[SAMBA PDC] Impossibile creare utenti durante l'aggiunta della macchina al dominio

[daniele_dll]

hola

stavo completando la configurazione di una macchina per fare da dominio con samba (versione 3.2.3) su una ubuntu 8.10 (aggiornata).

Dopo aver configurato samba come dominio, aver fatto l'alias per administrator, aver aggiunto sia l'utente root sia l'utente amministratore, aver aggiunto i gruppi Domain XXXXX con net groupmap add ed aver impostato i vari add xxx script per l'aggiunta degli utenti, macchine e cosi via ho provato a far agganciare una macchina windows xp sp2 al dominio e si ferma quando mi chiede il tipo di utente da creare!

In pratica mi fa tranquillamente la fase di connessione al dominio della macchina, tanto che mi ritrovo sul server l'utente della macchina creato, mi da errore alla creazione dell'utente dicendomi che non è riuscito a stabilire una relazione trust tra la macchina ed il dominio primario.

Ho googlato qua e la e, per samba 2.2, consigliavano di spegnere dei flag sul registro di sistema della macchina ma è una cosa che non vorrei fare sia per motivi di sicurezza sia perché sto usando samba 3.2.3 e non c'è motivo di spegnere questi flag.

UPDATE: dopo un pò di variazioni qua e là ora mi dice che "L'account utente Daniele (nel dominio CASSAEDILE) non è presente" ... e non me lo crea. Però non capisco perché non esegua l'add user script per creare l'utente sul server!

Di seguito è presente l'output di testparm, che comprende anche la configurazione di samba

codice:

soluzioni@pdc:/var/log/samba$ testparm
Load smb config files from /etc/samba/smb.conf
Processing section "[homes]"
Processing section "[netlogon]"
Processing section "[Profiles]"
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC
Press enter to see a dump of your service definitions

[global]
        workgroup = CASSAEDILE
        server string = %h server (Samba, Ubuntu)
        map to guest = Bad User
        obey pam restrictions = Yes
        passdb backend = tdbsam
        pam password change = Yes
        passwd program = /usr/bin/passwd %u
        passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
        username map = /etc/samba/smbusers
        unix password sync = Yes
        log level = 3
        syslog = 0
        log file = /var/log/samba/log.%m
        max log size = 100000
        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
        load printers = No
        show add printer wizard = No
        add user script = /usr/sbin/adduser --quiet --ingroup DomainUsers --gecos "" --shell /bin/false --force-badname %u
        delete user script = /usr/sbin/userdel -r '%u'
        add group script = /usr/sbin/groupadd '%g'
        delete group script = /usr/sbin/groupdel '%g'
        add user to group script = /usr/sbin/usermod -a -G '%g' '%u'
        add machine script = /usr/sbin/adduser --quiet --no-create-home --ingroup DomainMachines --gecos "" --home /dev/null --shell /bin/false --force-badname %u
        logon script = logon.cmd
        logon path = \\%L\Profiles\%U
        logon drive = Z:
        logon home = \\%L\%U
        domain logons = Yes
        os level = 64
        preferred master = Yes
        domain master = Yes
        dns proxy = No
        wins support = Yes
        panic action = /usr/share/samba/panic-action %d
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        winbind enum users = Yes
        winbind enum groups = Yes
        admin users = soluzioni

[homes]
        comment = Home Directories
        valid users = %S
        read only = No
        create mask = 0600
        directory mask = 0700
        browseable = No

[netlogon]
        comment = Network Logon Service
        path = /home/samba/netlogon
        guest ok = Yes
        share modes = No

[Profiles]
        comment = Users profiles
        path = /home/samba/profiles
        valid users = %U, @DomainAdmins
        force user = %U
        create mask = 0600
        directory mask = 0700
        profile acls = Yes
        browseable = No

qui ci stanno le mappature dei gruppi

codice:

soluzioni@pdc:/var/log/samba$ sudo net groupmap list
Domain Guests (S-1-5-21-3889976431-1177284050-1071102827-1005) -> nogroup
Domain Users (S-1-5-21-3889976431-1177284050-1071102827-1008) -> DomainUsers
Administrators (S-1-5-32-544) -> 10089
Users (S-1-5-32-545) -> 10007
Domain Admins (S-1-5-21-3889976431-1177284050-1071102827-1007) -> DomainAdmins

L'utente amministratore e root stanno sia dentro DomainAdmins sia dentro DomainUsers

Qui c'è l'output di net user

codice:

soluzioni@pdc:/var/log/samba$ net user
Enter soluzioni's password:
nobody
root
soluzioni

mentre qui c'è l'output di net group

codice:

soluzioni@pdc:/var/log/samba$ net group
Enter soluzioni's password:
Domain Guests
Domain Users
Domain Admins
Administrators
Users

per finire qui c'è il contenuto di smbusers

codice:

soluzioni@pdc:/var/log/samba$ cat /etc/samba/smbusers
root = Administrator

Ho guardato diverse guide, frugato sul web e cosi via ... magari ho cercato nel modo sbagliato ma non sono riuscito a trovare nulla riguardo al problema

[SalaOlimpo]

Ciao
allora puoi il problema così a primo occhio sembra essere questo:

logon path = \\%L\Profiles\%U che non coincide con

[Profiles]
comment = Users profiles
path = /home/samba/profiles

come vedi gli hai impostato due path diversi,invece devo essere uguali.Dovresti modificarli così:

logon path = \\%L\Profiles\%U

e

path = /Profiles/%U

Per quanto riguarda l'aggancio della macchina al dominio io sul mio server ho messo queste semplice righe:

add user script = /usr/sbin/smbldap-useradd -m "%u"
delete user script = /usr/sbin/smbldap-userdel "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usrmod -g "%g" "%u"
add machine script = /usr/sbin/smbldap-useradd -w "%u"

Spero di esserti stato d'aiuto.

Saluti
Andrea

[daniele_dll]

Ciao,

scusami ma non devono assolutamente coincidere in quanto la logon path è un percorso UNC per windows mentre la seconda è la path della share.

la logon path è corretta, cosi come lo è il profilo, infatti se creo l'utente a manina funziona tutto perfettamente.

la logon path viene risolta, se ad esempio provo a fare il login con l'utente Daniele, per la mia config, in \\PDC\Profiles\Daniele e come vedi la risorsa Profiles esiste e punta a /home/samba/profiles. Basta che /home/samba/profiles sia scrivibile da tutti in lettura e scrittura e il sistema remoto può creare la cartellina sua con l'utente (in questo caso daniele) e tutto funziona in quanto

\\PDC\Profiles\Daniele si risolve, sul disco, in /home/samba/profiles/daniele

Li è tutto apposto!

Per quanto riguarda gli script di aggiunta/rimozione ecc ecc ecc ... quelli che mi hai riportato sono per ldap che è lo step successivo al mio, ma ancora ci devo arrivare

vorrei far si che il PDC sia in grado di registrare l'utente durante la procedura di connessione della macchina al dominio

[daniele_dll]

Ho riletto e riletto con attenzione al doc ed ho "scoperto" che l'add user script non per creare l'utente su richiesta ... e basta ... ma per creare l'utente su richiesta quando serve a samba quando si appoggia ad un server esterno per gli utenti/password

la dicitura "add user script" mi aveva tratto in inganno