Temat: Samba + LDAP - problem ze zmianą hasłą

Postawiłem domenę na SUSE Enterprise Server 11. Skonfigurowałem sambę i LDAP pod profile mobilne. Wszystko chodzi pięknie poza jedną rzeczą. Nie można zmienić hasła w Win XP. Pokazuje komunikat o braku uprawnień do zmiany hasła.
Zamieszczam poniżej log po próbie zmiany hasła, może jest ktoś w stanie pomóc mi w tej sprawie. Męczę się z tym już sporo czasu i nie mogę znaleźć rozwiązania.

[2010/05/14 11:23:22, 2] passdb/pdb_ldap.c:init_sam_from_ldap(571)
init_sam_from_ldap: Entry found for user: abc
[2010/05/14 11:23:22, 2] auth/auth.c:check_ntlm_password(308)
check_ntlm_password: authentication for user [abc] -> [abc] -> [abc] succeeded
[2010/05/14 11:23:22, 2] passdb/pdb_ldap.c:init_sam_from_ldap(571)
init_sam_from_ldap: Entry found for user: abc
[2010/05/14 11:23:22, 0] auth/pampass.c:smb_pam_chauthtok(703)
PAM: UNKNOWN PAM ERROR (19) for User: abc
[2010/05/14 11:23:22, 2] auth/pampass.c:smb_pam_error_handler(77)
smb_pam_error_handler: PAM: Password Change Failed : Conversation error
[2010/05/14 11:23:22, 0] auth/pampass.c:smb_pam_passchange(859)
smb_pam_passchange: PAM: Password Change Failed for user abc!
[2010/05/14 11:23:22, 2] passdb/pdb_ldap.c:init_sam_from_ldap(571)
init_sam_from_ldap: Entry found for user: abc
[2010/05/14 11:23:22, 0] auth/pampass.c:smb_pam_chauthtok(703)
PAM: UNKNOWN PAM ERROR (19) for User: abc
[2010/05/14 11:23:22, 2] auth/pampass.c:smb_pam_error_handler(77)
smb_pam_error_handler: PAM: Password Change Failed : Conversation error
[2010/05/14 11:23:22, 0] auth/pampass.c:smb_pam_passchange(859)
smb_pam_passchange: PAM: Password Change Failed for user abc!
[2010/05/14 11:23:22, 2] passdb/pdb_ldap.c:init_sam_from_ldap(571)
init_sam_from_ldap: Entry found for user: abc
[2010/05/14 11:23:22, 0] auth/pampass.c:smb_pam_chauthtok(703)
PAM: UNKNOWN PAM ERROR (19) for User: abc
[2010/05/14 11:23:22, 2] auth/pampass.c:smb_pam_error_handler(77)
smb_pam_error_handler: PAM: Password Change Failed : Conversation error
[2010/05/14 11:23:22, 0] auth/pampass.c:smb_pam_passchange(859)
smb_pam_passchange: PAM: Password Change Failed for user abc!
[2010/05/14 11:23:22, 2] passdb/pdb_ldap.c:init_sam_from_ldap(571)
init_sam_from_ldap: Entry found for user: abc
[2010/05/14 11:23:23, 0] auth/pampass.c:smb_pam_chauthtok(703)
PAM: UNKNOWN PAM ERROR (19) for User: abc
[2010/05/14 11:23:23, 2] auth/pampass.c:smb_pam_error_handler(77)
smb_pam_error_handler: PAM: Password Change Failed : Conversation error
[2010/05/14 11:23:23, 0] auth/pampass.c:smb_pam_passchange(859)
smb_pam_passchange: PAM: Password Change Failed for user abc!

Temat: Samba + LDAP - problem ze zmianą hasłą

jak dodajesz uzytkownikow w yast (oczywiscie tych pod ldap'em) wchodzisz w kazdego uzytkownika ktorego stworzyles w dowolny sposoob, edycja --> zakladka wtyczki --> wybierasz opcje: "Edycja polityki haseł" - uruchom (musi byc przy niej ptaszyna.
i to chyba wsio - ciach

w /etc/samba/smb.conf w sekcji global:
ldap passwd sync = yes

user abc to w ldapie jest czy w linuxie?Rafał Włodarczyk edytował(a) ten post dnia 14.05.10 o godzinie 12:51

Temat: Samba + LDAP - problem ze zmianą hasłą

User abc to oczywiście użytkownik założony w ldap.

Nie mam wytyczki "Edycja polityki haseł", jest tylko "Edycja założeń haseł" ale jak biorę uruchom to zaznacz się ale po zapisaniu zmian jak wchodzę tam znowu to opcja jest znowu oddznaczona.

Wkleje może jeszcze moją sekcję global, może to co pomoże. Najgorsze jest to, że wszystko chodzi tylko ta zmiana haseł jest niemożliwa. A użytkownicy muszą mieć możliwość zmiany hasła spod XP Prof.

[global]
workgroup = Domena
netbios name = Serwer
server string = Serwer
security = user
username map = /etc/samba/smbusers
name resolve order = wins bcast hosts
domain logons = Yes
preferred master = Yes
wins support = Yes
logon path = \\%L\%U\profile
add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
template shell = /bin/bash
passwd chat debug = Yes
log file = /var/log/samba/log.%I
max log size = 50
log level = 2
unix charset = ISO8859-2
dos charset = CP852
nt acl support = yes
map to guest = Bad User
guest account = nobody
preserve case = yes
short preserve case = yes
case sensitive = no
enable privileges = Yes
domain master = Yes
local master = Yes
os level = 50
logon script = %U.bat
pam password change = Yes
obey pam restrictions = Yes
idmap backend = ldap:ldap://localhost
ldap admin dn = cn=Admin,dc=example,dc=com
ldap group suffix = ou=group
ldap idmap suffix = ou=Idmap
ldap machine suffix = ou=Machines
ldap passwd sync = Yes
ldap ssl = Off
ldap suffix = dc=example,dc=com
ldap user suffix = ou=people
passdb backend = ldapsam:ldap://localhost
unix password sync = Yes

Hasła można zmieniać tylko po usunięciu wpisu unix password sync = Yes ale wtedy hasło zmienia się tylko w windows i nie ma już synchronizacji z serwerem.
W serwerze ldap w sekcji ustawienia kontroli dostępu dla atrybów sambaLMPassword i sambaNTPassword użytkownicy też dostali pełen dostęp. Naprawdę nie mam już żadnych pomysłów.

Temat: Samba + LDAP - problem ze zmianą hasłą

unix password sync = Yes
tego masz niemiec tzn NO
a ldap passwd sync ktorego niemasz ma byc na yes

z lapki se stworzyles tego smb.conf tzn z jakiejs strony - poco ci pam, poco ci unix password sync skoro uzytkownikow nie masz w linuxie.
Wejdz do yasta i ustaw jak powinno byc.

[global]                                                                  

        log file = /home/samba/log/userzy/%I-%U.log                       

        server string = hplink                                            

        logon path =                                                      

        logon home =                                                      

        debug level = 2                                                   

        workgroup = MDH                                                   

        printing = cups                                                   

        printcap name = cups                                              

        printcap cache time = 750                                         

        cups options = raw                                                

        map to guest = Bad User                                           

        logon drive = Z:                                                  

        usershare allow guests = Yes                                      

        add machine script = /usr/sbin/useradd  -c Machine -d /var/lib/nobody -s /bin/false %m$

        domain logons = Yes                                                                    

        domain master = Yes                                                                    

        local master = Yes                                                                     

        netbios name = svr01                                                                   

        comment = Serwer plikow                                                                

        os level = 255                                                                         

        preferred master = Yes                                                                 

        security = user                                                                        

        idmap backend = ldap:ldap://127.0.0.1                                                  

        ldap admin dn = cn=admin,dc=mdh                                                        

        ldap group suffix = ou=group                                                           

        ldap idmap suffix = ou=Idmap                                                           

        ldap machine suffix = ou=Machines                                                      

        ldap passwd sync = Yes                                                                 

        ldap ssl = Off                                                                         

        ldap suffix = dc=mdh                                                                   

        ldap user suffix = ou=people                                                           

        passdb backend = ldapsam:ldap://127.0.0.1                                              

        wins support = Yes                                                                     

        time server = Yes                                                                      

        username map = /etc/samba/smbusers                                                     

        vfs objects = recycle                                                                  

        recycle:facility = LOCAL1                                                              

        recycle:priority = NOTICE                                                              

        bind interfaces only = yes                                                             

        interfaces = 192.168.205.7/255.255.255.0                                               

        hosts allow = localhost, 192.168.205.0/255.255.255.0                                   

        dos file times = yes                                                                   

username map = /etc/samba/smbusers
to tylko poto jesli w linuchu ustawiles sobie np ppietrucha jako uzytkownika a chcesz zeby do windy logowal sie jako np.: Mariusz Pudzianowski - jak nie korzystasz wywal.Rafał Włodarczyk edytował(a) ten post dnia 14.05.10 o godzinie 14:31

Temat: Samba + LDAP - problem ze zmianą hasłą

Ten config chodził wcześniej, bez ldap ale też nie można było zmieniać haseł i komunikat był ten sam (brak uprawnień do zmiany hasła).

smb.conf - zlepek z różnych stron ;)

ldap passwd sync = Yes - mam, wpis 6 od dołu

unix password sync = Yes - jak wywalam ten wpis to tak jak wcześniej pisałem zmienia się tylko hasełko w XP i komputer przestaje już się synchronizować z serwerem

Temat: Samba + LDAP - problem ze zmianą hasłą

Marcin Osecki:
Ten config chodził wcześniej, bez ldap ale też nie można było zmieniać haseł i komunikat był ten sam (brak uprawnień do zmiany hasła).

smb.conf - zlepek z różnych stron ;)

ldap passwd sync = Yes - mam, wpis 6 od dołu

unix password sync = Yes - jak wywalam ten wpis to tak jak wcześniej pisałem zmienia się tylko hasełko w XP i komputer przestaje już się synchronizować z serwerem

zmienia sie haslo w ldap
jak sprawdzasz ze sie nie synchronizuje?
bo ja mam z ldapa pocigniete logowanie do dms i jak gostek zmieni haslo w windzie to inne ma tez do dms'a
Czy nawet jak pojdzie do innego kompa ktory jest w domenie to i tak loguje sie na nowe a nie na stare.Rafał Włodarczyk edytował(a) ten post dnia 14.05.10 o godzinie 14:33

Temat: Samba + LDAP - problem ze zmianą hasłą

Jesli nie moze sie zalogowac na nowe haslo tzn nmb (usluga) wisi.
musisz zrobic /etc/init.d/nmb restart

Temat: Samba + LDAP - problem ze zmianą hasłą

Nie ma synchronizacji chociażby z tego względu, że na serwerze nie robią się kopie dokumentów, serwer można w ogóle wyłączyć a komp nie zgłasza, że nie może znaleźć profilu.
Z kolei jak wchodzę do Yast do konkretnego użytkownika to jest komunikat:
Change the password to create the Samba acount.

Zmienie hasło w ldpa na te które zostało zmienione na XP i wszystko jest ok.

Temat: Samba + LDAP - problem ze zmianą hasłą

Niestety zmieniłem config na ten który podałeś i ciągle to samo, nie informuje już o braku praw do zmiany hasła ale hasło zmienia tylko w XP. Po zmianie hasła kopie nie robią się na serwerze, a wchodząc do użytkownika LDAP, który zmienił hasło dostaje komunikat:
Change the password to create the Samba acount.

Czyli widzi pewnie różnice pomiędzy hasłem na LDAP a sambą? Więc może zmienia na LDAP ale już nie w sambie? Mam zaznaczoną wtyczkę "zarządzanie kontem samby", z kolei ta "edycja założeń haseł" zaznacza się ale w dalszym ciągu po zapisaniu jak wejdę po raz kolejny to jest znowu odznaczona.

Temat: Samba + LDAP - problem ze zmianą hasłą

Może jednak komuś się przyda (wiem że stare) ale

To o tym że musi być ldap sync a nie unix sync to niekoniecznie prawda.
Kwestia konfiguracji.
Jeśli masz porawnie ustawiony openldap tzn polecenie
passwd konto_ktore_jest_w_ldap
działa poprawnie to możesz użyć unix sync.
Ja tak używam bo mi przy ldap sync zmiana hasła w WinXP trwa kilka sekund a unix sync jest natychmiastowo.Slawomir Ryszawy edytował(a) ten post dnia 11.09.11 o godzinie 21:18