[Server] Guida per creare un PDC con samba e ldap sia con ubuntu 8.04 che con 10.04

[fieraf]

Guida aggiornata.
Specificato l'ordine di installazione dei pacchetti.
ciao

[fieraf]

Guida aggiornata.
Inserite instruzioni per firewall e modifche al regedit per client windows 7.
Ho ritestato la guida e funziona
Credo che questa é la versione definitiva.
ciao

[karlenando]

Ciao Fieraf.
Ti chiedo scusa ma ho riprovato a fare quanto suggerito nella guida ma quando digito

sudo ls /etc/ldap/schema/*.ldif | xargs -I {} sudo ldapadd -Y EXTERNAL -H ldapi:/// -f {}

mi viene fuori

utente@ubuntusrv:~$ sudo ls /etc/ldap/schema/*.ldif | xargs -I {} sudo ldapadd -Y EXTERNAL -H ldapi:/// -f {}
SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={1}hdb,cn=config"
ldap_modify: Insufficient access (50)

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "dc=SITO,dc=COM"
ldap_add: Already exists (68)

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={-1}frontend,cn=config"
ldap_modify: Insufficient access (50)

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=core,cn=schema,cn=config"
ldap_add: Insufficient access (50)

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=cosine,cn=schema,cn=config"
ldap_add: Insufficient access (50)

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=module,cn=config"
ldap_add: Insufficient access (50)

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=inetorgperson,cn=schema,cn=config"
ldap_add: Insufficient access (50)

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=misc,cn=schema,cn=config"
ldap_add: Insufficient access (50)

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=nis,cn=schema,cn=config"
ldap_add: Insufficient access (50)

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=openldap,cn=schema,cn=config"
ldap_add: Insufficient access (50)

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=samba,cn=schema,cn=config"
ldap_add: Insufficient access (50)

Sapresti dirmi cosa è Insufficient_access(50) e dove sbaglio?

Grazie

[fieraf]

ciao
Per prima cosa che versione di ubuntu usi?
Ti ricordo che il comando vale solo per la vers. 10.04
il problema puó essere che l'user "utente@ubuntusrv" che esegue il comando no ha privilegi.
dovresti usare questo comando con root, che é anche l'amministratore di LDAP.
Hai fatto caso se nella cartella degli schemi di ldap  ci siano i file .schema e .ldif.?
fammi sapere.
ciao

[JKwest]

Salve a tutti. Sto seguendo questa utilissima guida e fino al punto 9 non ho avuto problemi, tranne quando ho dato il comando

Codice: Seleziona tutto

sudo ldapadd -a -W -x -D "cn=admin,dc=nome_vostro_dominio,dc=ext_dominio" -f `/etc/ldap/schema/base.ldif`

che mi da come ritorno

Codice: Seleziona tutto

Enter LDAP Password: 
ldap_bind: Invalid credentials (49)

Il problema è proprio qui: io ricordo bene la password, ho anche seguito il consiglio all'inizio della quida di non crearne una molto lunga; ho tentato più volte di immettere la password senza risultato, pensando ad un errore di digitazione.
Come posso risolvere il problema? Grazie in anticipo per l'aiuto. 

[JKwest]

L'output al comando

Codice: Seleziona tutto

sudo ls /etc/ldap/schema/*.ldif | xargs -I {} sudo ldapadd -Y EXTERNAL -H ldapi:/// -f {}

è questo:

Codice: Seleziona tutto

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={1}hdb,cn=config"
ldap_modify: Insufficient access (50)

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "dc=amarcord,dc=com"
ldap_add: Insufficient access (50)
	additional info: no write access to parent

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
modifying entry "olcDatabase={-1}frontend,cn=config"
ldap_modify: Insufficient access (50)

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=core,cn=schema,cn=config"
ldap_add: Insufficient access (50)

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=cosine,cn=schema,cn=config"
ldap_add: Insufficient access (50)

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=module,cn=config"
ldap_add: Insufficient access (50)

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=inetorgperson,cn=schema,cn=config"
ldap_add: Insufficient access (50)

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=misc,cn=schema,cn=config"
ldap_add: Insufficient access (50)

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=nis,cn=schema,cn=config"
ldap_add: Insufficient access (50)

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=openldap,cn=schema,cn=config"
ldap_add: Insufficient access (50)

SASL/EXTERNAL authentication started
SASL username: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
adding new entry "cn=samba,cn=schema,cn=config"
ldap_add: Insufficient access (50)

[JKwest]

Ho sostituito al comando

Codice: Seleziona tutto

sudo ls /etc/ldap/schema/*.ldif | xargs -I {} sudo ldapadd -Y EXTERNAL -H ldapi:/// -f {}

ldapi:/// con ladp:// e l'output è questo:

Codice: Seleziona tutto

SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
	additional info: SASL(-4): no mechanism available: 
SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
	additional info: SASL(-4): no mechanism available: 
SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
	additional info: SASL(-4): no mechanism available: 
SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
	additional info: SASL(-4): no mechanism available: 
SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
	additional info: SASL(-4): no mechanism available: 
SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
	additional info: SASL(-4): no mechanism available: 
SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
	additional info: SASL(-4): no mechanism available: 
SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
	additional info: SASL(-4): no mechanism available: 
SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
	additional info: SASL(-4): no mechanism available: 
SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
	additional info: SASL(-4): no mechanism available: 
SASL/EXTERNAL authentication started
ldap_sasl_interactive_bind_s: Unknown authentication method (-6)
	additional info: SASL(-4): no mechanism available: 

[dizzz]

Buongiorno a tutti uso ubuntu server 10.04
server appena installato da 0 con vmware server
devo configurarlo come pdc simile a Dominio Windows con Active Directory

Seguo la Guida e tutto a posto fino a quando lancio:
sudo ldapadd -a -W -x -D "cn=admin,dc=nome_vostro_dominio,dc=ext_dominio" -f `/etc/ldap/schema/base.ldif`
risposta:
Enter LDAP Password:
ldap_bind: Invalid credentials (50)

nella guida non viene specificato se i file devono essere creati come root o come utente
io li ho creati come root
e il comando l'ho lanciato con sudo

dove sbaglio?
a differenza di quanto dice la guida ho usato una password di 8 caratteri, possibile che si questo l'errore?

Grazie

[fieraf]

ciao raggazzi.
mi spaice che state incontrando questi problemi.
prima di tutto spero che abbiate sostituito
nome_vostro_dominio, e ext_dominio" root_passwordcon valori appropiato.
se il vostro dominio é prova.it i valori sono risp. prova e it e la passwd di root da inserire nei file, deve essere quella che avete digitado al momento di installare ldap.
controllare bene quello inserito nei file creati dal punto 5 in poi.
Ho notato che nella penultima riga de file del punto 5 c'e

Codice: Seleziona tutto

# by dn="cn=admin,dc=NOME_DOMINIO,dc=ext_dominio" write

avete sostuito NOME_DOMINIO con il vostro valore corretto che deve essere lo stesso di nome_vostro_dominio?
un utente una volta mi sembra che non gli andavano bene le virgolette nei comandi al punto nove.
Per ulteriori dubbi guardate i link citati nella guida da cui sono partito, puó darsi che li incontriate qualcosa che possa aiutarvi.
domani appena ho tempo cerco di allegarvi un file zip con dentro uno script che fa tutto e dei file giá pronti.
Ho ripetuto `piu volte i passi della guida prima di pubblicarla e non ho avuto problemi.

ciao

[gigipin]

Ciao Fieraf,
volevo farti i complimenti per l'ottima guida. Volevo però chiederti delle delucidazioni sul mio problema con ldap+samba+kerberos.
Preciso che la tua guida l'ho seguita parzialmente perchè i manuali ufficiali mi hanno permesso di configurare un backend bdb anzichè hdb, ma non importa perchè sono simili. ora ti descrivo tutto:
Ho installato, su macchina UBUNtU SERVER 10 LTS, un server ldap con autenticazione kerberos e ho configurato samba di conseguenza come da guida di samba uficiale. Ho studiato tutte le guide ufficiali di openldap e kerberos MIT e ho configurato i demoni di conseguenza. Prima ho provato ad usare SASL,ma non funzionava ed ho lasciato stare, ma ora la configurazione di ldap e kerberos non mi davano e non mi hanno dato problemi. inserische i suffix correttamente: users, groups e computers e l'albero principale.
La cosa che mi lascia perplesso è che nonostante smbldap-populate inserisca correttamente root, i gruppi Domains (users, computers, admin e guests)questi con un net groupmap list risultano associati ad un rid che corrisponde al gruppo medesimo che è un ntgroup e non unixgroup. Poi ho pensato che il comportamento è del tutto simile ad un unix group, anche se ho provato a dare il comando net groupmap add ... cercando di associaregli un gruppo unix, ma restituisce group add failed. Ho provato a settare anche il gidNumber dell'utente creato con quello del domain users che è il 513, ma nulla da fare. ho dato smbldap-groupmod per aggiungere l'utente al gruppo (peraltro inutile dopo aver già settato il gid number del gruppo) e nulla. L'errore che restituisce il client windows xp è impossibile trovare il profilo comune. Ho provato a vedere se samba funziona correttamente e sembra di sì perchè se chiamo \\myserver risponde con le cartelle condivise \\myserver\netlogon e \\myserver\%U e le apre tranquillamente; il problema è che non carica il file .bat. Andando a vedere illog di samba dell'utente che si autentica c'è una ricerca lunga del gruppo al quale associare l'uetnte e sembra che lo associ a guest che è il rid(gid) 514. Comunque temo che sia unj problema di group mapping, ma potrei sbagliarmi. Vi dico anche che scrutando i log di sys mi rstituisce un errore in SASL plugin sql, ma SASL non lo uso, quindi non mi preoccupa. Comunque attivati sono sia lauetnticazione ldap che quella kerberos e sia pam. Non credo sia un problema di autenticazione perchè altrimenti non avrebbe riusposto con l'utente, anche se non carica il profilo comune. Una cosa curiosa che non si riscontra con il backend TDBSAM è che l'utente è solo nel database ldap e non è presente in /etc/passwd così come i gruppi sono solo presenti nel database ldap e non in /etc/groups. Curioso invece è come il computers è stato aggiunto da samba automaticamente a groups, infatti si aggancia al dominio.

Cosa mi consigli? purtroppo i log non posso postarteli ora perchè ti sto scrivendo da un'altra zona, ma se mi fai domande credo di risponderti perchè i log gli ho spulciati tutti e questi sono i piccoli spunti che ho tratto, ma senza una soluzione. A propostito vedendo nei log di samba kerberos sembra funzionare perchè l'utente viene autenticato, ma non preso dal server, come myrealm\utente@mypc. Quindi samba dice che l'utente è autenticato, ma poi fa ricerche del group per mapparlo.

Però proverò a fargli delle integrazioni (quella dell'auth-client-confi, configurato automaticamente come guida ubuntu, e quella del cn=config e del frontend che riguardano all'integrazione della password ROOTPW  del ROOTDN e poi in nsswitch anzichè compat ldap ho files ldap)  secondo la tua guida che vedo molto più ricca specifica nei procedimenti rispeto alle guide che sono molto dettagliate sulla configurazione e poco sulla correlazione.

Cosa ne pensi a prima vista? Preciso che è settimane full immersion che lo studio perciò sono un pò stanco e magari sembro un pò troppo sbrigativo e non molto preciso,ma ho voglia di concluderlo presto.

gigipin

[fieraf]

ciao ragazzi.
come promesso vi allego il file zip che contiene i file necesari per popolare il db ldap.
sostituite

Codice: Seleziona tutto

/media/UBUNTU/ConfigurazioneServerDiTest

, con il percorso dove estrarrete i file
il file "samba " é lo script che lancerete con permessi di root, e l'ho modificato commentando quello che a voi non interessa perché riportato nella guida.
mi raccomando: sostituite il

Codice: Seleziona tutto

dominio "prova.it" e la passwd di root "1234"

con i vostri valori
spero che adesso vi funzioni tutto.
saluti

[greenx]

Scusate se mi intrometto nella guida.
Ma come mai non viene utilizzato winbind?
E poi come mai non viene utilizzato lo schema contenuto in quest'archivio /usr/share/doc/samba-doc/examples/LDAP/samba.schema.gz?

[lokutus25]

Guida interessante ma mi da problemi con le ACL di LDAP.

Codice: Seleziona tutto

ldapadd -a -W -x -D "cn=admin,dc=mtdominio,dc=net" -f /etc/ldap/schema.bak/acl.ldif 
Enter LDAP Password: 
modifying entry "olcDatabase={1}hdb,cn=config"
ldap_modify: Insufficient access (50)

In altre parole non mi accetta la modifica.
Il file acl.ldif è il seguente:

Codice: Seleziona tutto

dn: olcDatabase={1}hdb,cn=config
changetype: modify
delete: olcAccess
olcAccess: to attrs=userPassword,sambaNTPassword,sambaLMPassword by dn="cn=admin,dc=mtdominio,dc=net" write by anonymous auth by self write by * none
olcAccess: to dn.base="" by * read
olcAccess: to * by dn="cn=admin,dc=mtdominio,dc=net" write by * read

Dove sto sbagliando? Le acl sono indispensabili?
Thx

[fieraf]

ciao.
Che versione usi ? la 8.04 o la 10.04?
Hai provato a usare i file allegati in un mio precedente post?

prova a sostituire  -f /etc/ldap/schema.bak/acl.ldif con  -f /etc/ldap/schema/acl.ldif
Hai usato i permessi root per fare tutto?io ho fatto tutto con usuario root

fammi sapere

[lokutus25]

Eccomi,
uso la ubuntu 10.04LTS x64.
Il path schema.bak è corretto perché nelle mie prove è li che ho messo i files creati.
Ho scaricato e rifatto tutte le operazioni con il file config.zip e li ho messi in /etc/ldap/schema.
Purtroppo ottengo lo stesso errore quando si tratta di importare l'acl.ldif.

Codice: Seleziona tutto

root@ubuntu:/etc/ldap/schema# ldapadd -a -W -x -D "cn=admin,dc=prova,dc=it" -f /etc/ldap/schema/base.ldif
Enter LDAP Password: 
adding new entry "dc=prova,dc=it"

adding new entry "ou=Hosts,dc=prova,dc=it"

adding new entry "ou=Rpc,dc=prova,dc=it"

adding new entry "ou=Services,dc=prova,dc=it"

adding new entry "nisMapName=netgroup.byuser,dc=prova,dc=it"

adding new entry "ou=Mounts,dc=prova,dc=it"

adding new entry "ou=Networks,dc=prova,dc=it"

adding new entry "ou=People,dc=prova,dc=it"

adding new entry "ou=Group,dc=prova,dc=it"

adding new entry "ou=Netgroup,dc=prova,dc=it"

adding new entry "ou=Protocols,dc=prova,dc=it"

adding new entry "ou=Aliases,dc=prova,dc=it"

adding new entry "nisMapName=netgroup.byhost,dc=prova,dc=it"

root@ubuntu:/etc/ldap/schema# ldapadd -a -W -x -D "cn=admin,dc=prova,dc=it" -f /etc/ldap/schema/acl.ldif 
Enter LDAP Password: 
modifying entry "olcDatabase={1}hdb,cn=config"
ldap_modify: Insufficient access (50)

Ho fatto le operazioni da utente "root" come si può vedere. Nel dubbio non ho proprio cambiato nulla dei files ldif in config.zip. :-(

[fieraf]

ciao.
hai fatto male a usare il file ldi. cosí come l'ho dato io, cambia quello che devi con i toi valori.
disinstalla ldap con l'opzione di cancelare anche  file di configurazione(mi sembra sia apt-get purge ...) e ricomincia di nuovo.
ciao

[mario000]

salve, mi aggiungo alla lista sia dei complimenti per la guida, e purtroppo anche alla lista dei problemi, sto seguendo la guida in maniera scrupolosa, il sistema è ubuntu server 10.04 64 bit, appena installato, ho aggiunto webmin per la gestione facilitata, e ho fatto gli aggiornamenti ad oggi, dopo di che ho cominciato a seguire la guida, tutto a posto fino a:

sudo ldapadd -a -W -x -D "cn=admin,dc=nome_vostro_dominio,dc=ext_dominio" -f `/etc/ldap/schema/acl.ldif`

Come si vede nell'immagine allegata dopo aver creato tutti i file, aver eseguito i comandi da terminale, e aver inserito la giusta password di root, appena arrivo a quella riga ho il fatidico errore:

ldap_modify: Insufficient access (50)

sbaglio io o c'è qualche cosa che non và?

Per completezza il mio file acl.ldif è:

dn: olcDatabase={1}hdb,cn=config
changetype: modify
add: olcAccess
olcAccess: to attrs=userPassword,sambaNTPassword,sambaLMPassword by dn="cn=admin,dc=provaict,dc=it" write by anonymous auth by self write by * none
olcAccess: to dn.base="" by * read
olcAccess: to * by dn="cn=admin,dc=provaict,dc=it" write by * read

[fieraf]

ciao.
Mi dispiace per i problemi che state incontrando, ma ho eseguito questa procedura piú volte senza avere problemi

Hai provato a eseguire i comandi con utente root, e non con sudo?
In teoria dovrebbe essere la stesa cosa, ma io ho fatto tutto con utente root:

root@server:......

per sicurezza cancella tutto il db ldap creato sino ad ora compresi i file della cartella /etc/ldap..e se non va, disinstalla i pacchetti relativi alla sezione della guida per ldap e reinstalla per avere ldap davero vergine.

fammi sapere

[mario000]

ciao.
Mi dispiace per i problemi che state incontrando, ma ho eseguito questa procedura piú volte senza avere problemi

Hai provato a eseguire i comandi con utente root, e non con sudo?
In teoria dovrebbe essere la stesa cosa, ma io ho fatto tutto con utente root:

root@server:......

per sicurezza cancella tutto il db ldap creato sino ad ora compresi i file della cartella /etc/ldap..e se non va, disinstalla i pacchetti relativi alla sezione della guida per ldap e reinstalla per avere ldap davero vergine.

fammi sapere

si prova fatta, ho dato da termimale sudo -i e ho fatto tutto da root, ma nulla, sempre lo stesso errore, prima di scrivere avevo già fatto parecchie prove tra cui questa.....

[vinny74]

Ciao raga scusate l'intrusione ma in più post ho indicato questo software che secondo me è perfetto.
Grazie al quale ho messo su in piccolo server casalingo, ma va bene anche per un piccola azienda, con tutto il necessario per condividere file e stamapanti, un mail server e webmail, server DNS e DHCP, e accesso da remoto con una VPN.
Il software in questione è Ebox adesso Zentyal 2.0 in poche ore ho configurato tutto poi l'ho messo anche on line con risultati strepitosi.
Se volete altre informazioni sono a disposizione.
Ciao