12 авг. 2010 г.

samba + ldap

Оставлю здесь ключевые грабли по проекту "Авторизация пользователей samba в LDAP". Во-первых, ссылка на описание переменных самбы - вот или вот
Далее, по конфигу:
netbios name = SERVER
security = user
passdb backend = ldapsam:ldap://127.0.0.1
ldap passwd sync = no
ldap suffix = dc=gmz,dc=local
ldap user suffix = ou=users
ldap group suffix = ou=groups
ldap admin dn = cn=admin,dc=gmz,dc=local
enable privileges = no
obey pam restrictions = no
domain logons = yes
domain master = yes
local master = yes
#для замуты с логонскриптами
logon path = \\%N\%U\profile
logon drive = P:
logon home = \\%N\%U
logon script = l_script.bat
Чтобы самба начала ходить к лдапу, ей нужно дать пароль админской записи: smbpasswd -w "ldap_admin_password"
По дереву LDAP'a:  дабы пользователь мог авторизовываться через ldap на самба-шарах, нужно:
1) после его создания дать ему objectClass'ы sambaSamAccount (возможно после добавления include samba.schema в slapd.conf) и shadowAccount;
2) добавить аттрибут shadowLastChange (для того, чтобы заработала смена пароля через smbpasswd)
3) добавить пользователя непосредственно в самбу: smbpasswd user 

Также следует установить пакеты smbldap-tools и samba-doc. Там есть и тема для LDAP'а или некие необходимые скрипты (в основном, похоже, интересны для построения домена).