Kategorie: LDAP

LDAP - Samba 3

Schémata LDAPu pro Sambu

Aby bylo možné v LDAPu vytvářet sambové uživatele, skupiny a počítače, je potřeba sehnat a povolit použití schémat samby.
apt-get install samba-doc
zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema
nano /etc/ldap/slapd.conf
include  /etc/ldap/schema/samba.schema
access to attrs=SambaLMPassword,SambaNTPassword
  by dn="userid=SambaAdmin,dc=firma" write
  by * none
/etc/init.d/slapd restart

Konfigurace Samby pro použití LDAP databáze

nano /etc/samba/smb.conf
 # Toto nejspis staci poupravit
 security = user
 encrypt passwords = true
 ;passdb backend = tdbsam # Puvodni hodnota
 passdb backend = ldapsam:ldap://localhost

 # Informace o strukture LDAP
 # Ja pouzivam strukturu
 # dc=test
 #  ou=users
 #   cn=skupina
 #    cn=uzivatel
 #   cn=machines
 #    cn=pocitac$

 ldap ssl = yes
 ldap suffix = dc=test
 # Pristupovy ucet samby k LDAPu, heslo se ted nenastavuje
 ldap admin dn = cn=system,cn=admins,ou=users,dc=test
 ldap machine suffix = ou=users # Vetev s pocitaci
 ldap user suffix = ou=users # Vetev s uzivateli
 ldap group suffix = ou=users # Vetev se skupinami

# Pokud NEBUDOU UVEDENY V LDAP, cestovni profily,
# prihlasovaci skript i sitovou jednotku VYPNOUT
 logon path =
 logon drive =
 logon home =
 logon script =

# Aby se zmena hesla z Windows projevila i v Linuxovem hesle
 unix password sync = yes
 passwd program = /usr/bin/passwd %u
 # Toto muze obsahovat i %o pro stavajici heslo, ale pouze pokud je vyple encrypt passwords!
 passwd chat = *New\spassword:* %n\n *Re*password:* %n\n *changed*
Nastavíme heslo k účtu uvedenému v ldap admin dn:
smbpasswd -w heslo
/etc/init.d/samba restart

Práva

SID se skládá z části domény (SID domény) a u ostatních prvků se přidává poslední číslo rozlišující její jednotlivé prvky. Pro zjednodušení se často jako SID uvádí pouze poslední číslo. SID 500 je sambovým rootem, což umožňuje řešit potíže, kdy si odeberete práva ke správě domény.
S-1-5-21-2063541560-4115443364-1435535010-XXXX
Tento root (nebo oprávněný uživatel) může přidělovat práva - přidělíme tedy skupině doménových administrátorů právo přidávat počítače do domény:
net rpc rights grant admins SeMachineAccountPrivilege -U system
Pro přidání počítače do domény mu ale musíme vytvořit v LDAPu účet. Samba se o něj bude starat (nastaví mu heslo atd.), ale účty nevytváří ani neodstraňuje.

Poznámky

  • sambaPwdLastSet udává čas poslední změny hesla - pokud se nastaví na 0, uživatel musí po prvním přihlášení změnit heslo (může se hodit)
  • Vyzkoušet jak Samba vidí uživatel v LDAPu můžete následujícími příkazy:
    pdbedit -Lv uzivatel # Informace o uživateli uzivatel
    net user -U admin # Seznam uživatelů
    net group -U admin # Seznam skupin
    
  • Chybu Nemáte oprávnění změnit heslo může způsobovat chyba synchronizace s linuxovými účty (unix password sync, passwd chat)
  • Chybu Váš účet byl zakázán. Obraťte se na správce systému. způsobuje flag D v LDAPu
  • Chybu Nemůžete se přihlásit, protože váš účet byl uzamčen. Obraťte se na správce. způsobuje flag L v LDAPu, který může být automaticky nastaven když uživatel příliš mnohokrát zadá špatné heslo
  • Flag N, který má správně povolit přihlášení uživatele bez hesla způsobuje odepření přístupu. (Jako při špatně zadaném hesle) Zatím nevím proč.
  • Je-li zapnuto encrypt passwords, nemá samba přístup k stávajícímu heslo, pouze k novému. Stávající heslo tak nesmí být nezbytné pro změnu UNIXového hesla - %o nebude fungovat

Komentáře

Jméno
Předmět
Kontrola captcha
Text
b i url img code   1 2 3 4 5 6 7 8 9 10

Nebyly přidány žádné komentáře.