде все расписано выше

Он и был одинаковым. Всё равно ничего не получается. Я как сделал ... NT Rid у юзеров сделал 100, а у гостей - 99, потому что локальные группы на машине: users - 100, а nobody - 99. И Domain Admins -> 0.

В результате имею:

[root@ldap_pdc pam.d]# net groupmap list

Domain Admins (S-1-5-21-228874075-908187812-2268581115-0) -> root

Domain Users (S-1-5-21-228874075-908187812-2268581115-100) -> users

Domain Guests (S-1-5-21-228874075-908187812-2268581115-99) -> nobody

Теперь, у юзера RomanU SambaPrimaryGroupSid = ...-100.

Я и 513 пробовал - та же реакция: нет такого пользователя.

У меня группы имеют соответственно как и писал 512, 513, 514.
groupmap не делал, так как эти группы уже отображаются в системе через nss_base_group.
Пользователем могу зайти в только в случае когда он состоит в группе Domain Users.

> епт а пароль администратора LDAP сохранял в smbpasswd -w ?

Конешно сохранял... не знаю куда копать... мож схемы кривые ?

Покажи свой ldap.conf & slapd.conf

Эти файлы здесь не причем.
проверяй smbpasswd -a root с уровнем деббага добавь к примеру -D10

там нихрена не понятно, просто показыват переданы такие то байты, получены такие то и всё