# Домен с использованием ldap

## ntsite

Доброе время суток.

Путем долго размышления, пришел к выводу, что Samba+PDC - плохое решение, управлять правами не получается и подключать unix машины к нему тоже не очень выходит.

Решил вернуться к идеи "реализовать домен с ldap".

Воспользовался викой (ссылка). Возникли проблемы.

Проблемы возникли потому что моих знаний еще маловато, но все же стараюсь и учусь  :Smile: 

Дошел без проблем вот до этого этапа

```
smbldap-populate -a Administrator -k 0 -m 0
```

После этой команды, мне выдает ошибку соответственно:

```
gate smbldap-tools # smbldap-populate -a  Administrator -k 0 -m 0                        

Populating LDAP directory for domain gate (S-1-5-21-1760923807-2537194685-131975

6850)                                                                           

(using builtin directory structure)                                             

                                                                                

adding new entry: dc=dvtgik,dc=lan                                              

failed to add entry: modifications require authentication at /usr/sbin/smbldap-p

opulate line 499, <GEN1> line 7.                                                

adding new entry: ou=Users,dc=dvtgik,dc=lan                                     

failed to add entry: modifications require authentication at /usr/sbin/smbldap-p

opulate line 499, <GEN1> line 12.                                               

adding new entry: ou=Groups,dc=dvtgik,dc=lan                                    

failed to add entry: modifications require authentication at /usr/sbin/smbldap-p

opulate line 499, <GEN1> line 17.                                               

adding new entry: ou=Computers,dc=dvtgik,dc=lan                                 

failed to add entry: modifications require authentication at /usr/sbin/smbldap-p

opulate line 499, <GEN1> line 22.                                               

adding new entry: ou=Idmap,dc=dvtgik,dc=lan                                     

failed to add entry: modifications require authentication at /usr/sbin/smbldap-p

opulate line 499, <GEN1> line 27.                                               

adding new entry: uid=admin,ou=Users,dc=dvtgik,dc=lan                           

failed to add entry: modifications require authentication at /usr/sbin/smbldap-p

opulate line 499, <GEN1> line 58.                                               

adding new entry: uid=nobody,ou=Users,dc=dvtgik,dc=lan                          

failed to add entry: modifications require authentication at /usr/sbin/smbldap-p

opulate line 499, <GEN1> line 89.                                               

adding new entry: cn=Domain Admins,ou=Groups,dc=dvtgik,dc=lan                   

failed to add entry: modifications require authentication at /usr/sbin/smbldap-p

opulate line 499, <GEN1> line 101.                                              

adding new entry: cn=Domain Users,ou=Groups,dc=dvtgik,dc=lan                    

failed to add entry: modifications require authentication at /usr/sbin/smbldap-p

opulate line 499, <GEN1> line 112.                                              

adding new entry: cn=Domain Guests,ou=Groups,dc=dvtgik,dc=lan                   

failed to add entry: modifications require authentication at /usr/sbin/smbldap-p

opulate line 499, <GEN1> line 123.                                              

adding new entry: cn=Domain Computers,ou=Groups,dc=dvtgik,dc=lan                

failed to add entry: modifications require authentication at /usr/sbin/smbldap-p

opulate line 499, <GEN1> line 134.                                              

adding new entry: cn=Administrators,ou=Groups,dc=dvtgik,dc=lan                  

failed to add entry: modifications require authentication at /usr/sbin/smbldap-p

opulate line 499, <GEN1> line 179.                                              

adding new entry: cn=Account Operators,ou=Groups,dc=dvtgik,dc=lan               

failed to add entry: modifications require authentication at /usr/sbin/smbldap-p

opulate line 499, <GEN1> line 201.                                              

adding new entry: cn=Print Operators,ou=Groups,dc=dvtgik,dc=lan                 

failed to add entry: modifications require authentication at /usr/sbin/smbldap-p

opulate line 499, <GEN1> line 212.                                              

adding new entry: cn=Backup Operators,ou=Groups,dc=dvtgik,dc=lan                

failed to add entry: modifications require authentication at /usr/sbin/smbldap-p

opulate line 499, <GEN1> line 223.                                              

adding new entry: cn=Replicators,ou=Groups,dc=dvtgik,dc=lan                     

failed to add entry: modifications require authentication at /usr/sbin/smbldap-p

opulate line 499, <GEN1> line 234.                                              

adding new entry: sambaDomainName=gate,dc=dvtgik,dc=lan                         

failed to add entry: modifications require authentication at /usr/sbin/smbldap-p

opulate line 499, <GEN1> line 242.                                              

                                                                                

Please provide a password for the domain admin:                                 

No such object at /usr/sbin//smbldap_tools.pm line 353.                         
```

После, я думаю все мои операции конечно же будут уже не верными и особой пользы не принесут.

```
smbpasswd -W
```

Пароль я задал, все успешно ввелось.

А тут, начались проблемы  :Smile: 

```
net rpc join -U Administrator
```

```
[2009/02/06 16:43:37, 0] param/loadparm.c:map_parameter(2786)  

  Unknown parameter encountered: "og file"                     

[2009/02/06 16:43:37, 0] param/loadparm.c:lp_do_parameter(3527)

  Ignoring unknown parameter "og file"                         

Password:                                                      

Could not connect to server GATE               

Connection failed: NT_STATUS_CONNECTION_REFUSED

Could not connect to server GATE               

Connection failed: NT_STATUS_CONNECTION_REFUSED
```

Уже наверно бьюсь с ldap'ом пол годика и пока еще никак не выходит  :Sad: 

Хочу поинтересоваться у знающих людей (которые ставили или знают) в чем я ошибся и может у Вас есть рабочий конфиг или же хороший мануал по которому уже получалось сделать.

Мне как бы вообще говорили, что ldap ставить трудно, но с учетом того, что у меня учебное заведение - то выбора у меня нет и надо хоть что то более приближенное к AD.

----------

## fank

конфиг в студию   :Evil or Very Mad: 

----------

## ntsite

Вот мои конфиги

/etc/openldap/slapd.conf

```
include         /etc/openldap/schema/core.schema         

include         /etc/openldap/schema/cosine.schema       

include         /etc/openldap/schema/inetorgperson.schema

include         /etc/openldap/schema/misc.schema         

include         /etc/openldap/schema/nis.schema          

include         /etc/openldap/schema/openldap.schema     

include         /etc/openldap/schema/samba.schema        

pidfile         /var/run/openldap/slapd.pid 

argsfile        /var/run/openldap/slapd.args

access to dn.base=""           

        by self write          

        by * auth              

access to attr=userPassword    

        by self write          

        by * auth              

access to attr=shadowLastChange

        by self write          

        by * read              

access to *                    

        by * read              

        by anonymous auth      

database        ldbm              

suffix          "dc=dvtgik,dc=lan"

rootdn          "cn=Manager,dc=dvtgik,dc=lan"

rootpw          пароль с шифрованием SSHA

directory       /var/lib/openldap-ldbm

index   objectClass     eq           

index cn                eq,subinitial

index sn                eq,subinitial

index uid               eq,subinitial

index displayName       eq,subinitial

index uidNumber         eq           

index gidNumber         eq           

index memberUID         eq           

index sambaSID          eq           

index sambaPrimaryGroupSID      eq   

index sambaDomainName   eq           
```

/etc/openldap/ldap.conf

```
HOST 127.0.0.1       

BASE dc=dvtgik,dc=lan
```

/etc/conf.d/samba

```
daemon_list="smbd nmbd winbind"
```

/etc/samba/smb.conf

```
[global]                                                                

        dos charset = 866                                               

        unix charset = KOI8-R                                           

        workgroup = DVTGIK.LAN                                          

        netbios name = GATE                                             

        interfaces = eth0, lo                                           

        realm = dvtgik.lan                                              

        nt acl support = yes                                            

        acl compatibility = win2k                                       

        map acl inherit = yes                                           

        server string = Samba Server %v                                 

        log file = /var/log/samba/log.%m                                         

        debug level = 9                                                     

        max log size = 500                                                  

       socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192          

       security = user                                                     

       os level = 250                                                      

       passdb backend = ldapsam:"ldap://127.0.0.1/"                        

       enable privileges = yes                                             

                                                                        

       passwd program = /usr/sbin/smbldap-passwd "%u"                          

       passwd chat = *new*password* %n\n *new*password* %n\n *successfully*

       passdb expand explicit = no                                         

       unix password sync = no                               

       ldap passwd sync = no                                 

                                                          

       ldap suffix = dc=dvtgik,dc=lan                        

       ldap admin dn = cn=Manager,dc=dvtgik,dc=lan           

       ldap user suffix = ou=Users                           

       ldap group suffix = ou=Groups                         

                                                          

       ldap machine suffix = ou=Users                            

       ldap idmap suffix = ou=Idmap                          

       idmap backend = ldapsam:ldap://127.0.0.1/             

       idmap uid = 10000-20000                               

       idmap gid = 10000-20000                               

                                                          

       ldap delete dn = Yes                                  

       ldap ssl = no                                         

                                                          

      add user script = /usr/sbin/smbldap-useradd -n -a "%u"

      delete user script = /usr/sbin/smbldap-userdel "%u"   

                                                          

      add group script = /usr/sbin/smbldap-groupadd -p "%g" 

      delete group script = /usr/sbin/smbldap-userdel "%g"                   

                                                                           

      add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"     

      delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"

      set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"      

                                                                           

      add machine script = /usr/sbin/smbldap-useradd -w "%u"                 

                                                                           

      domain master = yes                                                        

      preferred master = yes                                                 

      domain logons = Yes                                                        

      logon path =                                                               

      logon drive = U:                                                       

      logon home = \\%L\users\%U                                             

      далее шары
```

/etc/smbldap-tools/smbldap.conf

```
SID="S-1-5-21-1760923807-2537194685-1319756850"

sambaDomain="gate"

slaveLDAP="127.0.0.1"

slavePort="389"

masterLDAP="127.0.0.1"

masterPort="389"

ldapTLS="0"

verify="require"

cafile="/etc/smbldap-tools/ca.pem"

clientcert="/etc/smbldap-tools/smbldap-tools.pem"

suffix="dc=dvtgik,dc=lan"

usersdn="ou=Users,${suffix}"

computersdn="ou=Computers,${suffix}"

groupsdn="ou=Groups,${suffix}"

idmapdn="ou=Idmap,${suffix}"

sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"

scope="sub"

hash_encrypt="SSHA"

crypt_salt_format="%s"

userLoginShell="/bin/bash"

userHome="/home/%U"

userHomeDirectoryMode="700"

userGecos="System User"

defaultUserGid="513"

defaultComputerGid="515"

skeletonDir="/etc/skel"

defaultMaxPasswordAge="45"

userSmbHome="\\%L\%U"

userProfile="\\%L\profiles\%U"

userHomeDrive="X:"

userScript="logon.bat"

mailDomain="dvtgik.lan"

with_smbpasswd="0"            

smbpasswd="/usr/bin/smbpasswd"

with_slappasswd="0"              

slappasswd="/usr/sbin/slappasswd"
```

/etc/smbldap-tools/smbldap_bind.conf

```
slaveDN="cn=Manager,dc=dvtgik,dc=lan" 

slavePw="пароль"                  

masterDN="cn=Manager,dc=dvtgik,dc=lan"

masterPw="пароль"                 
```

Вот что говорит smbclient

```
gate init.d # smbclient -L gate -U golub                           

Password:                                                          

Domain=[DVTGIK.LAN] OS=[Unix] Server=[Samba 3.0.33]                

                                                                   

        Sharename       Type      Comment                          

        ---------       ----      -------                          

        netlogon        Disk      Network Logon Service            

        Profiles        Disk                                       

        users           Disk                                       

        IPC$            IPC       IPC Service (Samba Server 3.0.33)

        golub           Disk      Home Directories                 

Domain=[DVTGIK.LAN] OS=[Unix] Server=[Samba 3.0.33]                

                                                                   

        Server               Comment                               

        ---------            -------                               

        GATE                 Samba Server 3.0.33                   

                                                                   

        Workgroup            Master                                

        ---------            -------                               

        DVTGIK.LAN                                                 
```

Вроде ничего не забыл.

Сейчас такая ситуация, домен настроен, и вроде как работает, пользователи с консоли добавляются, права админской группе дал.

Одна проблема осталась, не знаю как ее решить

```
gate samba # net groupmap list                                 

[2009/02/06 23:58:58, 0] param/loadparm.c:map_parameter(2786)  

  Unknown parameter encountered: "og file"                     

[2009/02/06 23:58:58, 0] param/loadparm.c:lp_do_parameter(3527)

  Ignoring unknown parameter "og file"                         
```

Вот такая бяка вылетает мне постоянно  :Sad: 

И добавилась еще одна. Когда ввожу windows машину в домен, винда домен видит, но добавить не получается. Я так понимаю ошибка со скриптом add machine script, т.к. я пробовал со старого домена машинку ввести, она ругнулась на то что уже такая есть и не может быть добавлена. Вот тут я уже не могу представить какой синтаксис скрипта должен быть.

P.S. Прошу прощения за свою не внимательность  :Smile: 

```
gate samba # net groupmap list                                 

[2009/02/06 23:58:58, 0] param/loadparm.c:map_parameter(2786) 

  Unknown parameter encountered: "og file"                     

[2009/02/06 23:58:58, 0] param/loadparm.c:lp_do_parameter(3527)

  Ignoring unknown parameter "og file"    
```

Вот эта беда решилась, у меня была ошибка в smb.conf, вместо log - было написанно og.   :Rolling Eyes: 

Т.е. сейчас осталась проблема с вводом машинок в домен   :Sad: 

----------

## ntsite

Скрипт на добавление машинок в smb.conf работает нормально.

```
gate etc # smbldap-usershow lab-1-30$                   

dn: uid=lab-1-30$,ou=Computers,dc=dvtgik,dc=lan         

objectClass: top,account,posixAccount,sambaSamAccount   

cn: lab-1-30$                                           

uid: lab-1-30$                                          

uidNumber: 1043                                         

gidNumber: 515                                          

homeDirectory: /dev/null                                

loginShell: /bin/false                                  

description: Computer                                   

gecos: Computer                                         

sambaSID: S-1-5-21-1760923807-2537194685-1319756850-1003

displayName: LAB-1-30$                                  

sambaAcctFlags: [W          ]                           

sambaNTPassword: 53AEF8E60D2FDE70719D37D5094549CD       

sambaPwdLastSet: 1233967864                             
```

Но, все равно зайти нельзя, говорит что учетная запись не найдена.

Тогда я ручками делаю вот так:

```
gate etc # /usr/sbin/useradd -s /bin/false -d /tmp lab-1-30$
```

И тогда машинка входит в домен. Вот как бы это сделать все автоматом, чтобы не писать ручками?

Так же опять странная проблема, не создаются папки профилей.

Вот права

/var/lib/samba

```
gate samba # ls -l                                 

total 24                                           

drwxr-xr-x  5 root root  4096 Dec  1 21:26 files   

drwxrwxr-x  3 root users 4096 Feb  2 13:49 incoming

drwxr-xr-x  3 root root  4096 Feb  6 16:31 netlogon

drwxr-xr-x 10 root root  4096 Dec 30 20:36 printers

drwx------  2 root root  4096 Feb  6 16:31 private 

drwxrwxrwx  4 root users 4096 Feb  6 17:40 profiles
```

В конфиге самбы указанно logon path = \\%L\profiles\%U

Вот тут я не знаю где ошибся.

Так же осталась проблема с правами, админом домена является root, так же создал пользователя и включил его в группу Domain Admins, дал права группе 

```
net rpc rights grant "Domain Admins" SeMachineAccountPrivilege SeTakeOwnershipPrivilege SeBackupPrivilege

SeRestorePrivilege SeRemoteShutdownPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege 

SeDiskOperatorPrivilege -Uroot
```

И вот тут проблемки  :Smile:  Пользователь admin - все равно не может добавлять машинки в домен.

И пользователь root не является администратором клиентских машин, когда заходишь в домен. В чем тут может быть моя ошибка? На этот вопрос так и не ответили мне, когда я спрашивал про Samba+PDC

----------

## ntsite

Нашел некое описание как раз о правах в домене с поддержкой ldap.

Смотрим список

```
gate ~ # net -U admin rpc rights list                                   

Password:                                                               

     SeMachineAccountPrivilege  Add machines to domain                  

      SeTakeOwnershipPrivilege  Take ownership of files or other objects

             SeBackupPrivilege  Back up files and directories           

            SeRestorePrivilege  Restore files and directories           

     SeRemoteShutdownPrivilege  Force shutdown from a remote system     

      SePrintOperatorPrivilege  Manage printers                         

           SeAddUsersPrivilege  Add users and groups to the domain      

       SeDiskOperatorPrivilege  Manage disk shares                      
```

Далее смотрим какие права есть у пользователя admin

```
gate ~ # net -U admin rpc rights list admin

Password:                                  

SeMachineAccountPrivilege                  

SeTakeOwnershipPrivilege                   

SeBackupPrivilege                          

SeRestorePrivilege                         

SeRemoteShutdownPrivilege                  

SePrintOperatorPrivilege                   

SeAddUsersPrivilege                        

SeDiskOperatorPrivilege                    
```

Т.е. пользователь admin теперь умеет добавлять машинки в домен. Но, когда я захожу в домен и пытаюсь зайти в управление компьютера (OS Windows Vista), мне вылетает сообщение о том, что у меня не хватает прав и требуется "Повышение". Я вводил root'a и admin'а, но все равно не могу настроить компьютер. В чем тут я ошибся?

P.S. Эх, разве никто не держит домены на gentoo?  :Sad: 

----------

## fank

мда... просмотрел статью бегло

мягко говоря, малоадекватно

во-первых, изначально в статье пропущен этап проверки лдап-сервера на работоспособность

под рукой нет линуха, да и настраивал давно, поэтому точно не скажу, как проверить

поставь лучше phpldapadmin, настрой его и посмотри содержимое

----------

## fank

вот с чего я бы посоветовал начать

http://www.gentoo.org/doc/en/ldap-howto.xml

кстати, если кому нужен экспорт адресбука из Outlook, я писал скрипт на perl

могу поделиться

готов также помочь с конфигом и настройками клиентов для организации shared addressbook

возможен также экпорт АБ в vCard 3.0.

обращайтесь   :Wink: 

----------

## fank

вот еще одно руководство, вроде бы неплохо написано, хотя я смотрел не очень внимательно

https://forums.gentoo.org/viewtopic-t-321555-highlight-samba+ldap+howto.html

----------

## ntsite

Да у меня как бы домен поднят, пользователи находятся. Сейчас меня больше смущает проблемы с правами. Насчет создания папок профиля вроде как нашел решение, но пока еще не могу проверить, т.к. рабочая неделя закончилась  :Smile:  Ну и насчет скрипта для ввода машинок в домен, тут тоже особо не смущает.

----------

## fank

 *ntsite wrote:*   

> Да у меня как бы домен поднят, пользователи находятся. Сейчас меня больше смущает проблемы с правами. Насчет создания папок профиля вроде как нашел решение, но пока еще не могу проверить, т.к. рабочая неделя закончилась  Ну и насчет скрипта для ввода машинок в домен, тут тоже особо не смущает.

 

в таком случае все намного проще

нужно просто-напросто узнать, какие запросы к ЛДАП серверу отрабатывают не так, как ожидает самба

----------

## ntsite

Хорошо, как это увидеть? Настроить самбу и лдап? Имею ввиду, чтобы полные логи отражались или как то по-другому?

----------

## fank

включи дебаг на ЛДАП сервере и на самбе

мб есть решение проще, если где-то в скриптах есть запросы в чисто виде

----------

## ntsite

Эм, не нашел как включить дебаг... Да и думаю смысл на LDAP включать? Он то работает нормально, тут проблема с правами на администратора в Samba+PDC (У меня так же было и просто на Samba+PDC без LDAP)

Еще хотел спросить, почему не создается профиль пользователей?

Вот конфиг самбы

/etc/samba/smb.conf

```
[global]                                                          

        dos charset = 866                                         

        unix charset = KOI8-R                                     

        workgroup = DVTGIK.LAN                                    

        netbios name = GATE                                       

        interfaces = eth0, lo                                     

        bind interfaces only = Yes                                

        realm = dvtgik.lan                                        

        nt acl support = yes                                      

        acl compatibility = win2k                                 

        map acl inherit = yes                                     

        server string = Samba Server %v                           

        log file = /var/log/samba/log.%m                          

        debug level = 9                                           

        max log size = 500                                        

        socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192

        security = user                                           

        os level = 250                                            

        passdb backend = ldapsam:"ldap://127.0.0.1/"              

        enable privileges = yes                                   

#       obey pam restrictions = yes                               

        time server = yes                                         

                                                                            

        passwd program = /usr/sbin/smbldap-passwd "%u"                      

        passwd chat = *new*password* %n\n *new*password* %n\n *successfully*

        passdb expand explicit = no                                         

        unix password sync = no                                             

        ldap passwd sync = no                                               

                                                                            

        ldap suffix = dc=dvtgik,dc=lan                                      

        ldap admin dn = cn=Manager,dc=dvtgik,dc=lan                         

        ldap user suffix = ou=Users                                         

        ldap group suffix = ou=Groups                                       

                                                                            

        ldap machine suffix = ou=Users                                      

        ldap idmap suffix = ou=Idmap                                        

        idmap backend = ldapsam:ldap://127.0.0.1/                           

        idmap uid = 10000-20000                                             

        idmap gid = 10000-20000                                             

                                                                            

        ldap delete dn = Yes                                                

        ldap ssl = no                                                       

                                                                            

        add user script = /usr/sbin/smbldap-useradd -n -a "%u"              

        delete user script = /usr/sbin/smbldap-userdel "%u"                 

                                                                               

        add group script = /usr/sbin/smbldap-groupadd -p "%g"                  

        delete group script = /usr/sbin/smbldap-userdel "%g"                   

                                                                               

        add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"     

        delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"

        set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"      

                                                                               

        add machine script = /usr/sbin/smbldap-useradd -w "%u"                 

                                                                               

        domain master = yes                                                    

        preferred master = yes                                                 

        domain logons = Yes                                                    

        logon script = \\%L\netlogon\scripts\logon.bat                         

#       logon path = \\%L\profiles\%U                                          

        logon path = \\%L\home\.profiles                                       

        logon drive = X:                                                       

        logon home = \\%L\%U                                                   

        wins support = Yes                                                     

#       admin users = admin                                                    

                                                                               

#============================ Share Definitions ============================== 

[IPC$]                                         

        path = /tmp                            

        hosts allow = 192.168.0.0/16, 127.0.0.1

        hosts deny = 0.0.0.0/0                 

                                               

[netlogon]                                     

    comment = Network Logon Service            

    path = /var/lib/samba/netlogon             

    browseable = yes                           

    guest ok = yes                             

    writable = no                              

    share modes = no                           

[profiles]                            

        comment = Profile Share       

        path = /var/lib/samba/profiles

        create mask = 0711            

        directory mask = 0755         

        read only = No                

        profile acls = Yes            

[homes]                           

        comment = Home Directories

        path = %H                 

        valid users = %S          

        create mask = 0711        

        directory mask = 0755     

        read only = No            

        browseable = No           

[printers]                                 

        comment = SMB Print Spool          

        path = /var/spool/samba            

        guest ok = Yes                     

        printable = Yes                    

        use client driver = Yes            

        default devmode = Yes              

        browseable = No                    

                                           

[install]                                  

        comment = Install Software         

        path = /var/lib/samba/files/install

        read only = No                     

        guest ok = Yes                     

                                           

[backup]                                   

        comment = Backup Storage Data      

        path = /var/lib/samba/files/backup 

        read only = No                     

[media]                                  

        comment = Media Storage Data     

        path = /var/lib/samba/files/media

        read only = No                   

                                         

[incoming]                               

        comment = Share                  

        path = /var/lib/samba/incoming   

        writable = yes                   

        create mask = 0775               

        directory mask = 0775            

        force group = users              
```

/etc/smbldap-tools/smbldap.conf

```
# Put your own SID. To obtain this number do: "net getlocalsid".   

# If not defined, parameter is taking from "net getlocalsid" return

SID="S-1-5-21-1760923807-2537194685-1319756850"                    

sambaDomain="gate"

slaveLDAP="127.0.0.1"

slavePort="389"

masterLDAP="127.0.0.1"

ldapTLS="0"

verify="require"

cafile="/etc/smbldap-tools/ca.pem"

clientcert="/etc/smbldap-tools/smbldap-tools.pem"

suffix="dc=dvtgik,dc=lan"

usersdn="ou=Users,${suffix}"

computersdn="ou=Computers,${suffix}"

groupsdn="ou=Groups,${suffix}"

idmapdn="ou=Idmap,${suffix}"

sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"

scope="sub"

hash_encrypt="SSHA"

crypt_salt_format="%s"

userLoginShell="/bin/bash"

userHome="/home/%U"

userHomeDirectoryMode="700"

userGecos="System User"

defaultUserGid="513"

defaultComputerGid="515"

skeletonDir="/etc/skel"

defaultMaxPasswordAge="45"

userSmbHome="\\%L\%U"

userProfile="\\%L\home\.profiles"

userHomeDrive="X:"

userScript="logon.bat"

mailDomain="dvtgik.lan"

# Allows not to use smbpasswd (if with_smbpasswd == 0 in smbldap_conf.pm) but

# prefer Crypt::SmbHash library                                              

with_smbpasswd="0"                                                           

smbpasswd="/usr/bin/smbpasswd"                                               

                                                                             

# Allows not to use slappasswd (if with_slappasswd == 0 in smbldap_conf.pm)  

# but prefer Crypt:: libraries                                               

with_slappasswd="0"                                                          

slappasswd="/usr/sbin/slappasswd"                                            
```

Ну и само собой не монтируется диск X: (это хомовая директория пользователей).

Вот собственно какие проблемы. На Samb'e.org читал про права, ничего не нашел... не понимаю в чем тут проблема, перетекла из PDC  :Sad: 

----------

## fank

 *Quote:*   

> Эм, не нашел как включить дебаг... Да и думаю смысл на LDAP 

 

так ты увидишь запросы, и как ЛДАП на них реагирует

 *Quote:*   

> Еще хотел спросить, почему не создается профиль пользователей?

 

```
/usr/sbin/smbldap-useradd
```

ИМХО здесь затык

конфиги большие, параметры тупо навалены в кучу

мой тебе совет - приведи их в порядок, сразу поймешь куда копать

диски с хомами пробуй смонтировать вручную, глядя на права

acl правильные выставляются?

ФС с ними нормально работает?

----------

## ntsite

Да, диск ручками из винды монтируется нормально, т.е. в шаре на сервере я вижу папку (имя у нее как логин у пользователя). А вот автоматом не монтируется  :Sad: 

Насчет дебага, так и не знаю как включить  :Sad:  Хотя попробую поискать в интернете...

А вот с пользователями, хомовая папка создается нормально, не создаются profile - для винды. Я так понимаю там все настройки десктопа - интересно, тут не может быть проблемой с правами? Думаю уже сделать не перемещаемым профиль, если не получится разрешить эту проблему.

А пользователя создаю примерно так:

```
smbldap-useradd -a -m -c "Ivan Petrov" petrov
```

----------

## g-user

 *Quote:*   

> unix charset = KOI8-R  

 

о ужас... когда же все наконец наступит время когда все наконец перейдут на utf-8....чувствую не доживу я. 

p.s. извините вырвалось

----------

