LDAP - Samba 3

Schémata LDAPu pro Sambu

Aby bylo možné v LDAPu vytvářet sambové uživatele, skupiny a počítače, je potřeba sehnat a povolit použití schémat samby.

apt-get install samba-doc
zcat /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz > /etc/ldap/schema/samba.schema
nano /etc/ldap/slapd.conf

include  /etc/ldap/schema/samba.schema

access to attrs=SambaLMPassword,SambaNTPassword
  by dn="userid=SambaAdmin,dc=firma" write
  by * none

/etc/init.d/slapd restart

Konfigurace Samby pro použití LDAP databáze

nano /etc/samba/smb.conf

 # Toto nejspis staci poupravit
 security = user
 encrypt passwords = true
 ;passdb backend = tdbsam # Puvodni hodnota
 passdb backend = ldapsam:ldap://localhost

 # Informace o strukture LDAP
 # Ja pouzivam strukturu
 # dc=test
 #  ou=users
 #   cn=skupina
 #    cn=uzivatel
 #   cn=machines
 #    cn=pocitac$

 ldap ssl = yes
 ldap suffix = dc=test
 # Pristupovy ucet samby k LDAPu, heslo se ted nenastavuje
 ldap admin dn = cn=system,cn=admins,ou=users,dc=test
 ldap machine suffix = ou=users # Vetev s pocitaci
 ldap user suffix = ou=users # Vetev s uzivateli
 ldap group suffix = ou=users # Vetev se skupinami

# Pokud NEBUDOU UVEDENY V LDAP, cestovni profily,
# prihlasovaci skript i sitovou jednotku VYPNOUT
 logon path =
 logon drive =
 logon home =
 logon script =

# Aby se zmena hesla z Windows projevila i v Linuxovem hesle
 unix password sync = yes
 passwd program = /usr/bin/passwd %u
 # Toto muze obsahovat i %o pro stavajici heslo, ale pouze pokud je vyple encrypt passwords!
 passwd chat = *New\spassword:* %n\n *Re*password:* %n\n *changed*

Nastavíme heslo k účtu uvedenému v ldap admin dn:

smbpasswd -w heslo

/etc/init.d/samba restart

Práva

SID se skládá z části domény (SID domény) a u ostatních prvků se přidává poslední číslo rozlišující její jednotlivé prvky. Pro zjednodušení se často jako SID uvádí pouze poslední číslo. SID 500 je sambovým rootem, což umožňuje řešit potíže, kdy si odeberete práva ke správě domény.

S-1-5-21-2063541560-4115443364-1435535010-XXXX

Tento root (nebo oprávněný uživatel) může přidělovat práva - přidělíme tedy skupině doménových administrátorů právo přidávat počítače do domény:

net rpc rights grant admins SeMachineAccountPrivilege -U system

Pro přidání počítače do domény mu ale musíme vytvořit v LDAPu účet. Samba se o něj bude starat (nastaví mu heslo atd.), ale účty nevytváří ani neodstraňuje.

Poznámky

• sambaPwdLastSet udává čas poslední změny hesla - pokud se nastaví na 0, uživatel musí po prvním přihlášení změnit heslo (může se hodit)
• Vyzkoušet jak Samba vidí uživatel v LDAPu můžete následujícími příkazy:

  pdbedit -Lv uzivatel # Informace o uživateli uzivatel
  net user -U admin # Seznam uživatelů
  net group -U admin # Seznam skupin
  

• Chybu Nemáte oprávnění změnit heslo může způsobovat chyba synchronizace s linuxovými účty (unix password sync, passwd chat)
• Chybu Váš účet byl zakázán. Obraťte se na správce systému. způsobuje flag D v LDAPu
• Chybu Nemůžete se přihlásit, protože váš účet byl uzamčen. Obraťte se na správce. způsobuje flag L v LDAPu, který může být automaticky nastaven když uživatel příliš mnohokrát zadá špatné heslo
• Flag N, který má správně povolit přihlášení uživatele bez hesla způsobuje odepření přístupu. (Jako při špatně zadaném hesle) Zatím nevím proč.
• Je-li zapnuto encrypt passwords, nemá samba přístup k stávajícímu heslo, pouze k novému. Stávající heslo tak nesmí být nezbytné pro změnu UNIXového hesla - %o nebude fungovat

Autor: Jan Kalina Vydáno: 9.10.2010 19:00 Přečteno: 2174x Hodnocení: 90% (hodnoceno 1x) Vaše hodnocení: 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Samba server setup - Debian Wiki