Обсуждение статьи тематического каталога: Настройка Samba 3 (PDC) с пользователями в LDAP каталоге (ldap samba pdc domain win auth aaa linux pam)Ссылка на текст статьи: http://www.opennet.me/base/net/ldap_spama_pdc.txt.html
Позновательная статейка, НО
Samba 3.0 и выше не понимает параметра ADMIN USERS=CRUX. Назначение группы администраторов происходит при помощи команды NET ... Читаем Samba-HOWTO-Collection-3.pdf из WWW.SAMBA.ORG, а также пробуем.
access to attrs=lmPassword,ntPasswordтакой фигни в схеме к самба 3 нету. афтар, пофиксь!
Такаое в Самбе есть... Открываеш схему, и раскоментируешь то, что ты не можешь найти....
2 crypta и ко всем хто наступит на грабли :-)
вместо
access to attrs=lmPassword,ntPassword
надо писать access to attrs=sambaLMPassword,sambaNTPassword
более подробно можно поковырять samba.schema
так что такие вот дела.
Непонятно почему, но samba отказывается коннектиться к LDAP. В лог валятся две ошибки:
[11:00.00]lib/smbldap.c:smb_ldap_start_tls
Failed to issue the StartTLS instruction: Connect error
[11:00.01]lib/smbldap.c:another_ldap_try
Connection to LDAP server failed for the 1 try!Если попробовать закомментировать в smb.conf строчку ldap ssl = start tls тогда харрактер ошибки меняется на:
[11:00.00]services/services_db.c:svcctl_init_keys
init_services_keys: key lookup failed! (WERR_ACCESS_DENIED)
ERROR: failed to setup guest info.Конфиги аналогичны описываемым в статье. Сам сервер LDAP работает судя по выводу команды ldapsearch, хотя запрос проходит только по ldap, а ldaps выдает Can't contact LDAP server (-1) additional info: error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
Система: Fedora core 6
openssl-0.9.8b-8.3.fc6
openssl-devel-0.9.8b-8.3.fc6
samba-common-3.0.24-7.fc6
samba-client-3.0.24-7.fc6
samba-3.0.24-7.fc6Посоветуйте что делать и куда копать.
насколько я понял, дело в самоподписанности сертификатов ldap (у меня приблизительно то же самое, но к ldapsearch таки присоединяется к ldaps://... правда, только с ключом "-x")Вот как теперь сказать sambе использовать аналог ключа "-х" у ldapsearch? (не проверять сертификат сервера)
# Basic ACL
вместо attr надо attrs
при попытке сделать
net getlocalsid
вываливается
lib/smbldap.c:smbldap_connet_system(982)
failed to bind to server ldap://ldap.mysrv.com with dn="cn=root,dc=mysrv,dc=com" Error: Cant't contact LDAP server
(unknoun)
utils/net.c net_getlocalsid(622)
Can't fetch domain SID
usefull link:
http://gentoo-wiki.com/HOWTO_LDAP_SAMBA_PDC