Der ehemalige IT-Idiot, den ich ablöse, hatte eine Samba-Freigabe auf einem Fedora-Server eingerichtet, die unseren OpenLDAP-Server verwendet, um Benutzer zu authentifizieren, die sich von Windows aus anmelden möchten.
Wir haben vor Kurzem einen neuen Mitarbeiter eingestellt und ich habe alle LDAP-Hürden genommen, um ihn zum System hinzuzufügen. Allerdings kann ich seinen Login nicht verwenden, um auf die Samba-Freigabe zuzugreifen. Ich schaue mir die LDAP-Einstellungen und -Gruppen an und vergleiche das neue Benutzerkonto mit den vorhandenen. Ich kann jedoch nicht herausfinden, welche LDAP-Einstellungen erforderlich sind, damit dieser Benutzer auf die Samba-Freigabe zugreifen kann.
Natürlich hat der ehemalige idiotische IT-Typ nichts dokumentiert und hat alle möglichen seltsamen Konfigurationen im Netzwerk. Ich bin also etwas ratlos, wonach ich hier suchen soll.
Wo soll ich anfangen?
Auf dem Server, der die Samba-Freigabe hostet, läuft offensichtlich Samba, aber er hat auch smbldap-tools geladen.
Antwort1
Sind Sie sicher, dass LDAP zur Authentifizierung und nicht nur zur Autorisierung verwendet wird? Wenn Sie Ihr Passwort in LDAP ändern, erlaubt die Freigabe dann Anmeldungen mit dem alten oder dem neuen Passwort? Das ist eine wichtige Frage, die beantwortet werden muss: Wenn Sie Ihr Passwort ändern und es auf dem Samba-Server nicht erkannt wird, verwendet der Samba-Server möglicherweise lokal eingerichtete Samba-Benutzer und überprüft deren Gruppenmitgliedschaft in LDAP.
Antwort2
pdbeditauf dem Samba-Controller ist ein guter Ausgangspunkt. Wird der Benutzer in angezeigt pdbedit -L? Sie können auch net rpc usersetwas Ähnliches tun, aber das funktioniert über das Netzwerk, anstatt die Kennwortdatenbank direkt abzufragen.
Wenn der Benutzer in der Ausgabe nicht angezeigt wird, bedeutet dies, dass die erforderlichen Attribute nicht vorhanden sind. Wir verwenden keine smbldap-tools, daher können wir einfach smbpasswd -a $usernameoder verwenden pdbedit -a $username, aber das ist bei Ihnen möglicherweise nicht der Fall.
Wenn der Benutzer in der Ausgabe auftaucht, würde ich weiter oben im Stapel suchen. Können Sie sich als Benutzer mit anmelden net -U $username rpc share?
Die Protokolldateien sind oft auch nützlich - unsere liegen in /var/log/samba/ unter dem Computernamen und der IP-Adresse. Sie können verwenden, smbcontrol smbd debugum die entsprechenden Debugabschnitte aufzurufen, wie z . B. passdb.
Antwort3
Es gibt ein LDAP-GUI-Tool für Windows namensLDAP-Administrator. Es stellt die für Samba erforderlichen Daten im LDAP-Verzeichnis in einem einfachen, für Menschen lesbaren Format dar. Sie können sich im Eintrag auch alle Einzelheiten ansehen.
Haben Sie sich auch die LDAP-Konfigurationsdateien in smb.conf angesehen? Dort erfahren Sie, welche LDAP-Attribute verwendet werden, wenn sie angepasst werden.
Antwort4
Sie sollten vorsichtig sein, wenn Sie mit OpenLDAP-/Samba-Domänencontrollern nicht vertraut sind. Wenn Sie etwas kaputt machen, kann es passieren, dass sich niemand bei der Domäne anmelden kann.
Im Allgemeinen würden die meisten Leute smbldap-tools verwenden …, d. h. /opt/IDEALX/…smbldap-useradd -m –a Benutzername; smbldap-passwd Benutzername; smbpasswd Benutzername.
Es gibt viele Tools, mit denen Sie Benutzer zu Samba/OpenLDAP hinzufügen können. Die „Net“-Tools sind in der Samba-Suite enthalten. Sie sind Allzwecktools und für eine ähnliche Verwendung wie die in DOS verfügbaren Windows-Tools konzipiert.