vIch versuche mich gerade intensiv mit LDAP auseinander zusetzen. Ich muss einige Clienten an einen LDAP Server (auf dem Univention läuft) anschließen, da das meiste für mich Neuland ist, komme ich nur langsam voran...
Ich habe dem Wiki LDAP_Client_Authentifizierung gefolgt und auch der Doku von Univention zur Einbindung von Unix Systemen (die aber veraltetet ist) angesehen, zur Zeit sieht es so aus das sich der Client zum Server verbinden kann
Finding LDAP base for users .. .. found base cn=users,dc=mellow. Connecting to LDAP server .. .. connected to 192.168.0.2 Searching for users .. .. found 5 users. Checking Unix users service .. .. service is setup to query LDAP. Looking for Unix user join-backup .. .. user found successfully. Your system has been successfully configured as an LDAP client!
Allerdings wird die Gruppe nicht gefunden:
getent passwd ... join-backup:x:2002:5008:Joinuser:/dev/null:/bin/bash ... root@ubuntu:~# su join-backup id: cannot find name for group ID 5008 bash: /dev/null/.bashrc: Not a directory
getent group zeigt nur die lokalen gruppen an
In der /etc/nsswitch.conf steht aber
passwd: files ldap group: files ldap shadow: files ldap hosts: files dns
Wie kann ich dann am LDAP Server eine SMB freigabe einrichten? (Muss nicht zwingend über die Web-Oberfläche gemacht werden) ein Password des Users "Shiva" ist am Server vorhanden und das Password davon ist auf dem Client (secrets.tdb) hinterlegt. smbldap-tools sind ebenfalls installiert, der Client ist (mit net join Member -U Administrator) der Domain vom Server beigetreten.
Hier meine SMB Config:
[global] workgroup = mellow server string = %h server netbios name = Ubuntu_test wins server = 192.168.0.2 dns proxy = no interfaces = 127.0.0.0/8 eth0 bind interfaces only = true log file = /var/log/samba/log.%m debug level = 9 max log size = 1000 syslog = 4 panic action = /usr/share/samba/panic-action %d security = domain #password server = ucs encrypt passwords = true #passdb backend = ldapsam:ldap://ucs.xyz.local #auth methods = guest sam winbind ldap suffix = dc=mellow ldap admin dn = uid=Administrator,cn=users,dc=mellow ldap ssl = on idmap backend = ldap:ldap://192.168.0.2 ldap idmap suffix = cn=idmap,cn=univention idmap uid = 55000-64000 idmap gid = 55000-64000 winbind trusted domains only = yes winbind nested groups = no winbind enum users = yes winbind enum groups = yes winbind separator = + #winbind use default domain = yes #winbind enable local accounts = yes template shell = /bin/bash template homedir = /home/%D-%U obey pam restrictions = yes map to guest = Bad User admin users = administrator guest account = nobody invalid users = root daemon bin sys sync games man lp mail news uucp proxy majordom postgres www-data backup msql operator list irc gnats alias qmaild qmails qmailr qmailq qmaill qmailp telnetd identd ftp rwhod gdm fetchmail faxmaster pam password change = no domain logons = no preferred master = no local master = no domain master = no #load printers = yes #printing = cups #printcap name = cups #printer admin = @ntadmin, @"Printer-Admins", root, Administrator socket options = TCP_NODELAY os level = 65 oplocks = yes kernel oplocks = yes large readwrite = yes deadtime = 15 read raw = yes write raw = yes max xmit = 65535 getwd cache = yes store dos attributes = yes preserve case = yes short preserve case = yes time server = yes host msdfs = no msdfs root = no use spnego = yes client use spnego = yes [share] writeable = yes invalid users = root,daemon,bin,sys,sync,games,man,lp,mail,news,uucp path = /home/Test force directory mode = 077 force create mode = 0770 comment = TestShare public = yes
Test
root@ubuntu:~# testparm Load smb config files from /etc/samba/smb.conf Processing section "[share]" Loaded services file OK. 'winbind separator = +' might cause problems with group membership. Server role: ROLE_DOMAIN_MEMBER Press enter to see a dump of your service definitions
Ich merke gerade das sich die User für Samba-logins schon über LDAP bezogen werden (schön das es geht 😉 ) aber ich kann noch keine Freigaben über den Server einstellen, einen Eintrag dafür habe ich schon erstellt:
Child objects Object attributes
None cn : test
objectClass : top , univentionShare , univentionShareSamba , univentionShareNFS
univentionShareDirectoryMode : 0755
univentionShareGid : 00
univentionShareHost : 192.168.0.185
univentionSharePath : /tmp/
univentionShareSambaBlockingLocks : 1
univentionShareSambaBrowseable : yes
univentionShareSambaCreateMode : 0744
univentionShareSambaCscPolicy : manual
univentionShareSambaDirectoryMode : 0755
univentionShareSambaDirectorySecurityMode : 0777
univentionShareSambaFakeOplocks : 0
univentionShareSambaForceCreateMode : 0
univentionShareSambaForceDirectoryMode : 0
univentionShareSambaForceDirectorySecurityMode : 0
univentionShareSambaForceSecurityMode : 0
univentionShareSambaInheritAcls : 0
univentionShareSambaInheritOwner : no
univentionShareSambaInheritPermissions : no
univentionShareSambaLevel2Oplocks : 1
univentionShareSambaLocking : 1
univentionShareSambaMSDFS : no
univentionShareSambaName : test
univentionShareSambaNtAclSupport : 1
univentionShareSambaOplocks : 1
univentionShareSambaPublic : no
univentionShareSambaSecurityMode : 0777
univentionShareSambaStrictLocking : 0
univentionShareSambaWriteable : no
univentionShareUid : 00
univentionShareWriteable : no
Jetzt lief der Sambaserver einige Zeit, aber die Zugriffe haben sehr lang gedauert, jetzt funktioniert ich nicht mehr, hab aber nichts verändert: Syslog
May 14 15:33:27 ubuntu winbindd[4739]: [2008/05/14 15:33:27, 2] lib/smbldap.c:smbldap_connect_system(982) May 14 15:33:27 ubuntu winbindd[4739]: failed to bind to server ldap://192.168.0.2 with dn="cn=Shiva,dc=mellow" Error: Invalid credentials May 14 15:33:27 ubuntu winbindd[4739]: ^I(unknown) May 14 15:33:27 ubuntu winbindd[4739]: [2008/05/14 15:33:27, 1] lib/smbldap.c:another_ldap_try(1153) May 14 15:33:27 ubuntu winbindd[4739]: Connection to LDAP server failed for the 4 try!