Error en ldapsam:trusted = Yes samba+ldap
He configurado samba + ldap para un servidor PDC y clientes WinXP. Todo funcionaba correctamente (los usuarios se logueaban, etc.) hasta que descubrí lo de poner a los usuarios en 2 grupos diferentes, uno el Domain Admins para WinXP y otro el dptoAdmon por ejemplo, para los permisos de carpetas de samba.
Pues bien, según estuve informándome, para que esto sea posible es necesario poner estas lineas en el archivo de configuración samba (smb. Conf):
ldapsam:trusted = Yes
ldapsam:editposix = Yes
(¿Es esto cierto?)
Pero al iniciar el servidor de samba, veo el siguiente error en el archivo de log (log. Smbd):
[2008/07/08 14:24:39, 0] smbd/server.c:main(944)
Smbd version 3.0.28a started.
Copyright Andrew Tridgell and the Samba Team 1992-2008
[2008/07/08 14:24:39, 0] groupdb/mapping.c:pdb_create_builtin_alias(739)
pdb_create_builtin_alias: Could not add group mapping entry for alias 544 (NT_STATUS_GROUP_EXISTS)
[2008/07/08 14:24:39, 0] auth/auth_util.c:create_builtin_administrators(792)
create_builtin_administrators: Failed to create Administrators
[2008/07/08 14:24:39, 0] smbd/server.c:main(1059)
ERROR: failed to setup guest info.
¿Me podrias dar alguna sugerencia de lo que significa este error y como arreglarlo?
Pues bien, según estuve informándome, para que esto sea posible es necesario poner estas lineas en el archivo de configuración samba (smb. Conf):
ldapsam:trusted = Yes
ldapsam:editposix = Yes
(¿Es esto cierto?)
Pero al iniciar el servidor de samba, veo el siguiente error en el archivo de log (log. Smbd):
[2008/07/08 14:24:39, 0] smbd/server.c:main(944)
Smbd version 3.0.28a started.
Copyright Andrew Tridgell and the Samba Team 1992-2008
[2008/07/08 14:24:39, 0] groupdb/mapping.c:pdb_create_builtin_alias(739)
pdb_create_builtin_alias: Could not add group mapping entry for alias 544 (NT_STATUS_GROUP_EXISTS)
[2008/07/08 14:24:39, 0] auth/auth_util.c:create_builtin_administrators(792)
create_builtin_administrators: Failed to create Administrators
[2008/07/08 14:24:39, 0] smbd/server.c:main(1059)
ERROR: failed to setup guest info.
¿Me podrias dar alguna sugerencia de lo que significa este error y como arreglarlo?
1 respuesta
Respuesta de mojadita
1
Tienes un problema de permisos. Cuando samba contacta con el servidor, primero comprueba que están activas las cuentas necesarias para el funcionamiento de windows (lo que se llama los grupos predefinidos de windows, el grupo de administradores de dominio, de cluster, administradores de impresoras, etc.) Todos estos grupos y usuarios se traducen en entradas que deben aparecer en el árbol de Active Directory. Si no existen cuando el controlador del dominio contacta con el servidor LDAP, el servidor samba llama a la función create_builtin_administrators, que se encarga de crearlos.
Ahora llegamos a la parte más delicada. Si no puede crearlos puede ser por varias razones:
1.- Que el servidor samba contacte con el servidor ldap con unas credenciales que no le permitan crear nodos donde intenta crearlos.
2.- Que el nodo base donde Windows almacena toda la información de usuarios y grupos, grupos predefinidos, etc. no haya sido creada en el servidor LDAP.
3.- Que el servidor samba no pueda contactar con el servidor LDAP que mantiene los datos de Active Directory. Esta información se almádena en el servidor DNS bajo el registro:
_ldap._tcp.<dominio>. SRV 10, <url a tu servidor ldap>
Deberías mirar el log del servidor LDAP para tratar de averiguar que es lo que ha tratado de crear el servidor samba y donde lo ha intentado (en que rama en la base de datos). Probablemente no exista en la base de datos un nodo base con permisos para crear los subnodos que necesita Active Directory para poder trabajar.
El log que me pegas no da más información que el hecho de que no ha podido crear los los grupos de administración predefinidos, pero no dice exactamente el DN del registro que dio el error al intentar crearlos, cosa que nos daría una pista. Por eso te digo que mires el log del servidor LDAP.
Ahora llegamos a la parte más delicada. Si no puede crearlos puede ser por varias razones:
1.- Que el servidor samba contacte con el servidor ldap con unas credenciales que no le permitan crear nodos donde intenta crearlos.
2.- Que el nodo base donde Windows almacena toda la información de usuarios y grupos, grupos predefinidos, etc. no haya sido creada en el servidor LDAP.
3.- Que el servidor samba no pueda contactar con el servidor LDAP que mantiene los datos de Active Directory. Esta información se almádena en el servidor DNS bajo el registro:
_ldap._tcp.<dominio>. SRV 10, <url a tu servidor ldap>
Deberías mirar el log del servidor LDAP para tratar de averiguar que es lo que ha tratado de crear el servidor samba y donde lo ha intentado (en que rama en la base de datos). Probablemente no exista en la base de datos un nodo base con permisos para crear los subnodos que necesita Active Directory para poder trabajar.
El log que me pegas no da más información que el hecho de que no ha podido crear los los grupos de administración predefinidos, pero no dice exactamente el DN del registro que dio el error al intentar crearlos, cosa que nos daría una pista. Por eso te digo que mires el log del servidor LDAP.
Muchas gracias por contestar, pero soy novato en esto de linux y no encuentro la manera de ver el registro DNS.
Decirle que el servidor esta montado en Ubuntu server y que según estoy informándome por internet, es que para ver ese registro _ldap. _tcp... hay que tener el servidor en Win2003 Server, ¿Es cierto esto?
Muchas Gracias y disculpa las molestias.
Daniel.
Decirle que el servidor esta montado en Ubuntu server y que según estoy informándome por internet, es que para ver ese registro _ldap. _tcp... hay que tener el servidor en Win2003 Server, ¿Es cierto esto?
Muchas Gracias y disculpa las molestias.
Daniel.
No, no es necesario tener el servidor dns en Windows 2003, pero sí que es cierto que Windows 2003 server lo hace automáticamente y es mucho más fácil. Para montar un servidor con Windows Active Directory es necesario conocer muy bien la estructura que se crea, tanto en dns como en ldap para que funcione correctamente. Yo he llegado al límite en cuanto a mis conocimientos sobre el tema (desconozco la estructura exacta mínima que es necesaria) pero aún puedo darte una referencia para que sigas buscando y es la documentación que hay en la web desde la que se desarrolla todo el entorno samba (www.samba.org) Te recomendaría que te dieras una vuelta por allí y trataras de recopilar toda la información que tienen (que es mucha) Se aprende mucho más sobre como funcionan los dominios de Windows en la web de Samba que en la red de Microsoft.
Recibe un abrazo,
Luis
Recibe un abrazo,
Luis
