samba 3 PDC +ldap -> невозможно войти в домен

netbios connect: name1=SQL name2=S1 netbios connect: local=sql remote=s1, name type = 0

switch message SMBnegprot (pid 28599) conn 0x0

Selected protocol NT LM 0.12

switch message SMBsesssetupX (pid 28599) conn 0x0

setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources. Doing spnego session setup NativeOS=[Windows 2000 2195] NativeLanMan=[Windows 2000 5.0] PrimaryDomain=[] Got OID 1 3 6 1 4 1 311 2 2 10 Got secblob of size 32 Got NTLMSSP neg_flags=0xe0008297 NTLMSSP_NEGOTIATE_UNICODE NTLMSSP_NEGOTIATE_OEM NTLMSSP_REQUEST_TARGET NTLMSSP_NEGOTIATE_SIGN NTLMSSP_NEGOTIATE_LM_KEY NTLMSSP_NEGOTIATE_NTLM NTLMSSP_NEGOTIATE_ALWAYS_SIGN NTLMSSP_NEGOTIATE_128 NTLMSSP_NEGOTIATE_KEY_EXCH Transaction 3 of length 326 switch message SMBsesssetupX (pid 28599) conn 0x0

Doing spnego session setup NativeOS=[Windows 2000 2195] NativeLanMan=[Windows 2000 5.0] PrimaryDomain=[] Got user=[Administrator] domain=[testdomain] workstation=[S1] len1=24 len2=24 Scanning username map /etc/samba/smbusers

check_ntlm_password: Checking password for unmapped user [testdomain]\[Administrator]@[S1] with the new password interface check_ntlm_password: mapped user is: [testdomain]\[Administrator]@[S1]

init_sam_from_ldap: Entry found for user: Administrator ntlm_password_check: Checking NT MD4 password sam_account_ok: Checking SMB password for user Administrator

init_group_from_ldap: Entry found for group: 512

check_ntlm_password: sam authentication for user [Administrator] succeeded

check_ntlm_password: authentication for user [Administrator] -> [Administrator] -> [Administrator] succeeded NTLMSSP Sign/Seal - Initialising with flags: Got NTLMSSP neg_flags=0x60008295 NTLMSSP_NEGOTIATE_UNICODE NTLMSSP_REQUEST_TARGET NTLMSSP_NEGOTIATE_SIGN NTLMSSP_NEGOTIATE_LM_KEY NTLMSSP_NEGOTIATE_NTLM NTLMSSP_NEGOTIATE_ALWAYS_SIGN NTLMSSP_NEGOTIATE_128 NTLMSSP_NEGOTIATE_KEY_EXCH User name: Administrator Real name: Administrator UNIX uid 0 is UNIX user Administrator, and will be vuid 100 Adding homes service for user 'Administrator' using home directory: '/home/Administrator' adding home's share [Administrator] for user 'Administrator' at '/home/%U'

switch message SMBtconX (pid 28599) conn 0x0

Client requested device type [?????] for share [IPC$] Connect path is '/tmp' for service [IPC$] get_share_security: using default secdesc for IPC$ se_access_check: user sid is S-1-5-21-2127937217-1782950159-3468125930-2996 se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-512 se_access_check: also S-1-1-0 se_access_check: also S-1-5-2 se_access_check: also S-1-5-11 Initialising default vfs hooks get_share_security: using default secdesc for IPC$ se_access_check: user sid is S-1-5-21-2127937217-1782950159-3468125930-2996 se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-512 se_access_check: also S-1-1-0 se_access_check: also S-1-5-2 se_access_check: also S-1-5-11

s1 (10.0.0.201) connect to service IPC$ initially as user Administrator (uid=0, gid=512) (pid 28599)

tconX service=IPC$ Transaction 5 of length 104 switch message SMBntcreateX (pid 28599) conn 0x8427658

vfs_ChDir to /tmp

api_rpcTNP: lsarpc op 0x2c - api_rpcTNP: rpc command: LSA_OPENPOLICY2 se_access_check: user sid is S-1-5-21-2127937217-1782950159-3468125930-2996 se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-512 se_access_check: also S-1-1-0 se_access_check: also S-1-5-2 se_access_check: also S-1-5-11 Opened policy hnd[1]

Transaction 8 of length 134 switch message SMBtrans (pid 28599) conn 0x8427658 change_to_user: Skipping user change - already user trans <\PIPE\> data=46 params=0 setup=2 named pipe command on <> name

api_rpcTNP: lsarpc op 0x2e - unknown

api_rpcTNP: lsarpc op 0x7 - api_rpcTNP: rpc command: LSA_QUERYINFOPOLICY Found policy hnd[0]

switch message SMBntcreateX (pid 28599) conn 0x8427658 change_to_user: Skipping user change - already user nt_open_pipe: Opening pipe \winreg.

api_rpcTNP: samr op 0x3e - api_rpcTNP: rpc command: SAMR_CONNECT4 se_access_check: user sid is S-1-5-21-2127937217-1782950159-3468125930-2996 se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-512 se_access_check: also S-1-1-0 se_access_check: also S-1-5-2 se_access_check: also S-1-5-11

se_access_check: user sid is S-1-5-21-2127937217-1782950159-3468125930-2996 se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-512 se_access_check: also S-1-1-0 se_access_check: also S-1-5-2 se_access_check: also S-1-5-11 _samr_open_domain: ACCESS should be DENIED (requested: 0x00000211) but overritten by euid == sec_initial_uid() Opened policy hnd[3] [000] 00 00 00 00 05 00 00 00 00 00 00 00 A6 74 71 41 ........ .....tqA [010] B7 6F 00 00 .o..

api_rpcTNP: samr op 0x32 - api_rpcTNP: rpc command: SAMR_CREATE_USER Found policy hnd[0] [000] 00 00 00 00 05 00 00 00 00 00 00 00 A6 74 71 41 ........ .....tqA [010] B7 6F 00 00 .o..

ldapsam_getsampwnam: Unable to locate user [s1$] count=0 pop_sec_ctx (0, 512) - sec_ctx_stack_ndx = 0 /usr/share/samba/scripts/smbldap-useradd: user s1$ exists _samr_create_user: Running the command `/usr/share/samba/scripts/smbldap-useradd -w -d /dev/null -c 'Machine Account' -s /bin/false s1$' gave 9

api_rpcTNP: lsarpc op 0x0 - api_rpcTNP: rpc command: LSA_CLOSE

free_pipe_context: destroying talloc pool of size 0 Transaction 29 of length 45 switch message SMBclose (pid 28599) conn 0x8427658 change_to_user: Skipping user change - already user search for pipe pnum=7312 closed pipe name lsarpc pnum=7312 (pipes_open=0) Transaction 30 of length 39 switch message SMBtdis (pid 28599) conn 0x8427658 setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0 setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0 s1 (10.0.0.201) closed connection to service IPC$ Yielding connection to IPC$ vfs_ChDir to / setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0 Transaction 31 of length 43 switch message SMBulogoffX (pid 28599) conn 0x0 setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0 ulogoffX vuid=100 timeout_processing: End of file from client (client has disconnected). setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0 Closing connections Yielding connection to Server exit (normal exit) setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0 Closing connections Yielding connection to yield_connection: tdb_delete for name failed with error Record does not exist. Server exit (Caught TERM signal)

=====================================

(разбито на несколько частей, так как не лезет одним сообщением)

Мде :(
повтор второй части:


netbios connect: name1=SQL             name2=S1             
netbios connect: local=sql remote=s1, name type = 0

switch message SMBnegprot (pid 28599) conn 0x0

Selected protocol NT LM 0.12

switch message SMBsesssetupX (pid 28599) conn 0x0

setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
Doing spnego session setup
NativeOS=[Windows 2000 2195] NativeLanMan=[Windows 2000 5.0] PrimaryDomain=[]
Got OID 1 3 6 1 4 1 311 2 2 10
Got secblob of size 32
Got NTLMSSP neg_flags=0xe0008297
  NTLMSSP_NEGOTIATE_UNICODE
  NTLMSSP_NEGOTIATE_OEM
  NTLMSSP_REQUEST_TARGET
  NTLMSSP_NEGOTIATE_SIGN
  NTLMSSP_NEGOTIATE_LM_KEY
  NTLMSSP_NEGOTIATE_NTLM
  NTLMSSP_NEGOTIATE_ALWAYS_SIGN
  NTLMSSP_NEGOTIATE_128
  NTLMSSP_NEGOTIATE_KEY_EXCH
Transaction 3 of length 326
switch message SMBsesssetupX (pid 28599) conn 0x0

Doing spnego session setup
NativeOS=[Windows 2000 2195] NativeLanMan=[Windows 2000 5.0] PrimaryDomain=[]
Got user=[Administrator] domain=[testdomain] workstation=[S1] len1=24 len2=24
Scanning username map /etc/samba/smbusers

check_ntlm_password:  Checking password for unmapped user [testdomain]\[Administrator]@[S1] with the new password interface
check_ntlm_password:  mapped user is: [testdomain]\[Administrator]@[S1]

init_sam_from_ldap: Entry found for user: Administrator
ntlm_password_check: Checking NT MD4 password
sam_account_ok: Checking SMB password for user Administrator

init_group_from_ldap: Entry found for group: 512

check_ntlm_password: sam authentication for user [Administrator] succeeded

check_ntlm_password:  authentication for user [Administrator] -> [Administrator] -> [Administrator]
succeeded
NTLMSSP Sign/Seal - Initialising with flags:
Got NTLMSSP neg_flags=0x60008295
  NTLMSSP_NEGOTIATE_UNICODE
  NTLMSSP_REQUEST_TARGET
  NTLMSSP_NEGOTIATE_SIGN
  NTLMSSP_NEGOTIATE_LM_KEY
  NTLMSSP_NEGOTIATE_NTLM
  NTLMSSP_NEGOTIATE_ALWAYS_SIGN
  NTLMSSP_NEGOTIATE_128
  NTLMSSP_NEGOTIATE_KEY_EXCH
User name: Administrator        Real name: Administrator
UNIX uid 0 is UNIX user Administrator, and will be vuid 100
Adding homes service for user 'Administrator' using home directory: '/home/Administrator'
adding home's share [Administrator] for user 'Administrator' at '/home/%U'

switch message SMBtconX (pid 28599) conn 0x0

Client requested device type [?????] for share [IPC$]
Connect path is '/tmp' for service [IPC$]
get_share_security: using default secdesc for IPC$
se_access_check: user sid is S-1-5-21-2127937217-1782950159-3468125930-2996
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-512
se_access_check: also S-1-1-0
se_access_check: also S-1-5-2
se_access_check: also S-1-5-11
Initialising default vfs hooks
get_share_security: using default secdesc for IPC$
se_access_check: user sid is S-1-5-21-2127937217-1782950159-3468125930-2996
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-512
se_access_check: also S-1-1-0
se_access_check: also S-1-5-2
se_access_check: also S-1-5-11

s1 (10.0.0.201) connect to service IPC$ initially as user Administrator (uid=0, gid=512) (pid 28599)

tconX service=IPC$ 
Transaction 5 of length 104
switch message SMBntcreateX (pid 28599) conn 0x8427658

vfs_ChDir to /tmp

api_rpcTNP: lsarpc op 0x2c - api_rpcTNP: rpc command: LSA_OPENPOLICY2
se_access_check: user sid is S-1-5-21-2127937217-1782950159-3468125930-2996
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-512
se_access_check: also S-1-1-0
se_access_check: also S-1-5-2
se_access_check: also S-1-5-11
Opened policy hnd[1] 

Transaction 8 of length 134
switch message SMBtrans (pid 28599) conn 0x8427658
change_to_user: Skipping user change - already user
trans <\PIPE\> data=46 params=0 setup=2
named pipe command on <> name

api_rpcTNP: lsarpc op 0x2e - unknown

api_rpcTNP: lsarpc op 0x7 - api_rpcTNP: rpc command: LSA_QUERYINFOPOLICY
Found policy hnd[0] 

switch message SMBntcreateX (pid 28599) conn 0x8427658
change_to_user: Skipping user change - already user
nt_open_pipe: Opening pipe \winreg.

api_rpcTNP: samr op 0x3e - api_rpcTNP: rpc command: SAMR_CONNECT4
se_access_check: user sid is S-1-5-21-2127937217-1782950159-3468125930-2996
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-512
se_access_check: also S-1-1-0
se_access_check: also S-1-5-2
se_access_check: also S-1-5-11

se_access_check: user sid is S-1-5-21-2127937217-1782950159-3468125930-2996
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-512
se_access_check: also S-1-1-0
se_access_check: also S-1-5-2
se_access_check: also S-1-5-11
_samr_open_domain: ACCESS should be DENIED  (requested: 0x00000211)
but overritten by euid == sec_initial_uid()
Opened policy hnd[3] [000] 00 00 00 00 05 00 00 00  00 00 00 00 A6 74 71 41  ........ .....tqA
[010] B7 6F 00 00                                       .o.. 


api_rpcTNP: samr op 0x32 - api_rpcTNP: rpc command: SAMR_CREATE_USER
Found policy hnd[0] [000] 00 00 00 00 05 00 00 00  00 00 00 00 A6 74 71 41  ........ .....tqA
[010] B7 6F 00 00                                       .o.. 

ldapsam_getsampwnam: Unable to locate user [s1$] count=0
pop_sec_ctx (0, 512) - sec_ctx_stack_ndx = 0
/usr/share/samba/scripts/smbldap-useradd: user s1$ exists
_samr_create_user: Running the command `/usr/share/samba/scripts/smbldap-useradd -w -d /dev/null -c 'Machine Account' -s /bin/false s1$' gave 9

api_rpcTNP: lsarpc op 0x0 - api_rpcTNP: rpc command: LSA_CLOSE


free_pipe_context: destroying talloc pool of size 0
Transaction 29 of length 45
switch message SMBclose (pid 28599) conn 0x8427658
change_to_user: Skipping user change - already user
search for pipe pnum=7312
closed pipe name lsarpc pnum=7312 (pipes_open=0)
Transaction 30 of length 39
switch message SMBtdis (pid 28599) conn 0x8427658
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
s1 (10.0.0.201) closed connection to service IPC$
Yielding connection to IPC$
vfs_ChDir to /
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
Transaction 31 of length 43
switch message SMBulogoffX (pid 28599) conn 0x0
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
ulogoffX vuid=100
timeout_processing: End of file from client (client has disconnected).
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
Closing connections
Yielding connection to 
Server exit (normal exit)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
Closing connections
Yielding connection to 
yield_connection: tdb_delete for name  failed with error Record does not exist.
Server exit (Caught TERM signal)

=====================================

(разбито на несколько частей, так как не лезет одним сообщением)

В некоторых howto говорится, что нужен пользователь с uid/gid 0/0
Завожу в ldap root с такими id-ами, в smbusers прописываю root = administrator admin

Запускаем smbd:
теже яйца, вид сбоку :(

=====================================

api_rpcTNP: samr op 0x3e - api_rpcTNP: rpc command: SAMR_CONNECT4
se_access_check: user sid is S-1-5-21-2127937217-1782950159-3468125930-1000
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-1001
se_access_check: also S-1-1-0
se_access_check: also S-1-5-2
se_access_check: also S-1-5-11
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-1003
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-1005
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-1007
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-1009
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-1013
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-1021
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-1023
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-1041
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-1053
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-1055


api_rpcTNP: samr op 0x6 - api_rpcTNP: rpc command: SAMR_ENUM_DOMAINS

api_rpcTNP: samr op 0x5 - api_rpcTNP: rpc command: SAMR_LOOKUP_DOMAIN

api_rpcTNP: samr op 0x7 - api_rpcTNP: rpc command: SAMR_OPEN_DOMAIN

se_access_check: user sid is S-1-5-21-2127937217-1782950159-3468125930-1000
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-1001
se_access_check: also S-1-1-0
se_access_check: also S-1-5-2
se_access_check: also S-1-5-11
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-1003
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-1005
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-1007
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-1009
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-1013
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-1021
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-1023
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-1041
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-1053
se_access_check: also S-1-5-21-2127937217-1782950159-3468125930-1055
_samr_open_domain: ACCESS should be DENIED  (requested: 0x00000211)
but overritten by euid == sec_initial_uid()

api_rpcTNP: samr op 0x32 - api_rpcTNP: rpc command: SAMR_CREATE_USER

/usr/share/samba/scripts/smbldap-useradd: user s1$ exists
_samr_create_user: Running the command `/usr/share/samba/scripts/smbldap-useradd -w -d /dev/null -c
'Machine Account' -s /bin/false s1$' gave 9

api_rpcTNP: samr op 0x1 - api_rpcTNP: rpc command: SAMR_CLOSE_HND

api_rpcTNP: samr op 0x1 - api_rpcTNP: rpc command: SAMR_CLOSE_HND

api_rpcTNP: lsarpc op 0x0 - api_rpcTNP: rpc command: LSA_CLOSE
Found policy hnd[0] [000] 00 00 00 00 01 00 00 00  00 00 00 00 B6 73 71 41  ........ .....sqA
[010] 00 6F 00 00                                       .o.. 
Found policy hnd[0] [000] 00 00 00 00 01 00 00 00  00 00 00 00 B6 73 71 41  ........ .....sqA
[010] 00 6F 00 00                                       .o.. 
Closed policy
free_pipe_context: destroying talloc pool of size 0
Transaction 29 of length 45
switch message SMBclose (pid 28416) conn 0x8423e40
change_to_user: Skipping user change - already user
search for pipe pnum=74b6
closed pipe name lsarpc pnum=74b6 (pipes_open=0)
Transaction 30 of length 39
switch message SMBtdis (pid 28416) conn 0x8423e40
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
s1 (10.0.0.201) closed connection to service IPC$
Yielding connection to IPC$
vfs_ChDir to /
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
Transaction 31 of length 43
switch message SMBulogoffX (pid 28416) conn 0x0
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
ulogoffX vuid=100
timeout_processing: End of file from client (client has disconnected).
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
Closing connections
Yielding connection to 
Server exit (normal exit)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
Closing connections
Yielding connection to 
yield_connection: tdb_delete for name  failed with error Record does not exist.
Server exit (Caught TERM signal)
=====================================

Что она хочет то? :(



(разбито на несколько частей, так как не лезет одним сообщением)

Вот слепок ldap_базы:

====================================== # extended LDIF # # LDAPv3 # base <> with scope sub # filter: (objectclass=*) # requesting: ALL #

# testdomain.lab dn: dc=testdomain,dc=lab objectClass: dcObject objectClass: organization o: testdomain dc: testdomain

# Users, testdomain.lab dn: ou=Users,dc=testdomain,dc=lab objectClass: organizationalUnit ou: Users

# Groups, testdomain.lab dn: ou=Groups,dc=testdomain,dc=lab objectClass: organizationalUnit ou: Groups

# Computers, testdomain.lab dn: ou=Computers,dc=testdomain,dc=lab objectClass: organizationalUnit ou: Computers

# Idmap, testdomain.lab dn: ou=Idmap,dc=testdomain,dc=lab objectClass: organizationalUnit

# NextFreeUnixId, testdomain.lab dn: cn=NextFreeUnixId,dc=testdomain,dc=lab objectClass: inetOrgPerson objectClass: sambaUnixIdPool gidNumber: 1000 cn: NextFreeUnixId uidNumber: 1009

# Administrator, Users, testdomain.lab dn: uid=Administrator,ou=Users,dc=testdomain,dc=lab cn: Administrator sn: Administrator objectClass: inetOrgPerson objectClass: sambaSamAccount objectClass: posixAccount objectClass: shadowAccount gidNumber: 512 uid: Administrator uidNumber: 0 homeDirectory: /home/Administrator sambaLogonTime: 0 sambaLogoffTime: 2147483647 sambaKickoffTime: 2147483647 sambaHomePath: \\SQL\homes\Administrator sambaHomeDrive: H: sambaProfilePath: \\SQL\profiles\Administrator\ sambaPrimaryGroupSID: S-1-5-21-2127937217-1782950159-3468125930-512 sambaSID: S-1-5-21-2127937217-1782950159-3468125930-2996 loginShell: /bin/false gecos: Netbios Domain Administrator sambaLMPassword: E52CAC67419A9A224A3B108F3FA6CB6D sambaNTPassword: 8846F7EAEE8FB117AD06BDD830B7586C sambaPwdCanChange: 1097948658 sambaPwdMustChange: 2147483647 sambaPasswordHistory: 00000000000000000000000000000000000000000000000000000000 00000000 sambaPwdLastSet: 1097948658 sambaAcctFlags: [U ] userPassword:: e0NSWVBUfS5ySktxTDVoSjd3M1k=

# nobody, Users, testdomain.lab dn: uid=nobody,ou=Users,dc=testdomain,dc=lab cn: nobody sn: nobody objectClass: inetOrgPerson objectClass: sambaSamAccount objectClass: posixAccount objectClass: shadowAccount gidNumber: 514 uid: nobody uidNumber: 999 homeDirectory: /dev/null sambaPwdLastSet: 0 sambaLogonTime: 0 sambaLogoffTime: 2147483647 sambaKickoffTime: 2147483647 sambaPwdCanChange: 0 sambaPwdMustChange: 2147483647 sambaHomePath: \\SQL\homes\nobody sambaHomeDrive: H: sambaProfilePath: \\SQL\profiles\nobody sambaPrimaryGroupSID: S-1-5-21-2127937217-1782950159-3468125930-514 sambaLMPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXX sambaNTPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXX sambaAcctFlags: [NU ] sambaSID: S-1-5-21-2127937217-1782950159-3468125930-2998 loginShell: /bin/false

# Domain Admins, Groups, testdomain.lab dn: cn=Domain Admins,ou=Groups,dc=testdomain,dc=lab objectClass: posixGroup objectClass: sambaGroupMapping gidNumber: 512 cn: Domain Admins memberUid: Administrator description: Netbios Domain Administrators sambaSID: S-1-5-21-2127937217-1782950159-3468125930-512 sambaGroupType: 2 displayName: Domain Admins

# Domain Users, Groups, testdomain.lab dn: cn=Domain Users,ou=Groups,dc=testdomain,dc=lab objectClass: posixGroup objectClass: sambaGroupMapping gidNumber: 513 cn: Domain Users description: Netbios Domain Users sambaSID: S-1-5-21-2127937217-1782950159-3468125930-513 sambaGroupType: 2 displayName: Domain Users memberUid: test1 memberUid: test2

# Domain Guests, Groups, testdomain.lab dn: cn=Domain Guests,ou=Groups,dc=testdomain,dc=lab objectClass: posixGroup objectClass: sambaGroupMapping gidNumber: 514 cn: Domain Guests description: Netbios Domain Guests Users sambaSID: S-1-5-21-2127937217-1782950159-3468125930-514 sambaGroupType: 2 displayName: Domain Guests

# Print Operators, Groups, testdomain.lab dn: cn=Print Operators,ou=Groups,dc=testdomain,dc=lab objectClass: posixGroup objectClass: sambaGroupMapping gidNumber: 550 cn: Print Operators description: Netbios Domain Print Operators sambaSID: S-1-5-32-550 sambaGroupType: 5 displayName: Print Operators

# Backup Operators, Groups, testdomain.lab dn: cn=Backup Operators,ou=Groups,dc=testdomain,dc=lab objectClass: posixGroup objectClass: sambaGroupMapping gidNumber: 551 cn: Backup Operators description: Netbios Domain Members can bypass file security to back up files sambaSID: S-1-5-32-551 sambaGroupType: 5 displayName: Backup Operators

# Replicators, Groups, testdomain.lab dn: cn=Replicators,ou=Groups,dc=testdomain,dc=lab objectClass: posixGroup objectClass: sambaGroupMapping gidNumber: 552 cn: Replicators description: Netbios Domain Supports file replication in a sambaDomainName sambaSID: S-1-5-32-552 sambaGroupType: 5 displayName: Replicators

...и последняя часть в следующем сообщении

Вот слепок ldap_базы:

======================================
# extended LDIF
#
# LDAPv3
# base <> with scope sub
# filter: (objectclass=*)
# requesting: ALL
#

# testdomain.lab
dn: dc=testdomain,dc=lab
objectClass: dcObject
objectClass: organization
o: testdomain
dc: testdomain

# Users, testdomain.lab
dn: ou=Users,dc=testdomain,dc=lab
objectClass: organizationalUnit
ou: Users

# Groups, testdomain.lab
dn: ou=Groups,dc=testdomain,dc=lab
objectClass: organizationalUnit
ou: Groups

# Computers, testdomain.lab
dn: ou=Computers,dc=testdomain,dc=lab
objectClass: organizationalUnit
ou: Computers

# Idmap, testdomain.lab
dn: ou=Idmap,dc=testdomain,dc=lab
objectClass: organizationalUnit

# NextFreeUnixId, testdomain.lab
dn: cn=NextFreeUnixId,dc=testdomain,dc=lab
objectClass: inetOrgPerson
objectClass: sambaUnixIdPool
gidNumber: 1000
cn: NextFreeUnixId
uidNumber: 1009

# Administrator, Users, testdomain.lab
dn: uid=Administrator,ou=Users,dc=testdomain,dc=lab
cn: Administrator
sn: Administrator
objectClass: inetOrgPerson
objectClass: sambaSamAccount
objectClass: posixAccount
objectClass: shadowAccount
gidNumber: 512
uid: Administrator
uidNumber: 0
homeDirectory: /home/Administrator
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaHomePath: \\SQL\homes\Administrator
sambaHomeDrive: H:
sambaProfilePath: \\SQL\profiles\Administrator\
sambaPrimaryGroupSID: S-1-5-21-2127937217-1782950159-3468125930-512
sambaSID: S-1-5-21-2127937217-1782950159-3468125930-2996
loginShell: /bin/false
gecos: Netbios Domain Administrator
sambaLMPassword: E52CAC67419A9A224A3B108F3FA6CB6D
sambaNTPassword: 8846F7EAEE8FB117AD06BDD830B7586C
sambaPwdCanChange: 1097948658
sambaPwdMustChange: 2147483647
sambaPasswordHistory: 00000000000000000000000000000000000000000000000000000000
 00000000
sambaPwdLastSet: 1097948658
sambaAcctFlags: [U          ]
userPassword:: e0NSWVBUfS5ySktxTDVoSjd3M1k=

# nobody, Users, testdomain.lab
dn: uid=nobody,ou=Users,dc=testdomain,dc=lab
cn: nobody
sn: nobody
objectClass: inetOrgPerson
objectClass: sambaSamAccount
objectClass: posixAccount
objectClass: shadowAccount
gidNumber: 514
uid: nobody
uidNumber: 999
homeDirectory: /dev/null
sambaPwdLastSet: 0
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
sambaPwdMustChange: 2147483647
sambaHomePath: \\SQL\homes\nobody
sambaHomeDrive: H:
sambaProfilePath: \\SQL\profiles\nobody
sambaPrimaryGroupSID: S-1-5-21-2127937217-1782950159-3468125930-514
sambaLMPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXX
sambaNTPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXX
sambaAcctFlags: [NU         ]
sambaSID: S-1-5-21-2127937217-1782950159-3468125930-2998
loginShell: /bin/false

# Domain Admins, Groups, testdomain.lab
dn: cn=Domain Admins,ou=Groups,dc=testdomain,dc=lab
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 512
cn: Domain Admins
memberUid: Administrator
description: Netbios Domain Administrators
sambaSID: S-1-5-21-2127937217-1782950159-3468125930-512
sambaGroupType: 2
displayName: Domain Admins

# Domain Users, Groups, testdomain.lab
dn: cn=Domain Users,ou=Groups,dc=testdomain,dc=lab
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 513
cn: Domain Users
description: Netbios Domain Users
sambaSID: S-1-5-21-2127937217-1782950159-3468125930-513
sambaGroupType: 2
displayName: Domain Users
memberUid: test1
memberUid: test2

# Domain Guests, Groups, testdomain.lab
dn: cn=Domain Guests,ou=Groups,dc=testdomain,dc=lab
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 514
cn: Domain Guests
description: Netbios Domain Guests Users
sambaSID: S-1-5-21-2127937217-1782950159-3468125930-514
sambaGroupType: 2
displayName: Domain Guests

# Print Operators, Groups, testdomain.lab
dn: cn=Print Operators,ou=Groups,dc=testdomain,dc=lab
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 550
cn: Print Operators
description: Netbios Domain Print Operators
sambaSID: S-1-5-32-550
sambaGroupType: 5
displayName: Print Operators

# Backup Operators, Groups, testdomain.lab
dn: cn=Backup Operators,ou=Groups,dc=testdomain,dc=lab
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 551
cn: Backup Operators
description: Netbios Domain Members can bypass file security to back up files
sambaSID: S-1-5-32-551
sambaGroupType: 5
displayName: Backup Operators

# Replicators, Groups, testdomain.lab
dn: cn=Replicators,ou=Groups,dc=testdomain,dc=lab
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 552
cn: Replicators
description: Netbios Domain Supports file replication in a sambaDomainName
sambaSID: S-1-5-32-552
sambaGroupType: 5
displayName: Replicators

# DSA, testdomain.lab
dn: ou=DSA,dc=testdomain,dc=lab
objectClass: top
objectClass: organizationalUnit
description: security accounts for LDAP clients

# samba, DSA, testdomain.lab
dn: cn=samba,ou=DSA,dc=testdomain,dc=lab
objectClass: organizationalRole
objectClass: top
objectClass: simpleSecurityObject
userPassword:: c2FtYmFwd2Q=
cn: samba

# nssldap, DSA, testdomain.lab
dn: cn=nssldap,ou=DSA,dc=testdomain,dc=lab
objectClass: organizationalRole
objectClass: top
objectClass: simpleSecurityObject
userPassword:: bnNzbGRhcHB3ZA==
cn: nssldap

# smbldap-tools, DSA, testdomain.lab
dn: cn=smbldap-tools,ou=DSA,dc=testdomain,dc=lab
objectClass: organizationalRole
objectClass: top
objectClass: simpleSecurityObject
userPassword:: c21ibGRhcHB3ZA==
cn: smbldap-tools

# test1, Users, testdomain.lab
dn: uid=test1,ou=Users,dc=testdomain,dc=lab
objectClass: top
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
cn: test1
sn: test1
uid: test1
uidNumber: 1000
gidNumber: 513
homeDirectory: /home/test1
loginShell: /bin/bash
gecos: System User
description: System User
userPassword:: e01ENX1XaEJlaTUxQTRUS1hnTll1b2laZGlnPT0=

# test2, Users, testdomain.lab
dn: uid=test2,ou=Users,dc=testdomain,dc=lab
objectClass: top
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: sambaSamAccount
cn: test2
sn: test2
uid: test2
uidNumber: 1003
gidNumber: 513
homeDirectory: /home/test2
loginShell: /bin/bash
gecos: System User
description: System User
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
displayName: System User
sambaSID: S-1-5-21-2127937217-1782950159-3468125930-3006
sambaPrimaryGroupSID: S-1-5-21-2127937217-1782950159-3468125930-513
sambaLogonScript: test2.cmd
sambaProfilePath: \\SQL\profiles\test2
sambaHomePath: \\SQL\homes\test2
sambaHomeDrive: H:
sambaLMPassword: E3FDADCB358C2967AAD3B435B51404EE
sambaAcctFlags: [U]
sambaNTPassword: 0E8231621F574D3636255FF36DD86C9C
sambaPwdLastSet: 1097778139
sambaPwdMustChange: 1106331739
userPassword:: e01ENX1yUUkwZ3BJRnVRTXhscnFCajNxSEt3PT0=

# TESTDOMAIN, testdomain.lab
dn: sambaDomainName=TESTDOMAIN,dc=testdomain,dc=lab
sambaDomainName: TESTDOMAIN
sambaSID: S-1-5-21-2127937217-1782950159-3468125930
sambaAlgorithmicRidBase: 1000
objectClass: sambaDomain
sambaNextUserRid: 41000
sambaNextGroupRid: 41001

# s1$, Computers, testdomain.lab
dn: uid=s1$,ou=Computers,dc=testdomain,dc=lab
objectClass: top
objectClass: inetOrgPerson
objectClass: posixAccount
cn: s1$
sn: s1$
uid: s1$
uidNumber: 1008
gidNumber: 515
homeDirectory: /dev/null
loginShell: /bin/false
description: Computer
gecos: Computer

# root, Users, testdomain.lab
dn: uid=root,ou=Users,dc=testdomain,dc=lab
cn: root
sn: root
objectClass: inetOrgPerson
objectClass: sambaSamAccount
objectClass: posixAccount
gidNumber: 0
uid: root
uidNumber: 0
homeDirectory: /root
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaSID: S-1-5-21-2127937217-1782950159-3468125930-1000
sambaPrimaryGroupSID: S-1-5-21-2127937217-1782950159-3468125930-1001
displayName: root
sambaAcctFlags: [U          ]
loginShell: /dev/bash
gecos: Admin
sambaPwdMustChange: 2147483647
sambaPasswordHistory: 00000000000000000000000000000000000000000000000000000000
 00000000
sambaPwdCanChange: 1097952922
sambaLMPassword: E52CAC67419A9A224A3B108F3FA6CB6D
sambaNTPassword: 8846F7EAEE8FB117AD06BDD830B7586C
sambaPwdLastSet: 1097952922
userPassword:: e0NSWVBUfUNlU0xCLkhpWmJOYTI=

# search result
search: 2
result: 0 Success

# numResponses: 27
# numEntries: 26

-----------------------------------------------

уф.

Вопрос стандартный, что делать? 
Кто виноват, понятно - я, где то что то недопонял. Вот только где? :)

http://forum.ixbt.com/0076/002306.html
возможно поможет

Кстати, вот у меня машины и юзеры - в разных ветках, getent всё находит на ура!
У меня юзеры в Users, а машины - в Computers.
Мало того. У меня на одном хосте - несколько самб (т.е. несколько доменов). И __ВСЕ__ аккаунты, в том числе и машинные, находятся успешно.

Всё достаточно легко. В /etc/ldap.conf у меня такие строчки:

nss_base_passwd  dc=ymgeo,dc=ru?sub
nss_base_shadow  dc=ymgeo,dc=ru?sub
nss_base_group   dc=ymgeo,dc=ru?sub

А доменов может быть куча:
dc=LDAP1,dc=ymgeo,dc=ru
dc=LDAP2,dc=ymgeo,dc=ru
dc=LDAP3,dc=ymgeo,dc=ru
      ..........
и так далее. Т.е. я lookup настроил на базовую ветку.
А мне говорили нельзя разносить юзеров и машины .... :)

После нескольких дней мучений я нашёл нужную мне конфигурацию настроек,
даже написал специальный скрипт для быстрого создания доменов на самбе.
Единственная проблема - я никак не могу добиться, чтобы самба с первого
раза создавала пользователей и машины, и винда при этом не выводила
никакой ошибки.
У меня всё делается почему-то на второй раз :)
Просто операцию создания пользователя или машины в домене надо делать
два раза. Какие я только ключи не делал к smbldap_tools скриптам - 
не помогло.

Ещё, кстати, такой вопрос:
Если я пишу в add machine script параметр -w u%, то у меня создаётся
POSIX account. А надо то ведь самбовский! Или я что-то не так понимаю?
Мне пришлось изменить этот скрипт, чтобы создавался аккаунт домена,
а потом уже винда дописывает пароль. А с Posix аккаунтом у меня ничего
не выходило. Кто знает этот механизм и как избежать "двойных" действий
в самбе?

У меня были такие грабли:

1) Название группы, в которой был маздай отличалось от имени домена при заведении, причём после изменения имени группы надо перегрузиться.

2) Если после логина под маздаем были попытки зайти на самба-шары, то эта сволочь (маздай) сохраняет сессию и потом уже не авторизует администратора домена при добавлении.

3) Windows 2000 без сервис-пака не добавляется (у меня по крайней мере), точно не помню с какого сервис-пака она начинает добавляться, с SP4 точно работает

>У меня на одном хосте - несколько самб (т.е. несколько доменов).
>И __ВСЕ__ аккаунты, в том числе и машинные, находятся успешно.
Про несколько самб речи не было ;), а мысли разносить dc=, dc= верные.

>Кстати, вот у меня машины и юзеры - в разных ветках, getent всё находит >на ура!
>У меня юзеры в Users, а машины - в Computers.
А где пример? так чтобы ou=computers,=dc= и ou=users,=dc=.
или у тебя вложение типа ou=computers,ou=users,=dc=?

>Ещё, кстати, такой вопрос:
>Если я пишу в add machine script параметр -w u%, то у меня создаётся
>POSIX account. А надо то ведь самбовский! Или я что-то не так понимаю?
Все правильно, при вводе в домен smbpasswd автоматом пропишет необходимый objectClass и атрибуты, у меня так.

> А где пример? так чтобы ou=computers,=dc= и ou=users,=dc=. или у тебя вложение типа ou=computers,ou=users,=dc=?

Никакого вложения у меня нет. У меня так:

dn: dc=TEST,dc=ymgeo,dc=ru
objectClass: dcObject
objectClass: organization
o: TEST,dc=ymgeo
dc: TEST

dn: ou=Users,dc=TEST,dc=ymgeo,dc=ru
objectClass: organizationalUnit
ou: Users

dn: ou=Groups,dc=TEST,dc=ymgeo,dc=ru
objectClass: organizationalUnit
ou: Groups

dn: ou=Computers,dc=TEST,dc=ymgeo,dc=ru
objectClass: organizationalUnit
ou: Computers

dn: uid=Administrator,ou=Users,dc=TEST,dc=ymgeo,dc=ru
cn: Administrator
sn: Administrator
objectClass: inetOrgPerson
objectClass: sambaSamAccount
objectClass: posixAccount
objectClass: shadowAccount
gidNumber: 512
uid: Administrator
uidNumber: 0
homeDirectory: /multiDomain/multiSamba/data/TEST-PDC/data/home/Administrator
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaPwdMustChange: 2147483647
sambaHomePath: \\test_pdc\Administrator
sambaHomeDrive: H:
sambaProfilePath: \\test_pdc\profiles\Administrator\
sambaPrimaryGroupSID: S-1-5-21-3744846877-738158565-2857961089-512
sambaAcctFlags: [U          ]
sambaSID: S-1-5-21-3744846877-738158565-2857961089-2996
loginShell: /bin/false
gecos: Netbios Domain Administrator
sambaLMPassword: AAAB261B2008C113AAD3B435B51404EE
sambaNTPassword: 5E8C03CCBC34F2E2E6CFC57102C91C09
sambaPasswordHistory: 0000000000000000000000000000000000000000000000000000000000
 000000
sambaPwdLastSet: 1097835738
userPassword: {SMD5}yG2Mkmg4viLcF27UY2HJ+pKNHx4=
sambaPwdCanChange: 0
shadowExpire: 99999

.................. ля ля ля ......

dn: uid=test_bdc$,ou=Computers,dc=TEST,dc=ymgeo,dc=ru
cn: test_bdc$
sn: test_bdc$
uid: test_bdc$
uidNumber: 1000
gidNumber: 513
homeDirectory: /dev/null
loginShell: /bin/false
description: Computer
gecos: Computer
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: sambaSamAccount
sambaSID: S-1-5-21-3744846877-738158565-2857961089-3000
sambaPwdCanChange: 1097835740
sambaPwdMustChange: 2147483647
sambaLMPassword: 3C41B686284582717F86C5461E6B72AA
sambaNTPassword: 84428F83C27C379EB7E4B0BEF570299A
sambaPwdLastSet: 1097835740
sambaAcctFlags: [S          ]

и так далее ....

причём, getent passwd:

....................

Administrator:x:0:512:Netbios Domain Administrator:/multiDomain/multiSamba/data/TEST-PDC/data/home/Administrator:/bin
/false
nobody:x:999:514:nobody:/dev/null:/bin/false
test_bdc$:x:1000:513:Computer:/dev/null:/bin/false
user:x:1001:513:System User:/multiDomain/multiSamba/data/TEST-PDC/data/home/user:/bin/bash
vmroman$:x:1002:513:Computer:/dev/null:/bin/false

getent group:

...........

wine:x:66:
ccache:x:101:
computers:x:28266:
ldap:x:500:
Domain Admins:x:512:Administrator
Domain Users:x:513:user
Domain Guests:x:514:
Print Operators:x:550:
Backup Operators:x:551:
Replicators:x:552:

Ну и так далее. Как я настраивал /etc/ldap.conf - я уже говорил выше.
И это пример только одного домена. в других всё аналогично.

Единственное, что не получается - чтобы автоматом добавлятся нужный
objectClass. Пока что у меня ничего не добавляет :(
Что у тебя в smb.conf? Т.е. что стоит в таких параметрах:

passwd program
add machine script
add user script

???

И ещё у меня в smbldap.conf такое:

with_smbpasswd="0"                <--- что тут должно быть, чтобы работало?
smbpasswd="/usr/bin/smbpasswd"

mk_ntpasswd="/multiDomain/multiSamba/data/TEST-PDC/smbldap-tools/mkntpwd&qu
ot;

у тебя так или по-другому?

а для машинных записей создаешь чем первоначальную структуру?
а добавляешь в домен как?

автоматом будет добавляться если делать как ou=computers,ou=users так как у тебя просто уч.запись машины не находит.

Уффф .... кажется мы с тобой никак понять друг друга не можем.

add user script = /multiDomain/multiSamba/data/TEST2-PDC/smbldap-tools/smbldap-useradd -a -m "%u"

add machine script = /multiDomain/multiSamba/data/TEST2-PDC/smbldap-tools/smbldap-useradd -w "%u"

вот и все прибамбасы для создания пользователей и доменов

smbldap-tools-0.8.5

Как я только ни делал - и так:
ou=computers,ou=users
и так:
ou=computers,dc=...
ou=users,dc=...
никак не хочет!!!
Повторяю, что машинные аккаунты система В ЛЮБОМ СЛУЧАЕ видит!
Ты наверное просто плохо понимаешь параметр scope {base,one,sub}
в файле /etc/ldap.conf

Как раз таки, если указать в качестве базы основную ветку и сказать,
что scope у нас будет sub - то будет поиск в поддиректории!
А если one - то только в указанной ветке.

nss_base_passwd  dc=ymgeo,dc=ru?sub
nss_base_shadow  dc=ymgeo,dc=ru?sub
nss_base_group   dc=ymgeo,dc=ru?sub

У меня это работает.

Винда при попытке включения в домен в первый раз выдаёт ошибку -
аккаунт не найден, причём самба этот аккаунт уже успешно создаёт.
Во второй раз всё отлично!!
Есть такая программа под винду - LdapAdmin. Так вот, если там заранее
создать аккаунт для машины, то винда подключится с первого раза!!
Просто в первый раз отрабатывает самбовский скрипт по созданию аккаунта,
а во второй раз уже он находится. Почему-то винда его ищет раньше, чем
самба успевает создать.
Но тут ещё вот что. Создаётся POSIX аккаунт. Может быть, так и задумано,
но винда ну никак просто не хочет изменять его на sambaSAMaccount.
Что ни делай. Мне пришлось изменить скрипт в smbldap-tools,
чтобы самба создавала свой аккаунт вместо posix.
Но проблема повтора действий для создания аккаунта или машины
всё равно осталась. Всё нужно делать 2 раза. :(
Поэтому, если ты всё же склонен думать, что проблема во вложенности
хостов в юзеры, то я думаю, что не в этом. Потому что я уже по-всякому
пробовал.
Кто-нибудь может мне объяснить, чем обусловлено такое поведение
самбы, что она с первого раза не пашет?

все ясно, я пропустил вариант:
nss_base_passwd dc=ymgeo,dc=ru?sub
nss_base_shadow dc=ymgeo,dc=ru?sub
nss_base_group dc=ymgeo,dc=ru?sub

какую винду пытаешься в домен добавлять?

Пытаюсь добавить w2k, сначала пробовал SP1, затем  SP4 установил на неё.

Странно, что у тебя работает. Вот я и хотел узнать, что такого у тебя
в конфиге и как у тбея работает, а у меня - нет ... :)

Если тебе нетрудно, можешь описать, как у тебя это работает?
Ну то есть, какие скрипты вызываются и с какими параметрами.
Уж не знаю, куда копать :(