Administrace komentářů

neviem si rady s pridanim jedneho samba servera (srv1) do domeny (obyc. domena - security = user), ktoru spravuje dalsi samba server (srv2) s ldap backendom. V podstate potrebujem mat na srv1 k dispozicii ntlm autentifikaciu cez winbind kvoli squidu.

A o co vlastne ide?

pri pokuse pridat srv1 do domeny prikazom net rpc join -U admin a zadani hesla sa dostavi klasicka hlaska "Unable join to domain ...".

Error: modifications require authentication at /usr/lib/perl5/vendor_perl/5.8.8/smbldap_tools.pm line 1059.
[2007/05/31 02:26:48, 0] passdb/pdb_interface.c:pdb_default_create_user(368)
  _samr_create_user: Running the command `/usr/sbin/smbldap-useradd -w "srv1$"' gave 3

Ano, je mi jasne, ze sa samba na srv2 snazi pre noveho clienta vytvorit account v ldape natipovanymi smbldap-tools utilitami, teda konkretne tym prikazom nizsie. Ked som vsak pozeral logy ldap servera (klasicky openldap 2.3.x), tak pri pokuse o modifikaciu uidNumber atributu sambaUnixIdPool zaznamu nastane error:

Jun  3 11:55:18 pdc-srv slapd[4499]: conn=39 op=3 MOD attr=uidNumber
Jun  3 11:55:18 pdc-srv slapd[4499]: conn=39 op=3 RESULT tag=103 err=8 text=modifications require authentication

Problem je totiz v tom, ze z mne nejakeho neznameho dovodu sa ten smbldap-useradd skript po connectnuti na ldap server nebindne (!!!) ale normalne pokracuje operaciami hladania/modifikacie. No a na tej prvej modifikacii zhasne. (gave 3).

V smbldap_bind.conf je dobra identita a tiez ma spravne prava (teda na citanie pre roota a nic viac).

Este som si vsimol ze na ostatne parametre spojenia ako je nazov hostu alebo cielovy ldap(s) port, pripadne na STARTTLS nastavenie skripty smbldap-tools reaguju... problemom je fakt len to, ze nieje pouzity BIND pri spojeni.

Tiez som rozmyslal ze by som na tu chvilu pridavania zaznamu srv1 do LDAPu dal ldap na full write mode... problem je vsak v tom, ze pri aktualizacnych operaciach MUSI byt client voci ldapu autentifikovany cez BIND (lebo aj anonymne spojenie je vlastne BIND s prazdnymi poliami binddn a passwd)

Ked ten skript /usr/sbin/smbldap-useradd -w "srv1$" spustim rucne, tak sa vykona bez problemov a bindne sa na identitu definovanu v smbldap_bind.conf.

problem je vsak v tom, ze takto vytvoreny zaznam servera srv1 je v podstate nepouzitelny. Ak by som aj podoplnal samba atributy, ktore normalne do takychto PCckovskych posix uctov popridava samba (asi) rucne tak sa aj tak pokus o join do domeny skonci chybou:

[2007/06/04 01:55:21, 0] utils/net_rpc_join.c:net_rpc_join_newstyle(304)
  error setting trust account password: NT_STATUS_NO_USER_SESSION_KEY
Unable to join domain .....

Z toho mi vypliva, ze je medzi PDC a clientmi domeny asi nejake trust spojenie na urovni klucov alebo coho a je drzane v internych suboroch samby a nie v LDAPe.

No a teraz k otazkam
- stretli ste sa uz niekto s podobnym chovanim smbldap-tools skriptov, ktore inak slapu bez problemov (su v poslednej verzii z webu - 0.9.2)?
- ako inym sposobom uspesne pridat samba server ako client do samba PDC domeny s LDAP backendom s tym, aby bol client plnopravnym clenom a nie len zaznamom v LDAPe?
- ak mate nejake externe zdroje kde by som nasiel ako to s tym trust spojenim medzi PDC a clientmi vyzera a funguje
- No a samozrejme nejake rady ako by ste to riesili vy :)

este nejake fakty: samba na srv1 aj na srv2 je samba-3.0.24 na srv2 v smb.conf:

add machine script = /usr/sbin/smbldap-useradd -w "%u"