samba mit ldap, wie?

F

Fenko

Mitglied
ich versuche jetzt schon seit gut 2 wochen als schulproject auf nem MacMini(PPC) samba in verbindung mit ldap ans laufen zu bekommen. also das ich mich mit den benutzerdaten aus dem ldap am samba anmelden kann.
ich habe schon alles mögliche versucht aber hab noch kein ergebnis erzielen können.
Als OS verwende ich Suse11 (mit KDE4^^) und habe alle nötigen packages von der DVD installieren können.
als vorlage habe ich folgende seite benutzt

http://www.kania-online.de/workshop/ldapsamba-suse-10.3-LAM.pdf

Der LAM und Swat laufen beide. Jedoch weis ich absolut nich wie die samba und ldap konfigurieren muss damit das zusammen läuft.

wenn ich samba so laufen lasse das ich die benutzer in die smbpasswd packe dann läuft das weiter ohne probleme nur in verbindung mit ldap scheitert das dann -.-

hat das schonmal jemand gemacht? würde mich über tipps und anregungen die zur lösung des problems führen sehr freuen^^

mfg
Fenko

weitere infos auf nachfrage^^
 
Hier ist meine funktionierende Samba-Config:
Das Kennwort muß irgendwie in einer Datei hinterlegt werden, wo steht sicher hier:
http://de.samba.org/samba/docs/man/Samba-HOWTO-Collection/passdb.html#id2586078
Code:
[global]
    workgroup = HOMEDOMAIN
    netbios name = server
    server string = Linux PDC u. Fileserver (Samba-%v)
    printcap name = cups
    load printers = no
    create mask = 0640
    passdb expand explicit = no
    directory mask = 0750
    nt acl support = yes
    deadtime = 10
    guest account = nobody
    map to guest = bad user
    show add printer wizard = yes
    preserve case = yes
    short preserve case = yes
    case sensitive = no

# 3. Logging Options:
    log file = /var/log/samba/log.%m
    max log size = 50
    log level = 1


    hosts allow = 192.168.5. 127.
    security = user
    encrypt passwords = yes

    ldap passwd sync = Yes
    socket options = TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384

    interfaces = 192.168.5.200/24 127.0.0.1/8
    local master = yes
    os level = 33
    domain master = yes
    preferred master = yes
    domain logons = yes

    time server = yes
    logon script = logon.cmd
    logon drive = H:
    logon home =
    logon path =

    wins support = yes
    passdb backend = ldapsam:ldap://ldap.homenet.de/
    ldap admin dn = cn=ldap-admin,dc=homenet,dc=de
    ldap suffix = dc=homenet,dc=de
    ldap group suffix = ou=Group
    ldap user suffix = ou=People,ou=UserAccounts
    ldap machine suffix = ou=Computers,ou=UserAccounts
    ldap idmap suffix = ou=People,ou=UserAccounts
    #ldap ssl = start tls
    add user script = /usr/sbin/smbldap-useradd -m -a "%u"
    ldap delete dn = No
    add machine script = /usr/sbin/smbldap-useradd -w "%u"
    add group script = /usr/sbin/smbldap-groupadd -p "%g"
    add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
    set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"

    dos charset = 850
    unix charset = UTF8
 
wie muss eigentlich in der slapd.conf der "access * to by * " aussehen?
 
Du meinst wie die ACLs beim LDAP aussehen sollen?
Code:
access to dn.base="" by * read
access to dn.base="cn=Subschema" by * read
access to dn.subtree="ou=DHCP,dc=homenet,dc=de"
        by dn="uid=dhcp,ou=People,dc=homenet,dc=de" write
        by * auth

access to attrs=userPassword,sambaLMPassword,sambaNTPassword
        by dn="uid=courier-ldap,ou=People,dc=homenet,dc=de" write
        by dn="uid=samba,ou=People,dc=homenet,dc=de" write
        by self write
        by users auth
        by anonymous auth
access to *
        by dn="uid=samba,ou=People,dc=homenet,dc=de" write
        by self write
        by users read
        by anonymous read

Das sind meine. Ist eigentlich relativ egal. Der Samba User sollte alles sehen/ändern können und fertich. In mienem Fall habe ich den LDAP Adminaccount genommen. Zum testen ist das das einfachste.
 
jo die ACL's meinte ich^^
ich hab das mal mit deiner config probiert. der stellt jetzt wenigstens mal wieder eine verbindung zum server auch wenns ewig dauert bis der was anzeigt. vorher kam ja immer nur ne meldung von wegen "keine zugriffsberechtigung" oder so^^

der zeigte mir ja jetzt schonmal warum auch immer Drucker und Faxgeräte an.^^ dann hab ich mir gedacht fügste mal die freigabe für den public ordner und die homes hinzu

[public]
comment = freigabe der benutzer
path = /home/public
force group = users
read only = no
writeable = yes
guest ok = yes

[home]
comment = Homeverzeichnisse
path = /home/%u
valid users = %S
read only = no
browseable = no

wenn ich da jetzt aber in den public ordner gehe zeigt der zwar alles an, man kanns auch öffnen aber ne neue datei anlegen geht net, da kommt dann zugriff verweigert, muss ich da den ordner selbst noch bearbeiten?
beim homeverzeichnis bekommt ich gar kein zugriff-.-

is das normal das der für alles ne halbe ewigkeit braucht um was zu öffnen?
 
is das normal das der für alles ne halbe ewigkeit braucht um was zu öffnen?
Nein. Samba mit LDAP Backend sollte nicht langsamer sein als Samba ohne. Stell den Debug Level höher und schau dir mal die Logdateien an. Hat diese Konfiguration auch ohne LDAP schon funktioniert? Es ist ne ziemlich dumme Idee Samba+Ldap zur gleichen Zeit zum Laufen kriegen zu wollen wenn man das noch nie gemacht hat. Erst Samba einrichten, mit normaler passdb und allem, dann LDAP nur noch hinzufügen.
 
Nein. Samba mit LDAP Backend sollte nicht langsamer sein als Samba ohne. Stell den Debug Level höher und schau dir mal die Logdateien an. Hat diese Konfiguration auch ohne LDAP schon funktioniert? Es ist ne ziemlich dumme Idee Samba+Ldap zur gleichen Zeit zum Laufen kriegen zu wollen wenn man das noch nie gemacht hat. Erst Samba einrichten, mit normaler passdb und allem, dann LDAP nur noch hinzufügen.

also in ner aktuellen datei steh folgendes drin:

[2008/09/17 15:56:33, 1] lib/smbldap.c:another_ldap_try(1178)
Connection to LDAP server failed for the 1 try!
[2008/09/17 15:56:34, 1] lib/smbldap.c:another_ldap_try(1178)
Connection to LDAP server failed for the 2 try!
[2008/09/17 15:56:35, 1] lib/smbldap.c:another_ldap_try(1178)
Connection to LDAP server failed for the 3 try!
[2008/09/17 15:56:36, 1] lib/smbldap.c:another_ldap_try(1178)
Connection to LDAP server failed for the 4 try!
[2008/09/17 15:56:37, 1] lib/smbldap.c:another_ldap_try(1178)
Connection to LDAP server failed for the 5 try!

wat soll denn dat smbldap bedeuten? muss man da noch was für installieren?
dat is mir auch schon in der smb.conf aufgefallen bei den add.. scripten.

samba und ldap hab ich ja schon beides am laufen gehabt, nur beides kombiniert krieg ich irgendwie net auf die reihe^^

Edit: Ich habe den Samba mittlerweile am laufen. Ist das irgendwie möglich das wenn man im LDAP nen benutzer anlegt das der auch automatisch den unix account dazu anlegt? weil ohne unix account geht dat net. zumindest weis ich grad net wie
 
Zuletzt bearbeitet:
so, den samba mit ldap authorisierung hab ich ja jetzt schon was länger am laufen.
jetzt gibts aber noch was wo ich nicht weiter weis. und zwar benötigt man ja für den sambabenutzer auch einen unixaccount damit die authorisierung funktioniert.
ich hätte aber jetzt gerne das wenn ich den sambabenutzer im ldap anlege das auch gleichzeitig ein unixaccount erstellt wird.
wie stelle ich das an bzw. wie geht das mit diesen add scripten da?

add user script = /usr/sbin/smbldap-useradd -m -a "%u"
ldap delete dn = No
add machine script = /usr/sbin/smbldap-useradd -w "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"

mfg
 

Ähnliche Themen

Samba, LDAP: Neue Benuzter anlegen etwas umständlich??

LDAP User für Samba anlegen

Zurück
Oben