LINUX.ORG.RU

Сообщения VrDrakon

 

NAS Asustor на LDAP и домен IPA.

Форум — Admin

Привет, ребят… Собственно ситуация сложилась примерно так:

Домен IPA (Или FreeIPA) и хранилище анаNAS в лице Asustor. Последняя железяка имеет всего два стула способа аунтефикации, это LDAP и AD, второй способ не сработает так как samba судя по конфигам IPA сервера, он этого не поддерживает (И вообще, насколько знаю лучше не редактировать ручками файлы в домене IPA за исключением BIND файлов):

# See smb.conf.example for a more detailed config file or
# read the smb.conf manpage.
# Run 'testparm' to verify the config is correct after
# you modified it.
#
# Note:
# SMB1 is disabled by default. This means clients without support for SMB2 or
# SMB3 are no longer able to connect to smbd (by default).

[global]
        workgroup = SAMBA
        security = user

        passdb backend = tdbsam

        printing = cups
        printcap name = cups
        load printers = yes
        cups options = raw

        # Install samba-usershares package for support
        include = /etc/samba/usershares.conf

[homes]
        comment = Home Directories
        valid users = %S, %D%w%S
        browseable = No
        read only = No
        inherit acls = Yes

[printers]
        comment = All Printers
        path = /var/tmp
        printable = Yes
        create mask = 0600
        browseable = No

[print$]
        comment = Printer Drivers
        path = /var/lib/samba/drivers
        write list = @printadmin root
        force group = @printadmin
        create mask = 0664
        directory mask = 0775

Собственно… Каким-то образом смог заставить NAS войти в LDAP, однако при авторизации со стороны хранилища появляется следующий прикол:

Unable to acquire sambaNTPassword and sambaPwdLastSet attributes of certain LDAP users, this may be caused by targeted LDAP server's lack of those attributes or insufficient privileges of the Bind DN in use. Samba service may not work properly for these users.

Но далее, всё успешно, пользователи видятся и даже в Web-интерфейсе можно авторизироваться и пользоваться файлами, даже больше скажу, можно подключаться по FTP с авторизацией (Что нам не подходит скорее всего, так как не нашёл способа создавать общие диски на несколько пользователей, при авторизации сразу кидает в домашнюю папку пользователя)… И на этом всё. Далее при попытке авторизации CIFS (В домене нет хостов с Windows, only Linux) NAS посылает куда подальше. Подключившись к нему по SSH, а затем уже приказав дать логи, принесли сей прикол х2:

  check_ntlm_password:  Authentication for user [xxx.xxx] -> [xxx.xxx@xxx.xxx] FAILED with error NT_STATUS_NO_SUCH_USER, authoritative=1
[2024/10/02 16:22:52.281069,  2, pid=15138, effective(0, 0), real(0, 0)] ../../auth/auth_log.c:653(log_authentication_event_human_readable)
  Auth: [SMB2,(null)] user [xxx.xxx]\[xxx.xxx] at [Wed, 02 Oct 2024 16:22:52.281052 AST] with [NTLMv2] status [NT_STATUS_NO_SUCH_USER] workstation [DESKTOP-xxx-xxx] remote host [ipv4:xxx.xxx.xxx.xxx:41252] mapped to [xxx.xxx]\[xxx.xxx@xxx.xxx]. local host [ipv4:192.168.193.2:445] 
[2024/10/02 16:22:52.281104,  3, pid=15138, effective(0, 0), real(0, 0)] ../../source3/auth/auth_util.c:2245(do_map_to_guest_server_info)
  No such user xxx.xxx [xxx.xxx] - using guest account
[2024/10/02 16:22:52.294144,  2, pid=15085, effective(0, 0), real(0, 0)] ../../source3/winbindd/winbindd_rpc.c:301(rpc_name_to_sid)
  name_to_sid: failed to lookup name: NT_STATUS_NONE_MAPPED
[2024/10/02 16:22:52.295338,  2, pid=15085, effective(0, 0), real(0, 0)] ../../source3/winbindd/winbindd_rpc.c:301(rpc_name_to_sid)
  name_to_sid: failed to lookup name: NT_STATUS_NONE_MAPPED
[2024/10/02 16:22:52.297499,  1, pid=15138, effective(0, 0), real(0, 0)] ../../source3/smbd/service.c:369(create_connection_session_info)
  create_connection_session_info: guest user (from session setup) not permitted to access this share (User Homes)
[2024/10/02 16:22:52.297538,  1, pid=15138, effective(0, 0), real(0, 0)] ../../source3/smbd/service.c:659(make_connection_snum)
  create_connection_session_info failed: NT_STATUS_ACCESS_DENIED

Заранее предвидя вопрос о необходимости конфига с NAS, прикладываю его для Вас:

[global]
workgroup = WORKGROUP
server string = 
security = USER
display charset = UTF-8
unix charset = UTF-8
encrypt passwords = yes
passdb backend = ldapsam:ldap://xxx.xxx.xxx.xxx
log file = /home/admin/AS_ServiceDebugLog/samba.log
max log size = 20480
socket options = IPTOS_LOWDELAY TCP_NODELAY
oplocks = yes
deadtime = 15
create mask = 0777
directory mask = 0777
guest account = guest
map to guest = Bad User
restrict anonymous = 0
ntlm auth = yes
hide files = /Network Trash Folder/Temporary Items/lost+found/:2e*/
min receivefile size = 0
server max protocol = SMB3
server min protocol = SMB2
server signing = auto
ldap enabled = yes
local master = no
server multi channel support = no
log level = 2 auth:3
ldap suffix = DC=centrikt,DC=lc
ldap admin dn = UID=xxx.xxx.xxx,CN=users,CN=accounts,DC=xxx,DC=xxx
ldap ssl = start tls
ldap domain suffix = @xxx.xxx
ldap user suffix = CN=users,CN=accounts
ldap group suffix = CN=groups,CN=accounts
ldap id offset = 1000000

[Home]
path = /volume1/home/%u
comment = Home directory
browseable = yes
guest ok = no
valid users = "%U","%D\%U"
write list = "%U","%D\%U"
recycle bin = 1
available = yes
nt acl support = no
encrypt status = 0
auto mount = 0
hide = 0
netdrv info = 0
anonymous access = 3
read list = 
invalid users = 

[User Homes]
path = /share/User Homes
comment = All users' home directories
browseable = yes
guest ok = no
available = yes
anonymous access = 3
encrypt status = 0
auto mount = 0
hide = 0
recycle bin = 1
valid users = "root",@"administrators"
read list = 
write list = "root",@"administrators"
invalid users = 

[Public]
path = /volume1/Public
comment = System default share
browseable = yes
available = yes
nt acl support = no
encrypt status = 0
auto mount = 0
hide = 0
recycle bin = 1
netdrv info = 0
anonymous access = 2
valid users = "root","xxx","guest",@"users"
read list = "sysadm","guest"
write list = "root",@"users"
invalid users = 

[Web]
path = /volume1/Web
comment = Web default shared folder
browseable = yes
available = yes
nt acl support = no
encrypt status = 0
auto mount = 0
hide = 0
recycle bin = 1
netdrv info = 0
anonymous access = 3
valid users = "root","xxx","guest",@"administrators"
read list = "sysadm","guest"
write list = "root",@"administrators"
invalid users =

Полагаю, что не один такой и следовательно прошу помощи, так как смело могу заявить, что идеи того, что можно сделать - закончились.

 , , ,

VrDrakon
()
9 комментариев

xRDP - Один пользователь, одна сессия

Форум — Admin

Приветствую всех заблудших на этот топик… Вообщем, требуется каким-то образом заставить работать xRDP на оболочке Cinnamon следующим образом:

Пользователь DeD вошёл в сессию локально, но при этом может подключиться с другого устройства к этой же сессии, причём, с нескольких разных устройств.

Пробовал мучать такие замечательные файлы, как xrdp.ini, sesman.ini, startwm.sh и даже до локального добрался, коим является .xsession (Но он максимально неинтересен). Максимум чего удалось добиться, это того, что xRDP создаёт новую сессию, причём, такое удавалось только истязание файла startwm.sh с добавлением таких специй, как: export $(dbus-launch) или же unset DBUS_SESSION_BUS_ADDRESS unset XDG_RUNTIME_DIR. Собственно… Так как же добиться желаемой цели, ибо уж слишком маловероятно что xRDP в такое не умеет?

 , ,

VrDrakon
()
18 комментариев

Samba + openLDAP не синхронизируются изменения

Форум — Admin

Доброго времени суток, ребят. Есть две виртуальные машины, на одной установлен openLDAP по сие инструкции, а на другой Samba в качестве ADDC. Совместил их по следующей инструкции и всё было бы хорошо если бы не проблема отсутствия синхронизации между ними, то есть, если в ldap(или samba) создать пользователя, то в samba(или ldap) не будет никаких изменений. Вручную так и не понял как заставить ldap прочитать БД samba.

Но в целом, при первоначальной настройке, всё было нормально (Или Мне так казалось) ибо пользователя которого создал в samba, к которой позже подцепил openLDAP, отобразился в ldap (Просмотр через lam).

Вот конфиг samba:

# Global parameters
[global]
        dns forwarder = 8.8.8.8
        netbios name = dc
        realm = domain.LC
        server role = active directory domain controller
        workgroup = domain
        ldap ssl = start tls
#       ldapp ssl ads = yes
        winbind enum users = yes
        winbind enum groups = yes

        valid users = $a

        unix passwd sync - yes
        passwd program = /usr/bin/passwd Xu
        passwd chat = "*Enter OLD passwd*" *o\\n "*Enter NEW password" *n\\n "*Reenter NEW
        password*" *n\\n "*Password changed*"
# LDAP Settings
passdb backend = ldapsam:ldap://xxx.xxx.xxx.xxx
ldap suffix = dc=domain,dc=lc
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
ldap admin dn = cn=admin,dc=domain,dc=lc
ldap ssl = start tls
ldap passwd sync = yes

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[netlogon]
        path = /var/lib/samba/sysvol/domain.lc/scripts
        read only = No

[avatars]
       path = /var/lib/samba/avatars
       browseable = yes
       read only = no
       valid users = @"CN=Users,DC=domain,DC=lc"
       create mask = 0644
       directory mask = 0755
       read list = @"CN=Users,DC=domain,DC=lc"
       write list = @"CN=Users,DC=domain,DC=lc"

P.S.> Пытался ещё настроить аватарки, но сейчас не до этого.

 , ,

VrDrakon
()
15 комментариев

Настройка КД на SAMBA и BIND9 с WEB управлением

Форум — Admin

Здравствуйте, ребят. Имеется задача настроить КД на связке Samba в качестве ADDC и BIND9 в качестве DNS сервера для локальной сети, так же, за неимением WEB интерфейсов для управления первыми двумя сервисами, для Samba решаюсь установить LAM (И соответственно OpenLDAP) и PowerDNS (С PowerDNS-Admin для BIND9, хотя и есть успешные попытки установки fmDNS). Система Ubuntu Server 2024. Парки машин в основном либо Fedora-ные машины, либо Ubuntu-овые машины (Точнее Mint стоит, но сути не меняет).

Потратил кучу времени и сил и никак этот конструктор не могу собрать, в целом по отдельности они-то работают, но целый пакет инструкций и документации никак не позволяет собрать всё это, вот пример статей: Astra Samba, AltLinux Samba, Samba.

Итак, желаю получить КД на SAMBA и BIND9 с WEB-интерфейсами для администрирования пользователями, групповыми политиками (Ну типа) и DNS записями в локальной сети (Нужно для внутреннего ПО), ибо IPA немного не подходит и + документации мало.

Проблемы таковы, что, не получается нормально связать BIND9 и SAMBA, либо же мало понимаю как должно работать, ошибок нет и записи вроде как и через dig, и через ping, и даже через samba-tool, однако rdnc dumpdb полностью молчит. Потратил недели 4… И откровено говоря выдохся, потому прошу помочь решить этот мозговой штурм.

P.S.> Так же перебирал варианты отсюда и не очень успешно: GitHub Awesome Sysadmin

 , , , ,

VrDrakon
()
30 комментариев

RSS подписка на новые темы