O ex-cara de TI idiota que estou assumindo tinha uma configuração de compartilhamento Samba em um servidor Fedora que usa nosso servidor OpenLDAP para autenticar usuários que desejam fazer login no Windows.
Recentemente, adicionamos um novo funcionário e eu passei pelos obstáculos do LDAP para adicioná-lo ao sistema. No entanto, não consigo usar o login deles para acessar o compartilhamento do Samba. Estou examinando as configurações e grupos do LDAP e comparando a nova conta de usuário com as existentes, e não consigo descobrir quais configurações no LDAP são necessárias para que esse usuário possa acessar o compartilhamento do Samba.
É claro que o ex-idiota de TI não documentou nada e tem todo tipo de configurações estranhas na rede. Portanto, estou um pouco sem saber o que procurar aqui.
Por onde devo começar?
No servidor que hospeda o compartilhamento do Samba, ele obviamente tem o samba rodando, mas também tem o smbldap-tools carregado.
Responder1
Tem certeza de que está usando LDAP para autenticação e não apenas para autorização? Se você alterar sua senha no LDAP o compartilhamento permite logins com a senha antiga ou a nova? Essa é uma pergunta importante a ser respondida - se você alterar sua senha e ela não parecer ser coletada no servidor Samba, o servidor Samba pode estar usando usuários Samba configurados localmente e verificando sua participação no grupo no LDAP.
Responder2
pdbeditno controlador Samba é um bom lugar para começar. O usuário aparece em pdbedit -L? Você também pode usar net rpc userspara fazer algo semelhante, mas que funciona na rede, em vez de consultar diretamente o banco de dados de senhas.
Se o usuário não aparecer na saída, significa que os atributos necessários não estão lá. Não usamos smbldap-tools, então podemos apenas usar smbpasswd -a $usernameor pdbedit -a $username, mas esse pode não ser o seu caso.
Se o usuário aparecer na saída, eu começaria a procurar mais acima na pilha. Você pode fazer login como usuário com net -U $username rpc share?
Os arquivos de log também são úteis - os nossos ficam em /var/log/samba/ sob o nome da máquina e endereço IP. Você pode usar smbcontrol smbd debugpara ativar as seções de depuração apropriadas, como passdb.
Responder3
Existe uma ferramenta GUI LDAP para Windows chamadaldapadmin. Ele apresenta os dados no diretório LDAP necessários para o samba em um formato simples e legível. Você também pode ver todos os detalhes essenciais na entrada.
Além disso, você olhou o material de configuração do LDAP no smb.conf? Ele informará quais atributos LDAP serão usados se forem personalizados.
Responder4
Você deve ter cuidado se não estiver familiarizado com os controladores de domínio Openldap/Samba. Você pode acabar sem ninguém capaz de fazer login no domínio se quebrar alguma coisa.
Geralmente, a maioria das pessoas usaria smbldap-tools ... ou seja, /opt/IDEALX/...smbldap-useradd -m -a username ; nome de usuário smbldap-passwd; usuário smbpasswd.
Existem muitas ferramentas para adicionar usuários ao samba/openldap. As ferramentas "net" estão incluídas no pacote samba; elas são ferramentas de uso geral e projetadas para ter uso semelhante ao das ferramentas do Windows disponíveis no DOS.