erro ao tentar adicionar W2K em Dominio SAMBA com LDAP

22-08-2004, 19:55

Pessoal, configurei o SAMBA para trabalahao com o OpenLDAP.. e aparentemente os serviços estao todos ok..

porem.. quando tento adicionar uma estacao w2k no dominio.. nao consigo.. me gerando esse erros no /var/log/messages

--------------------------------------------------------------------
[2004/08/22 20:51:49, 0] lib/util_sock.c:get_peer_addr(978)
Aug 22 20:51:49 pdcsrv smbd[6832]: getpeername failed. Error was Transport endpoint is not connected
Aug 22 20:51:49 pdcsrv smbd[6832]: [2004/08/22 20:51:49, 0] lib/util_sock.c:read_socket_data(367)
Aug 22 20:51:49 pdcsrv smbd[6832]: read_socket_data: recv failure for 4. Error = Connection reset by peer
-----------------------------------------------------------------------

alguma ideia do que pode ser.. aparentemente o LDAP esta ok.. consigo fazer consultas pelo users normalmente no LDAP..

gmlinux · 22-08-2004, 20:05

--------------------------------------------------------------------
[2004/08/22 20:51:49, 0] lib/util_sock.c:get_peer_addr(978)
Aug 22 20:51:49 pdcsrv smbd[6832]: getpeername failed. Error was Transport endpoint is not connected
Aug 22 20:51:49 pdcsrv smbd[6832]: [2004/08/22 20:51:49, 0] lib/util_sock.c:read_socket_data(367)
Aug 22 20:51:49 pdcsrv smbd[6832]: read_socket_data: recv failure for 4. Error = Connection reset by peer
-----------------------------------------------------------------------

Como esta suas opções security e domain logons?
get_peer_addr foi uma tentativa de resolução de nomes, sua resolução netbios esta OK?

22-08-2004, 20:15

security = user
domain logon = yes

do linux PDC eu pingo normalmente a estaco via DNS.

esta dando esse ero aqui se eu tento mapear um share do PDC.. sem logar no dominio..

[2004/08/22 21:10:29, 0] auth/auth_sam.c:check_sam_security(260)
Aug 22 21:10:29 pdcsrv smbd[7073]: check_sam_security: make_server_info_sam() failed with 'NT_STATUS_NO_SUCH_USER'

gmlinux · 22-08-2004, 20:27

Execute

smbclient -L netbiosname.server -U user

onde
netbiosname.server = nome netbios do seu servidor
user = usuário cadastrado no servidor, quando pedir senha, coloque a senha correta.

Qual o resultado?

gmlinux · 22-08-2004, 20:36

Outra coisa, seria possível eu ver seu smb.conf, apenas o [global], ou vc mesmo pode me informar se esta usando a opção
passdb backend = ldapsam:ldap://localhost
conforme a documentação
http://us1.samba.org/samba/docs/man/...html#id2509174
do tópico
Example 2.9. LDAP backend smb.conf for PDC.

Já ocorreu problemas de pessoas confundirem a autenticação do linux com a configuração do samba.

Tipo, autenticação do linux
/etc/nsswitch, pam

22-08-2004, 21:56

sim.. o backend é exatamente como essa linha ae que vc postou..

quando eu executo o comando que vc passou.. aparece isso aqui..

[root@pdcsrv openldap]# smbclient -L pdcsrv -U danilo
Password:
session setup failed: NT_STATUS_LOGON_FAILURE

e no /var/log/messahes.. isso aqui..

[2004/08/22 22:54:17, 0] auth/auth_sam.c:check_sam_security(260)
Aug 22 22:54:17 pdcsrv smbd[7828]: check_sam_security: make_server_info_sam() failed with 'NT_STATUS_NO_SUCH_USER'

22-08-2004, 21:58

o meu /etc/nsswitch.conf esta assim..

passwd: files ldap
shadow: files ldap
group: files ldap

gmlinux · 23-08-2004, 07:18

Postado originalmente por Anonymous

sim.. o backend é exatamente como essa linha ae que vc postou..

quando eu executo o comando que vc passou.. aparece isso aqui..

[root@pdcsrv openldap]# smbclient -L pdcsrv -U danilo
Password:
session setup failed: NT_STATUS_LOGON_FAILURE

e no /var/log/messahes.. isso aqui..

[2004/08/22 22:54:17, 0] auth/auth_sam.c:check_sam_security(260)
Aug 22 22:54:17 pdcsrv smbd[7828]: check_sam_security: make_server_info_sam() failed with 'NT_STATUS_NO_SUCH_USER'

Então suponho que o servidor de ldap é a própria máquina do samba,certo?
(Se vc estiver usando ssl, acho que tenha que usar o nome fqdn da máquina nesta opção backend)

Vamos verificar a configuração do ldap.
Um documento que pode ajudar é este:
http://www.conectiva.com/doc/livros/...ENTICACAO.LDAP

Na seção: Testando a configuração

Onde vc encontra
ldapsearch uid=usuario -x
Para verificar se os usuários estão incluídos

23-08-2004, 09:14

sim.. o LDAP esta no servidor SAMBA... nao estou usando SSL..

os comandos foram executados sem problemas.. no ldapsearch

sera que nao tem nada a ver com autenticacao PAM?

mais pelo o que eu li.. o PAM precisa autenticar o usuario no /etc/passwd certo? mais se eu uso LDAP.. vou ter que ficar cadastrando os usuarios nos dois? tanto no LDAP como no /etc/passwd?? fica meio inviavel..

23-08-2004, 09:25

quando eu tento logar no Linux por SSH (por exemplo) usuando um usuario e senha cadastrados apenas no LDAP.. nao consigo logar..

mesmo estando cadastrado no /etc/nsswitch.conf para pesquisar no LDAP.

gmlinux · 23-08-2004, 09:35

Seguinte, o nsswitch altera onde a libc obtem informações, experimenta

getent passwd

vc terá uma lista de usuários que incluem as do /etc/passwd (passwd:files ldap, no /etc/nsswitch) e do ldap (passwd:files ldap, no /etc/nssswitch) (se ele estiver funcionando)

se não funcionar, execute
find /lib -name libnss\*

na listagem, olhe se aparece uma biblioteca para o ldap

Já o pam, depende do programa estar compilado com suporte a ele, e estaria em uma "camada" mais acima do nsswitch.
(O backend do samba obtem mais informações que somente autenticação)

Alem dos arquivos de configuraçào do PAM, exite tambem bibliotecas, como acima.
tente executar
ls /lib/security/
e localizar algo do ldap

feito isto, tente o smbcliente novamente, enquanto ele não funcionar, nosso samba não estará autenticando no ldap...

gmlinux · 23-08-2004, 09:38

Postado originalmente por Anonymous

sim.. o LDAP esta no servidor SAMBA... nao estou usando SSL..

os comandos foram executados sem problemas.. no ldapsearch

sera que nao tem nada a ver com autenticacao PAM?

mais pelo o que eu li.. o PAM precisa autenticar o usuario no /etc/passwd certo? mais se eu uso LDAP.. vou ter que ficar cadastrando os usuarios nos dois? tanto no LDAP como no /etc/passwd?? fica meio inviavel..

A biblioteca de pam para ldap usaria diretamente o ldap.

25-08-2004, 22:08

caro gmlinux,

executei o: getent passwd e so listou usuarios do /etc/passwd

executei o: find /lib -name libnss\* e listou as seguintes bibliotecas do ldap:

/lib/libnss_ldap.so.2
/lib/libnss_ldap-2.3.1.so

25-08-2004, 22:10

ao executar o: ls /lib/security me aparece isso aqui em relacao ao ldap..

/lib/security/pam_ldap.so

25-08-2004, 23:02

se eu digito no redhat: authconfig e configuro o mesmo para usar autenticacao LDAP, coloco o ip do servidor LDAP e o BASE DN ae ninguem mais consegue logar na maquina... se eu desabilito isso la no authconfig.. volta ao normal..

o mais estranho é que eu consigo fazer qualquer consulta no ldapsearch .. mais nao consigo logar nengum usuario..

no /messages aparece:

Aug 25 23:53:08 pdcsrv vsftpd[2457]: pam_ldap: error trying to bind (Invalid credentials)
Aug 25 23:53:13 pdcsrv vsftpd: warning: can't get client address: Bad file descriptor
Aug 25 23:53:19 pdcsrv vsftpd: pam_ldap: error trying to bind (Invalid credentials)
Aug 25 23:53:54 pdcsrv vsftpd: warning: can't get client address: Bad file descriptor
Aug 25 23:53:57 pdcsrv vsftpd(pam_unix)[2480]: check pass; user unknown
Aug 25 23:53:57 pdcsrv vsftpd(pam_unix)[2480]: authentication failure; logname= uid=0 euid=0 tty= ruser= rhost=192.168.0.10

nao sei mais o que pode ser...

gmlinux · 26-08-2004, 07:35

Blz, já sabemos que as bibliotecas estão instaladas, com ldapsearch o ldap funciona, então ainda falta o /etc/openldap/ldap.conf
Ele esta com as opções BASE e URI, corretas?
Lembre-se que no ldapsearch, vc passa o "caminho" base da pesquisa, aqui é onde vc passa para os clientes ldap não interativos esta informação.

O teste é usar o getent como antes(no /etc/nsswitch.conf a palavra ldap deve existir nas linhas passwd,group e shadow)

26-08-2004, 08:34

meu ldap.conf esta assim:

------------------------------------------------
BASE dc=empresa,dc=org
URI ldap://127.0.0.1
------------------------------------------------

gmlinux · 26-08-2004, 21:04

É, realmente nunca me deparei com esta situação, se toda a configuração esta correta (daria uma nova geral, seguindo o howto), pode ser problema de pacote, tipo, vc esta usando pacotes compilados ou da distro?

O funcionamento seria este, uma aplicação faria uma requisição por autenticação, a glibc usa o nsswitch para coletar esta informação, assim a libnss_ldap consulta o servidor ldap (fizemos isto com getent), assim é como se tivessemos uma arquivo passwd "aumentado".
Pode ser que sua configuração de PAM não esteja permitindo ele usar o /etc/passwd (que o nss estenderia), mais isto é apenas uma hipótese, nunca me deparei com tal situação.

Sinto não poder ajudar mais.

**edisonjr** · 26-08-2004, 22:16

Depois de acompanhar toda a thread do seu problema, eu venho perguntar duas coisas..

Qual a versão do seu samba??
Qual a versão do openldap??

Pergunto isso pq o samba 3.0.5 tá com problema em relação a LDAP.... tente atualizar pra versão 3.0.6 e veja no que dá???

Digo isso pq também tenho brigado com isso, mas tenho uma vantagem, minha rede é de poucos usuários e eu não tenho nada montado ainda..

Parei um pouco, pra botar o serviço samba redondinho, e depois vou atacar com ldap...

**mistymst** · 27-08-2004, 00:50

mostre o [global] do seu smb.conf

e um search no DC , mostrando so o primeiro level. nao quero um full search, so o q tem na raiz, e no maximo seria interessante um search em cada elemento. quero ver os atributos

e outra, coloque o loglevel do seu ldap para 256 para voce ver quais searches ele esta fazendo. isso me ajudaria bastante.

erro ao tentar adicionar W2K em Dominio SAMBA com LDAP

Ferramentas de Tópicos