URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 2484
[ Назад ]

Исходное сообщение
"Домен на самбе + DOMAIN_MEMBER + LDAP, запутался с SIDами"

Отправлено VaaN , 21-Сен-11 13:18 
Есть домен с PDC и BDC всё на samba 3.5.11. Для хранения учёток работает отдельный OpenLDAP сервер + один на BDC с репликацией с основного. Хочу поставить ещё один сервер, просто как член домена без своего LDAPа, с единственной шарой. Думал брать учётки с того же основного LDAP'а, запустил NSS_LDAP чтобы видеть пользователей и настроил самбу, включил сервер в домен. Но сервер не видит SIDы, точнее не то чтобы не видит, при старте сервера он создаёт в LDAP новую запись вида 'sambaDomainName=имясервера' (не в этом ли дело?) и начинает ругаться что все сиды неправильные
cat /var/log/samba/samba.log
[2011/09/21 11:32:20.424258,  0] passdb/passdb.c:627(lookup_global_sam_name)
  User admin with invalid SID S-1-5-21-2277618445-1058221198-1884921671-1001 in passdb
соответственно установить права не даёт, пишет в логе неизвестный SID.
[2011/09/21 13:00:16.165910,  1] modules/nfs4_acls.c:624(smbacl4_fill_ace4)
  nfs4_acls.c: file [TestDir]: could not convert S-1-5-21-2277618445-1058221198-884921671-1013 to gid
Если права добавить руками (
>setfacl -m group:marketing:rwx::allow /data/TestDir/
>getfacl /data/TestDir/

# file: /data/TestDir/
# owner: admin
# group: admins
    group:Marketing:rwx-----------:------:allow
everyone@:rwxpD-a-R-c--s:fd----:allow)
в виндовом окошке видно SID без имени со знаком вопроса.
группа в системе и в LDAP видна

>pw showgroup marketing

Marketing:*:24744:...

>ldapsearch -LLL -x -b 'dc=wg,dc=ru' 'cn=Marketing'

dn: cn=Marketing,ou=groups,dc=wg,dc=ru
objectClass: posixGroup
objectClass: top
objectClass: sambaGroupMapping
cn: Marketing
gidNumber: 24744
memberUid: ...
sambaSID: S-1-5-21-2277618445-1058221198-1884921671-1013
sambaGroupType: 2
displayName: Marketing
description: Domain Unix group

Соответственно на PDC или на BDC "net lookup sid" выдаёт правильный ответ, а на новом ошибку. Подскажите куда капать

Load smb config files from /usr/local/etc/smb.conf
rlimit_max: increasing rlimit_max (11095) to minimum Windows limit (16384)
Processing section "[data]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
[global]
        dos charset = cp866
        unix charset = UTF8
        display charset = koi8-r
        workgroup = WG.RU
        server string = File Server
        security = DOMAIN
        passdb backend = ldapsam:"ldaps://ldap1.WG.ru ldaps://fs002.WG.ru"
        log file = /var/log/samba/samba.log
        max log size = 102400
        local master = No
        dns proxy = No
        ldap admin dn = "cn=admin,dc=wg,dc=ru"
        ldap group suffix = ou=groups
        ldap machine suffix = ou=computers
        ldap suffix = dc=wg,dc=ru
        ldap ssl = no
        ldap user suffix = ou=users
        nfs4:chown = yes
        nfs4:acedup = merge
        nfs4:mode = special
        admin users = admin, @WG.RU\admins
        use sendfile = Yes

[data]
        comment = Public Stuff
        path = /data
        read list = "@Domain Users", "@Domain Admins"
        write list = "@Domain Users", "@Domain Admins"
        read only = No
        guest ok = Yes
        vfs objects = zfsacl, full_audit, recycle
        recycle:exclude_dir = tmp
        recycle:versions = no
        recycle:keeptree = yes
        full_audit:failure = none
        full_audit:success = unlink mkdir rmdir rename
        full_audit:prefix = %m|%I|%U
        full_audit:priority = NOTICE
        full_audit:facility = LOCAL1



Содержание

Сообщения в этом обсуждении
"Домен на самбе + DOMAIN_MEMBER + LDAP, запутался с SIDами"
Отправлено Сергей , 21-Сен-11 21:37 
нафиг вы это делаете, используйте стандартный прием под названием winbind

"Домен на самбе + DOMAIN_MEMBER + LDAP, запутался с SIDами"
Отправлено VaaN , 22-Сен-11 10:21 
>  нафиг вы это делаете, используйте стандартный прием под названием winbind

Наверное так и сделаю, видимо изначально комбинации DOMAIN_MEMBER и LDAP не работает как надо. Другой вопрос, теоретический. Зачем пихать данные idmap в LDAP? В описалове сказано что вроде как чтобы все мемберы могли использовать одну таблицу, а зачем это нужно не совсем ясно. Всё равно у меберов UIDы и GIDы будут отличаться от PDC, зачем их тогда делать одинаковыми на мемберах?