El ex-tipo idiota de TI que estoy reemplazando tenía una configuración compartida de Samba en un servidor Fedora que usa nuestro servidor OpenLDAP para autenticar a los usuarios que desean iniciar sesión desde Windows.
Recientemente agregamos un nuevo empleado y pasé por los aros de LDAP para agregarlo al sistema. Sin embargo, parece que no puedo usar su inicio de sesión para acceder al recurso compartido de Samba. Estoy revisando la configuración y los grupos de LDAP y comparando la nueva cuenta de usuario con las existentes, y no puedo entender qué configuraciones en LDAP son necesarias para que este usuario pueda acceder al recurso compartido de Samba.
Por supuesto, el ex idiota de TI no documentó nada y tiene todo tipo de configuraciones extrañas en la red. Así que no sé qué buscar aquí.
¿Donde debería empezar?
En el servidor que aloja el recurso compartido Samba, obviamente tiene samba ejecutándose, pero también tiene cargadas las herramientas smbldap.
Respuesta1
¿Está seguro de que utiliza LDAP para autenticación y no sólo para autorización? Si cambia su contraseña en LDAP, ¿el recurso compartido permite iniciar sesión con la contraseña anterior o con la nueva? Esa es una pregunta importante que debe responder: si cambia su contraseña y parece que no la detecta el servidor Samba, es posible que el servidor Samba esté utilizando usuarios de Samba configurados localmente y verificando su membresía en el grupo en LDAP.
Respuesta2
pdbediten el controlador Samba es un buen punto de partida. ¿El usuario aparece en pdbedit -L? También puede utilizar net rpc userspara hacer algo similar, pero funciona a través de la red en lugar de consultar la base de datos de contraseñas directamente.
Si el usuario no aparece en la salida, eso significa que los atributos necesarios no están ahí. No usamos smbldap-tools, por lo que podemos usar simplemente smbpasswd -a $usernameo pdbedit -a $username, pero puede que ese no sea su caso.
Si el usuario aparece en el resultado, entonces comenzaría a buscar más arriba en la pila. ¿Puedes iniciar sesión como usuario con net -U $username rpc share?
Los archivos de registro también suelen ser útiles: los nuestros se encuentran en /var/log/samba/ bajo el nombre de la máquina y la dirección IP. Puede utilizar smbcontrol smbd debugpara activar las secciones de depuración adecuadas, como passdb.
Respuesta3
Hay una herramienta GUI LDAP para Windows llamadaldapadmin. Presenta los datos en el directorio LDAP necesarios para samba en un formato simple y legible por humanos. También puedes ver todo el meollo de la cuestión en la entrada.
Además, ¿has mirado la configuración de LDAP en smb.conf? Le indicará qué atributos LDAP se utilizan si están personalizados.
Respuesta4
Debe tener cuidado si no está familiarizado con los controladores de dominio Openldap/Samba. Podrías terminar sin que nadie pueda iniciar sesión en el dominio si rompes las cosas.
Generalmente, la mayoría de la gente usaría smbldap-tools ... es decir, /opt/IDEALX/...smbldap-useradd -m -a nombre de usuario; nombre de usuario smbldap-contraseña; usuario smbpasswd.
Hay muchas herramientas para agregar usuarios a samba/openldap. Las herramientas "net" están incluidas en la suite samba; son herramientas de propósito general y están diseñadas para tener un uso similar al de las herramientas de Windows disponibles en DOS.