asi vyřešeno: SAMBA 3.0.2 PDC + (open)ldap backend

[Vancl Miroslav (QRIS)]

Jestli to někoho zajímá, podařilo se mi konečně uspět.

V čem byly hlavní problémy ?

1. Příliš silná ochrana atributu userPassword u záznamu posixAccount -
nss_ldap modul žádal při načítání informace o Posix účtu i tento atribut,
jenže když běžel proces (smbd) pod uid<>0, ldap odmítl tajemství vydat (tak
měl nakonfigurované access listy). Ochrana hesla se mi zdá správná a
nss_ldap by to heslo podle mého neměl žádat, jenomže nevím, jak ho k tomu
donutit. Tak jsem prostě ochranu oslabil.

2. Klasická chyba, kterou jsem si samozřejmě musel zopakovat v každé verzi:
doménový účet (typicky Administrator), pod kterým se vytváří nějaký účet na
SAMBě a potažmo v Linuxu MUSÍ mít uidNumber=0. Je to v dokumentaci,
mnohokrát se to vyskytuje v konferenci SAMBy a je to v komentáři ve
zdrojáku, ale je to tak nelogické, že tu chybu asi dělá kdekdo a stále.
Proboha zkuste mi někdo vysvětlit, proč by nemohla SAMBA zprostředkovat
(omezené) právo zřizovat účty pro členy privilegované skupiny "Domain
Administrators" a to i když nebudou mít uid=0 ? Takhle tu budu mít 4 účty
(členy skupiny administrátorů), kteří budou všichni muset používat účet na
SAMBě s uid=0 a po pravdě řečeno, vůbec se mi to nelíbí !
3. Tohle mi dalo zabrat nejvíc: Parametr ldap filter =
(&(uid=%u)(objectclass=sambaSamAccount))v smb.conf. I když se podle
dokumentace jedná o default hodnotu (opravenou - v dok. je uvedený
objectclass=sambaAccount ze starého schematu), asi tomu tak není. Po
odstranění parametru problémy se zaregistrováním (tj. vytvořením účtu
stroje) zmizely. Jenom netuším proč... Je tu nějaký guru, který by to
dokázal vysvětlit ?
M. Vancl