OpenLDAP、Samba-->域管理器的OU问题

戏园子

    前几天在这里问过一个相似但笼统的问题，现在详细的叙述并恳请各位好人帮帮忙！
    实现的域管理器的环境是：RedHat AS4 UP4及其自带的OpenLDAP、Samba；另外装了必要的插件，如smaldap-tools；管理工具phpLDAPadmin。
    整个域管理器配置好后可由phpLDAPadmin查看相关信息，有截图。

    其中ou=Users_Test是通过复制ou=Users得到的。配置域管理器的关键参数有：
/etc/ldap.conf:
    nss_base_passwd ou=Users,dc=easy,dc=com?one
    nss_base_passwd ou=Computers,dc=easy,dc=com?one
    nss_base_shadow ou=Users,dc=easy,dc=com?one
    nss_base_group ou=Groups,dc=easy,dc=com?one
/etc/openldap/slapd.conf:
   access to attrs=userPassword,sambaLMPassword,sambaNTPassword
        by self write
        by anonymous auth
        by * none
    access to *
        by * read
/etc/samba/smb.conf:
        ldap admin dn = cn=Manager,dc=easy,dc=com
        ldap suffix = dc=easy,dc=com
        ldap group suffix = ou=Groups
        ldap user suffix = ou=Users_Test
        ldap machine suffix = ou=Computers
    在配置好后用smbldap-useradd添加了用户user001~user006，其中user004、user006是通过修改/etc/smbldap-tools/下的smbldap-tools的配置文件，将OUsuffix由Users改为Users_Test后得到的。
    在进行了这些操作后，用户user001、user002、user003、user005可以用作客户端用户登录。而user004和user006则不能在客户端登录成功。就对OpenLDAP而言，这些用户除了OU不同，其余一致。
    后来尝试修改过上面的几个配置文件，user004和user006依然不能原来登录。感觉上似乎是不能搜索到OU=Users_Test，我尝试过将配置文件中存在ou=Users的地方删除以扩大搜索范围的方法，可结果与不删除的一样。
    现在想弄清楚上面的配置的具体含义，虽然能从OpenLDAP及Samba的功能猜出配置文件的大概含义，但不知道如何实现OU不同的用户均能实现客户端登录。

下面是在Linux上用smbclient命令的输出：
smbclient -L 127.0.0.1 -U user006
Password: 输入密码后得到
session setup failed: NT_STATUS_LOGON_FAILURE

[ 本帖最后由 戏园子 于 2007-7-2 20:57 编辑 ]

戏园子

其实就是想通过ou不同来实现用户的分组管理。在可以实现ou不同的用户均能实现客户端登录后还需进一步考虑ou不同的用户的权限分配问题，目前第一步还没有实现。请帮忙！

alvis

我覺得你好像有個錯誤，你建 LDAP 时，應該是用戶一支，用戶組一支

如果你必須在 ldap 上用不同分支來代表不同用戶組的話，你就要修改
ldap.conf 上的 group 過濾器，使系統得到正確的分組信息

戏园子

通过smbldap-useradd增加的用户都属于用户组Domain User，在上面的例子中ou=Users与ou=Users_Test中的用户均是Domain User中的成员，Domain User的gid是513，在上面的配置中user001~user006的gid都是513。
/etc/ldap.conf中的配置有:
    nss_base_passwd ou=Users,dc=easy,dc=com?one
    nss_base_passwd ou=Computers,dc=easy,dc=com?one
    nss_base_shadow ou=Users,dc=easy,dc=com?one
    nss_base_group ou=Groups,dc=easy,dc=com?one
能不能在nss_base_passwd，nss_base_shadow的键值中添加ou=Users_Test？
在配置域管理器的参数时有不少配置的含义不是很清楚，不知道哪里有对这些的参数得详细说明，查阅www.openldap.org的相关文档好像没有找到。

[ 本帖最后由 戏园子 于 2007-7-3 12:51 编辑 ]

戏园子

原帖由 alvis 于 2007-7-3 12:08 发表
如果你必須在 ldap 上用不同分支來代表不同用戶組的話，你就要修改
ldap.conf 上的 group 過濾器，使系統得到正確的分組信息

您的意思是ldap没有成功找到ou=Users_Test的分支吗，我也感觉samba的功能是将OpenLDAP映射出去，问题应该在ldap的配置上。
谢谢！

alvis

你可以简单的做个测试，

系统上建个文件，文件属性的用户改成 Users_Test 里的某个用户的 ID ，组改成 Users_Test 的组 ID

然后 ls -l 这个文件，看是不是能正确显示出 uid 的名字

戏园子

曾经做过这个测试，对用户的主目录进行ls -l，上面用户的主目录为/home/user00*，用ls -l后，只有ou=Users的用户能显示uid、gid对应的uid、gid的名字，而ou=Users_Test的用户只是显示uid、gid的数值。

alvis

so 把你的 Users_Test 的用户都复制到 Users 的树下看看

用户属于那个组，不在于他在那个分支，而在他的信息中的 gidnumber，

我的那个分支，可以理解这样的用户添加

6    # groupadd nofiles
  7    # useradd -g nofiles -d /var/qmail/alias alias
  8    # useradd -g nofiles -d /var/qmail qmaild
  9    # useradd -g nofiles -d /var/qmail qmaill
10    # useradd -g nofiles -d /var/qmail qmailp
11    # groupadd qmail
12    # useradd -g qmail -d /var/qmail qmailq
13    # useradd -g qmail -d /var/qmail qmailr
14    # useradd -g qmail -d /var/qmail qmails
15

[ 本帖最后由 alvis 于 2007-7-3 15:54 编辑 ]

戏园子

我把/etc/ldap.conf中：
nss_base_passwd ou=Users,dc=easy,dc=com?one
nss_base_shadow ou=Users,dc=easy,dc=com?one
改成：
nss_base_passwd dc=easy,dc=com?sub
nss_base_shadow dc=easy,dc=com?sub
就好了，其实就是您所说的用户过滤器的问题。

新的问题是如何通过命令行添加用户的组及分支，用ldapadd吗？

[ 本帖最后由 戏园子 于 2007-7-4 11:45 编辑 ]

alvis

哦，对，这样也成，倒是开始是没想到

对，ldapadd ，不过你要自己先编辑好 ldif 文件（其实不编也可以，就是自己手输的话，万一错了重新输很累人）