Portál AbcLinuxu, 22. června 2025 06:10
Zdravím vás. Chtěl bych se zeptat jak nastavit připojení k LDAP ve Windows a jestli to vůbec jde a nebo jestli je LDAP určen pouze pro PC s linuxem. Když ve Windows nastavím že je počítač soušástí domény a tam dám firma.cz tak mi to doménu nenajde a když zadám dc=firma.cz tak mi zas nadává že tam mám nepovolené znaky. Chtěl jsem přejít z pracovní skupiny na doménu aby měli uživatelé své profily a dokumenty na serveru
No LDAP mi běží na serveru s Mandrivou a spuštěnou sambou jako workgroup. A já bych chtěl připojit klientská PC která běží na Windows XP k tomuto LDAP s názvem dc=firma.cz, LDAP browser mi doménu najde právě přes tvar dc=firma.cz ale Wokna se tímhle způsobem nějak nechtějí připojit. asi se to zadává v jiném tvaru
No to asi nemám. Já tak nějak s LDAP začínám a učím se. Tak já se na to mrknu přes phpldapadmin tam to vypadá přehledně.
Dobře ale jak tedy nastavím sambu jako PDC?
Active directory by to nasekalo takto dc=firma,dc=cz. Třeba to tak windows čekají, ale nevím to, je to jen domněnka.
Právě že se jim tam nelíbí to "="
10.2.2009 11:18
tomas789 | skóre: 15
| blog: big_blog
| Litomyšl
dc=firma,dc=cz je něco jiného než dc=firma.cz. Funguje to jako adresáře. V prvním případě by byl adresář cz a v něm firma. Ve druhém by byl adresář firma.cz. V podstatě na tom nezáleží, ale není to jedno jak to bude. Nejsou to ekvivalentní zápisy.
Ano zmátlo ale hlavně mě zmátlo že LDAP má v názvu Active Directory což jsem myslel že bude fungivat stejně dobře jako wokenní server 2003 ale zadarmo. Takže Windows do domény nepřipojím pokud mi samba běží na linuxu? A níže uvedený obrázek je mi už asi taky k prdu co? Ale říkáte že přes sambu můžu mít cestovní profily a ověřování? Ale mám Sambu 3 jde to nějak teda udělat? Nejlépe přes Webmin nebo tak podobně 
LDAP ale nemá v názvu Active Directory. LDAP je zkratka Lightweight Directory Access Protocol. Navíc LDAP je pouze protokol, kdežto Active Directory je konkrétní implementace sady protokolů a mezi nimi též LDAP.
Spojení pak tedy vypadá takhle:
stanice s Windows <-----> Samba server (na Linuxu/*BSD) <------> LDAPZda to jde naklikat přes Webmin nevím, dokumentace přímo pro Sambu je v The Official Samba 3.2.x HOWTO and Reference Guide.
No abych to uvedl na pravou míru tak samba mi tam běží i s ověřováním uživatelů ale na sdílené adresáře. Já měl tu vizi že by ověřovala přihlášení jako takové a tak by se neznámý uživatel na daném PC nepřihlásil
security = share nebo security = user na security = domain. Plus možná ještě doplnit nějaké další konfigurační volby, ale tohle je začátek.
Dobrá to nebyl problém. Při pokusu o přihlášení do domény se jménem stejným jako název pracovní skupiny už mi to nenapsalo že doména neexistuje ale není dostupná a už to po mě chtělo uživatele a heslo pro přístup to už je pokrok
Domain Admins typicky tahle práva má.
V linuxu ale skupinu Domain Admins nemám 
Takže zadávám jako uživatele Admin který je v unixové skupině adm, ldap
skus pGina, je to nahrada NTLM vo windowse,je to plugovatelne, takze sa da autorizovat winshit voci hocicomu, ale hlavne aj proti LDAP serveru
Wow to vypadá složitěji než jsem myslel ale snad by to mohlo být ono. Jiný způsob jak mít cestovní profily a ověřování přes server neexistuje teda než přes kerberos?
security = domain popsané výše). Kerberos popipsovaný v tom článku je něco navíc, s čím si můžete hrát, až vám bude fungovat základ – připojení počítače do domény a přihlášení uživatele.
No našel jsem si tuto Bakalářskou práci ale nikde tam nevidím jak přidat PC do Domény. Mám přidané uživatele už z dřívějška ale počítače ne. Proto se asi na doménu nemůžu připojit.
Tak já nevím když nastavím security = domain hodí to hlášku při přihlašování do domény že zadaná doména neexistuje a když změním na security = user tak po přihlášení dostanu hlášení buďto o neexistujícím jméně nebo o špatném jméně či hesle. Viz. obrázky. Vzhledem k tomu že v druhém případě kdy dám security = user to reaguje na každé už. jméno jinak (Administrator a pak ty ostatní) tak vím že už jsem určitě blízko k vytoužené hlášce "vítejte v doméně" Ale co tomu chybí? Jak říkám hodně jsem čerpal z té bakalářky na kterou jsem házel odkaz
Skutečně musí být security=user, domain je pro server, který je člem už existující domény, ne pro řadič domény (PDC).
Klíčový je ten uživatel, na kterého se Windows při zařazení do domény ptají. Tento uživatel musí v Sambě existovat, a právě ten provádí vytvoření účtu pro počítač v databázi Samby. Musí být splněno:
- je to root (s nastaveným samba heslem - funguje, ale nedoporučuje se to)
- nebo má nástaveno v Sambě právo SeMachineAccountPrivilege
(viz http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/rights.html)
ještě pozor, že pokud toto chcete použít, musíte mít v smb.conf enable privileges = yes
pozn.: možná stačí, aby byl ten uživatel členem Domain Admins, to teď přesně nevím
- zároveň musí mít samba možnost vytvořit ten účet pro PC, tj. správně nastavený add machine script
- záleží jestli máte pro UNIX uživatele LDAP nebo používáte /etc/passwd - já mám všude vlastní skripty na LDAP, jinak by to mělo být asi takhle:
/usr/sbin/useradd -c Machine -d /dev/null -g machines -s /bin/false %u
Takhle nastavené mi to funguje bez problémů. Ještě pozor na to, když má Samab PDC server víc síťových rozhraní nebo jsou někteří klienti za routerem. Pak někdy i dost náhodně Windows hlásí, že doména není dostupná ap. V takovém případě dopuručuji vykašlat se na WINS, který se někdy doporučuje, a na PC s Windows napevno nastavit IP adresu Samba PDC v lmhosts souboru.
No vzhledem k tomu, že mi nefunguje přihlášení ani pod rootem (hláška "nebylo nalezeno uživatelské jméno") tak asi nemá smysl pokračovat dál s pokusama s ostatními uživateli. BTW ano roota jsem do samby přidával pomocí smbpasswd -a root a výše uvedenou hlášku napíše pouze v případě že zadám k rootovi správné heslo. Pokud zadám špatně zobrazí se hláška druhého případu špatného jména nebo hesla
Skutečně musí být security=user, domain je pro server, který je člem už existující domény, ne pro řadič domény (PDC).Máte pravdu, omlouvám se za mystifikaci. Už je to dlouho, co jsem Sambu jako PDC používal...
možná stačí, aby byl ten uživatel členem Domain Admins, to teď přesně nevímObecně to stačí, ale nevím, zda to volba
enable privileges = yes nepřebije.
záleží jestli máte pro UNIX uživatele LDAPTuhle variantu (uživatelé v LDAPu jsou zároveň unix uživateli bych doporučil, zvláště v případě, kdy počítač slouží jen jako Samba server.
No jo ale nevím proč mi klient s WinXP nebere přihlášení Administratora ani roota. Pro jistotu sem hodím smb.conf
[global]
log file = /var/log/samba/%m.log
username map = /etc/samba/user.map
map to guest = Bad User
null passwords = yes
encrypt passwords = yes
dns proxy = No
printcap cache time = 60
netbios name = dataserver
server string = Datovy Server
unix password sync = yes
workgroup = APB
os level = 116
printcap name = cups
create mode = 0777
security = user
max log size = 50
directory mode = 0777
domain logons = Yes
[netlogon]
comment = Network Logon Service
path = /home/samba/netlogon
admin users = Administrator
valid users = %u
read only = no
guest ok = yes
writable = no
share modes = no
[profile]
comment = User profiles
path = /home/samba/profiles
valid users = %U
create mode = 0600
directory mode = 0700
writable = yes
browsable = no
guest ok = no
.........
security = ad a ověřováním přes Kerberos.
A to já bych se právě raději držel toho že napřed rozchodím základní připojení do domény a potom na to budu nabalovat další věci abych aspoň pochopil co dělám. Pro začátek by fakt bodl nějakej totálně jednoduchej návod na sambu jako PDC s cestovními profily protože se zdá že toto všechno už mám vytvořené jenom se mi nějak nejde přihlásit PC do domény na klientských PC
Tak to bohužel takhle nejde, security = ADS lze použít, jen pokud máte Active Directory infrastrukturu, tj. Microsoft servery, kde je ověřování postavené na Kerberu.
Rád bych se pletl, ale Samba neumí být PDC a používat při tom Kerberos. Právě ten seriál, co tu nedávno vycházel, to popisoval dost pěkně. Ale Samba tam byla jen jako fileserver, ne jako PDC... V tomhle případě bych se podle toho seriálu u Samby moc neřídill. Řešilo se to i v diskusi tady: www.abclinuxu.cz/blog/FUD/2009/2/proc-jsem-si-dal-tu-praci-s-migraci-na-linuxovy-server#12
Chybí tam ten add machine script. Bez něj přidání PC do domény nemůže fungovat, jedině ty účty PC vytvářet ručně. Do smb.conf kdyžtak ještě zkuste doplnit:
domain master = yes local master = yes
(předpokládám, že [homes] share tam máte, připojí se po přihlášení do domény vždy jako disk Z:\ - jde taky nastavit v smb.conf)
Nevím, jak moc se v tom vyznáte, ale ze strany Samby operace "přidání PC do domény" spočívá ve vytvoření tzv. "účtu PC" se jménem "název_PC$" - a to musí být normální systémový uživatel, proto tohle nastavení.
Jestli jste nějak měnil nastavení ohledně hesel, tak pokud to nevadí, bude nejlepší smazat soubor se Samba hesly (adresář záleží na distribuci, měl by se jmenovat passdb.tdb) a přidat uživatele znovu pomocí smbpasswd -a. Asi začněte s tím rootem, to by měl být nejmenší problém.
Přidal jsem
domain master = yes local master = yes
[homes] share mám. Co se týče samby a znalostí. umím si nakonfigurovat přístupová práva
pomocí uživatelských jmén a hesel jako tomu bylo doteď. Každopádně teď bych to chtěl zachovat
a udělat z toho doménu s "cesťáky". Co se týče názvu PC tak tedy vytvořím jako uživatele ale
toho uživatele pojmenuju třeba stanice-128 stejně jako se jmenuje konkrétní klient? Jinak hesla bych nerad mazal je jich asi tak 170 a nějak si je všechny nepamatuji
Ten uživatel se jmenuje stejně jako jméno PC + znak dolar na konci. Ale pokud nastavíte ten add machine script, tak vás to vůbec nemusí zajímat, protože se tyhle účty vytvoří automaticky, když spustíte zařazení do domény z Windows...
Takže když ještě příidáte ten add machine script, jak jsem napsal v jednom předchozím komentáři, mělo by zařazení do domény fungovat přímo z Windows.
Super tak po přidání názvu_PC$ to funguje zatím přes roota. Skript jsem přidal do smb.conf viz. dole Ale přesto se mi PC po přihlášení Rootem nepřidává
Teď jsem nějak nepochopil co jste chtěl říct.
- přidával jste účet PC ručně na serveru? fungovalo pak zařazení do domény?
- pokud je PC v doméně, lze se přihlásit do Windows jako nějaký obyčejný uživatel definovaný na serveru?
- máte vytvořeno [netlogon] sdílení?
Ano jak jsem psal přidal jsem ručně názevPC$ a daný PC šel přidat a to pouze pod rootem a po restartu jsem se mohl přihlásit jako jakýkoliv uživatel definovaný na serveru
Netlogon mám jestli tím myslíte toto:
Tak jsem se posunul dál. V původním znění uživatelů jsem totiž nepoužil šifrovaná hesla tak jsem v smb.conf změnil encrypt passwords = yes na no a chybová hláška na stanici se změnila a to tak že by asi už přihlášení povolil jenže prý účet nemá povoleno přihlásit se s této stanice. Přiznám se že jsem přidávání stanic ještě neřešil protože nevím kam bych ten název měl napsat, přiřadit. Jde to tak že by toto nebylo omezeno a uživatel se mohl přihláset na kterékoliv stanici?
encrypted passwords = yes je platné pouze pro serucity = server, domain nebo ads.
Jde to tak že by toto nebylo omezeno a uživatel se mohl přihláset na kterékoliv stanici?To je výchozí nastavení, a dříve to ani nešlo změnit -- možná, že už Samba pokročila a umí nastavit i tohle. Ale spíš bych řekl, že je problém v něčem jiném a počítač se nepodařilo správně připojit do domény.
A ještě takovej dotaz existuje něco jako All users v Sambě? Protože když chci aby měli všichni například nějakou ikonu na ploše nebo v nabídce start po spuštění. Tak abych to nemusel rozkopírovávat do každýho adresáře s už. profilem zvášť. Zkoušel jsem to do home/samba/profiles ale to nebylo ono.
Jak už bylo řečeno, lze jen definovat výchozí profil - při prvním přihlášení se uživateli zkopíruje profil z \\pdc\netlogon\Default User. Návod, jak to udělat konktrétně nejlépe najdete v Samba-HOWTO-Collection - doporučuji prostudovat.
Jinak na tyhle věci se dá použít i logon script. V smb.conf nastavíte:
logon script = logon.vbs %G
(%G předá skriptu jako první argument název skupiny uživatele - hodí se pokud chcete některé věci dělat je pro některé skupiny)
Máte vůbec vytvořeno sdílení [netlogon]? Pokud ne, to to je možná jeden z důvodů proč vám nefungují správně Windows s doménou.
Do adresáře zprístupněného jako [netlogon] umístíte soubor logon.vbs (nebo třeba logon.bat). Je to skript ve Visual Basicu (nebo třeba .bat skript) a spouští se při každém příhlášení uživatele. Můžete v něm třeba kontrolovat, jestli je na ploše nějaký zástupce a přidat ho tam. Nejčastěji se logon skript používá na mapování síťových disků, ale lze s tím dělat mnohem víc. Já takhle třeba uživateli vytvořím konfiguraci Thunderbirdu při prvním přihlášení a on pak už musí jen vyplnit heslo - má nastaveny servery, LDAP adresář, jméno...
Dobrá takže jestli tomu dobře rozumím Přidám jenom výše uvedenou řádku logon script do sekce global nebo netlogon?A pak samotnej script musím taky vytvořit jak píšete ideálně .bat, (tenhle formát dávky mi není cizí ) a pak umístit do v mém případě /home/samba/netlogon/Default User/Nabídka start/Programy/po spuštění ?
Jinak pro pořádek aktualizovanej smb.conf:
Každopádně jestli ten netlogon nestačí jako sdílení pak tedy v samotném sdílení adresářů netlogon nasdílen nemám.
Parametr logon script patří do global sekce. Nejlepší je uvést jen název skriptu bez cesty, Windows ten skript hledají právě ve sdíleném adresáři netlogon. Takže te skript budete mít třeba: /home/samba/netlogon/logon.bat a do parametru uvedete jen logon.bat. Windows ho spustí automaticky při přihlášení bez dalšího nastavení. S Default User to nemá nic společného, ten se použije jen při přihlášení "nového" uživatele.
[netlogon] máte v pořádku - je to obyčejné sdílení, jen se speciálním názvem, který je "zadrátován" ve Windows - nastavte si u něj ješte:
create mask = 0775
directory mask = 2775
map hidden = yes
map system = yes
jinak vám bude zlobit ten Default User (musí být zachovány DOS atributy souborů), A vyhoďte valid users, to není třeba.
Fajn netlogon je fční. Ten Default User bohužel nějak nefunguje. Teď už jenom vyřešit ten add machine. Furt nechce fachat nevím co tam mám blbě.
add machine spustit s příslušnými parametry ručně z příkazového řádku, uvidíte, zda funguje správně nebo zda neohlásí nějakou chybu.
No spustil jsem jen např.: useradd stanice-161$
a to mi samozřejmně přidalo tu stanici ale asi mám nějak špatně nadefinovanou tu návaznost na přidávaný PC. Protože mě není jasný jak při přidávání na klientským PC s WinXP Linuxový server pozná nebo přijme název stanice. Bohužel mi nejsou jasné parametry co jsou v tom scriptu ‐s /bin/false/ ‐d /var/lib/nobody %u
Budete se muset podívat, co říkají logy - ve /var/log/samba/nazev_stroje.log
Ale jinak se nic definovat / nastavovat nemusí. Při registraci do domény Windows naleznou PDC (broadcastem, přes WINS nebo LMHOSTS), připojí se na něj, server požaduje ověření, aby si do domény nemohl každý přidávat co chce - a v té době má server už dávno k dispozici název PC. Myslím, že název stanice klient předá serveru hned při připojení - už proto, že jsou podle něj pojmenované i logy k počítačům, které vůbec nejsou v doméně...
Dík za radu. Kokl jsem se tedy do logu a vyčetl jsem co to hází za parametry a usodil jsem že ten script může krásně vypadat takhle jednoduše a funguje bez sebemenších problémů
add machine script = /usr/sbin/useradd %u
Předpokládám že mi teda ty ostatní scripty díky těm podivním parametrům jako je např. ‐ fungovat nebudou
Náhodou nejde udělat to abych mohl propojit nějak práva na serveru s právy na stanicích. Abych některým uživatelům mohl dát administrátorská práva která jsou potřeba k nainstalování programů nebo nastavení PC?
Ještě teda budu muset vymyslet jak udělat Wokňáckej skript pro nově přidané no domény na to aby se zkopírovaly dokumenty z původního místního profilu do nového cestovního ale to tady asi nevyřeším :-/
Domain Admins jsou automaticky členy lokální skupiny Administrators. Ale to je také záležitost Windows -- vy na Sambě akorát můžete některé uživatele přidat do síťových skupin, jak se k těmto skupinám budou chovat Windows, to už je na nastavení lokálních tsanic, případně na nějakých výchozích pravidlech, která mají Windows zabudovaná. Podívejte se na User Rights and Privileges a Group Mapping: MS Windows and UNIX.
To je super. Takže pro ty kteří budou taky hledat stačí:
net groupmap add ntgroup="název skupiny ve windows" unixgroup="název skupiny v unix" rid=512 type=d
v mém případě:
net groupmap add ntgroup="Administrators" unixgroup="Domain Admins" rid=512 type=d
A potom se všichni uživatelé přidaní do příslušné skupiny v linuxu (Domain Admins) budou chovat na Windows stanicích jako
namapovaná skupina(Administrators) Tedy dostanou automaticky administrátorská práva.
Je to přesně tak. Jen tu unixgroup můžete pojmenoval libovolně - Windows se stejně orientují podle toho RID. "Domain Admins" je obvyklý název pro ntgroup, ale tu můžete taky pojmenovat celkem libovolně.
Není dobrý nápad mít v Linuxu skupinu s mezerou v názvu. Samozřejmě tu skupinu nejdřív musíte vytvořit pomocí groupadd a pak přidat mapování do Samby pomocí net groupmap.
Aha takže je štěstí že jsem se trefil zrovna do rid=512 který jsem tak tupě opsal z těch stránek? Jo a ještě taková otázka v jaké skupině musí uživatel být nebo co mám udělat proto, aby si mohl měnit heslo. Protože přihlášený uživatel nereaguje na výzvu změny hesla. Pokud např ve Webminu nastavím u uživatele výzvu ke změně hesla jemu se nic neobjeví a hlavně prý ani nemá oprávnění heslo měnit.
ldap admin dn v smb.conf.
hmm jenže já nemám zatím nastaveno ověřování přes LDAP takže to budu muset zprovoznit?
Myslíte tím konkrétně tuto část v smb.conf?
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.