The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Обзор методов хранения базы пользовательских аккаунтов в Samba 3.

05.11.2005 22:17

Статья "Account Information Databases in Samba-3" посвящена возможностям samba 3 по использованию различных видов хранилищ для базы пользовательских аккаунтов (tdbsam, ldapsam, mysqlsam, pgsqlsam, xmlsam).

  1. Главная ссылка к новости (http://www.informit.com/articl...)
  2. Samba-3 HOWTO: Account Information Databases
Лицензия: CC-BY
Тип: английский / Практикум
Короткая ссылка: https://opennet.ru/6385-samba
Ключевые слова: samba, auth, ldap, password, login
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (36) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, mike (??), 09:01, 06/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Лучше бы кто-нибудь написал статью по перелезанию с w2k3-домена на самбу...
     
     
  • 2.2, Mikk (?), 12:50, 06/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Ахринеть! А зачем же мы туда полезли? Чтобы потом долго и упорно перелезать?
     
  • 2.3, sauron (ok), 14:37, 06/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Samba на данный момент поддерживает функционал PDC домена NT4 и члена AD так что приходите годика через 3
     
     
  • 3.10, buzi (ok), 09:27, 07/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Samba на данный момент поддерживает функционал PDC домена NT4 и члена AD
    >так что приходите годика через 3
    ну они стараются 8)
     

  • 1.4, antoshkin (ok), 17:09, 06/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В самбовском ДС нет смысла.
    Потому как не поддреживает виндовые политики. А это одна из самых главных вещей домена.
     
     
  • 2.9, buzi (ok), 09:27, 07/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    всё он поддерживает.. надо только уметь пользоваться..
     

  • 1.5, anon (?), 04:01, 07/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если незнаете то молчите пожалуйста.
    Политики есть, точнее NT based Policy, что давно описано в родной документации.
    Мы перелезли с ворованного win2k AD на
    Ldap + samba + своя система управления аккаунтами.
    Работает практически все, folder redirection, group policy.
     
     
  • 2.28, Андрей (??), 12:47, 07/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    А вы стоимость этой конструкции рассчитывали?
    А если люди которые это поддерживают, уволятся/заболеют, кто это будет поддерживать и сколько привлечение нового специалиста будет стоить, считали?
    А подробная документация ведется?
     
     
  • 3.29, anon (?), 13:14, 07/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >А вы стоимость этой конструкции рассчитывали?
    >А если люди которые это поддерживают, уволятся/заболеют, кто это будет поддерживать и
    >сколько привлечение нового специалиста будет стоить, считали?
    >А подробная документация ведется?


    Посчитайте лучше стоимость всех клиентских лицензий на домен, наше Начальство уже посчитало и решение приняло. с чем именно работать linux bsd аля windows NT мне без разницы, я получаю за это зарплату.
    У нас 4 человека, машин порядка 300, начальник отдела, я как администратор, два человека служба тех поддержки решают вопросы на рабочих местах.
    Меня привлекли за зарплату, в своем регионе я получаю прилично.
    На что именно документация, как включить в домен компьютер? все тоже самое.

     

  • 1.6, anon (?), 04:07, 07/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Добавлю, просто многие админы windows о существовании group policy узнали только с появлением win2k.
    Настраивается все, начиная от настроек explorer и look feed до системных ограничений, включая настройки для групп, пользователей и компьютеров отдельно.
    Единственный косяк их нельзя копировать с объекта на объект, и они храняться не в  LDAP.
    Добавлю работают клиентские системы win2k, winXP +   терминальный win2k3.
     
  • 1.7, anon (?), 04:13, 07/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    поделюсь, переход с AD на samba был только ограничен  по времени.
    До этого перевели всю почту и jabber на ldap, т.е. уже была готовая база всех пользователей, далее обычным циклом через smbpasswd прошлись по всем юзерам.
    поднялся второй домен на samba в той же сети
    при параметре local master = no
    И два помощника неспеша переводят машины с одного домена на другой и копируют пользовательские профайлы.
    сейчас клиентских машин в домене 224, осталось еще порядка 60.

     
     
  • 2.8, mike (??), 08:51, 07/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Пожалуйста поподробнее о "цикле с smbpasswd"
    И, вообще, напишите поподробнее о возможных граблях. Вот у нас, например, часть пользовательских машин работает в режиме тонких клиентов (они грузят линукс), а другая (меньшая) часть - под ХР. А домен в AD на W2k3 терминальном сервере.
     
     
  • 3.11, buzi (ok), 09:29, 07/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Пожалуйста поподробнее о "цикле с smbpasswd"
    >И, вообще, напишите поподробнее о возможных граблях. Вот у нас, например, часть
    >пользовательских машин работает в режиме тонких клиентов (они грузят линукс), а
    >другая (меньшая) часть - под ХР. А домен в AD на
    >W2k3 терминальном сервере.
    терминальный сервер всё же лучше оставить на винде.. там ведь наверное цытрикс с 1с да? 8)

     

  • 1.12, anon (?), 09:31, 07/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Про цикл с smbpasswd:
    неохота набивать в ручную для каждого пользователя в ldap команду smbpasswd -a username.
    был известен список паролей, либо как вариант сгенерировать его как первые три буквы и скормить его для smbpasswd используя ключ -s

    Про тонкие клиенты, с них все и началось, у меня сейчас порядка 30 машин в nfs + utf8 + acl, планируется еще порядка 50 добавить, переводим по этажам по плану :).
    Активно используются групповые acl как со стороны samba так и со стороны nfs.

     
     
  • 2.14, Аноним (14), 09:39, 07/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
      А слабо краткую статейку по переходу сюда закинуть (в статьи, в смысле)? Думаю, ОЧЕНЬ много народу сказало бы душевное спасибо. Ибо хочется многим, но страшно по граблям пройтись - дока большая, сторон у задачи тоже. Упустил что-то - всё не работает.
      Поделись реальным опытом...
     
     
  • 3.16, anon (?), 09:44, 07/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    статью слабо.
    зачем нам 101 статья как настроить самбу?
    будут реальные вопросы будут и реальные ответы!
     

  • 1.13, anon (?), 09:32, 07/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    да на win2k3 (лицуензионном) только бухгалтерия сидит + опять же тонкие rdp клиенты 15 штук.
    но я про них давно забыл )))))
     
  • 1.15, anon (?), 09:41, 07/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    граблей никаких, за исключением небольшой возни с group policy аля ntconfig.pol типа различия для win2k и xp, ну и в samba поэкспериментировал с регистром символов что у винды с первого раза крышу  срывало)))
    все клиенты лицензионные windows
    граблей с подключением в домен не наблюдалось вообще.
     
  • 1.17, mike (??), 10:10, 07/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а можно про nfs acl подробнее?
    бо я пытался поднять - не вышло. у нас основное файло лежит на файл-сервере, который (по историческим причинам) под FreeBSD. поднять там NFSv4 сервак удалось, а смонтировать что-то ничего не вышло :(
    в смысле, как 4 версию nfs не вышло, пользуем как 3-ю
     
     
  • 2.18, anon (?), 10:20, 07/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >а можно про nfs acl подробнее?
    >бо я пытался поднять - не вышло. у нас основное файло лежит
    >на файл-сервере, который (по историческим причинам) под FreeBSD. поднять там NFSv4
    >сервак удалось, а смонтировать что-то ничего не вышло :(
    >в смысле, как 4 версию nfs не вышло, пользуем как 3-ю


    Использую тоже NFSv3, тестировал и 4 версию... т.к. сначало планировали на ней все поднять глюков хватает.
    ACL стандартно на сервере, на клиенте getfacl и setfacl неработают но сами права доступа верные.
    Cистема Linux.

     
     
  • 3.19, anon (?), 10:24, 07/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >>а можно про nfs acl подробнее?
    >>бо я пытался поднять - не вышло. у нас основное файло лежит
    >>на файл-сервере, который (по историческим причинам) под FreeBSD. поднять там NFSv4
    >>сервак удалось, а смонтировать что-то ничего не вышло :(
    >>в смысле, как 4 версию nfs не вышло, пользуем как 3-ю
    >
    >
    >Использую тоже NFSv3, тестировал и 4 версию... т.к. сначало планировали на ней
    >все поднять глюков хватает.
    >ACL стандартно на сервере, на клиенте getfacl и setfacl неработают но сами
    >права доступа верные.
    >Cистема Linux.
    т.е. неправильно выразился. На клиенте не работают только утилиты, доступ получаем как и разрешено.

     
     
  • 4.20, mike (??), 10:31, 07/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    а аутентификация в linux как, ldap? и никаких krb5 и проч.?
     
     
  • 5.22, anon (?), 10:36, 07/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >а аутентификация в linux как, ldap? и никаких krb5 и проч.?


    да только ldap + ssl

     
  • 4.21, mike (??), 10:33, 07/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    да, и еще вопрос.
    ХР-станциям разве не нужен их родной, виндовый ДНС, иначе они его постоянно ищут/не находят/жутко тормозят  ?
     
     
  • 5.23, anon (?), 10:40, 07/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >да, и еще вопрос.
    >ХР-станциям разве не нужен их родной, виндовый ДНС, иначе они его постоянно
    >ищут/не находят/жутко тормозят  ?

    пока еще существует старый AD + DNS + DHCP
    т.е. только планирую поднять bind + dhcp, bind уже поднят как вторичный, dhcp как второй не поднимешь ))
    Об этой проблеме впервый раз слышу.

    А как же работают в таком случае XP + интернет по модему?

     
     
  • 6.24, mike (??), 10:44, 07/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    у нас эта проблема растет наверно из наследия w2k
    если есть AD, но упал/не поднят днс, то XP-станции после логина в домен грузятся минут несколько, а потом оччччень тормозят. если войти просто в воркгруп - то все нормально. при поднятом днс - тоже все ок.
    впечатление такое, что разработчики из microsoft забыли добавить в цикл поиска днс нормальный sleep :)
     
     
  • 7.25, _Nick_ (ok), 11:21, 07/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >впечатление такое, что разработчики из microsoft забыли добавить в цикл поиска днс
    >нормальный sleep :)

    не sleep там должен быть, а блокирующее чтение из сокета с ограничением времени ожидания.

     
     
  • 8.26, mike (??), 11:31, 07/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    о, может вы подскажете, как быть с этой траблой в ХР при переходе с виндового до... текст свёрнут, показать
     
     
  • 9.27, anon (?), 11:36, 07/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    а кто сказал что траблы виндового днс перейдут на юниксовый ... текст свёрнут, показать
     
     
  • 10.34, Sergey (??), 21:38, 09/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Дых проблема не в виндовом-никсовом ДНСе, а его отсутствии точнее ненаходимост... текст свёрнут, показать
     
  • 4.36, mike (??), 10:04, 10/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >>>а можно про nfs acl подробнее?
    >На клиенте не работают только утилиты, доступ получаем как
    >и разрешено.

    Как не бился - все равно не добиться правильного распределения доступа. Когда Кто-то что-то пытается записывать/удалять - да, доступ работает согласно ACL. А вот на переход в каталог - фиг. Смотрит по "primary group" пользователя и сравнивает с "owner group"-правами на каталог. У всех пользователей "primary group" - Domain Users. Но некоторым надо чиать одно, некоторым другое.


     

  • 1.30, rakshas (??), 00:58, 08/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    To anon.
    Не сочтите за наглость. А можно поподробней про групповые политики. Куда копать?
     
     
  • 2.31, anon (?), 03:42, 08/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    > To anon.
    > Не сочтите за наглость. А можно поподробней про групповые политики.
    > Куда копать?

    Новость в последних советах на opennet.ru, месячной давности

     

  • 1.32, liks (??), 11:15, 08/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Помимо всего сказанного для пущей безопасности параноикам можно сделать krb5.

    Было бы неплохо если б кто-то описал решение по полной миграции с попомщью rpc vampire. Сейчас это затруднено из-за русских имен. LDAP на них страшно ругается. Я слышал о способах с кодированием в base64, но у  меня так и не получилось. Что скажете? Хотелось бы с чьей-нибудь помощью написать скрипт для автоматической миграции.

     
     
  • 2.33, mike (??), 09:44, 09/11/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Во! а я думал оно (net rpc vampire) вообще не работает еще!
    в гугле по поводу этой команды - две страницы о неудачах :)
    у меня на настроеном samba-члене домена w2k3 оно сказало

    Cannot import users from MY_DOMAIN at this time, as the current domain:
            LOCAL_MACHINE: S-1-5-21-1345814065-176272674-2712143118
    conflicts with the remote domain
            MY_DOMAIN: S-1-5-21-299502267-1606980848-725345543
    Perhaps you need to set:

            security=user
            workgroup=MY_DOMAIN

    in your smb.conf?


    У меня security было ADS, я попробовал поставить USER - ничего не вышло.
    Так и забил.

     

  • 1.35, liks (??), 08:51, 10/11/2005 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    mike, нет просто надо читать samba-howto.
    1. Вы должны настроить BDC.
    2. Сервер самбы должен быть погашен.
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру