Mohammed Noureldin's questions

Normalmente, ao Nginxtentar ler um certificado que não existe, ele sairá e gerará um erro.

Posso definir qualquer certificado alternativo caso o certificado primário não exista?

TL;DR:

Como posso fazer userobjectClass no Active Directory para herdar os atributos do meu xyzobjectClass personalizado?

Mais texto:

Esta parecia ser uma tarefa fácil, mas eu estive procurando e tentando por algumas horas sem sucesso.

Eu tenho um controlador de domínio do Active Directory simples e fresco e todos os usuários têm userobjectClass.

Agora, quando eu crio um atributo personalizado e o adiciono ao userobjectClass, encontro os atributos de cada usuário (ou seja, o administrador terá esse novo atributo personalizado, o usuário abc o terá, etc...).

Mas o que eu quero fazer é criar minhas diferentes objectClasses para cada serviço, digamos, uma objectClass para OpenVPNonde todos os atributos de serviço OpenVPN são organizados. E então eu quero que userobjectClass herde todos esses atributos de OpenVPNobjectClass.

Eu tentei o seguinte: Na userpropriedade objectClass, na relationshipguia, classes auxiliares, adicionei OpenVPNobjectClass, mas isso não fez nada. Eu não sei o que esse relacionamento deve fazer.

Algum corpo poderia me ajudar nisso?

Como acessar os dados do contêiner do Docker ( não mapeado para nenhum volume ), quando o contêiner falhou ao iniciar?

Digamos que eu iniciei o container assim:

docker run -it --name testContainer ubuntu /entrypoint.sh

e entrypoint.shpor algum motivo depois não consegue ficar rodando (ou seja, o container praticamente não inicia), mas quero ter acesso a alguma data armazenada nesse container (ex. /var/www/html/XYZ), Como posso fazer isso?

Aqui eu tenho algumas perguntas (um pouco talvez diferentes), mas relacionadas entre si, por isso preferi fazê-las em uma pergunta.

Eu tenho tentado permitir que meus clientes OpenVPN (o OpenVPN está configurado no modo bridge) se conectem aos contêineres do Docker.
Como se sabe, os contêineres do Docker estão todos conectados uns aos outros por meio de uma ponte ( docker0ponte ou o que for).

Eu sempre costumava usar minha própria ponte ( br0) no meu servidor doméstico, onde configuro o Docker para usar essa ponte ( br0), e faço a ponte da interface OpenVPN ( tap0) nessa ponte e minha interface física ( eth0), que é conectada via LAN a meu roteador doméstico. E isso sempre funcionou para mim e todos os clientes OpenVPN sempre foram capazes de acessar cada contêiner Docker em ponte br0(tanto os clientes OpenVPN quanto os contêineres Docker têm IPs no meu intervalo de LAN).

Há alguns dias aluguei um VPS, onde minha interface física é conectada diretamente à internet (tem IP público exclusivo).
Eu fiz o mesmo de antes (configurando o Docker para usar o meu br0para todos os contêineres) e fiz a ponte do OpenVPN tap0no br0.

O problema que enfrentei é que meu cliente OpenVPN NÃO conseguiu pingar ou acessar nenhum dos contêineres do Docker (os contêineres conseguiram pingar e acessar outros contêineres do Docker, mas NÃO o cliente OpenVPN), e os clientes NÃO conseguiram pingar cada outro também.

Isso tem alguma coisa para que eu não tenha interface física em ponte? Se sim, eu estava me perguntando por que eu deveria conectar a interface do meu servidor (conectado a qualquer roteador via LAN talvez) além da interface TAP do OpenVPN para obter um OpenVPN funcional no modo de ponte?

E esse problema levantou outra questão relacionada em minha mente: desde que os clientes sejam parte da tap0interface, por que eles não podem simplesmente acessar uns aos outros sem sair por algum motivo da interface TAP. Qual é o papel desempenhado pela minha interface física?

Se o meu problema foi realmente porque não há interface física em ponte, como posso fazer com que o OpenVPN seja totalmente funcional no modo de ponte sem essa interface física (ou pelo menos talvez qualquer solução para isso, desde que minha interface física esteja conectada diretamente a internet sem qualquer LAN)?

Espero que alguém possa me ajudar a fazer o OpenVPN funcionar

ADICIONADO:

Depois de assistir alguns vídeos ainda tenho essa dúvida, se eu tivesse duas TAPinterfaces, cada uma delas é mapeada para um virtualboxsistema. tap0 -> vb0, tap1 -> vb1, e ambos tap0 and tap1estão conectados a uma bridge br0(que não está conectada a nenhuma interface física), somente tap0e tap1estão interligados, será vb0 and vb1que conseguirão pingar um ao outro? (Não estou interessado em nenhum tipo de conexão externa agora). De acordo com a resposta do @shodanshok , NÃO, eles não vão, certo? até agora eu não sou capaz de entender exatamente por que eles não podem, você poderia explicar esse ponto com mais detalhes?

Nas últimas horas, tenho tentado configurar o servidor ejabberd . Eu construí o ejabberd a partir da fonte porque o pacote no repositório do Ubuntu tem um bug. De qualquer forma, após compilar o ejabberd a partir do código-fonte, adicionei meu FQDN "s1.noureldin.local " ao meu arquivo /etc/ejabberd/ejabberd.yml.

.
.
##   - "example.org"
##
hosts:
  - "localhost"
  - "s1.noureldin.local"
##
## route_subdomains: Delegate subdomains to other XMPP servers.
.
.

e então criei um novo usuário :

ejabberdctl register admin1 s1.noureldin.local P@s5W0rd

então tentei conectar ao meu servidor xmpp e funcionou !

Agora, o PROBLEMA surge quando tento conceder permissões de administrador a esse novo usuário , o ejabberd não pode mais ser iniciado e sempre recebo um erro de sintaxe no log :

2016-07-12 12:00:10.733 [info] <0.7.0> Application lager started on node ejabberd@localhost
2016-07-12 12:00:10.977 [info] <0.7.0> Application crypto started on node ejabberd@localhost
2016-07-12 12:00:11.022 [info] <0.7.0> Application sasl started on node ejabberd@localhost
2016-07-12 12:00:11.084 [info] <0.7.0> Application asn1 started on node ejabberd@localhost
2016-07-12 12:00:11.084 [info] <0.7.0> Application public_key started on node ejabberd@localhost
2016-07-12 12:00:11.146 [info] <0.7.0> Application ssl started on node ejabberd@localhost
2016-07-12 12:00:11.171 [info] <0.7.0> Application fast_yaml started on node ejabberd@localhost
2016-07-12 12:00:11.198 [info] <0.7.0> Application fast_tls started on node ejabberd@localhost
2016-07-12 12:00:11.219 [info] <0.7.0> Application fast_xml started on node ejabberd@localhost
2016-07-12 12:00:11.231 [info] <0.7.0> Application stringprep started on node ejabberd@localhost
2016-07-12 12:00:11.245 [info] <0.7.0> Application cache_tab started on node ejabberd@localhost
2016-07-12 12:00:11.687 [info] <0.7.0> Application mnesia started on node ejabberd@localhost
2016-07-12 12:00:14.902 [info] <0.7.0> Application inets started on node ejabberd@localhost
2016-07-12 12:00:14.904 [error] <0.37.0>@ejabberd_config:get_plain_terms_file:257 Cannot load //etc/ejabberd/ejabberd.yml: Syntax error on line 423 at position 3: did not find expected key

Aqui está meu ejabberd.yml, você pode ver todas as sintaxes que tentei, mas sem sucesso:

.
.
.
max_fsm_queue: 1000

###.   ====================
###'   ACCESS CONTROL LISTS
acl:
  ##
  ## The 'admin' ACL grants administrative privileges to XMPP accounts.
  ## You can put here as many accounts as you want.
  ##
     admin:
       user:
       - "[email protected]"
  ######## I TRIED THESE AS WELL ########
  ##     - "admin1":"s1.noureldin.local"
  ##     - "[email protected]"
  ##
  ##   user: - "[email protected]"
  ##   - user: "[email protected]"

  ## Blocked users
  ##
  ## blocked:
  ##   user:
  ##     - "[email protected]"
  ##     - "test"

  ## Local users: don't modify this.
  ##
  local:
    user_regexp: ""

  ##
  ## More examples of ACLs
  ##
  ## jabberorg:
.
.
.

E quando eu recomento essas linhas, funciona novamente:

admin:
   user:
   - "[email protected]"

Alguém poderia me ajudar a resolver isso por favor? Pesquisei online e no ejabberd doc, todas as pessoas usaram a mesma sintaxe que eu usei, mas funcionou com elas.

Agradeço antecipadamente.

Gerei um certificado CA usando o easyRSA e pretendo usar com o FreeRadius para usar starttls, agora descobri que o FreeRadius usa o formato pem para certificados, mas no meu caso o certificado está no formato binário, por isso tentei usar os seguintes comandos para converter meu certificado do formato crt para pem :

root@s1:/etc/freeradius/certs/easy-rsa/keys# openssl x509 -inform DER -in server.crt -out server.pem -text
unable to load certificate
3074016960:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1197:
3074016960:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:374:Type=X509

O segundo:

root@s1:/etc/freeradius/certs/easy-rsa/keys# openssl x509 -in server.crt -inform DER -out server.pem -outform PEM
unable to load certificate
3073529536:error:0D0680A8:asn1 encoding routines:ASN1_CHECK_TLEN:wrong tag:tasn_dec.c:1197:
3073529536:error:0D07803A:asn1 encoding routines:ASN1_ITEM_EX_D2I:nested asn1 error:tasn_dec.c:374:Type=X509

Mas, como visto, recebo sempre um erro e não sei por quê.

E aqui está o meu arquivo server.crt:

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1 (0x1)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=AT, ST=ST, L=Graz, O=Noureldin, OU=IT, CN=noureldin.local/name=Noureldin-CA/[email protected]
        Validity
            Not Before: Jun 25 13:07:51 2016 GMT
            Not After : Jun 23 13:07:51 2026 GMT
        Subject: C=AT, ST=ST, L=Graz, O=Noureldin, OU=IT, CN=OpenVPN-Server/name=OpenVPN-Server/[email protected]
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
                Public-Key: (2048 bit)
                Modulus:
                    00:b6:c6:ec:91:f5:c8:23:8f:62:d4:14:18:04:fe:
                    b4:fd:5e:9b:47:11:07:52:45:fb:b9:8e:2f:55:c0:
                    f6:59:53:33:a1:56:4d:5d:61:c4:eb:b6:a6:67:9d:
                    e1:fd:68:b6:32:a8:d4:41:32:40:a3:16:59:8d:a3:
                    7f:63:b6:f4:bd:9d:5f:80:ba:ef:d4:94:c8:56:d0:
                    bc:2c:9c:03:cb:4c:b9:04:7e:d5:52:01:be:7b:c1:
                    d9:fb:80:3c:29:82:ff:52:89:47:2c:4a:e7:5d:6f:
                    3c:96:21:5c:bb:81:08:a3:27:34:11:f2:cb:c1:a2:
                    e5:00:e9:fb:97:d4:7e:df:76:17:02:5a:60:cc:80:
                    0d:de:2c:02:3a:16:a9:20:f4:8e:cc:96:23:83:81:
                    48:6b:5d:9e:be:49:20:d3:d8:05:63:cc:6a:ef:b2:
                    08:a3:0d:c7:06:23:7d:62:e7:ff:9d:b4:96:34:28:
                    b0:29:05:fa:4f:6b:1a:3f:df:5b:24:f3:26:4e:32:
                    33:8d:1a:72:25:00:36:d0:72:9e:5e:be:83:8c:d8:
                    46:22:e9:3b:04:58:03:a8:13:24:cd:45:76:58:de:
                    30:0d:36:ca:49:68:4b:c2:fc:c0:1e:e9:01:30:57:
                    6f:be:ef:9b:ed:77:e6:cc:17:1c:a5:9d:04:eb:2a:
                    69:ad
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            Netscape Cert Type:
                SSL Server
            Netscape Comment:
                Easy-RSA Generated Server Certificate
            X509v3 Subject Key Identifier:
                7A:7C:1E:7D:E7:CA:91:20:F5:FC:E2:45:65:F9:67:D3:ED:E7:F9:87
            X509v3 Authority Key Identifier:
                keyid:AA:6F:06:92:CC:92:F9:09:B4:F9:32:05:9F:45:20:7D:3A:22:53:3B
                DirName:/C=AT/ST=ST/L=Graz/O=Noureldin/OU=IT/CN=noureldin.local/name=Noureldin-CA/[email protected]
                serial:D2:5D:DB:1E:5B:AA:CC:BE

            X509v3 Extended Key Usage:
                TLS Web Server Authentication
            X509v3 Key Usage:
                Digital Signature, Key Encipherment
            X509v3 Subject Alternative Name:
                DNS:server
    Signature Algorithm: sha256WithRSAEncryption
         32:16:8a:b9:30:4a:23:85:65:01:e4:1f:89:3d:14:f8:55:fb:
         90:a2:98:29:aa:83:e4:c1:d2:95:31:62:a9:61:2a:8a:bf:eb:
         18:8a:e0:3d:42:7e:35:2c:b9:11:eb:1c:f8:63:a1:e8:75:61:
         6c:40:76:4f:ae:21:c3:a8:c7:d2:70:c8:96:6b:cd:6a:89:d9:
         9e:34:d0:06:4c:10:c6:7b:bb:af:fa:bb:ea:14:82:21:f7:78:
         99:2f:88:c8:d0:1c:e6:1f:db:d5:00:d6:30:d1:54:72:db:c0:
         fa:4e:cf:ea:66:42:f2:c6:d3:ae:b5:c1:59:4c:ca:84:fc:80:
         28:63:5d:d7:5b:9d:22:98:d2:9b:10:5d:4d:99:d2:ee:9c:a2:
         13:75:fc:dc:95:9d:27:cc:df:f2:bd:89:5f:b4:43:f7:a8:f5:
         84:4c:bb:54:0d:ca:00:6e:cb:e1:21:a0:34:6d:7f:18:27:3c:
         0d:cf:b4:6a:c1:f0:ab:ed:63:df:d3:b5:cc:dd:d7:da:67:97:
         6f:53:10:22:43:c6:dc:5b:06:0e:88:44:24:03:d2:9a:8d:07:
         57:b0:19:cd:ce:6e:be:ef:bc:c2:69:8b:13:b6:7c:b5:c2:0c:
         a9:2a:08:e1:45:0d:42:37:c2:1f:e5:2b:d6:f0:26:72:f5:c0:
         43:83:f0:78
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

Vejo que aqui no botão há um formato pem, isso significa que meu arquivo crt tem formato crt e pem? então, nesse caso, posso apenas excluir uma das partes e poderei convertê-la normalmente? (Eu sei que não faz sentido excluir uma parte apenas para convertê-la), porque estou recebendo um erro na inicialização do tls e não tenho certeza se o problema vem do formato do certificado ou de outra coisa.

Alguém poderia me ajudar a resolver isso?

Eu instalei o Samba4 e o configurei para ser o controlador de domínio, e ele gerou automaticamente ca.pem, cert.pem, key.pem.

E agora quero usar o mesmo CA do samba para assinar os novos certificados (talvez gerados por easyRSA ou OpenSSL).

Alguém pode me orientar como fazer isso (usando easyRSA ou OpenSSL)?

A principal dificuldade é que tenho apenas arquivos pem do samba (não arquivos crt e key), portanto não tenho certeza de como posso fazer o que quero.

• Uma pergunta relacionada: como posso saber se meu arquivo pem inclui apenas o certificado ou o certificado e a chave privada também? (esse ponto é importante para entender minha pergunta principal como penso). E no caso de conter o certificado e a chave privada, como posso separá-los apenas para usá-los convenientemente como crt e arquivos de chave?

O que pretendo fazer é realmente usar o Samba4 AD DC para autenticar o OpenVPN usando starttls, mas por algum motivo o openvpn não aceita isso e acho que o problema é por causa da assinatura ca diferente dos certificados do servidor. Qualquer ajuda é muito apreciada.

Configurei o Samba versão 4.1.17-Ubuntu como controlador de domínio e diretório ativo , e tudo parecia correr bem, mas quando tento usar a conta de administrador em um membro do domínio do Windows 10 PC para criar um novo usuário no AD usando o diretório ativo do Windows ferramenta de gerenciamento de usuários e computadores , recebo este erro:

Ocorreu um erro, entre em contato com o administrador do sistema

(Eu também recebo o mesmo problema ao tentar copiar o usuário).

Mas quando uso o samba-tool para criar um usuário, funciona perfeitamente.

Aqui está o meu arquivo smb.conf:

[global]
        workgroup = EXAMPLE
        realm = EXAMPLE.LOCAL
        netbios name = LINUXSERVER
        server role = active directory domain controller
        dns forwarder = 8.8.8.8
        idmap_ldb:use rfc2307 = yes

[netlogon]
        path = /var/lib/samba/sysvol/example.local/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No [Users]
        directory_mode: parameter = 0700
        read only = no
        path = /Users
        csc policy = documents

[Users]
        directory_mode: parameter = 0700
        read only = no
        path = /Users
        csc policy = documents

Outro problema relacionado: vou mencionar esse problema também, porque pode ajudar a encontrar as causas do problema anterior. Quando tento alterar a senha de qualquer usuário usando as mesmas ferramentas do Windows, recebo um erro informando que meu computador e meu usuário precisam ter permissões de delegação.

E pode haver outra coisa que não funcione, mas pelo menos até agora foi exatamente o que descobri.

Então, o que eu quero é que essa ferramenta do Windows funcione corretamente de alguma forma.

O que eu tentei:

• Tentei excluir o perfil da conta de administrador.
• Tentei criar uma nova conta de teste com permissões de administrador usando a ferramenta samba e tentei criar usuários dessa conta sem sucesso.
• Tentei conceder permissões de delegação ao usuário administrador clicando com o botão direito do mouse no nome do domínio e, em seguida, delegando o controlador, mas também sem sucesso em ambos os erros.
• Eu tentei com e sem o último bloco [Users], (na verdade não entendo exatamente o que ele faz).
• Saindo e voltando ao domínio.

E todos sem sucesso, agradeço qualquer ajuda de vocês.

Nota: Eu sei que existem algumas perguntas falando sobre tópicos semelhantes, mas todas elas eram de alguns anos, portanto, preferi mencionar minha situação exata para obter a solução mais adequada de acordo com as técnicas do tempo. Eu quero, por favor, discutir alguns casos diferentes para obter total compreensão.

Pretendo gerir um sistema de uma empresa ou universidade (portanto casos de média e grande dimensão ), e pretendo disponibilizar os seguintes serviços para os utilizadores do sistema num servidor Ubuntu: OpenVPN, Jabber, Git, FreeRadius, Email , Compartilhamento de arquivos Redmine e samba , etc... Eu quero que todos os serviços sejam autenticados usando o mesmo nome de usuário e senha (para buscar o nome de usuário e senha de um sistema de autenticação centralizado, OpenLDAP ou Active Directory (com Samba4 como controlador de domínio)). E quero permitir que os clientes façam logon nos PCs públicos da empresa ou universidade usando o mesmo nome de usuário e senha anteriores, e esses PCs públicos dos clientes são uma mistura de Windows, Linux, MAC, (e vamos discutir o caso, quando temos apenas clientes Windows , então SEM mistura ).

Eu costumava usar OpenLDAP para autenticar todos os serviços mencionados e para lidar com o login do Windows usando pGina , sobre OpenLDAP e foi muito bom para mim.

Mas fiquei confuso quando comecei a aprender sobre controladores de domínio para Windows usando samba4 e não consegui decidir o que é melhor para mim, é pGina ou é controlador de domínio Samba4? Lembrando que neste caso (Domain Controller) não posso mais usar o OpenLDAP, pois não consigo autenticar janelas no OpenLDAP, mas apenas no samba4 AD (E não consigo rodar o Samba4DC em paralelo com o OpenLDAP no mesmo servidor porque ambos são servidores LDAP) .

Eu sei que no momento não posso fazer a autenticação de login do Windows no OpenLDAP, mas não posso fazê-los se comunicar de alguma forma para usar os benefícios de ambos (caso eu precise do OpenLDAP para fazer algo não disponível no AD)?

Você aconselha usar OpenLDAP ou Active Directory (usando Samba4 como controlador de domínio) e por quê? (tendo em consideração o tratamento da autenticação de todos os serviços mencionados e autenticação de login do sistema usando APENAS UM nome de usuário e senha para cada cliente). O que poderei fazer (e o que não) se usar o Samba4AD e não o OpenLDAP (e o caso oposto). Pelo que entendi das leituras anteriores, eles disseram que a vantagem do AD é que ele pode gerenciar políticas de grupos no Windows. Como a política de grupos pode ser exatamente útil para o meu caso? e quais alternativas eu tenho caso você aconselhe usar o OpenLDAP?

Resumindo as principais dúvidas:

• No meu caso, é preferível OpenLDAP ou Samba4AD DC para autenticar todos os serviços + login de clientes com o mesmo nome de usuário e senha? (embora eu entenda que não posso autenticar janelas com OpenLDAP, mas você pode ter algumas adições a dizer sobre isso).
• Quais são as vantagens de juntar os PCs dos clientes a um controlador de domínio pelo Samba4 em vez de apenas usar o pGina?
• Em caso de falta de recursos em ambos (algo é fornecido em um e não no outro), qual é a solução alternativa para evitar essa falta de recursos?

E, por favor, tendo em consideração que prefiro as soluções de código aberto, suportadas e ao vivo de longo prazo (logicamente).

Agradeço antecipadamente!

Instalei o samba e tornei-o um controlador de domínio simples , e pretendo configurá-lo para fazer a autenticação pelo OpenLDAP . O problema é que NÃO posso executar os processos slapd e samba ao mesmo tempo .

Se eu rodar o Samba primeiro (o samba vai rodar e funcionar normalmente), e depois o slapd, o slapd não vai rodar, ele me diz que a porta está sendo usada, e eu não estou conseguindo usar.

slapd iniciando a saída do processo:

root@linuxserver:/home/mohammed# /etc/init.d/slapd status ● slapd.service - LSB: servidor independente OpenLDAP (Lightweight Directory Access Protocol) Carregado: carregado (/etc/init.d/slapd) Ativo: falhou (Resultado: código de saída) desde qua 2016-02-17 11:31:36 CET; 41s ago Docs: man:systemd-sysv-generator(8) Processo: 10297 ExecStop=/etc/init.d/slapd stop (code=exited, status=0/SUCCESS)
Processo: 10697 ExecStart=/etc/init.d /slapd start (código=sair, status=1/FALHA)

17 de fevereiro 11:31:36 linuxserver.example.local slapd[10701]: @(#) $OpenLDAP: slapd (Ubuntu) (15 de setembro de 2015 21:34:22) $ buildd@lgw01-27:/build/openldap- cOgeXt/openldap-2.4.41+dfsg/debian/build/servers/slapd 17 de fevereiro 11:31:36 linuxserver.example.local slapd[10701]: daemon: bind(9) falhou errno=98 (Endereço já em uso) 17 de fevereiro 11:31:36 linuxserver.example.local slapd[10701]: daemon: bind(9) falhou errno=98 (Endereço já em uso) 17 de fevereiro 11:31:36 linuxserver.example.local slapd[10701]: tapa parou. 17 de fevereiro 11:31:36 linuxserver.example.local slapd[10701]: connection_destroy: nada para destruir. 17 de fevereiro 11:31:36 linuxserver.example.local systemd[1]: slapd.service: processo de controle encerrado, código=status encerrado=1 17 de fevereiro 11:31:36 linuxserver.example.local systemd[1]: Falha ao iniciar LSB: servidor autônomo OpenLDAP (Lightweight Directory Access Protocol). 17 de fevereiro 11:31:36 linuxserver.example.local systemd[1]: slapd.service: Unidade entrou em estado de falha. 17 de fevereiro 11:31:36 linuxserver.example.local systemd[1]: slapd.service: Falha com o resultado 'exit-code'. 17 de fevereiro 11:31:36 linuxserver.example.local slapd[10697]: ...falha!

e se eu fizesse o oposto, então se eu rodasse o slapd primeiro (ele vai rodar corretamente), e depois no próximo samba, o samba não vai funcionar porque diz que tem algo errado com a porta, e eu não posso usá-lo.

saída do processo de inicialização do samba:

root@linuxserver:/home/mohammed# /etc/init.d/samba status ● samba-ad-dc.service - LSB: iniciar daemons Samba para o AD DC
Carregado: carregado (/etc/init.d/samba-ad -dc) Ativo: ativo (em execução) desde qua 2016-02-17 11:38:03 CET; 3s ago Docs: man:systemd-sysv-generator(8) Processo: 10774 ExecStop=/etc/init.d/samba-ad-dc stop (code=exited, status=0/SUCCESS) Processo: 11026 ExecStart=/etc /init.d/samba-ad-dc start (code=exited, status=0/SUCCESS) CGroup: /system.slice/samba-ad-dc.service ├─11055 /usr/sbin/samba -D ├─11058 /usr/sbin/smbd -D --option=verificação da função do servidor:inhibit=sim --foreground └─11071 /usr/sbin/smbd -D --option=verificação da função do servidor:inhibit=sim --foreground

17 de fevereiro 11:38:05 linuxserver.example.local samba[11060]: [2016/02/17 11:38:05.303292, 0] ../source4/smbd/service_stream.c:346(stream_setup_socket) 17 de fevereiro 11: 38:05 linuxserver.example.local samba[11060]: Falha ao ouvir em ::1:389 - NT_STATUS_ADDRESS_ALREADY_ASSOCIATED 17 de fevereiro 11:38:05 linuxserver.example.local samba[11060]: [2016/02/17 11:38 :05.303771, 0] ../source4/ldap_server/ldap_server.c:821(add_socket) 17 de fevereiro 11:38:05 linuxserver.example.local samba[11060]: ldapsrv falhou ao ligar a ::1:389 - NT_STATUS_ADDRESS_ALREADY_ASSOCIATED fevereiro 17 11:38:05 linuxserver.example.local samba[11060]: [2016/02/17 11:38:05.304082, 0] ../source4/smbd/service_task.c:35(task_server_terminate) 17 de fevereiro 11:38 :05 linuxserver.example.local samba[11060]:
task_server_terminate: [Falha ao inicializar a tarefa do servidor ldap] 17 de fevereiro 11:38:05 linuxserver.example.local samba[11037]: STATUS=daemon 'samba' terminou de iniciar e está pronto para servir conexõessamba_terminate: Failed t...rver task Feb 17 11:38:06 linuxserver.example.local smbd[11058]: [2016/02/17 11:38:06.082490, 0] ../lib/util/become_daemon.c:136(daemon_ready) 17 de fevereiro 11:38 :06 linuxserver.example.local smbd[11072]: STATUS=daemon 'smbd' terminou de iniciar e está pronto para servir conexõesNão é possível conectar-se ao CUPS s...escriptor 17 de fevereiro 11:38:06 linuxserver.example.local smbd[11071 ]:
STATUS=daemon 'smbd' concluiu a inicialização e está pronto para servir conexõesfalha ao recuperar a impressora ...BEM SUCEDIDO Dica: Algumas linhas foram elipsadas, use -l para mostrar por completo.

E aqui está o meu smb.conf:

[global]
        workgroup = EXAMPLE
        realm = EXAMPLE.LOCAL
        netbios name = LINUXSERVER
        server role = active directory domain controller
        dns forwarder = 8.8.8.8
        idmap_ldb:use rfc2307 = yes

[netlogon]
        path = /var/lib/samba/sysvol/example.local/scripts
        read only = No

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

Alguém poderia me ajudar a resolver isso por favor? Desde já, obrigado.

Eu estava trabalhando para ter um ponto de acesso Enterprise WiFi onde meus clientes precisam inserir nome de usuário e senha (que estão no diretório OpenLDAP), usando AES, TTLS PAP.

Eu configurei meu freeradius de acordo com este tutorial: https://ttboa.wordpress.com/2014/09/26/freeradius-on-debian-7/

e tudo funcionou perfeitamente quando meus clientes usam o telefone Android .

MAS o problema é: tentei por alguns dias tentando fazer com que o WINDOWS pudesse se conectar ao meu ponto de acesso sem sucesso. Nós, os clientes, tentamos conectar do Windows 10, eles obtêm uma janela propt para inserir o nome de usuário e a senha COM DOMÍNIO. Tentei com o cliente usando o domínio do meu servidor, e sem entrar no domínio, sem sucesso. Simplesmente não conecta.

Aqui está o registro freeradius: http://pastebin.com/EKGzXDdm

o nome de usuário no OpenLDAP é: "[email protected]", era apenas alice, mas editei apenas para tentar com o domínio. a senha desse usuário é "m". e a senha é hash md5 no LDAP.

Estou muito confuso e não sei o que fazer para resolver isso, eu google em todos os lugares sem sucesso, qualquer ajuda é realmente muito apreciada.