Samba3 + OpenLDAP (Não ingressa maquina no dominio)

Slack00
(usa Slackware)

Enviado em 25/07/2014 - 16:42h

Boa Tarde Galera, estou um problema utilizo a distro Slackware,instalei e configurei o samba3, Openldap e o LAM para gerenciamento via web, o samba esta consultando grupos, usuarios e senhas no OpenLdap, até aqui tudo bem o problema é meu samba é um controlador de dominio quando eu vou ingressar maquina(Windows) no dominio da um erro dizendo que o sistema não pode identificar o dispositivo mesmo eu criando o host no ldap, alguem ja passou por isso ? podem dar uma ajuda?

Obrigado desde já

danielmb
(usa Gentoo)

Enviado em 26/07/2014 - 13:10h

Utilizando máquinas com Windows 7 você precisa fazer algumas modificações de registro para ingresso no domínio, já as fez?
Caso não, você encontra um arquivo com as modificações aqui:
https://wiki.samba.org/index.php/Windows7

Espero ter ajudado

slack00
(usa Slackware)

Enviado em 26/07/2014 - 19:07h

Obrigado danielmb, peço desculpa pela falta de detalhes mas, ja alterei os registros de acordo com a wiki, para validar se as modificações no registro estavam certas eu ingressei a maquina windows em um domínio samba3 (Sem LDAP de backend) que configurei em uma VM de testes e deu certo, porem na VM onde tenho o samba3 integrado com o LDAP não consigo ingressar, detalhe que o samba reconhece os usuários e grupos que cadastrei no LDAP para testa deixei o acesso aos compartilhamento modo user(para pedir usuário e senha) e quando acesso ele reconhece o usuário e senha do LDAP, com ferramenta LAM eu crio uma conta de maquina e logo em seguinda tento ingressa a maquina no domínio ao tentar ingressar pede um usuário e senha admin do samba para ingresso, apos digitar vejo nos logs que ele consultou porem é retornado um erro na maquina windows dizendo que o dispositivo já esta em uso pelo sistema, também já tentei ingressar sem a conta de maquina estar cadastrada no LDAP e deu na mesma.
Detalhe meu SID do samba esta igual o que o LAM usa para criar as contas no LDAP.

danielmb
(usa Gentoo)

Enviado em 27/07/2014 - 12:43h

slack00, solicito que você poste o seu smb.conf, e quaisquer mensagens de debug que puder nos ajudar. Verifique o log dos smbd e do nmbd. Sem mais informações não consigo te ajudar

slack00
(usa Slackware)

Enviado em 27/07/2014 - 15:33h

danielmb , amanhã assim que chegar na empresa posto essas informações, desde ja muito obrigado pela atenção.

Slack00
(usa Slackware)

Enviado em 28/07/2014 - 12:21h

Bom Dia danielmb, segue meu smb.conf e meu slapd.conf para dar uma olhada.

SMB.CONF

[global]
workgroup = TRIX
netbios name = SUBLIME
server string = Servidor de Arquivos TRIX
name resolve order = wins bcast
deadtime = 10

log level = 1
log file = /var/log/samba/log.%m
max log size = 5000
debug pid = yes
debug uid = yes
syslog = 0
utmp = yes

security = user
domain logons = yes

domain master = yes
preferred master = yes
domain logons = yes

admin users = root

passdb backend = ldapsam:"ldap://127.0.0.1"
ldap admin dn = cn=Manager,dc=trix,dc=com,dc=br
ldap ssl = off
ldap delete dn = no

## Sync UNIX password with Samba password
## Method 1:
ldap password sync = yes

ldap suffix = dc=trix,dc=com,dc=br
ldap user suffix = ou=Usuarios
ldap group suffix = ou=Grupos
ldap machine suffix = ou=Computadores
ldap idmap suffix = ou=Idmap

[NETLOGON]
path = /var/lib/samba/netlogon
browseable = no
share modes = no

[PROFILES]
path = /var/lib/samba/profiles
browseable = no
writeable = yes
create mask = 0611
directory mask = 0700
profile acls = yes
csc policy = disable
map system = yes
map hidden = yes

########################################################################

SLDAP.CONF

include /etc/openldap/schema/core.schema
include /etc/openldap/schema/collective.schema
include /etc/openldap/schema/corba.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/duaconf.schema
include /etc/openldap/schema/dyngroup.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/java.schema
include /etc/openldap/schema/misc.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/openldap.schema
include /etc/openldap/schema/ppolicy.schema
#include /etc/openldap/schema/ldapns.schema
include /etc/openldap/schema/pmi.schema
include /etc/openldap/schema/samba.schema


#
# Local de armazenamento dos dados de PID e afins
#
pidfile /var/run/slapd.pid
argsfile /var/run/slapd.args
#
# Parametros para fazer o ldappasswd gerar hashes no formato Crypt/MD5
#
password-hash {CRYPT}
password-crypt-salt-format "$1$%.8s"


access to attrs=userPassword
by self write
by dn="cn=nssuser,dc=trix,dc=com,dc=br" read
by anonymous auth
access to attrs=sambaLMPassword,sambaNTPassword
by self write
by anonymous auth
access to *
by * read

access to attrs=userPassword,shadowLastChange,sambaLmPassword,sambaNtPassword
by dn="cn=nssuser,dc=trix,dc=com,dc=br" write
by anonymous auth
by self write
by * none

#
# Tipo de backend que o OpenLDAP vai usar. Por padrao, eh bdb (Berkeley DB) no OpenLDAP 2.1.x
#
database bdb
#
# Nome da organizacao
#
suffix "dc=trix,dc=com,dc=br"
#
# Quem eh o super-usuario do diretorio
#
rootdn "cn=Manager,dc=trix,dc=com,dc=br"
rootpw {SSHA}Ii2F8NSYT14oquY+8BHYawYrwiZ7UxcU
directory /home/openldap-data
#

index objectClass eq,pres
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
index ou,cn,mail,surname,givenname eq,pres,sub
index uidNumber,gidNumber,loginShell eq,pres
index uid,memberUid eq,pres,sub




A respeito dos logs no log.samba e log.smbd não logam nada apenas no /var/log/debug que loga a consulta
segue o resultado do debug(log).

Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=16 MOD attr=sambaPwdHistoryLength
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=16 RESULT tag=103 err=17 text=sambaPwdHistoryLength: attribute type undefined
Jul 28 11:39:07 terremoto slapd[6809]: conn=1381 op=10 SRCH base="dc=trix,dc=com,dc=br" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=root))"
Jul 28 11:39:07 terremoto slapd[6809]: conn=1381 op=10 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass
Jul 28 11:39:07 terremoto slapd[6809]: conn=1381 op=10 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=17 SRCH base="dc=trix,dc=com,dc=br" scope=2 deref=0 filter="(&(objectClass=sambaGroupMapping)(gidNumber=500))"
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=17 SRCH attr=gidNumber sambaSID sambaGroupType sambaSIDList description displayName cn objectClass
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=17 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=18 SRCH base="dc=trix,dc=com,dc=br" scope=2 deref=0 filter="(&(objectClass=sambaGroupMapping)(gidNumber=500))"
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=18 SRCH attr=gidNumber sambaSID sambaGroupType sambaSIDList description displayName cn objectClass
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=18 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=19 SRCH base="sambaDomainName=TRIX,dc=trix,dc=com,dc=br" scope=0 deref=0 filter="(objectClass=sambaDomain)"
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=19 SRCH attr=sambaPwdHistoryLength
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=19 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=20 MOD dn="sambaDomainName=TRIX,dc=trix,dc=com,dc=br"
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=20 MOD attr=sambaPwdHistoryLength
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=20 RESULT tag=103 err=17 text=sambaPwdHistoryLength: attribute type undefined
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=21 SRCH base="sambaDomainName=TRIX,dc=trix,dc=com,dc=br" scope=0 deref=0 filter="(objectClass=sambaDomain)"
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=21 SRCH attr=sambaPwdHistoryLength
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=21 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=22 MOD dn="sambaDomainName=TRIX,dc=trix,dc=com,dc=br"
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=22 MOD attr=sambaPwdHistoryLength
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=22 RESULT tag=103 err=17 text=sambaPwdHistoryLength: attribute type undefined
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=23 SRCH base="dc=trix,dc=com,dc=br" scope=2 deref=0 filter="(&(uid=root)(objectClass=sambaSamAccount))"
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=23 SRCH attr=uid uidNumber gidNumber homeDirectory sambaPwdLastSet sambaPwdCanChange sambaPwdMustChange sambaLogonTime sambaLogo
ffTime sambaKickoffTime cn sn displayName sambaHomeDrive sambaHomePath sambaLogonScript sambaProfilePath description sambaUserWorkstations sambaSID sambaPrimaryGroupSID sambaLMPass
word sambaNTPassword sambaDomainName objectClass sambaAcctFlags sambaMungedDial sambaBadPasswordCount sambaBadPasswordTime sambaPasswordHistory modifyTimestamp sambaLogonHours modi
fyTimestamp uidNumber gidNumber homeDirectory loginShell gecos
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=23 SEARCH RESULT tag=101 err=0 nentries=0 text=
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=24 SRCH base="dc=trix,dc=com,dc=br" scope=2 deref=0 filter="(&(objectClass=sambaGroupMapping)(|(displayName=root)(cn=root)))"
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=24 SRCH attr=gidNumber sambaSID sambaGroupType sambaSIDList description displayName cn objectClass
Jul 28 11:39:07 terremoto slapd[6809]: <= bdb_equality_candidates: (displayName) not indexed
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=24 SEARCH RESULT tag=101 err=0 nentries=0 text=
Jul 28 11:39:07 terremoto slapd[6809]: conn=1381 op=11 SRCH base="dc=trix,dc=com,dc=br" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=root))"
Jul 28 11:39:07 terremoto slapd[6809]: conn=1381 op=11 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass
Jul 28 11:39:07 terremoto slapd[6809]: conn=1381 op=11 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=25 SRCH base="dc=trix,dc=com,dc=br" scope=2 deref=0 filter="(&(uid=root)(objectClass=sambaSamAccount))"
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=25 SRCH attr=uid uidNumber gidNumber homeDirectory sambaPwdLastSet sambaPwdCanChange sambaPwdMustChange sambaLogonTime sambaLogo
ffTime sambaKickoffTime cn sn displayName sambaHomeDrive sambaHomePath sambaLogonScript sambaProfilePath description sambaUserWorkstations sambaSID sambaPrimaryGroupSID sambaLMPass
word sambaNTPassword sambaDomainName objectClass sambaAcctFlags sambaMungedDial sambaBadPasswordCount sambaBadPasswordTime sambaPasswordHistory modifyTimestamp sambaLogonHours modi
fyTimestamp uidNumber gidNumber homeDirectory loginShell gecos
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=25 SEARCH RESULT tag=101 err=0 nentries=0 text=
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=26 SRCH base="dc=trix,dc=com,dc=br" scope=2 deref=0 filter="(&(objectClass=sambaGroupMapping)(|(displayName=root)(cn=root)))"
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=26 SRCH attr=gidNumber sambaSID sambaGroupType sambaSIDList description displayName cn objectClass
Jul 28 11:39:07 terremoto slapd[6809]: <= bdb_equality_candidates: (displayName) not indexed
Jul 28 11:39:07 terremoto slapd[6809]: conn=1383 op=26 SEARCH RESULT tag=101 err=0 nentries=0 text=
Jul 28 11:39:21 terremoto slapd[6809]: conn=1383 fd=15 closed (connection lost)
Jul 28 11:47:01 terremoto slapd[6809]: conn=1384 fd=15 ACCEPT from IP=127.0.0.1:57392 (IP=0.0.0.0:389)
Jul 28 11:47:01 terremoto slapd[6809]: conn=1384 op=0 BIND dn="" method=128
Jul 28 11:47:01 terremoto slapd[6809]: conn=1384 op=0 RESULT tag=97 err=0 text=
Jul 28 11:47:01 terremoto slapd[6809]: conn=1384 op=1 SRCH base="dc=trix,dc=com,dc=br" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=root))"
Jul 28 11:47:01 terremoto slapd[6809]: conn=1384 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text=
Jul 28 11:47:01 terremoto slapd[6809]: conn=1384 op=2 SRCH base="dc=trix,dc=com,dc=br" scope=2 deref=0 filter="(&(objectClass=posixGroup)(memberUid=root))"
Jul 28 11:47:01 terremoto slapd[6809]: conn=1384 op=2 SRCH attr=gidNumber
Jul 28 11:47:01 terremoto slapd[6809]: conn=1384 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text=
Jul 28 11:47:01 terremoto slapd[6809]: conn=1384 fd=15 closed (connection lost)


A configuração dos dois serviços estão corretas?
para a integração funcionar mesmo eu administrando o OpenLdap pelo LAM (interface web) eu preciso ter o smbtools instalado e configurado?

Aguardo.

danielmb
(usa Gentoo)

Enviado em 28/07/2014 - 14:20h

Na verdade não. Você consegue consultar os usuários pelo próprio samba?
Por exemplo:
smbclient -L localhost -U usuário?

Slack00
(usa Slackware)

Enviado em 29/07/2014 - 12:13h

danielmb desculpa a demora pra responder, ontem não deu tempo de mecher com a integração, hoje de manhã testei sobre sua ultima pergunta e o samba autentica atravês do smbclient normal, eu achei umas dicas aqui complexas e diferentes vou testar e se der certo retono aqui a solução e marco como resolvido, mas se ja tiver outra dica manda que eu ja testo tamém.

danielmb
(usa Gentoo)

Enviado em 29/07/2014 - 13:04h

Se o problema é o ingresso da máquina no domínio, seria bom ver o log do smb.

Slack00
(usa Slackware)

Enviado em 30/07/2014 - 10:58h

Bom Dia danielmb, nada ainda =/ , uma duvida adicionei um usuario no ldap com os objectclass do samba segue abaixo as informações:

root@terremoto:~# ldapsearch uid=controlador -x
# extended LDIF
#
# LDAPv3
# base <dc=trix,dc=com,dc=br> (default) with scope subtree
# filter: uid=controlador
# requesting: ALL
#

# controlador, Usuarios, trix.com.br
dn: cn=controlador,ou=Usuarios,dc=trix,dc=com,dc=br
objectClass: sambaSamAccount
objectClass: posixAccount
objectClass: inetOrgPerson
objectClass: organizationalPerson
objectClass: person
sambaHomeDrive: U:
sambaDomainName: TRIX
sambaAcctFlags: [XU ]
displayName: controlador
sambaPrimaryGroupSID: S-1-5-21-523744137-3653290944-2909104322-2001
sambaSID: S-1-5-21-523744137-3653290944-2909104322-21002
homeDirectory: /home/controlador
loginShell: /bin/bash
uid: controlador
cn: controlador
uidNumber: 10001
gidNumber: 500
sn: controlador
givenName: controlador

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1


Agora segue o resultado de outro comando:

root@terremoto:~# net getlocalsid
SID for domain TERREMOTO is: S-1-5-21-523744137-3653290944-2909104322

Agora uma pergunta esse SID que o comando net getlocalsid retorna não deveria ser o mesmo SID do atributo sambaSID: S-1-5-21-523744137-3653290944-2909104322-21002 do usuario listado acima?

danielmb
(usa Gentoo)

Enviado em 30/07/2014 - 11:30h

Slack00, o SID que retorna é o do servidor. O SID do usuário é o sid do servidor mais a identificação do usuário no servidor. São números diferentes. Qual o procedimento você está usando no windows para solicitar o ingresso no domínio?

Slack00
(usa Slackware)

Enviado em 01/08/2014 - 14:51h

danielmb , Bom Dia cara montei novamente o ambiente com o openldap e o samba porem ao tentar executar o comando smbclient retona esse erro

root@terremoto:~# smbclient -L 10.1.0.50 -U controlador
Enter controlador's password:
session setup failed: NT_STATUS_LOGON_FAILURE

testei tambêm na distro Debian, porem deu erro em outra parte
sabe de algum tuto legal ou treinamento bom sobre Ldap e Samba?