Freenas + Ldap + Zentual

[herigon]

Люди добрые! Помогите. Уже неделю сношаю мозг но запустить ldap не могу.
Карта следующая : Freenas на нём активный CIFS, далее ldap слейвом. По этой схеме подключаюсь к ldap на zentual.
Далее происходит следующее. На zentual лежат юзеры и они до freenas долетаю, а вот доступ к шарингу файлов который на freenas через cifs не работает.
Соответственно на zentual я должен логинится и получать доступ к файлам, но что-то идёт не так.

Лог проблем с freenas во время подключения

Oct 23 17:56:11 freenas winbindd[21309]: [2014/10/23 17:56:11.706980, 0, pid=21309, effective(0, 0), real(0, 0)] ../source3/passdb/pdb_ldap_util.c:313(smbldap_search_domain_info)
Oct 23 17:56:11 freenas winbindd[21309]: smbldap_search_domain_info: Adding domain info for WORKGROUP failed with NT_STATUS_UNSUCCESSFUL
Oct 23 17:56:11 freenas winbindd[21309]: [2014/10/23 17:56:11.707429, 0, pid=21309, effective(0, 0), real(0, 0), class=passdb] ../source3/passdb/pdb_ldap.c:6529(pdb_ldapsam_init_common)
Oct 23 17:56:11 freenas winbindd[21309]: pdb_init_ldapsam: WARNING: Could not get domain info, nor add one to the domain. We cannot work reliably without it.
Oct 23 17:56:11 freenas winbindd[21309]: [2014/10/23 17:56:11.707704, 0, pid=21309, effective(0, 0), real(0, 0), class=passdb] ../source3/passdb/pdb_interface.c:178(make_pdb_method_name)
Oct 23 17:56:11 freenas winbindd[21309]: pdb backend ldapsam:ldap://10.10.10.10:390 did not correctly init (error was NT_STATUS_CANT_ACCESS_DOMAIN_INFO)
Oct 23 17:56:11 freenas winbindd[21309]: [2014/10/23 17:56:11.708008, 0, pid=21309, effective(0, 0), real(0, 0)] ../source3/lib/util.c:785(smb_panic_s3)
Oct 23 17:56:11 freenas winbindd[21309]: PANIC (pid 21309): pdb_get_methods: failed to get pdb methods for backend ldapsam:ldap://10.10.10.10:390
Oct 23 17:56:11 freenas winbindd[21309]:
Oct 23 17:56:11 freenas winbindd[21309]: [2014/10/23 17:56:11.708693, 0, pid=21309, effective(0, 0), real(0, 0)] ../source3/lib/util.c:896(log_stack_trace)
Oct 23 17:56:11 freenas winbindd[21309]: BACKTRACE: 20 stack frames:
Oct 23 17:56:11 freenas winbindd[21309]: #0 0x8055622e2 <smb_panic_s3+108> at /usr/local/lib/libsmbconf.so.0
Oct 23 17:56:11 freenas winbindd[21309]: #1 0x800b5b2cc <smb_panic+40> at /usr/local/lib/libsamba-util.so.0
Oct 23 17:56:11 freenas winbindd[21309]: #2 0x802825453 <make_pdb_method_name+1320> at /usr/local/lib/libpdb.so.0
Oct 23 17:56:11 freenas winbindd[21309]: #3 0x802827996 <pdb_capabilities+13> at /usr/local/lib/libpdb.so.0
Oct 23 17:56:11 freenas winbindd[21309]: #4 0x4b265f <_lsa_EnumTrustedDomainsEx+22> at /usr/local/sbin/winbindd
Oct 23 17:56:11 freenas winbindd[21309]: #5 0x4bcd8b <_lsa_LSARADTREPORTSECURITYEVENT+37285> at /usr/local/sbin/winbindd
Oct 23 17:56:11 freenas winbindd[21309]: #6 0x480b82 <make_internal_rpc_pipe_p+1436> at /usr/local/sbin/winbindd
Oct 23 17:56:11 freenas winbindd[21309]: #7 0x480e0d <make_internal_rpc_pipe_p+2087> at /usr/local/sbin/winbindd
Oct 23 17:56:11 freenas winbindd[21309]: #8 0x8025f588c <dcerpc_binding_handle_raw_call_send+195> at /usr/local/lib/libdcerpc-binding.so.0
Oct 23 17:56:11 freenas winbindd[21309]: #9 0x8025f61a4 <dcerpc_binding_handle_call_send+953> at /usr/local/lib/libdcerpc-binding.so.0
Oct 23 17:56:11 freenas winbindd[21309]: #10 0x8025f65b1 <dcerpc_binding_handle_call+153> at /usr/local/lib/libdcerpc-binding.so.0
Oct 23 17:56:11 freenas winbindd[21309]: #11 0x8020c0f3e <dcerpc_lsa_EnumTrustedDomainsEx_r+63> at /usr/local/lib/samba/libdcerpc-samba.so
Oct 23 17:56:11 freenas winbindd[21309]: #12 0x8020c136b <dcerpc_lsa_EnumTrustedDomainsEx+119> at /usr/local/lib/samba/libdcerpc-samba.so
Oct 23 17:56:11 freenas winbindd[21309]: #13 0x455dc3 <rpc_trusted_domains+139> at /usr/local/sbin/winbindd
Oct 23 17:56:11 freenas winbindd[21309]: #14 0x45c876 <open_internal_samr_conn+2385> at /usr/local/sbin/winbindd
Oct 23 17:56:11 freenas winbindd[21309]: #15 0x439974 <wcache_lookup_groupmem+3280> at /usr/local/sbin/winbindd
Oct 23 17:56:11 freenas winbindd[21309]: #16 0x447cba <winbindd_dual_list_trusted_domains+158> at /usr/local/sbin/winbindd
Oct 23 17:56:11 freenas winbindd[21309]: #17 0x45f288 <wb_domain_request_recv+374> at /usr/local/sbin/winbindd
Oct 23 17:56:11 freenas winbindd[21309]: #18 0x461d56 <wb_child_domain+287> at /usr/local/sbin/winbindd
Oct 23 17:56:11 freenas winbindd[21309]: #19 0x80742c7d3 <tevent_req_print+3587> at /usr/local/lib/libtevent.so.0
Oct 23 17:56:11 freenas winbindd[21309]: [2014/10/23 17:56:11.711380, 0, pid=21309, effective(0, 0), real(0, 0)] ../source3/lib/util.c:797(smb_panic_s3)
Oct 23 17:56:11 freenas winbindd[21309]: smb_panic(): calling panic action [/usr/local/libexec/samba/samba-backtrace]
Oct 23 17:56:12 freenas winbindd[21309]: [2014/10/23 17:56:12.071169, 0, pid=21309, effective(0, 0), real(0, 0)] ../source3/lib/util.c:805(smb_panic_s3)
Oct 23 17:56:12 freenas winbindd[21309]: smb_panic(): action returned status 0
Oct 23 17:56:12 freenas winbindd[21309]: [2014/10/23 17:56:12.072106, 0, pid=21309, effective(0, 0), real(0, 0)] ../source3/lib/dumpcore.c:317(dump_core)
Oct 23 17:56:12 freenas winbindd[21309]: dumping core in /mnt/stuff/.system/cores
Oct 23 17:56:12 freenas winbindd[21309]:
Oct 23 17:56:12 freenas kernel: pid 21309 (winbindd), uid 0: exited on signal 6 (core dumped)

 

[Sugaroverdose]

Домен то при попытке логина указываете?
Oct 23 17:56:11 freenas winbindd[21309]: smbldap_search_domain_info: Adding domain info for WORKGROUP failed with NT_STATUS_UNSUCCESSFUL
Или он называется "workgroup"?

 

[herigon]

В мануале написано " Workgroup (Рабочая группа) должно совпадать с именем рабочей группы Windows; эта настройка
игнорируется если работает сервис Active Directory или LDAP "
Но на всякий случай в домене добавлена Workgroup, правда не помогает.(

 

[Sugaroverdose]

В мануале написано " Workgroup (Рабочая группа) должно совпадать с именем рабочей группы Windows; эта настройка
игнорируется если работает сервис Active Directory или LDAP "
Но на всякий случай в домене добавлена Workgroup, правда не помогает.(

Я не совсем это спросил, при входе на шару используется доменная машина? Если нет, используется ли при входе на шару логин "домен\юзер"?

 

[herigon]

Да при входе используется общая доменная машина, к которой аналогично вяжется zentual. Соответственно машина работает верно, в этом я уверен так-как остальные сервисы в сети работают как часы. В остальном пока к ресурсам доступ должен быть свободный без дополнительно идентификации. Надеюсь я вас правильно понял.)

 

[Sugaroverdose]

Настройки запостите

 

[herigon]

Первый testparm

[global]
dos charset = CP866
workgroup = WORKGROUP
netbios name = WHEEL
interfaces = 127.0.0.1, 10.10.10.40
bind interfaces only = Yes
server role = member server
map to guest = Bad User
null passwords = Yes
obey pam restrictions = Yes
smb passwd file = /var/etc/private/smbpasswd
private dir = /var/etc/private
passdb backend = ldapsam:ldap://10.10.10.10:390
syslog only = Yes
max log size = 51200
server max protocol = SMB2
deadtime = 15
max open files = 11070
hostname lookups = Yes
load printers = No
printcap name = /dev/null
disable spoolss = Yes
domain logons = Yes
dns proxy = No
ldap admin dn = cn=zentyal,dc=star,dc=ato,dc=ru
ldap group suffix = ou=Groups
ldap passwd sync = yes
ldap suffix = dc=star,dc=ato,dc=ru
ldap ssl = no
ldap user suffix = ou=Users
pid directory = /var/run/samba
panic action = /usr/local/libexec/samba/samba-backtrace
ldapsam:trusted = yes
idmap config *:range = 10000-39999
idmap config * : backend = tdb
acl allow execute always = Yes
create mask = 0666
directory mask = 0777
ea support = Yes
directory name cache size = 0
kernel change notify = No
store dos attributes = Yes
strict locking = No

[all]
comment = all
path = /mnt/stuff/all
read only = No
guest only = Yes
guest ok = Yes
hide dot files = No
veto files = /.snap/.windows/.zfs/
vfs objects = recycle, zfsacl, streams_xattr, aio_pthread
zfsacl:acesort = dontcare
nfs4:chown = yes
nfs4:acedup = merge
nfs4:mode = special
recycle:subdir_mode = 0700
recycle:directory_mode = 0777
recycle:touch = yes
recycle:versions = yes
recycle:keeptree = yes
recycle:repository = .recycle/%U


Это просто вывел конфиг.

[global]
server max protocol = SMB2
interfaces = 127.0.0.1 10.10.10.40
bind interfaces only = yes
encrypt passwords = yes
dns proxy = no
strict locking = no
oplocks = yes
deadtime = 15
max log size = 51200
max open files = 11070
syslog only = yes
syslog = 1
load printers = no
printing = bsd
printcap name = /dev/null
disable spoolss = yes
getwd cache = yes
guest account = nobody
map to guest = Bad User
obey pam restrictions = Yes
directory name cache size = 0
kernel change notify = no
panic action = /usr/local/libexec/samba/samba-backtrace
ea support = yes
store dos attributes = yes
hostname lookups = yes
null passwords = yes
acl allow execute always = true
idmap config *:backend = tdb
idmap config *:range = 90000000-100000000
server role = member server
security = user
passdb backend = ldapsam:ldap://10.10.10.10:390
ldap admin dn = cn=zentyal,dc=star,dc=ato,dc=ru
ldap suffix = dc=star,dc=ato,dc=ru
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap ssl = off
ldap replication sleep = 1000
ldap passwd sync = yes
ldapsam:trusted = yes
idmap uid = 10000-39999
idmap gid = 10000-39999
netbios name = WHEEL
workgroup = WORKGROUP
domain logons = yes
pid directory = /var/run/samba
smb passwd file = /var/etc/private/smbpasswd
private dir = /var/etc/private
create mask = 0666
directory mask = 0777
client ntlmv2 auth = yes
dos charset = CP866
unix charset = UTF-8
log level = 10


[all]
path = /mnt/stuff/all
printable = no
veto files = /.snap/.windows/.zfs/
comment = all
writeable = yes
browseable = yes
recycle:repository = .recycle/%U
recycle:keeptree = yes
recycle:versions = yes
recycle:touch = yes
recycle:directory_mode = 0777
recycle:subdir_mode = 0700
vfs objects = recycle zfsacl streams_xattr aio_pthread
hide dot files = no
guest ok = yes
guest only = yes
nfs4:mode = special
nfs4:acedup = merge
nfs4:chown = yes
zfsacl:acesort = dontcare

 

[Sugaroverdose]

У вас указано, что все юзеры подключаются исключительно как указаны юзер-гость
guest only = Yes
guest ok = Yes

В то-же время гостевая учетка стандартная
nobody

так и должно быть?

 

[anodos]

Запостите /var/log/auth.log от фринаса. Кстати я сам использую AD. Легко настроить было.

 

[herigon]

У вас указано, что все юзеры подключаются исключительно как указаны юзер-гость
guest only = Yes
guest ok = Yes
В то-же время гостевая учетка стандартная
nobody
так и должно быть?

После пере прошивки с 9.2.1 на 9.2.1.8, не заметил что данные пункты исчезли из веб интерфейса. А до этого выставлял возможность гостевого доступа но как дополнительный вариант а не как единственный возможный.
Изменил параметр guest only, к сожалению эфекта не дало.
А учётки пользователей приходят с zentual, поэтому да, для гостей должна быть nobody поидее.

 

[herigon]

Запостите /var/log/auth.log от фринаса. Кстати я сам использую AD. Легко настроить было.

Oct 23 11:01:19 freenas newsyslog[1986]: logfile first created
Oct 23 11:12:48 freenas sshd[5796]: Server listening on :: port 22.
Oct 23 11:12:48 freenas sshd[5796]: Server listening on 0.0.0.0 port 22.
Oct 23 11:22:10 freenas sshd[15794]: Accepted password for root from 10.10.10.94 port 60313 ssh2
Oct 23 15:13:01 freenas sshd[62018]: Accepted password for root from 10.10.10.94 port 63967 ssh2
Oct 24 12:22:17 freenas sshd[48768]: Accepted password for root from 10.10.10.94 port 62642 ssh2
Oct 24 12:35:44 freenas sudo: root : command not allowed ; TTY=pts/0 ; PWD=/etc/local ; USER=root ; COMMAND=hostnamectl

Как видите авторизаций не происходит(

 

[Sugaroverdose]

Oct 23 11:01:19 freenas newsyslog[1986]: logfile first created
Oct 23 11:12:48 freenas sshd[5796]: Server listening on :: port 22.
Oct 23 11:12:48 freenas sshd[5796]: Server listening on 0.0.0.0 port 22.
Oct 23 11:22:10 freenas sshd[15794]: Accepted password for root from 10.10.10.94 port 60313 ssh2
Oct 23 15:13:01 freenas sshd[62018]: Accepted password for root from 10.10.10.94 port 63967 ssh2
Oct 24 12:22:17 freenas sshd[48768]: Accepted password for root from 10.10.10.94 port 62642 ssh2
Oct 24 12:35:44 freenas sudo: root : command not allowed ; TTY=pts/0 ; PWD=/etc/local ; USER=root ; COMMAND=hostnamectl

Как видите авторизаций не происходит(

Посмотрите, видит ли самба пользователей домена, через команду

Code:

pdbedit -L 

Если кроме root:0:root ничего не видно, значит что-то не так в настройке домена для самбы.