Статья "Account Information Databases in Samba-3 (http://www.informit.com/articles/article.asp?p=422302)" посвящена возможностям samba 3 по использованию различных видов хранилищ для базы пользовательских аккаунтов (tdbsam, ldapsam, mysqlsam, pgsqlsam, xmlsam).URL: http://www.informit.com/articles/article.asp?p=422302
Новость: http://www.opennet.me/opennews/art.shtml?num=6385
Лучше бы кто-нибудь написал статью по перелезанию с w2k3-домена на самбу...
Ахринеть! А зачем же мы туда полезли? Чтобы потом долго и упорно перелезать?
Samba на данный момент поддерживает функционал PDC домена NT4 и члена AD так что приходите годика через 3
>Samba на данный момент поддерживает функционал PDC домена NT4 и члена AD
>так что приходите годика через 3
ну они стараются 8)
В самбовском ДС нет смысла.
Потому как не поддреживает виндовые политики. А это одна из самых главных вещей домена.
всё он поддерживает.. надо только уметь пользоваться..
Если незнаете то молчите пожалуйста.
Политики есть, точнее NT based Policy, что давно описано в родной документации.
Мы перелезли с ворованного win2k AD на
Ldap + samba + своя система управления аккаунтами.
Работает практически все, folder redirection, group policy.
А вы стоимость этой конструкции рассчитывали?
А если люди которые это поддерживают, уволятся/заболеют, кто это будет поддерживать и сколько привлечение нового специалиста будет стоить, считали?
А подробная документация ведется?
>А вы стоимость этой конструкции рассчитывали?
>А если люди которые это поддерживают, уволятся/заболеют, кто это будет поддерживать и
>сколько привлечение нового специалиста будет стоить, считали?
>А подробная документация ведется?
Посчитайте лучше стоимость всех клиентских лицензий на домен, наше Начальство уже посчитало и решение приняло. с чем именно работать linux bsd аля windows NT мне без разницы, я получаю за это зарплату.
У нас 4 человека, машин порядка 300, начальник отдела, я как администратор, два человека служба тех поддержки решают вопросы на рабочих местах.
Меня привлекли за зарплату, в своем регионе я получаю прилично.
На что именно документация, как включить в домен компьютер? все тоже самое.
Добавлю, просто многие админы windows о существовании group policy узнали только с появлением win2k.
Настраивается все, начиная от настроек explorer и look feed до системных ограничений, включая настройки для групп, пользователей и компьютеров отдельно.
Единственный косяк их нельзя копировать с объекта на объект, и они храняться не в LDAP.
Добавлю работают клиентские системы win2k, winXP + терминальный win2k3.
поделюсь, переход с AD на samba был только ограничен по времени.
До этого перевели всю почту и jabber на ldap, т.е. уже была готовая база всех пользователей, далее обычным циклом через smbpasswd прошлись по всем юзерам.
поднялся второй домен на samba в той же сети
при параметре local master = no
И два помощника неспеша переводят машины с одного домена на другой и копируют пользовательские профайлы.
сейчас клиентских машин в домене 224, осталось еще порядка 60.
Пожалуйста поподробнее о "цикле с smbpasswd"
И, вообще, напишите поподробнее о возможных граблях. Вот у нас, например, часть пользовательских машин работает в режиме тонких клиентов (они грузят линукс), а другая (меньшая) часть - под ХР. А домен в AD на W2k3 терминальном сервере.
>Пожалуйста поподробнее о "цикле с smbpasswd"
>И, вообще, напишите поподробнее о возможных граблях. Вот у нас, например, часть
>пользовательских машин работает в режиме тонких клиентов (они грузят линукс), а
>другая (меньшая) часть - под ХР. А домен в AD на
>W2k3 терминальном сервере.
терминальный сервер всё же лучше оставить на винде.. там ведь наверное цытрикс с 1с да? 8)
Про цикл с smbpasswd:
неохота набивать в ручную для каждого пользователя в ldap команду smbpasswd -a username.
был известен список паролей, либо как вариант сгенерировать его как первые три буквы и скормить его для smbpasswd используя ключ -sПро тонкие клиенты, с них все и началось, у меня сейчас порядка 30 машин в nfs + utf8 + acl, планируется еще порядка 50 добавить, переводим по этажам по плану :).
Активно используются групповые acl как со стороны samba так и со стороны nfs.
А слабо краткую статейку по переходу сюда закинуть (в статьи, в смысле)? Думаю, ОЧЕНЬ много народу сказало бы душевное спасибо. Ибо хочется многим, но страшно по граблям пройтись - дока большая, сторон у задачи тоже. Упустил что-то - всё не работает.
Поделись реальным опытом...
статью слабо.
зачем нам 101 статья как настроить самбу?
будут реальные вопросы будут и реальные ответы!
да на win2k3 (лицуензионном) только бухгалтерия сидит + опять же тонкие rdp клиенты 15 штук.
но я про них давно забыл )))))
граблей никаких, за исключением небольшой возни с group policy аля ntconfig.pol типа различия для win2k и xp, ну и в samba поэкспериментировал с регистром символов что у винды с первого раза крышу срывало)))
все клиенты лицензионные windows
граблей с подключением в домен не наблюдалось вообще.
а можно про nfs acl подробнее?
бо я пытался поднять - не вышло. у нас основное файло лежит на файл-сервере, который (по историческим причинам) под FreeBSD. поднять там NFSv4 сервак удалось, а смонтировать что-то ничего не вышло :(
в смысле, как 4 версию nfs не вышло, пользуем как 3-ю
>а можно про nfs acl подробнее?
>бо я пытался поднять - не вышло. у нас основное файло лежит
>на файл-сервере, который (по историческим причинам) под FreeBSD. поднять там NFSv4
>сервак удалось, а смонтировать что-то ничего не вышло :(
>в смысле, как 4 версию nfs не вышло, пользуем как 3-ю
Использую тоже NFSv3, тестировал и 4 версию... т.к. сначало планировали на ней все поднять глюков хватает.
ACL стандартно на сервере, на клиенте getfacl и setfacl неработают но сами права доступа верные.
Cистема Linux.
>>а можно про nfs acl подробнее?
>>бо я пытался поднять - не вышло. у нас основное файло лежит
>>на файл-сервере, который (по историческим причинам) под FreeBSD. поднять там NFSv4
>>сервак удалось, а смонтировать что-то ничего не вышло :(
>>в смысле, как 4 версию nfs не вышло, пользуем как 3-ю
>
>
>Использую тоже NFSv3, тестировал и 4 версию... т.к. сначало планировали на ней
>все поднять глюков хватает.
>ACL стандартно на сервере, на клиенте getfacl и setfacl неработают но сами
>права доступа верные.
>Cистема Linux.
т.е. неправильно выразился. На клиенте не работают только утилиты, доступ получаем как и разрешено.
а аутентификация в linux как, ldap? и никаких krb5 и проч.?
>а аутентификация в linux как, ldap? и никаких krb5 и проч.?
да только ldap + ssl
да, и еще вопрос.
ХР-станциям разве не нужен их родной, виндовый ДНС, иначе они его постоянно ищут/не находят/жутко тормозят ?
>да, и еще вопрос.
>ХР-станциям разве не нужен их родной, виндовый ДНС, иначе они его постоянно
>ищут/не находят/жутко тормозят ?пока еще существует старый AD + DNS + DHCP
т.е. только планирую поднять bind + dhcp, bind уже поднят как вторичный, dhcp как второй не поднимешь ))
Об этой проблеме впервый раз слышу.А как же работают в таком случае XP + интернет по модему?
у нас эта проблема растет наверно из наследия w2k
если есть AD, но упал/не поднят днс, то XP-станции после логина в домен грузятся минут несколько, а потом оччччень тормозят. если войти просто в воркгруп - то все нормально. при поднятом днс - тоже все ок.
впечатление такое, что разработчики из microsoft забыли добавить в цикл поиска днс нормальный sleep :)
>впечатление такое, что разработчики из microsoft забыли добавить в цикл поиска днс
>нормальный sleep :)не sleep там должен быть, а блокирующее чтение из сокета с ограничением времени ожидания.
о, может вы подскажете, как быть с этой траблой в ХР при переходе с виндового домена на самбу?
>о, может вы подскажете, как быть с этой траблой в ХР при
>переходе с виндового домена на самбу?
а кто сказал что траблы виндового днс перейдут на юниксовый? ;)
>>о, может вы подскажете, как быть с этой траблой в ХР при
>>переходе с виндового домена на самбу?
>
>
>а кто сказал что траблы виндового днс перейдут на юниксовый? ;)
Дых проблема не в виндовом-никсовом ДНСе, а его отсутствии.. точнее ненаходимости ДНС-сервера, куда региться клиентом АД. Причем кроме жутких тормозов машина получаеться и как-бы не в домене - при попытке например юзерей по локальным группам распихать поиск возможен только в локальной машине. Нету домена да...
>>>а можно про nfs acl подробнее?
>На клиенте не работают только утилиты, доступ получаем как
>и разрешено.Как не бился - все равно не добиться правильного распределения доступа. Когда Кто-то что-то пытается записывать/удалять - да, доступ работает согласно ACL. А вот на переход в каталог - фиг. Смотрит по "primary group" пользователя и сравнивает с "owner group"-правами на каталог. У всех пользователей "primary group" - Domain Users. Но некоторым надо чиать одно, некоторым другое.
To anon.
Не сочтите за наглость. А можно поподробней про групповые политики. Куда копать?
> To anon.
> Не сочтите за наглость. А можно поподробней про групповые политики.
> Куда копать?Новость в последних советах на opennet.ru, месячной давности
Помимо всего сказанного для пущей безопасности параноикам можно сделать krb5.Было бы неплохо если б кто-то описал решение по полной миграции с попомщью rpc vampire. Сейчас это затруднено из-за русских имен. LDAP на них страшно ругается. Я слышал о способах с кодированием в base64, но у меня так и не получилось. Что скажете? Хотелось бы с чьей-нибудь помощью написать скрипт для автоматической миграции.
Во! а я думал оно (net rpc vampire) вообще не работает еще!
в гугле по поводу этой команды - две страницы о неудачах :)
у меня на настроеном samba-члене домена w2k3 оно сказалоCannot import users from MY_DOMAIN at this time, as the current domain:
LOCAL_MACHINE: S-1-5-21-1345814065-176272674-2712143118
conflicts with the remote domain
MY_DOMAIN: S-1-5-21-299502267-1606980848-725345543
Perhaps you need to set:security=user
workgroup=MY_DOMAINin your smb.conf?
У меня security было ADS, я попробовал поставить USER - ничего не вышло.
Так и забил.
mike, нет просто надо читать samba-howto.
1. Вы должны настроить BDC.
2. Сервер самбы должен быть погашен.