Samba4 Squid3

Установка, настройка, проблемы, вопросы

Samba4 Squid3

Сообщение Ros » 06 июн 2013, 23:57

Всем доброго времени суток,


На данный момент я мучаюсь с комбинацией Squid3 – Samba4, Ubuntu 12.04.2. В будущем хотелось бы поставить Openchange (замена Exchange) – поэтому Самбу ставил на основе данного репозитория:
Код: Выделить всё
echo -e "deb http://inverse.ca/ubuntu precise precise\n\deb-src http://inverse.ca/ubuntu precise precise" > /etc/apt/sources.list.d/SOGo.list

http://iabsis.com/EN/article/35-1/Requirements

Все тестируется на VirtualBox 4.2 и GNS3 (0.8.3.1)
Самбу ставил как тут:
http://iabsis.com/EN/article/35-2/Samba4-installation

Ставил через билд и просто из репозитория. Сейчас из репозитория — это openchange репозиторий.
На официальной 4.0.0alpha18 от каноникал особо много не тестировал. Там много паники :)

Да еще у меня два сетевых адаптера:

Код: Выделить всё
 # The loopback network interface
 auto lo
 iface lo inet loopback

# The primary network interface
 auto WAN
 iface WAN inet static
 address 192.168.1.132
 netmask 255.255.255.0
 network 192.168.1.0
 broadcast 192.168.1.255
 gateway 192.168.1.1
 dns-nameservers 192.168.1.1 8.8.8.8

# The secondary network interface internal
 auto LAN
 iface LAN inet static
 address 10.1.1.1
 netmask 255.255.255.0
 network 10.1.1.0
 broadcast 10.1.1.255
 dns-nameservers 10.1.1.1 #192.168.1.1
 dns-search odm.lan


Так по среде вроде все описал.

Squid 3.1.19 ldap_group:
Код: Выделить всё
/usr/lib/squid3/squid_ldap_group -R -b "DC=odm,DC=lan" -f "(&(sAMAccountName=%v)(memberOf=CN=%a,CN=Users,DC=odm,DC=lan))" -D ldapuser@odm.lan -w Pa$$w0rd 127.0.0.1
 ldapuser InternetAccess
 squid_ldap_group WARNING, could not bind to binddn ‘Invalid credentials’
ERR


Кстати если обратили внимание то:

Код: Выделить всё
/usr/lib/squid3/squid_ldap_auth -u cn -b "cn=Users,dc=odm,dc=lan" 10.1.1.1
 Administrator Pa$$w0rd
 OK


Не использует информацию о пользователь/пароль (-D -w параметры). Такое ощущения что проблемма в самбе4, где то с керберосом или simple bind. Хотя если я пользуюсь:
Код: Выделить всё
ldapsearch -h localhost -W -x -D "cn=ldapuser,cn=Users,dc=odm,dc=lan" -b "cn=Users,dc=odm,dc=lan" sAMAccountName=ldapuser
 Enter LDAP Password:

То после ввода пароля вижу все данные из ldap каталога.
Скрины из RTOS w8:
Изображение
Изображение

В дополнении, с данным пользователем я спокойно залогиниваюсь на W8 машину.
А так же глобальные инструкции в smb.conf
Код: Выделить всё
# Global parameters
[global]
   workgroup = ODM
   realm = ODM.LAN
   netbios name = ODM-GW-SRV01
   server role = domain controller
   server services = smb, s3fs, rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate
   idmap_ldb:use rfc2307 = yes
   acl:search = false
   interfaces = 10.1.1.1/24 LAN lo 127.0.0.1
   bind interfaces only = yes
   allow dns updates = True
Что говорит host -t A, резолвит?
Код: Выделить всё
root@odm-gw-srv01:~# host -t SRV _ldap._tcp.odm.lan.
_ldap._tcp.odm.lan has SRV record 0 100 389 odm-gw-srv01.odm.lan.
root@odm-gw-srv01:~# host -t SRV _kerberos._tcp.odm.lan.
_kerberos._tcp.odm.lan has SRV record 0 100 88 odm-gw-srv01.odm.lan.
root@odm-gw-srv01:~# host -t A odm-gw-srv01.odm.lan
odm-gw-srv01.odm.lan has address 10.1.1.1
Что говорит klist, key/ticket показывает?
Код: Выделить всё
root@odm-gw-srv01:~# kinit administrator@ODM.LAN
Password for administrator@ODM.LAN:
Warning: Your password will expire in 40 days on Wed Jul 17 21:29:34 2013
root@odm-gw-srv01:~# klist -e
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@ODM.LAN

Valid starting    Expires           Service principal
06/06/2013 21:52  07/06/2013 07:52  krbtgt/ODM.LAN@ODM.LAN
        renew until 07/06/2013 21:52, Etype (skey, tkt): arcfour-hmac, arcfour-hmac
Что скажет smbclient //localhost/netlogon -UAdministrator%'Pa$$w0rd' -c 'ls' ?
Код: Выделить всё
root@odm-gw-srv01:~# smbclient //localhost/netlogon -UAdministrator%'Pa$$w0rd' -c 'ls'
Unknown parameter encountered: "server role"
Ignoring unknown parameter "server role"
Unknown parameter encountered: "server services"
Ignoring unknown parameter "server services"
Unknown parameter encountered: "allow dns updates"
Ignoring unknown parameter "allow dns updates"
Domain=[ODM] OS=[Unix] Server=[Samba 4.0.1]
  .                                   D        0  Wed Jun  5 21:29:29 2013
  ..                                  D        0  Wed Jun  5 21:29:35 2013

                47891 blocks of size 524288. 41341 blocks available


Благодарю.
Ros
 
Сообщения: 3
Зарегистрирован: 06 июн 2013, 22:07

Re: Samba4 Squid3

Сообщение admin » 07 июн 2013, 01:04

root@odm-gw-srv01:~# smbclient //localhost/netlogon -UAdministrator%'Pa$$w0rd' -c 'ls'
Unknown parameter encountered: "server role"
Ignoring unknown parameter "server role"
Unknown parameter encountered: "server services"
Ignoring unknown parameter "server services"
Unknown parameter encountered: "allow dns updates"
Ignoring unknown parameter "allow dns updates"
Domain=[ODM] OS=[Unix] Server=[Samba 4.0.1]
. D 0 Wed Jun 5 21:29:29 2013
.. D 0 Wed Jun 5 21:29:35 2013

47891 blocks of size 524288. 41341 blocks available


На самом деле smbclient логиниться, но с ошибками Ignoring unknown parameter ...
Если бы не логинился было бы:
Код: Выделить всё
session setup failed: NT_STATUS_LOGON_FAILURE


Я не пробовал alpha и betta версии. Может с тех пор изменился синтаксис, но в релизах server role = active directory domain controller. Вообще при установке smb.conf генерируется автоматически и правок требуется минимально. Получается что-то вроде:

Код: Выделить всё
# Global parameters
[global]
workgroup = TEST
realm = TEST.LOC
netbios name = PDC
server role = active directory domain controller
allow dns updates = True
dns forwarder = 8.8.8.8

[netlogon]
path = /usr/local/samba/var/locks/sysvol/test.loc/scripts
read only = No

[sysvol]
path = /usr/local/samba/var/locks/sysvol
read only = No

[share]
path = /share
comment = Share
read only = No


Соответственно, я бы поменял server role, server services закоментировал, allow dns updates тоже (хотя это странно). Вообще я бы оставил пока необходимый минимальный набор, а потом убедившись, что нет ошибок добавлял строки.
Код: Выделить всё
/usr/local/samba/bin/smbclient -L localhost -U%

какие папки показывает?
должен что-то вроде:
Код: Выделить всё
Sharename       Type      Comment
---------       ----      -------
IPC$            IPC       IPC Service (Samba 4.0.3)
share           Disk      Share
sysvol          Disk
netlogon        Disk


Вообще все, что я здесь описываю можно найти в статье: http://www.samba4.ru/?p=8
Там так же можно сверить tcp/udp порты, чтобы понять какие службы стартуют.
wbinfo -u - должен показать пользователей домена
wbinfo -g - должен показать группы

P.S. Openchange - интересная тема, если будут успехи, просьба поделиться опытом. Этот вопрос пока не изучал, но насколько я знаю есть несколько opensource-аналогов exchange. Почему ваш выбор остановился на Openchange?
admin
Администратор
 
Сообщения: 2
Зарегистрирован: 09 апр 2013, 09:13

Re: Samba4 Squid3

Сообщение Ros » 07 июн 2013, 16:42

Доброго времени суток,

А своим провижионом и smb.conf не поделитесь?

По поводу папок:
Код: Выделить всё
root@odm-gw-srv01:~# smbclient -L localhost -U%
Unknown parameter encountered: "server role"
Ignoring unknown parameter "server role"
Unknown parameter encountered: "server services"
Ignoring unknown parameter "server services"
Unknown parameter encountered: "allow dns updates"
Ignoring unknown parameter "allow dns updates"
Domain=[ODM] OS=[Unix] Server=[Samba 4.0.1]

        Sharename       Type      Comment
        ---------       ----      -------
        netlogon        Disk
        sysvol          Disk
        IPC$            IPC       IPC Service
Domain=[ODM] OS=[Unix] Server=[Samba 4.0.1]

        Server               Comment
        ---------            -------

        Workgroup            Master
        ---------            -------


В этой статье (http://www.samba4.ru/?p=8) вы компилируете из сурса.
У меня на Vbox занимает примерно 21 минуту. Кстати результат был тот же - я об ошибках.

Поэтому есть смысл ставить с готового пакета - в реальных условиях это экономия времени, да и установочный скрипт не сложно напечатать. ИМХО

Насчет портов:
Код: Выделить всё
root@odm-gw-srv01:~# netstat -tulpn
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 127.0.0.1:1024          0.0.0.0:*               LISTEN      1025/samba
tcp        0      0 10.1.1.1:1024           0.0.0.0:*               LISTEN      1025/samba
tcp        0      0 127.0.0.1:3268          0.0.0.0:*               LISTEN      1040/samba
tcp        0      0 10.1.1.1:3268           0.0.0.0:*               LISTEN      1040/samba
tcp        0      0 127.0.0.1:3269          0.0.0.0:*               LISTEN      1040/samba
tcp        0      0 127.0.0.1:389           0.0.0.0:*               LISTEN      1040/samba
tcp        0      0 10.1.1.1:3269           0.0.0.0:*               LISTEN      1040/samba
tcp        0      0 10.1.1.1:389            0.0.0.0:*               LISTEN      1040/samba
tcp        0      0 127.0.0.1:135           0.0.0.0:*               LISTEN      1025/samba
tcp        0      0 10.1.1.1:135            0.0.0.0:*               LISTEN      1025/samba
tcp        0      0 127.0.0.1:139           0.0.0.0:*               LISTEN      1014/samba
tcp        0      0 10.1.1.1:139            0.0.0.0:*               LISTEN      1014/samba
tcp        0      0 0.0.0.0:10000           0.0.0.0:*               LISTEN      1303/perl
tcp        0      0 127.0.0.1:464           0.0.0.0:*               LISTEN      1057/samba
tcp        0      0 10.1.1.1:464            0.0.0.0:*               LISTEN      1057/samba
tcp        0      0 192.168.1.131:53        0.0.0.0:*               LISTEN      1210/named
tcp        0      0 10.1.1.1:53             0.0.0.0:*               LISTEN      1210/named
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      1210/named
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      951/sshd
tcp        0      0 127.0.0.1:88            0.0.0.0:*               LISTEN      1057/samba
tcp        0      0 10.1.1.1:88             0.0.0.0:*               LISTEN      1057/samba
tcp        0      0 127.0.0.1:953           0.0.0.0:*               LISTEN      1210/named
tcp        0      0 127.0.0.1:636           0.0.0.0:*               LISTEN      1040/samba
tcp        0      0 10.1.1.1:636            0.0.0.0:*               LISTEN      1040/samba
tcp        0      0 127.0.0.1:445           0.0.0.0:*               LISTEN      1014/samba
tcp        0      0 10.1.1.1:445            0.0.0.0:*               LISTEN      1014/samba
tcp6       0      0 :::22                   :::*                    LISTEN      951/sshd
tcp6       0      0 :::3128                 :::*                    LISTEN      1206/squid3
udp        0      0 192.168.1.131:53        0.0.0.0:*                           1210/named
udp        0      0 10.1.1.1:53             0.0.0.0:*                           1210/named
udp        0      0 127.0.0.1:53            0.0.0.0:*                           1210/named
udp        0      0 0.0.0.0:67              0.0.0.0:*                           1204/dhcpd
udp        0      0 0.0.0.0:68              0.0.0.0:*                           845/dhclient3
udp        0      0 127.0.0.1:88            0.0.0.0:*                           1057/samba
udp        0      0 10.1.1.1:88             0.0.0.0:*                           1057/samba
udp        0      0 192.168.1.131:123       0.0.0.0:*                           1379/ntpd
udp        0      0 10.1.1.1:123            0.0.0.0:*                           1379/ntpd
udp        0      0 127.0.0.1:123           0.0.0.0:*                           1379/ntpd
udp        0      0 0.0.0.0:123             0.0.0.0:*                           1379/ntpd
udp        0      0 127.0.0.1:137           0.0.0.0:*                           1029/samba
udp        0      0 127.255.255.255:137     0.0.0.0:*                           1029/samba
udp        0      0 10.1.1.1:137            0.0.0.0:*                           1029/samba
udp        0      0 10.1.1.255:137          0.0.0.0:*                           1029/samba
udp        0      0 127.0.0.1:138           0.0.0.0:*                           1029/samba
udp        0      0 127.255.255.255:138     0.0.0.0:*                           1029/samba
udp        0      0 10.1.1.1:138            0.0.0.0:*                           1029/samba
udp        0      0 10.1.1.255:138          0.0.0.0:*                           1029/samba
udp        0      0 0.0.0.0:10000           0.0.0.0:*                           1303/perl
udp        0      0 0.0.0.0:33132           0.0.0.0:*                           1206/squid3
udp        0      0 127.0.0.1:389           0.0.0.0:*                           1044/samba
udp        0      0 10.1.1.1:389            0.0.0.0:*                           1044/samba
udp        0      0 127.0.0.1:464           0.0.0.0:*                           1057/samba
udp        0      0 10.1.1.1:464            0.0.0.0:*                           1057/samba
udp6       0      0 :::41001                :::*                                1206/squid3
udp6       0      0 :::123                  :::*                                1379/ntpd




OpenChange единственный проект который связан именно с Самбой. Т.е. вся аутентикация проходит именно через самбу что очень удобно. Центральное место хранение данных пользователей.
Другие проекты либо этого не делают либо делают, но стоят денег(Zarafa).

Итог этот туториал:
http://iabsis.com/EN/article/35/Install ... -ou-Ubuntu

Либо официальный, но он не все покрывает:
http://www.openchange.org/cookbook/initializing.html

Да и еще пункт. Обычный пользователь с Windows Client не уйдет. Да и с Outlook работать привычнее. OpenChange+Sogo поидее обеспечивают это. Правда у меня пока так и не получилось.

ПС.: Инфы на сайте хорошей много... Но я б поменял дезайн, у меня widescreen и читать не удобно. Вот тут дезайн по лучше:
https://managewp.com/free-wordpress-themes-april-2013
http://wordpress.org/themes/contango
http://wp.smashingmagazine.com/2013/01/ ... for-speed/
http://wegraphics.net/downloads/bello-a ... ess-theme/

и т.д.
Ros
 
Сообщения: 3
Зарегистрирован: 06 июн 2013, 22:07

Re: Samba4 Squid3

Сообщение admin » 07 июн 2013, 19:39

Если пакет нормальный (полноценный), то на мой взгляд это более правильный путь. Так как не только экономится время, но и подтягиваются все необходимые зависимости. Опять же пакет проще (в том числе быстрее) обновлять. Кстати, из него я samba 4 тоже ставил.
Если под провижином имеется ввиду команда, то ничего особенного нет:
Код: Выделить всё
samba-tool domain provision


smb.conf такой как я и указал, только названия доменов реальные.

OpenChange попробую поставить/настроить недели через 2-3, когда, надеюсь, время будет разобраться. А zimbra? У нее же тоже вроде есть модули для openldap, а, следовательно, и для samba 4?
admin
Администратор
 
Сообщения: 2
Зарегистрирован: 09 апр 2013, 09:13

Re: Samba4 Squid3

Сообщение Ros » 07 июн 2013, 23:00

Насколько я знаю зимбре разрешено только 2-3 пользователя потом мани...
Ros
 
Сообщения: 3
Зарегистрирован: 06 июн 2013, 22:07


Вернуться в samba 4

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1

cron