Agregar equipos windows a dominio samba-ldap

Imagen de meli

Forums: 

Hola, mi problema es el siguiente:
Tengo un CentOS 5.1 con OpenLDAP 2.3.27, BIND version 9.3.4, Samba version 3.0281521, también tengo instalado smbldap-tools.

Tengo la siguiente configuración de:
/etc/openldap/slapd.conf

database bdb
suffix "dc=escuelas"
rootdn "cn=Manager,dc=escuelas"
rootpw password
directory /var/lib/ldap

# Indices to maintain for this database
index objectClass eq,pres
index ou,cn,mail,sn,givenname eq,pres,sub
index uidNumber,gidNumber,loginShell eq,pres
index uid,memberUid eq,pres,sub
index nisMapName,nisMapEntry eq,pres,sub
index displayName eq,pres,sub
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
index default eq

TLSCertificateFile /etc/openldap/ldap.cert
TLSCertificateKeyFile /etc/openldap/ldap.key

/etc/openldap/ldap.conf

BASE dc=escuelas
URI ldap://127.0.0.1/

/etc/ldap.conf

host 127.0.0.1
base dc=escuelas
timelimit 120
bind_timelimit 120
idle_timelimit 120
nss_initgroups_ignoreusers root,ldap,named,avahi,haldaemon

/etc/samba/smb.conf (está un poco desordenado porque después de configurarlo buscando soluciones instale webmin para ver si encontraba algo y guardé alguna configuración desde esta aplicación, cambiando el orden lógico que había establecido)

[global]
name resolve order = hosts wins bcast
idmap gid = 10000-20000
delete user from group script = /usr/sbin/smbldap-groupmod -x '%u' '%g'
show add printer wizard = No
time server = Yes
passwd program = /usr/sbin/smbldap-passwd '%u'
dns proxy = yes
netbios name = COPERNICO
printing = cups
ldap passwd sync = Yes
idmap uid = 10000-20000
logon script = scripts\logon.bat
workgroup = ESCUELAS
os level = 20
ldap admin dn = cn=Manager,dc=escuelas
printcap name = CUPS
add machine script = /usr/sbin/smbldap-useradd -w '%u
max log size = 50
delete user script = /usr/sbin/smbldap-userdel -r %u
log level = 2
log file = /var/log/samba.log
ldap user suffix = ou=Users
map acl inherit = Yes
smb ports = 139 445
add group script = /usr/sbin/smbldap-groupadd -p '%g'
delete group script = /usr/sbin/smbldap-groupdel '%g'
add user to group script = /usr/sbin/smbldap-groupmod -m '%u' '%g'
; wins server = 192.168.200.204
logon drive = X:
username map = /etc/samba/smbusers
idmap backend = ldap:ldap://127.0.0.1
passdb backend = ldapsam:ldap://127.0.0.1
wins proxy = yes
ldap group suffix = ou=Groups
server string = Samba server Version %v Escuelas
ldap machine suffix = ou=Computers
ldap suffix = dc=escuelas
logon path = \\%L\profiles\%U
add user script = /usr/sbin/smbldap-useradd -a -m '%u'
set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'
syslog = 0
ldap idmap suffix = ou=Idmap
unix charset = LOCALE
domain logons = Yes
[netlogon]
comment = Servicio de inicio
path = /var/lib/samba/netlogon
guest ok = yes
locking = no

[profiles]
comment = Perfiles
path = /var/lib/samba/profiles
read only = no
profile acls = yes

[homes]
comment = Home Directories
browseable = no
writable = yes
; valid users = %S
; valid users = MYDOMAIN\%S

[printers]
comment = All Printers
path = /var/spool/samba
browseable = no
guest ok = no
writable = no
printable = yes

Cuando hago un:

[root@copernico ~]# smbclient -L copernico -U Manager
Password:
Domain=[ESCUELAS] OS=[Unix] Server=[Samba 3.0.28-1.el5_2.1]

Sharename Type Comment
--------- ---- -------
netlogon Disk Servicio de inicio
profiles Disk Perfiles
IPC$ IPC IPC Service (Samba server Version 3.0.28-1.el5_2.1 Escuelas)
Manager Disk Home Directories
Domain=[ESCUELAS] OS=[Unix] Server=[Samba 3.0.28-1.el5_2.1]

Server Comment
--------- -------
COPERNICO Samba server Version 3.0.28-1.el5_2.1 Escuelas

Workgroup Master
--------- -------
ESCUELAS COPERNICO
INTRANET LEONARDO

Todo parece correcto.

Tube que introducir dentro de BIND un registro SRV dado que windows buscaba:

_ldap._tcp.dc._msdcs.ESCUELAS

para identificar el dc, ahora me dice que debe faltar el A del servidor DNS o que el DC no está conectado a la red.

Visto que haciendo un ping desde la misma mágina al nombre copernico.escuelas y sí que responde, el problema debe ser el DC que no está. Pero no sé que es lo que me falta en la configuración para que funcione correctamente.

También funciona:

net getlocalsid
SID for domain COPERNICO is: S-1-5-21-3130790550-1878017825-4231177320


[root@copernico ~]# testparm -s
Load smb config files from /etc/samba/smb.conf
Processing section "[netlogon]"
Processing section "[profiles]"
Processing section "[homes]"
Processing section "[printers]"
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC

Desde clientes LDAP puede acceder al servidor:


ldapsearch -x -b '' -s base '(objectClass=*)' namingContexts
# extended LDIF
#
# LDAPv3
# base <> with scope baseObject
# filter: (objectClass=*)
# requesting: namingContexts
#

#
dn:
namingContexts: dc=escuelas

# search result
search: 2
result: 0 Success

# numResponses: 2
# numEntries: 1

También tiré los cortafuegos, por si era eso y nada.

¿Alguna idea?

Gracias.

No nos dices cuál es el

Imagen de acl

No nos dices cuál es el problema ni los mensajes de error que tienes en los logs ni en las estaciones windows. De acuerdo al texto de tu post es como si todo funcionara correctamente...

Estás incluyendo algo acerca de registros SRV en el DNS, lo que me hace pensar que estás confundiendo samba con un controlador de active directory, lo cual no existe. Samba aún no soporta AD como controlador y los dominios de samba no tienen nada que ver con DNS.

--
haber != a ver
ha != a

Estimado recuerda que debes

Estimado recuerda que debes agregar la cuenta de la maquina que vas a unir al dominio,
smbldap-useradd -w virtualxp

tambien debes tener presente un par de cambios que debes hacer en las maquinas con winxp
Ejecutar el comando gpedit.msc

A continuación dirigirse a la directiva Equipo Local – Configuración del Equipo - Plantillas Administrativas - Sistema - Perfiles de usuario

Habilitar las opciones Impedir que se propaguen al servidor los cambios de perfil móvil y Permitir sólo perfiles de usuarios locales

Al menos asi me ha funcionado luego de haber luchado bastante y revisar varios lugares

Aque se debe este

Imagen de Mirrortech

Aque se debe este ERROR...¿¿¿¿

[root@servidor ~]# smbldap-useradd -w virtualxp
Unable to determine domain SID: please edit your smbldap.conf, or start your samba server for a few minutes to allow for SID
generation to proceed
Compilation failed in require at /usr/sbin/smbldap-useradd line 30.
BEGIN failed--compilation aborted at /usr/sbin/smbldap-useradd line 30.
[root@servidor ~]#

Gracias por responder. Bien

Imagen de meli

Gracias por responder.

Bien dentro de los logs no veo ningún error, lo único que aparece en el windows es que ha encontrado el srv del dominio, pero que no encuentra la máquina, que es posible que el A del servidor dns esté mal, que no es eso, dado que se puede hacer ping desde la máquina. O que el pdc esté apagado.

En teoría samba es un pdc de dominio, por lo que debería poder encontrarlo.

Ahora mismo no puede probar si funciona lo de dar de alta primero a la máquina en el servidor, dado que el lugar donde trabajo, está ahora mismo cerrado por vacaciones, pero en cuanto volvamos veré si es ese el problema.

Gracias.

Un saludo
_____________________________________

[url=http://www.proyectoret.es]http://www.proyectoret.es[/url]

Un saludo
_____________________________________

[url=http://www.proyectoret.es]http://www.proyectoret.es[/url]

Un servidor PDC tiene que

Imagen de acl

Un servidor PDC tiene que ser el master browser y el domain browser del grupo de trabajo para que las máquinas lo puedan encontrar. Tu OS level en la configuración es 20, lo cual es muy bajo en un ambiente razonablemente actualizado, las XP creo que usan 32 o algo así. Puedes usar un OS level de 64 o más alto y reiniciar el servicio.

--
haber != a ver
ha != a

hola, tengo un problema con

hola, tengo un problema con mi server y samba ldap, al agregar un equipos win al dominio no me deja validar los usuarios, dice que segun el dominio no es valido.

ccs

Hola, a comienzo de este

Imagen de meli

Hola, a comienzo de este curso se nos ha planteado el problema de inicio de sesión con equipos con windows 7,

en primer lugar encontramos esta solución inicial, hay que cambiar en el registro de windows

HKLM\System\CCS\Services\LanmanWorkstation\Parameters
DWORD DomainCompatibilityMode = 1
DWORD DNSNameResolutionRequired = 0

Por otro lado el servidor samba tiene que ser una versión posterior a la 3.4

Un saludo.

Un saludo
_____________________________________

[url=http://www.proyectoret.es]http://www.proyectoret.es[/url]