[CentOS-es] problema de validacion con samba como PDC y LDAP
Juan Pablo Botero
juanpabloboterolopez en gmail.com
Vie Jul 31 20:17:39 UTC 2009
Mira el Log de samba que pasa cuando alguien intenta ingresar
'/var/log/samba'
¿Es posible realizar la prueba conectando un equipo linux?.
Entre el PDC y la red hay algún firewall?.
2009/7/31 samuel correa <samuel.correa en gmail.com>
> Hola a todos.
>
> Los que me comentaron lo del SELinux, ya lo deshabilite y nada pasó.. todo
> está igual.
> para deshabilitarlo usé el comando:
>
> system-config-securitylevel
>
> y luego en la opción: Deshabilitar.
> Reinicié el equipo y nada.
>
> Lo del smbldap-tools, claro que lo instalé y configuré, acá pongo los
> archivos de configuración:
>
>
> ------------------------------------------------------------------------------------------------------------------------------------------------------------------------
> */etc/smbldap-tools/smbldap_bind.conf *
>
> slaveDN="cn=Manager,dc=idealix,dc=org"
> slavePw="secret"
> masterDN="cn=cacique,dc=prueba,dc=cs,dc=udea,dc=edu,dc=co"
> masterPw="secret"
>
>
> ------------------------------------------------------------------------------------------------------------------------------------------------------------------------
> */etc/smbldap-tools/*
>
>
> ##############################################################################
> #
> # General Configuration
> #
>
> ##############################################################################
>
> SID="S-1-5-21-3913098102-3033589265-2515174398"
>
> ##############################################################################
> #
> # LDAP Configuration
> #
>
> ##############################################################################
> slaveLDAP="127.0.0.1"
> slavePort="389"
>
> masterLDAP="127.0.0.1"
> masterPort="389"
>
> ldapTLS="0"
>
> verify="require"
>
> cafile="/etc/smbldap-tools/ca.pem"
>
> clientcert="/etc/smbldap-tools/smbldap-tools.pem"
>
> clientkey="/etc/smbldap-tools/smbldap-tools.key"
>
> suffix="dc=prueba,dc=cs,dc=udea,dc=edu,dc=co"
>
> usersdn="ou=estudiantes,${suffix}"
>
> computersdn="ou=maquinas,${suffix}"
>
> groupsdn="ou=grupos,${suffix}"
>
> idmapdn="ou=Idmap,${suffix}"
>
> sambaUnixIdPooldn="cn=NextFreeUnixId,${suffix}"
>
> scope="sub"
>
> hash_encrypt="MD5"
>
> crypt_salt_format="%s"
>
>
> ##############################################################################
> #
> # Unix Accounts Configuration
> #
>
> ##############################################################################
>
> userLoginShell="/bin/bash"
>
> userHome="/Estudiantes/%U"
>
> userHomeDirectoryMode="755"
>
> userGecos="Luis fernando Padilla Almanza"
>
> defaultUserGid="513"
>
> defaultComputerGid="515"
>
> skeletonDir="/etc/skel"
>
> defaultMaxPasswordAge="45"
>
>
> ##############################################################################
> #
> # SAMBA Configuration
> #
>
> ##############################################################################
>
> userSmbHome="\\SIONA\%U"
>
> userProfile=""
>
> userHomeDrive="X:"
>
> mailDomain="prueba.cs.udea.edu.co"
>
>
> ##############################################################################
> #
> # SMBLDAP-TOOLS Configuration (default are ok for a RedHat)
> #
>
> ##############################################################################
>
> with_smbpasswd="0"
> smbpasswd="/usr/bin/smbpasswd"
>
>
> ------------------------------------------------------------------------------------------------------------------------------------------------------------------------
>
> Por favor!!.. siguan sugiriendome cosas!!... ustedes son mi única
> esperanza!.-
> .
>
> samuel
>
> 2009/7/30 Germán C. Basisty <german.basisty en eipsistemas.com.ar>
>
> Pregunta tonta, pero no me queda claro en tu mail:
>>
>>
>>
>> Instalaste y configuraste smbldap-tools?
>>
>>
>> Saludos.
>>
>>
>>
>> *De:* centos-es-bounces en centos.org [mailto:centos-es-bounces en centos.org]
>> *En nombre de *samuel correa
>> *Enviado el:* jueves, 30 de julio de 2009 06:12 p.m.
>>
>> *Para:* centos-es en centos.org
>> *Asunto:* Re: [CentOS-es] problema de validacion con samba como PDC y
>> LDAP
>>
>>
>>
>> Hola.
>>
>> Gracias por responder, lamento decirlo pero la solución que me propones no
>> me dió el resultado esperado, es decir, sigo con el mismo problema...
>>
>> alguna otra sugerencia??...
>>
>> (es de caracter HYPERIMPORTANTE!)
>>
>> Samuel
>>
>>
>> On Thu, Jul 30, 2009 at 12:24 PM, Germán C. Basisty <
>> german.basisty en eipsistemas.com.ar> wrote:
>>
>> Tenes que modificar el registro de xp.
>>
>>
>>
>> Hklm\system\currentcontrolset\services\netlogon\parameters\requiresignorseal
>> que esta en 1 pasarlo a 0.
>>
>>
>>
>> Si esta todo bien tiene que salir andando derecho.
>>
>>
>>
>> Saludos.
>>
>>
>>
>>
>>
>> *Germán C. Basisty*
>>
>> *EIP SISTEMAS*
>>
>> *Consultor - Tecnología Informática*
>>
>> tel./fax +54 (299) 436 6929
>>
>> cel. +54 (2942) 15 472 223
>>
>> german.basisty en eipsistemas.com.ar
>>
>> http://ww.eipsistemas.com.ar
>>
>>
>>
>>
>>
>> *De:* centos-es-bounces en centos.org [mailto:centos-es-bounces en centos.org]
>> *En nombre de *samuel correa
>> *Enviado el:* jueves, 30 de julio de 2009 02:20 p.m.
>> *Para:* centos-es en centos.org
>> *Asunto:* Re: [CentOS-es] problema de validacion con samba como PDC y
>> LDAP
>>
>>
>>
>> Hola.. no se si ya me respondieron.. es que no estaba inscrito a la lista
>> y no sabria si ya respondieron o no.. si ya respondieron podrian hacerlo de
>> nuevo que ya si estoy inscrito en la lista... de lo contrario.. podrian
>> colaborarme con esto???
>>
>> gracias.
>>
>>
>> ---------------
>>
>> Buenas Tardes a todos.
>>
>> Tengo el siguiente problema:
>>
>> Tengo un servidor con la ultima version de Centos 5.
>> Luego instale y configure OpenLdap (openldap-servers-2.3.43-3.
>>
>> el5).
>> Luego configure el dominio Samba (Version 3.0.33-3.7.el5) con OpenLdap.
>>
>> Todo parecia estar funcionando correctamente pero no fue asi.
>>
>> Al final de la configuración del Samba las maquinas (que tienen Win XP
>> pro) se estaban agregando al dominio PDC que habia configurado previamente,
>> pero luego de reiniciar esa maquina e intentar iniciar con una cuenta creada
>> en LDAP no puedo niniciar. El error de validación que aparece en el windows
>> es el siguiente:
>>
>> "El sistema no puede iniciar su sesión debido al siguiente error:
>>
>> Uno de los dispositivos vinculados al sistema no funciona.
>>
>> Intentelo de nuevo o consulte con el administrador del sistema"
>>
>>
>> Lo curioso es que si está buscando ese usuario, ya que si con ese usuario
>> ingreso una contraseña erronea el me saca el error:
>>
>> "No puede iniciar su sesión, asegurese de que su nombre de usuario y
>> dominio sean correctos, luego repita su contraseña"
>>
>>
>> Quisiera que me colaboraran con la validación del usuario de LDAP en el
>> equipo Windows que ha sido previamente agregado al dominio de Samba.
>> Mis archivos de configuración son los siguientes, si necesitan alguno más
>> me avisan que con gusto lo mostraré.
>>
>>
>> ---------------------------------------------------------------------------------------------------------------------------------------
>> */etc/openldap/ldap.conf*
>>
>>
>> HOST 192.168.30.100
>> BASE dc=siona,dc=cs,dc=udea,dc=edu,dc=co
>>
>> SIZELIMIT 12
>> TLS_CACERTDIR /etc/openldap/cacerts
>>
>> ---------------------------------------------------------------------------------------------------------------------------------------
>> */etc/ldap.conf*
>>
>> host 127.0.0.1
>>
>> base dc=prueba,dc=cs,dc=udea,dc=edu,dc=co
>>
>> ssl no
>> tls_cacertdir /etc/openldap/cacerts
>> pam_password md5
>>
>> ---------------------------------------------------------------------------------------------------------------------------------------
>> */etc/openldap/slapd.conf*
>>
>> include /etc/openldap/schema/core.schema
>> include /etc/openldap/schema/autofs.schema
>> include /etc/openldap/schema/misc.schema
>> include /etc/openldap/schema/cosine.schema
>> include /etc/openldap/schema/dyngroup.schema
>> include /etc/openldap/schema/java.schema
>> include /etc/openldap/schema/inetorgperson.schema
>> include /etc/openldap/schema/nis.schema
>> include /etc/openldap/schema/samba.schema
>>
>>
>> pidfile /var/run/openldap/slapd.pid
>> argsfile /var/run/openldap/slapd.args
>>
>> schemacheck on
>>
>> loglevel 512
>>
>> password-hash {CRYPT}
>>
>> database ldbm
>> suffix "dc=prueba,dc=cs,dc=udea,dc=edu,dc=co"
>> rootdn "cn=cacique,dc=prueba,dc=cs,dc=udea,dc=edu,dc=co"
>>
>> rootpw {MD5}V0L/mtFz0HPxFqPffgV
>>
>>
>> directory /var/lib/ldap
>>
>> index sambaSID eq
>> index sambaPrimaryGroupSID eq
>> index sambaDomainName eq
>> index objectClass,uid,uidNumber,gidNumber,memberUid eq
>> index cn,mail,surname,givenname eq,subinitial
>>
>>
>>
>> #access to
>> attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange,sambaAcctFlags,sambaPasswordHistory
>>
>> access to
>> attrs=userPassword,sambaNTPassword,sambaLMPassword,sambaPwdLastSet,sambaPwdMustChange,sambaAcctFlags,sambaPasswordHistory
>> by dn="cn=cacique,dc=prueba,dc=cs,dc=udea,dc=edu,dc=co" write
>> by anonymous auth
>> by self write
>> by * none
>>
>>
>> # The admin dn has full write access
>> access to *
>> by dn="cn=cacique,dc=prueba,dc=cs,dc=udea,dc=edu,dc=co" write
>> by * read
>>
>>
>>
>>
>>
>> ---------------------------------------------------------------------------------------------------------------------------------------
>> */etc/samba/smb.conf
>> *
>> [global]
>>
>> workgroup = PDC-SMB3
>>
>> netbios name = PRUEBA
>> server string = Servidor Samba con LDAP %v
>>
>> security = user
>> encrypt passwords = Yes
>> min passwd length = 3
>>
>> obey pam restrictions = No
>>
>> ldap passwd sync = Yes
>> log level = 0
>> syslog = 0
>> log file = /var/log/samba/%m.log
>> max log size = 100000
>> time server = Yes
>> socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
>> mangling method = hash2
>> Dos charset = 850
>> Unix charset = ISO8859-1
>> logon script = logon.bat
>> logon drive = X:
>> logon home =
>> logon path =
>>
>>
>> domain logons = Yes
>> os level = 65
>> preferred master = Yes
>> domain master = Yes
>> wins support = Yes
>>
>> passwd program = /usr/sbin/smbldap-passwd %u
>> passdb backend = ldapsam:ldap://192.168.30.100/
>> ldap admin dn = cn=cacique,dc=prueba,dc=cs,dc=udea,dc=edu,dc=co
>> ldap suffix = dc=prueba,dc=cs,dc=udea,dc=edu,dc=co
>> ldap group suffix = ou=grupos
>> ldap user suffix = ou=estudiantes
>> ldap machine suffix = ou=maquinas
>> ldap idmap suffix = ou=estudiantes
>> ldap ssl = no
>>
>> add user script = /usr/sbin/smbldap-useradd -m "%u"
>> ldap delete dn = Yes
>> add machine script = /usr/sbin/smbldap-useradd -w "%u"
>> add group script = /usr/sbin/smbldap-groupadd -p "%g"
>> add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
>> delete user from group script = /usr/sbin/smbldap-groupmod -x "%u"
>> "%g"
>> set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
>>
>>
>> idmap uid = 16777216-33554431
>> idmap gid = 16777216-33554431
>> template shell = /bin/false
>> winbind use default domain = no
>>
>>
>> #============================ Share Definitions ======================
>>
>> [homes]
>> comment = Privado de %U, %u
>> read only = No
>> create mask = 0644
>> directory mask = 0775
>> browseable = No
>>
>>
>> [netlogon]
>> path = /export/admstaff/samba/netlogon/
>> browseable = No
>> read only = yes
>>
>>
>> [Profiles]
>> path = /export/admstaff/samba/profiles
>>
>>
>> writeable = yes
>> create mask = 0600
>> directory mask = 0700
>> browseable = No
>> guest ok = Yes
>> profile acls = yes
>> csc policy = disable
>> # next line is a great way to secure the profiles
>> force user = %U
>> # next line allows administrator to access all profiles
>> # valid users = %U @"Domain Admins"
>> [printers]
>> comment = Impresoras en la Red
>> printer admin = @"Print Operators"
>>
>>
>> guest ok = yes
>> printable = yes
>> path = /export/admstaff/samba
>> browseable = No
>> read only = Yes
>> print command = /usr/bin/lpr -P%p -r %s
>> lpq command = /usr/bin/lpq -P%p
>> lprm command = /usr/bin/lprm -P%p %j
>>
>> [printers-1]
>> path = /export/admstaff/samba/printers
>> guest ok = No
>> ; browseable = Yes
>> read only = Yes
>> valid users = @"Print Operators"
>> write list = @"Print Operators"
>> create mask = 0664
>> directory mask = 0775
>>
>>
>> [publico-siona]
>> comment = Directorios Publicos
>> path = /export/publico
>> browseable = Yes
>> read only = No
>> guest ok = Yes
>> directory mask = 0775
>>
>> ---------------------------------------------------------------------------------------------------------------------------------------
>>
>>
>> Les agradezco mucho su ayuda...
>>
>> hasta luego.
>>
>>
>> pueden responderme a samuel.correa at gmail
>>
>>
>>
>>
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
>>
>>
>> _______________________________________________
>> CentOS-es mailing list
>> CentOS-es en centos.org
>> http://lists.centos.org/mailman/listinfo/centos-es
>>
>>
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>
>
--
Juan Pablo Botero
Administrador de Sistemas informáticos
http://www.jpilldev.com
eSSuX: http://www.essux.org
Linux Registered user #435293
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://lists.centos.org/pipermail/centos-es/attachments/20090731/d914e47b/attachment-0001.html
Más información sobre la lista de distribución CentOS-es