Sistema Operativo ALDOS
Dezoft

Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

 Índice > Todo acerca de Linux > Redes y Servidores Nuevo tema Publicar Respuesta
 Centos 5+ openldap + samba no me autentifica usuarios en windows
Tema anterior Tema siguiente
   
al-serv
Publicado en 20/03/09 05:54 (Leído 7869 veces)  

Miembro Activo
cheerful
Forum User

Inscrito: 01/03/08 Publicaciones: 635
País:Cataluña
Buenas tardes!

He seguido al pie de la letra vuestro manual de centos 5 + samba + openldab, llevo varios dias intentándolo, lo he vuelvo hacer desde 0, buscando información por el google hasta que al final me he desesperado...

mi problema es:
Aparentemente al configurar me va todo perfecto, no da ningún error y todo va según el manual incluso cuando llegas al paso de smbldap-populate -a Administrator" , pongo el password del administrador y me funciona pero al hacer el comando "net groupmap" list debería de salir lo que pone en el manual pero no sale nada, ni dice nada...

La cuestión es que intento validar una maquina desde windows y me dice que el usuario administrador no esta correcto o que la clave no es correcta... no me valida los usuarios de windows... que debo de hacer para funcione?? he probado con Manager, con Administrator, con Administrador... sin éxito...
Si os conviene los archivos de configuración los copiare ok!

Gracias por adelantado!!
 
Perfil Sitio Web
 Citar
Jaime M. Tan Nozawa
Publicado en 20/03/09 08:05  

Miembro regular
Forum User

Inscrito: 31/03/07 Publicaciones: 114
País:Peru
En el smb.conf, fijate que la opción

passdb backend = tdbsam

Este comentada o desabilitada.

Tambien fijate si tienes habilitado como controlador de dominio.

domain master = yes
domain logons = yes
local master = yes
preferred master = yes

manda tu conf del samba y el la salida del : # net groupmap list

Saludos desde Perú

Jaime M. Tan Nozawa
RHCE - MCSA

Mi blog de PHP: http://phpexperto.blogspot.com
 
Perfil Sitio Web
 Citar
al-serv
Publicado en 20/03/09 11:08  

Miembro Activo
Forum User

Inscrito: 01/03/08 Publicaciones: 635
País:Cataluña
Gracias por tu rapida respuesta!

Edito mi archivo entero, por si hay algo default que tengo que habilitar o deshabilitar ok!

Desde windows veo el dominio y el servidor y cuando intento entrar me pide user y password pero he probado varios con sus passwords correctos pero no me los accepta...

el net groupmap net no me da ninguna respuesta, no hace nada de nada... gracias de nuevo po tu interes!!

smb.conf:
-----------
#======================= Global Settings =====================================

[global]

# ----------------------- Network Related Options -------------------------
#
# workgroup = NT-Domain-Name or Workgroup-Name, eg: MIDEARTH
#
# server string is the equivalent of the NT Description field
#
# netbios name can be used to specify a server name not tied to the hostname
#
# Interfaces lets you configure Samba to use multiple interfaces
# If you have multiple network interfaces then you can list the ones
# you want to listen on (never omit localhost)
#
# Hosts Allow/Hosts Deny lets you restrict who can connect, and you can
# specifiy it as a per share option as well
#
# Inicio del manual LDAP

workgroup = SCHDE
server string = Dominio

netbios name = SERVER-SCHDE

# ----- Parametros para integrar SAMBA con OpenLDAP -----

# Administrador del dominio
admin users = Administrador @"Domain Admins"
passdb backend = ldapsam:ldap://localhost
#Sufijo ldap
ldap suffix = dc=schde,dc=local
# OU de usuarios
ldap user suffix = ou=People
# OU de grupos
ldap group suffix = ou=Group
# OU de maquinas
ldap machine suffix = ou=Computers
# Administrador de OpenLDAP
ldap admin dn = cn=Manager,dc=schde,dc=local
# Sincronizacion de cuentas LDAP, NT y LM
ldap passwd sync = yes

# ----- Parametros de Seguridad de Samba -----

security = user
passdb backend = tdbsam
encrypt passwords = yes
os level = 65
domain master = yes
preferred master = yes
domain logons = yes

# ----- Integracion con smbldap-tools -----

#ldap delete dn = Yes
add user script = /usr/sbin/smbldap-useradd -m "%u"
add machine script = /usr/sbin/smbldap-useradd -w "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
delete user script = /usr/sbin/smbldap-userdel "%u"
delete group script = /usr/sbin/smbldap-groupdel "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"

# ----- Parametros Windbind -----

winbind nested groups = no

#--------- fin LDAP puesto del manual

; interfaces = lo eth0 192.168.12.2/24 192.168.13.2/24
; hosts allow = 127. 192.168.12. 192.168.13.

# --------------------------- Logging Options -----------------------------
#
# Log File let you specify where to put logs and how to split them up.
#
# Max Log Size let you specify the max size log files should reach

# logs split per machine
; log file = /var/log/samba/%m.log
# max 50KB per log file, then rotate
; max log size = 50

# ----------------------- Standalone Server Options ------------------------
#
# Security can be set to user, share(deprecated) or server(deprecated)
#
# Backend to store user information in. New installations should
# use either tdbsam or ldapsam. smbpasswd is available for backwards
# compatibility. tdbsam requires no further configuration.

; security = user
; passdb backend = tdbsam


# ----------------------- Domain Members Options ------------------------
#
# Security must be set to domain or ads
#
# Use the realm option only with security = ads
# Specifies the Active Directory realm the host is part of
#
# Backend to store user information in. New installations should
# use either tdbsam or ldapsam. smbpasswd is available for backwards
# compatibility. tdbsam requires no further configuration.
#
# Use password server option only with security = server or if you can't
# use the DNS to locate Domain Controllers
# The argument list may include:
# password server = My_PDC_Name [My_BDC_Name] [My_Next_BDC_Name]
# or to auto-locate the domain controller/s
# password server = *


; security = domain
; passdb backend = tdbsam
; realm = MY_REALM

; password server = <NT-Server-Name>

# ----------------------- Domain Controller Options ------------------------
#
# Security must be set to user for domain controllers
#
# Backend to store user information in. New installations should
# use either tdbsam or ldapsam. smbpasswd is available for backwards
# compatibility. tdbsam requires no further configuration.
#
# Domain Master specifies Samba to be the Domain Master Browser. This
# allows Samba to collate browse lists between subnets. Don't use this
# if you already have a Windows NT domain controller doing this job
#
# Domain Logons let Samba be a domain logon server for Windows workstations.
#
# Logon Scrpit let yuou specify a script to be run at login time on the client
# You need to provide it in a share called NETLOGON
#
# Logon Path let you specify where user profiles are stored (UNC path)
#
# Various scripts can be used on a domain controller or stand-alone
# machine to add or delete corresponding unix accounts
#
; security = user
; passdb backend = tdbsam

; domain master = yes
; domain logons = yes

# the login script name depends on the machine name
; logon script = %m.bat
# the login script name depends on the unix user used
; logon script = %u.bat
; logon path = \\%L\Profiles\%u
# disables profiles support by specifing an empty path
; logon path =

; add user script = /usr/sbin/useradd "%u" -n -g users
; add group script = /usr/sbin/groupadd "%g"
; add machine script = /usr/sbin/useradd -n -c "Workstation (%u)" -M -d /nohome -s /bin/false "%u"
; delete user script = /usr/sbin/userdel "%u"
; delete user from group script = /usr/sbin/userdel "%u" "%g"
; delete group script = /usr/sbin/groupdel "%g"


# ----------------------- Browser Control Options ----------------------------
#
# set local master to no if you don't want Samba to become a master
# browser on your network. Otherwise the normal election rules apply
#
# OS Level determines the precedence of this server in master browser
# elections. The default value should be reasonable
#
# Preferred Master causes Samba to force a local browser election on startup
# and gives it a slightly higher chance of winning the election
; local master = no
; os level = 33
; preferred master = yes

#----------------------------- Name Resolution -------------------------------
# Windows Internet Name Serving Support Section:
# Note: Samba can be either a WINS Server, or a WINS Client, but NOT both
#
# - WINS Support: Tells the NMBD component of Samba to enable it's WINS Server
#
# - WINS Server: Tells the NMBD components of Samba to be a WINS Client
#
# - WINS Proxy: Tells Samba to answer name resolution queries on
# behalf of a non WINS capable client, for this to work there must be
# at least one WINS Server on the network. The default is NO.
#
# DNS Proxy - tells Samba whether or not to try to resolve NetBIOS names
# via DNS nslookups.

; wins support = yes
; wins server = w.x.y.z
; wins proxy = yes

; dns proxy = yes

# --------------------------- Printing Options -----------------------------
#
# Load Printers let you load automatically the list of printers rather
# than setting them up individually
#
# Cups Options let you pass the cups libs custom options, setting it to raw
# for example will let you use drivers on your Windows clients
#
# Printcap Name let you specify an alternative printcap file
#
# You can choose a non default printing system using the Printing option

load printers = yes
cups options = raw

; printcap name = /etc/printcap
#obtain list of printers automatically on SystemV
; printcap name = lpstat
; printing = cups

# --------------------------- Filesystem Options ---------------------------
#
# The following options can be uncommented if the filesystem supports
# Extended Attributes and they are enabled (usually by the mount option
# user_xattr). Thess options will let the admin store the DOS attributes
# in an EA and make samba not mess with the permission bits.
#
# Note: these options can also be set just per share, setting them in global
# makes them the default for all shares

; map archive = no
; map hidden = no
; map read only = no
; map system = no
; store dos attributes = yes


#============================ Share Definitions ==============================

[homes]
comment = Home Directories
browseable = no
writable = yes
; valid users = %S
; valid users = MYDOMAIN\%S

[printers]
comment = All Printers
path = /var/spool/samba
browseable = no
guest ok = no
writable = no
printable = yes

# Un-comment the following and create the netlogon directory for Domain Logons
[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon
guest ok = yes
writable = no
share modes = no


# Un-comment the following to provide a specific roving profile share
# the default is to use the user's home directory
; [Profiles]
; path = /var/lib/samba/profiles
; browseable = no
; guest ok = yes

[Profiles]
path = /var/lib/samba/profiles
comment = Network Profiles Share
create mask = 0600
directory mask = 0700
browseable = no
writable = yes
guest ok = no
printable = no
store dos attributes = Yes
hide files = /desktop.ini/outlook*.lnk/*Briefcase*/

# A publicly accessible directory, but read only, except for people in
# the "staff" group
; [public]
; comment = Public Stuff
; path = /home/samba
; public = yes
; writable = yes
; printable = no
; write list = +staff
 
Perfil Sitio Web
 Citar
al-serv
Publicado en 21/03/09 11:26  

Miembro Activo
Forum User

Inscrito: 01/03/08 Publicaciones: 635
País:Cataluña
He estado haciendo pruebas y me he dado cuenta de que si añades manualmente el usuario a samba si que se valida... pero lo entras en el dominio y esta como usuario sin privilegios de administrador...

No deveria crearse automaticamente el usuario cuando creas un usuario LDAP?? tengo que crear los usuarios manualmente en samba??

También he probado un aplicativo web llamado Ldap acount manager o algo así y si creo un usuario desde allí tampoco me funciona, me detecta todo el grupo y dominio pero al crear un usuario ni me lo crea en linux ni en LDAP.. alguien sabe como va?? he seguido su manual pero no hay manera!

SOS!!! Espero la respuesta de si ves algo mal en mi archivo smb...! gracias!
 
Perfil Sitio Web
 Citar
al-serv
Publicado en 22/03/09 04:21  

Miembro Activo
Forum User

Inscrito: 01/03/08 Publicaciones: 635
País:Cataluña
Bueno me voy respondiendo a mi mismo jejeje

ya he conseguido que vaya todo! al final era culpa de la linea username map = /etc/samba/smbusers en el smb.conf que estaba activada, ya la he desactivado y ahora me valida los usuarios!

Desde la aplicación ldap acount manager que va via web y esta muy bien para dominar LDAP puedo crear usuarios y funciona todo bien!

Pero.. hay un problema... cuando me valido en el dominio desde una maquina de windows... si entro con un usuario y salgo me guarda el perfil movil, entro con otro usuario distinto en la misma maquina y utiliza la carpeta de documents and settings que había creado el primer usuario que se ha validado y al cerrar lo guarda en el perfil del priner usuario
Ejem... inicio con usuario juan, cierro sessión e inicio en la misma maquina como usuario pedro... Si vas a "documents and settings" de windows solo hay la carpeta juan y si creo algo en el escritorio se guarda en la carpeta juan, al cerrar da error de perfil que no se ha podido guardar porque no ha podido copiar los datos en la carpeta pedro ( logico porque no estas validado como pedro sino como juan )

A ver si alguien me sabe resolver este misterio, si tengo que activar o desactivar alguna cosa de ldap o samba....!
 
Perfil Sitio Web
 Citar
al-serv
Publicado en 24/03/09 01:00  

Miembro Activo
Forum User

Inscrito: 01/03/08 Publicaciones: 635
País:Cataluña
Ahora parece ser que funciona todo perfecto, lo he vuelto a repetir todo de nuevo y ahora ya carga cada perfil como es devido, solo tengo un par de dudas!

1º- Cuando le dices la carpeta con la letra de unidad a assignar, U: por ejemplo
Es una carpeta que todos accederan como si fuera una carpeta de red, me accede perfcectamente pero cuando creo un documento con un suario llamado juan, cuando entro con el usuario pedro ya uno puedo ller ni escribir en el pero si que puedo crear un documento nuevo. Me he fijado desde windows que cada documento es propietario del usuario que lo crea por lo que es logico que no puedan escribir ni leer los demas usuarios.... como se puede hacer para que los demas usuarios tambien puedan leer y escribir ese documento???

2º- Una vez entrado y validado el usuario al dominio, si voy al visor de successos de windows me apaece que la Caché sin conexión esta habilitada en el recurso compartido de los perfiles moviles;
en el archivo samba lo tengo así;
------------------------------
[Profiles]
path = /var/lib/samba/profiles
comment = Network Profiles Share
create mask = 0600
directory mask = 0700
browseable = no
writable = yes
guest ok = no
printable = no
store dos attributes = Yes
hide files = /desktop.ini/outlook*.lnk/*Briefcase*/
---------------------

Que devieria hacer o poner para que no me de ese error y desactivar la caché?? o es que tiene que estar así?? segun el manual hice el chmod o+w /var/lib/samba/profiles ... tiene algo que ver???

Perdon por mi ignorancia!!

Saludos y espero respuesta para acabar de preparar mi servidor para ponerlo en producción lo antes possible!!
 
Perfil Sitio Web
 Citar
Jaime M. Tan Nozawa
Publicado en 24/03/09 03:15  

Miembro regular
Forum User

Inscrito: 31/03/07 Publicaciones: 114
País:Peru
Si quieres hacer "manejo colaborativo" tienes varias opciones, pero usaría la más simple poniendo el bit S de grupo:

chgrp "elgrupoquequiero" carpeta

chmod g+s carpeta


ahora cuando se cree archivos en esa carpeta automaticamente se le setea el grupo de de la carpeta...

Tambien podrías usar ACL's Linux...

Lo de la caché creo que es cuestion del mismo windows.. entra a sus políticas de la PC y mira si tienes activado la caché para logon y para directorios.


Saludos desde Perú

Jaime M. Tan Nozawa
RHCE - MCSA


Mi blog de PHP: http://phpexperto.blogspot.com
 
Perfil Sitio Web
 Citar
al-serv
Publicado en 24/03/09 07:40  

Miembro Activo
Forum User

Inscrito: 01/03/08 Publicaciones: 635
País:Cataluña
Ya he encontrado la solución para que el recurso compartido de red pueda leer y escribir cualquier usuario, he probado lo que as dicho pero no me ha funcionado, pongo aquí la solución;

en efecto tiene que asignar el grupo a la carpeta con chgrp "elgrupoquequiero" carpeta
en samba tienes que ir al smb.conf y poner así el recurso compartido para la carpeta que quieres que cualquier usuario o grupo asignado a esa carpeta pueda crear y modificar todos los archivos;

[Red]
path = /var/lib/samba/red
comment = Network Share
create mask = 0664
directory mask = 0700
browseable = no
writable = yes
guest ok = no
printable = no
store dos attributes = Yes

Con esto cuando creas un archivo también le das permiso al grupo a que pueda leer y modificar! al menos a mi me funciona perfectamente, pero primero le tienes que asignar al grupo que pueda leer y escribir sino no te funcionara!

Lo único que no he solucionado es el problema de la cache habilitada, en windows no he visto nada de nada referente a la cache! si alguien me puede ayudar....
 
Perfil Sitio Web
 Citar
al-serv
Publicado en 28/04/09 06:56  

Miembro Activo
Forum User

Inscrito: 01/03/08 Publicaciones: 635
País:Cataluña
Hola de nuevo! aprovecho este post para no volver a repetir todo el tema!

Tengo un nuevo problema! tengo ldap funcionando correctamente y se validan los usuaios! lo que no me funciona es cuando se autentifican desde windows al dominio, inician con su usuario y cuando va ha cargar su perfil le da error de que no pudo cargar su perfil, voy a la carpeta fisica /var/lib/samba/profiles y veo que ha creado la carpeta pero no hay nada dentro... Alguien me puede ayudar?? le he asignado el grupo Domain Adminis pero también lo he probado con los demas y no hay manera! mi archivo de configuración es el que hay más arriba! aquí dejo la configuración del samba del recurso compartido;

[Profiles]
path = /var/lib/samba/profiles
comment = Network Profiles Share
create mask = 0600
directory mask = 0700
browseable = no
writable = yes
guest ok = no
printable = no
store dos attributes = Yes
hide files = /desktop.ini/outlook*.lnk/*Briefcase*/


Gracias!
 
Perfil Sitio Web
 Citar
al-serv
Publicado en 05/05/09 05:06  

Miembro Activo
Forum User

Inscrito: 01/03/08 Publicaciones: 635
País:Cataluña
hola!? alguien me puede ayudar con el tema de los perfiles que en windows se cargan en una sola carpeta de Documents and settings??

Saludos!
 
Perfil Sitio Web
 Citar
eleon
Publicado en 21/09/09 01:44  

Nuevo
Forum User

Inscrito: 20/09/09 Publicaciones: 3
hola servtelecom quisiera saber si solucionaste tu problema... yo tengo el mismo drama pero yo usu una configuracion de dominio sin LDAP
pero tambien tengo el mismo problema no me guardan los perfiles.... : Confundido
 
Perfil
 Citar
al-serv
Publicado en 21/09/09 07:20  

Miembro Activo
Forum User

Inscrito: 01/03/08 Publicaciones: 635
País:Cataluña
si lo solucione, mi problema era que el aplicativo web que instalaba para gestionar ldap a través de web era el que me causaba el problema, ahora lo que hago es crear el usuario desde consola y luego utilizo el phpldapadmin para gestionar el dominio pero no creo el usuario desde el aplicativo web ya que entonces me pasa esto!

ahora estoy liado en hacer funcionar LDAP para validación con joombla, alguien sabe si tengo que modificar alguna cosa para que acepte autentificación desde joombla ya que he configurado todo joombla correctamente y no hay manera!

Alguien lo ha utilizado y le ha funcionado??
 
Perfil Sitio Web
 Citar
dante_demon
Publicado en 14/10/09 03:38  

Nuevo
Forum User

Inscrito: 22/09/09 Publicaciones: 3
Estimados,

Me encuentro en el mismo punto donde el win xp ve la máquina centOS y el dominio, pero al agregar el xp al dominio ingreso el usuarios "Administrator" o "Administrador" mas sus respectivas contraseñas pero me dice "Error de inicio de sesión:usuario y contraseña incorrectos", tengo la configuración exactamente igual que el manual de centos5 samba-ldap, por ejemplo en el centos puedo ingresar con las cuentas de usuarios que creo ademas del root, pero tampoco puedo ingresar con las cuentas "Administrator" ni "Administrador", con respecto a la linea que mencionan más arriba "username map = /etc/samba/smbusers" en smb.conf, no la puedo encontrar, si alguien me puede ayudar o necesita mas información para poder ayudarme le estaré agradecido.

Saludos a todos
 
Perfil
 Citar
al-serv
Publicado en 15/10/09 03:50  

Miembro Activo
Forum User

Inscrito: 01/03/08 Publicaciones: 635
País:Cataluña
Hola!

A ver si te puedo ayudar!

si haces net getlocalsid te devuelve el SID sin problemas ni errores?

si haces smbldap-populate -a Administrador te crea el esquema del dominio perfectamente sin errores??


si las dos respuestas son positivas crea un usuario " admin " o " super " o el que quieras "smbldap-useradd -a -m -P Nombre_del_Usuario_del_Dominio" desde la consola, esto te dará u usuario sin privilegios de administrador.

Yo lo que aria es descargar phpldapadmin http://phpldapadmin.sourceforge.net/wiki/index.php/Download y en configurar-lo para tu dominio, una vez hecho entras y veras el esquema del dominio, vas al usuario que quieras que sea administrador y le asignas el permiso 512 ( veras que pone 513 que es para usuarios sin privilegios ) y con el que le has asignado el 512 podrás entrar en el dominio sin problemas, igualmente vigila con las mayúsculas y minúsculas, desde la web podras reasignar contraseña al administrador para que puedas utilizar ese característico usuario de windows.

Espero que te haya servidor!


Lo que si que pido a quien sea es que a ver si puede hacer un manual de como hacer un backup del dominio y restablecerlo en caso de tener que formatear el servidor, seria interesante saber los pasos para que queden los usuarios con sus id tal como estaban antes de formatear el equipo o recuperar en caso de catástrofe!

Otro manual es como configurar LDAP para que permita autentificación a aplicaciones web que van por apache!


Gracias!
 
Perfil Sitio Web
 Citar
Contenido generado en: 0,21 segundos Nuevo tema Publicar Respuesta
 Todas las horas son UTC. Hora actual 08:06 .
Tema normal Tema normal
Tema persistente Tema persistente
Tema cerrado Tema cerrado
Nueva publicación Nueva publicación
Persistente con nueva publicación Persistente con nueva publicación
Cerrado con nueva publicación Cerrado con nueva publicación
Ver publicaciones anónimas 
Usuarios anónimos pueden publicar 
Se permite HTML Filtrado 
Contenido censurado