samba + ldap :((

[CRAZyBUg]

Hi, bin jetzt seit ca. 1woche dabei samba und ldap zusammen ans laufen zu kriegen, habs noch nie gemacht und wollts mal hinkriegen. Im moment bin ich in einer Sackgasse und hoffe das ihr mir da raushelfen koennt.

Gegeben ist ein user 'tom'

Code:

blixx# ldapsearch -x -b 'uid=tom,ou=people,dc=microworker,dc=net'
# extended LDIF
#
# LDAPv3
# base <uid=tom,ou=people,dc=microworker,dc=net> with scope sub
# filter: (objectclass=*)
# requesting: ALL
#
 
# tom, people, microworker.net
dn: uid=tom,ou=people,dc=microworker,dc=net
objectClass: posixAccount
objectClass: shadowAccount
objectClass: inetOrgPerson
objectClass: sambaAccount
cn: tom
uid: tom
uidNumber: 10000
gidNumber: 10001
homeDirectory: /home/tom
givenName: tt
sn: tt
shadowExpire: 21915
loginShell: /bin/sh
gecos: tt tt
description: tt tt
shadowMin: 1
shadowMax: 365
shadowWarning: 10
shadowInactive: 10
shadowLastChange: 12527
userPassword:: e0NSWVBUfSQxJDNlbi9DeVB2JEtrQ2ZQRHFKNk5seHRHc2cwRFZxdzA=
ntPassword: 7A21990FCD3D759941E45C490F143D5F
lmPassword: AEBD4DE384C7EC43AAD3B435B51404EE
pwdLastSet: 1082379112
rid: 21000
primaryGroupID: 21003
pwdCanChange: 1041379200
pwdMustChange: 1893456000
acctFlags: [U          ]
displayName: tt tt
homeDrive: U:
domain: blixx
smbHome: \\blixx\tom
 
# search result
search: 2
result: 0 Success
 
# numResponses: 2
# numEntries: 1

Der Samba soll sich nun aus dem LDAP die logindaten ziehen

Code:

[global]
        ldap server = localhost
        ldap port = 389
        ldap suffix = "ou=people, dc=microworker, dc=net"
        ldap admin dn = "cn=Manager,dc=microworker,dc=net"
        ldap ssl = no
        security = user
        encrypt passwords = yes
        max disk size = 20480
        workgroup = BLIXXER
        server string = Samba Server
        socket options = TCP_NODELAY
        log file = /var/log/log.%m
        netbios name = blixx
        load printers = yes
        os level = 20
        default = homes
        max log size = 50

[homes]
   comment = Home Directories
   browseable = yes
   writeable = yes

Wenn ich mich jetzt von einem winxp einloggen moechte bekomme ich diese meldungen in der /var/log/messages

Code:

                                                                                                                             
Apr 19 15:11:19 blixx smbd[15312]: [2004/04/19 15:11:19, 0] passdb/pdb_ldap.c:ldap_connect_system(316)
Apr 19 15:11:19 blixx smbd[15312]:   ldap_connect_system: Binding to ldap server as "cn=Manager,dc=microworker,dc=net"
Apr 19 15:11:19 blixx smbd[15312]: [2004/04/19 15:11:19, 0] passdb/pdb_ldap.c:ldap_connect_system(316)
Apr 19 15:11:19 blixx smbd[15312]:   ldap_connect_system: Binding to ldap server as "cn=Manager,dc=microworker,dc=net"
Apr 19 15:11:19 blixx smbd[15312]: [2004/04/19 15:11:19, 0] passdb/pdb_ldap.c:ldap_connect_system(316)
Apr 19 15:11:19 blixx smbd[15312]:   ldap_connect_system: Binding to ldap server as "cn=Manager,dc=microworker,dc=net"
Apr 19 15:11:19 blixx smbd[15312]: [2004/04/19 15:11:19, 0] passdb/pdb_ldap.c:ldap_connect_system(316)
Apr 19 15:11:19 blixx smbd[15312]:   ldap_connect_system: Binding to ldap server as "cn=Manager,dc=microworker,dc=net"
Apr 19 15:11:25 blixx smbd[15313]: [2004/04/19 15:11:25, 0] passdb/pdb_ldap.c:ldap_connect_system(316)
Apr 19 15:11:25 blixx smbd[15313]:   ldap_connect_system: Binding to ldap server as "cn=Manager,dc=microworker,dc=net"
Apr 19 15:11:25 blixx smbd[15313]: [2004/04/19 15:11:25, 0] passdb/pdb_ldap.c:ldap_connect_system(316)
Apr 19 15:11:25 blixx smbd[15313]:   ldap_connect_system: Binding to ldap server as "cn=Manager,dc=microworker,dc=net"

Wie man dem Userprofil entnimmt ist er ebenfalls in der ObjectClass: posixAccount
Wenn ich mich nun einfach an die shell anmelde bekomme ich diese Meldung:

Code:

Apr 19 15:14:39 blixx login: pam_ldap: error trying to bind as user "uid=tom,ou=people,dc=microworker,dc=net" (Invalid Credentials)

Ich bin ratlos wieso das nicht funktioniert da es ja den Anschein hat, dass alles korrekt installiert/konfiguriert ist.

Hoffe ihr koennt mir helfen.

wenn ich fragen darf wieso samba MIT LDAP? (iih LDAP gg)

[Doomshammer]

Vermutlich um grosse Benutzerdatenbanken einfach und komfortabel zu verwalten?

[CRAZyBUg]

Theoretisch ja, praktisch teste ich das einfach um meinen horizont zu erweitern ich will ne komfortable verwaltung der nutzer + deren zugriffsrechte ... wer kriegt nen mail account, wer darf per ftp auf den server usw.


Achja ich nutze fbsd 5.2.1 und die mitgelieferten ports

[marzl]

@eLgino: wenn du schon "ihh" schreist, dann sage uns doch was besser geeignet wäre.

[carbuncle]

denke mal für 5-10 leute im netz ist die Lösung etwas overkill. Aber warum nicht!? Ich finde sie eleganter als wenn man z.B. MySQL+Samba für die Benutzeranmeldung nehmen würde (hab mal sowas gelesen dass es geht).

Wie hast du das genau gemacht!? Gibts da en Howto?
carb

eventuell MySQL/PostgreSQL (sofern es funktioniert?).

ich selbst hab das ganze mittels einem benutzer am laufen, der alles darf und einen weiteren der nur das darf was ich will.

für mich reicht das.

[marzl]

du hast einen benutzer und sprichst dich gegen ldap aus?
na, jetzt bin ich neugierig. was hast du gegen ldap? schonmal benutzt?

ich möchte nicht etwas vergleichbares verwenden wenn es PostgreSQL/MySQL gibt, und ich das als besser empfinde.

was spricht für LDAP?

[crotchmaster]

Hallo,

@eLgino

Zitat:

was spricht für LDAP?

LDAP ist auf schnelles Lesen großer Verzeichnisbäume ausgelegt worden.
Beim Schreiben sieht es nicht ganz so gut aus, aber eben beim Lesen ist es sehr schnell. LDAP wird ja auch als Verzeichnisdienst bezeichnet, was schon vom Begriff her darauf hindeutet, das man mit LDAP sehr gut Hierarchien abbilden kann, z.B. Firmenstrukturen usw. Es gibt viele daemons, (sendmail, proftpd, samba, cyrus, apache usw.) die schon über eine eingebaute LDAP-Unterstützung verfügen. Ok, manchmal muss man sie beim Bauen aktivieren. Nicht zuletzt kann man LDAP auch gut für applikationsübergreifende Adressbücher verwenden.

@CRAZyBug

Was geht denn genau nicht?

Kannst Du via Samba u./o. pam nicht auf das Directory zugreifen?

Wenn ich deine Log-Meldungen richtig interpretiere, hast Du Zugriff via Samba, kannst Dich aber nicht via Shell einloggen. Verstehe ich das richtig?

Beim gegenwärtigen Wissensstand, tippe ich mal auf ein Rechteproblem in der slpad.conf. Das ist nämlich nicht ganz trivial. Poste doch bitte mal deine slapd.conf und schreibe bitte auch mal, welche OpenLDAP-Version du verwendest.

Dann sehen wir weiter.

Ich habe hier zwei Samba-Server (einer unter NetBSD und einer unter Solaris) laufen, die die Authentifizierung gegen zwei sich replizierende LDAP-Server (beide unter NetBSD) machen. Bei einem NetBSD -Server laufen Samba und OpenLDAP auf einer Maschine. Und das läuft super!

Gruß c.

[CRAZyBUg]

fuer ldap spricht

* sicherheit
* umfang
* geringer administrationsaufwand (wenns erstmal fertig ist)
* adressbuchfunktion
* verbindung zu weiteren netzwerken
* 1 user erstellen mehrere Serverdienste nutzen


Beispiel:
erstelle 1nen user in der gruppe 'Webpacket'
dann kriegt er die berechtigungen: ftp (20mb quota/chrooted) Webverzeichniss & E-Mail Addy

erstelle einen benutzer in der Gruppe Webpacket-SQL
Dann kriegt er selbiges wie oben nur mit nem SQL Zugriff :>

usw.

jedoch glaube ich auch das jeder fuer sich selbst entscheiden muss was er

bevorzugt, ich bin im moment jedoch am ldap und komm damit nicht klar *g* irgendwas stimmt in der config nicht und ich krieg keinen fehler angezeigt und das stinkt mich an und ich hoffe das mit da jemand helfen kann (

[CRAZyBUg]

Also ich nutze hier den openldap 2.2.2beta ;-) wie er in den fbsd ports ist...

zu dem problem: ich kann mich per samba garnicht einloggen, er gibt mir aber auch keine fehlermeldung aus. ich moechte den samba nicht als pdc laufen lassen sondern nur fuer user login von einem anderen rechner aus.

zu den ldap rechten ... hab ich garkeine gesetzt... :/ bin bis jetzt nicht davon ausgegangen dass ich da welche setzen muss, da alle services ueber den manager sich die daten ziehen (und ja auch finden).
ich hatte jedoch vor diese einzubinden
... gelesen von irgendeiner site die mich auf meinem langen weg begleitet hat...

Code:

access to dn=".*,dc=microworker,dc=net"
        by dn="cn=root,dc=microworker,dc=net" write
        by self write
        by * read

[crotchmaster]

Hallo,

hänge doch bitte mal an das Ende der access-Rule ein

Code:

by anonymous auth

an. Damit können sich alle Personen gegen das Directory authentifizieren und danach !!! sollten sie auch zugreifen können.

Welche Samba-Version verwendest du eigentlich? Wenn du noch die 2.2.x verwendest, dann solltest du auch folgende Zeile in der slapd.conf haben.

Code:

allow bind_v2

Da OpenLDAP 2.x per default nur Verbindungen nach LDAP Version 3 erlaubt.

Gruß c.

[CRAZyBUg]

habe beides mit angefuegt ... funktioniert nicht

edit:

Code:

access to dn="dc=microworker,dc=net"
        by dn="cn=root,dc=microworker,dc=net" write
        by self write
        by * read
        by anonymous auth

habe mich vertan habe kein .* in der dn ... wenn ichs einsetze laesst der ldap sich nicht starten

[crotchmaster]

Hallo,

und was tut sich, wenn du die erste Zeile zu

Code:

access to dn.subtree="dc=microworker,dc=net"

änderst?

Gruß c.