[Sysadmins] VPN

[Sysadmins] VPN

[MisHel64]

Здравствуйте, ALT.

Если не сложно, помогите с объединением локальных сетей.

Структура организации.

1)  Главный  офис.  Белый  ИП. Локальная сеть подключается к интернету
через  Linux сервер. В локальной сети сидят "админы". На сервере стоит
самба.  Доступ  к  SMB  папкам  без паролей, разрешен доступ только из
локальной сети. В локалке адреса 172.16.1.0/24.

2)  Филиал.  Белый  ИП,  локальная сеть подключается к интернету через
Linux  сервер.  В  локальной  сети сидят "работники". На сервере стоит
самба.  Доступ  к  SMB  папкам  без паролей, разрешен доступ только из
локальной сети. В локалке адреса 172.16.2.0/24

3)   Дом.   Компьютер   под   управление   Windows   XP,  имеет  адрес
192.168.1.0/24.  Выходит в интернет через ADSL модем, который имеет ИП
из  10.0.0.0/8,  и  подключается  к интернету через NAT провайдера. За
компьютером сидит "пользователь".

"Админы",    "Работники",   "Пользователи"   сидят   за   компьютерами
работающими под управлением MS Windows XP.

Что  нужно:

1)  "Админы"  должны  иметь  доступ  к  SMB  ресурсам обоих серверов и
компьютеров в обоих сетях.

2)  "Работники"  должны  должны  иметь  доступ к SMB ресурсам на обоих
серверах и внутри сети филиала.

3)  "Пользователь"  должны должны иметь доступ к SMB ресурсам на обоих
серверах.

Так  как поддержка PPPTP есть и в MS Windows XP и Alt Linux server, то
склоняюсь  к  использованию  именно  этого  протокола  для  выполнения
задуманного. Что такое L2TP IpSec в терминах Микрософта я не понял, и
с чем он совместим в Linux'e то же.

Но  вот  в  тонкостях  реализации,  я  пока  не разобрался. Буду очень
признателен за любые советы и ссылки.





-- 
С уважением,
 MisHel64                          mailto:MisHel64@Bk.Ru

Re: [Sysadmins] VPN

[Alexey Borovskoy]

* Понедельник 05 января 2009 MisHel64

> Здравствуйте, ALT.
>
> Если не сложно, помогите с объединением локальных сетей.
> Так  как поддержка PPPTP есть и в MS Windows XP и Alt Linux
> server, то склоняюсь  к  использованию  именно  этого 
> протокола  для  выполнения задуманного. Что такое L2TP IpSec в
> терминах Микрософта я не понял, и с чем он совместим в Linux'e
> то же.
>
> Но  вот  в  тонкостях  реализации,  я  пока  не разобрался.
> Буду очень признателен за любые советы и ссылки.

OpenVPN. Есть практически под всё.

-- 
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63  2753 E37A 9E3F 11F3 BDE1

Re: [Sysadmins] VPN

[Michael Shigorin]

On Sun, Jan 04, 2009 at 03:49:17PM +0300, MisHel64 wrote:
> Так  как поддержка PPPTP есть и в MS Windows XP и Alt Linux
> server, то склоняюсь  к  использованию  именно  этого
> протокола  для  выполнения задуманного.

JFYI, http://www.schneier.com/pptp-faq.html

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] VPN

[Denis Medvedev]

-----Original Message-----
From: Alexey Borovskoy <alexey.borovskoy@gmail.com>
To: ALT Linux sysadmin discuss <sysadmins@lists.altlinux.org>
Date: Mon, 5 Jan 2009 03:54:46 +1200
Subject: Re: [Sysadmins] VPN

> * Понедельник 05 января 2009 MisHel64
> 
> > Здравствуйте, ALT.
> >
> > Если не сложно, помогите с объединением локальных сетей.
> > Так  как поддержка PPPTP есть и в MS Windows XP и Alt Linux
> > server, то склоняюсь  к  использованию  именно  этого 
> > протокола  для  выполнения задуманного. Что такое L2TP IpSec в
> > терминах Микрософта я не понял, и с чем он совместим в Linux'e
> > то же.
racoon.
> >
> > Но  вот  в  тонкостях  реализации,  я  пока  не разобрался.
> > Буду очень признателен за любые советы и ссылки.
> 
> OpenVPN. Есть практически под всё.
> 
> -- 
> Алексей.
> GPG key fingerprint
> 949B BC0E 2C44 7528 4F63  2753 E37A 9E3F 11F3 BDE1
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
> 

[Sysadmins] Самба. Пользователи. Хочется странного.

[MisHel64]

Здравствуйте.

Первый вопрос, по заведению пользователя.
1) Заводим пользователя Вася в юнексе.
2) Заводим пользователя Вася в самбе.
3) Мапим Васю на Петю.

Вот  вопрос, можно ли завести пользователя Вася в самбе, не заводя его
в юнексе?
Вопрос, зачем мне это нужно, прошу не затрагивать.

Второй вопрос.
При подключении к самбе, виндовс запрашивает логин и пароль.
В   поле   логин  прописан  гость,  и  данное  поле  не  доступно  для
редактирования.
Что  и  где  накрутили  лишнего,  и  что подправить, что бы можно было
задать другого пользователя?

Заранее спасибо.

PS: Секурите = шара. Авторизация NTLM.

-- 
С уважением,
 MisHel64                          mailto:MisHel64@Bk.Ru

Re: [Sysadmins] Самба. Пользователи. Хочется странного.

[Mykola S. Grechukh]

2010/5/17 MisHel64 <>:
> Здравствуйте.
>
> Первый вопрос, по заведению пользователя.
> 1) Заводим пользователя Вася в юнексе.
> 2) Заводим пользователя Вася в самбе.
> 3) Мапим Васю на Петю.
>
> Вот  вопрос, можно ли завести пользователя Вася в самбе, не заводя его
> в юнексе?
> Вопрос, зачем мне это нужно, прошу не затрагивать.

Зачем это может быть нужно?

-- 
Mykola Grechukh
RISC Group IT Solutions

[Sysadmins] Самба. Пользователи. Хочется странного.

[MisHel64]

Здравствуйте.

И в догонку.
Как поменять описание шары IPC$

-- 
С уважением,
 MisHel64                          mailto:MisHel64@Bk.Ru

Re: [Sysadmins] Самба. Пользователи. Хочется странного.

[Denis Nazarov]

В сообщении от Понедельник 17 мая 2010 22:07:56 автор Mykola S. Grechukh 
написал:
> 2010/5/17 MisHel64 <>:
> > Здравствуйте.
> >
> > Первый вопрос, по заведению пользователя.
> > 1) Заводим пользователя Вася в юнексе.
> > 2) Заводим пользователя Вася в самбе.
> > 3) Мапим Васю на Петю.
> >
> > Вот  вопрос, можно ли завести пользователя Вася в самбе, не заводя его
> > в юнексе?
> > Вопрос, зачем мне это нужно, прошу не затрагивать.
> 
> Зачем это может быть нужно?
> 
+1

Re: [Sysadmins] Самба. Пользователи. Хочется странного.

[Владимир]

В Пнд, 17/05/2010 в 20:06 +0400, MisHel64 пишет:

> Вот  вопрос, можно ли завести пользователя Вася в самбе, не заводя его
> в юнексе?
> Вопрос, зачем мне это нужно, прошу не затрагивать.
smbldap

Re: [Sysadmins] Самба. Пользователи. Хочется странного.

[Mykola S. Grechukh]

2010/5/17 Владимир <>:
> В Пнд, 17/05/2010 в 20:06 +0400, MisHel64 пишет:
>
>> Вот  вопрос, можно ли завести пользователя Вася в самбе, не заводя его
>> в юнексе?
>> Вопрос, зачем мне это нужно, прошу не затрагивать.
> smbldap

Пользователь должен быть в getent passwd. С ldap это достигается через
nss-ldap.

-- 
Mykola Grechukh
RISC Group IT Solutions

Re: [Sysadmins] Самба. Пользователи. Хочется странного.

[Владимир]

> > smbldap
> 
> Пользователь должен быть в getent passwd. С ldap это достигается через
> nss-ldap.
> 
пользователи самбы в базе ldap через базу и управляются,
с пользователями линукса нигде не пересекаются,
если использование ldap только в smb.conf настраивать.

Re: [Sysadmins] Самба. Пользователи. Хочется странного.

[Mykola S. Grechukh]

2010/5/17 Владимир <>:
>> > smbldap
>>
>> Пользователь должен быть в getent passwd. С ldap это достигается через
>> nss-ldap.
>>
> пользователи самбы в базе ldap через базу и управляются,
> с пользователями линукса нигде не пересекаются,
> если использование ldap только в smb.conf настраивать.

Если ничего серьёзно не менялось с тех пор как я залёг в анабиоз, то
это не будет работать. _должны_ быть системные пользователи,
соответствующие самбовским.

-- 
Mykola Grechukh
RISC Group IT Solutions

Re: [Sysadmins] Самба. Пользователи. Хочется странного.

[MisHel64]

Здравствуйте, Владимир.

Вы писали 17 мая 2010 г., 20:55:38:

> В Пнд, 17/05/2010 в 20:06 +0400, MisHel64 пишет:

>> Вот  вопрос, можно ли завести пользователя Вася в самбе, не заводя его
>> в юнексе?
>> Вопрос, зачем мне это нужно, прошу не затрагивать.
> smbldap

Та же проблема, только с костылями.
Мне  нужно, что бы некий админ мог создать пользователя в самбе, но не
мог создать пользователя юникс.

-- 
С уважением,
 MisHel64                          mailto:MisHel64@Bk.Ru

Re: [Sysadmins] Самба. Пользователи. Хочется странного.

[MisHel64]

Здравствуйте, Mykola.

Вы писали 17 мая 2010 г., 21:14:46:

> 2010/5/17 Владимир <>:
>>> > smbldap
>>>
>>> Пользователь должен быть в getent passwd. С ldap это достигается через
>>> nss-ldap.
>>>
>> пользователи самбы в базе ldap через базу и управляются,
>> с пользователями линукса нигде не пересекаются,
>> если использование ldap только в smb.conf настраивать.

> Если ничего серьёзно не менялось с тех пор как я залёг в анабиоз, то
> это не будет работать. _должны_ быть системные пользователи,
> соответствующие самбовским.

Я думал этот момент обходить.
То  есть  пользователь  в  самбе создается, у него проверяется логин и
пароль.  И  потом  мапится  на  другого  пользователя, у которого есть
системная запись.

Может можно как-то прикрутить другую систему авторизации?

Например,  авторизация  по  ипам, можно сделать. Может можно и по паре
логин/пароль прикрутить?

-- 
С уважением,
 MisHel64                          mailto:MisHel64@Bk.Ru

Re: [Sysadmins] Самба. Пользователи. Хочется странного.

[Mykola S. Grechukh]

2010/5/17 MisHel64 <>:
>> Если ничего серьёзно не менялось с тех пор как я залёг в анабиоз, то
>> это не будет работать. _должны_ быть системные пользователи,
>> соответствующие самбовским.
>
> Я думал этот момент обходить.
> То  есть  пользователь  в  самбе создается, у него проверяется логин и
> пароль.  И  потом  мапится  на  другого  пользователя, у которого есть
> системная запись.

Если, опять же, я помню правильно, то мапится предъявленный login name
в самбовского пользователя. Не самбовский в юниксового, за самбовским
всегда должен стоять системный с таким же именем.

(ну или все эти логины будут для самбы одним пользователем, с
одинаковым паролем и правами).

-- 
Mykola Grechukh
RISC Group IT Solutions

Re: [Sysadmins] Самба. Пользователи. Хочется странного.

[MisHel64]

Здравствуйте, Mykola.

Вы писали 17 мая 2010 г., 21:29:29:

> Если, опять же, я помню правильно, то мапится предъявленный login name
> в самбовского пользователя. Не самбовский в юниксового, за самбовским
> всегда должен стоять системный с таким же именем.

Или  я  не очень понял, что вы хотели сказать, или мы о разных вещах.
Я  всегда  считал,  что  предъявленный логи и пароль самба проверяет по
своей базе.



-- 
С уважением,
 MisHel64                          mailto:MisHel64@Bk.Ru

Re: [Sysadmins] Самба. Пользователи. Хочется странного.

[Владимир]

В Пнд, 17/05/2010 в 21:19 +0400, MisHel64 пишет:
> Здравствуйте, Владимир.
> 
> Вы писали 17 мая 2010 г., 20:55:38:
> 
> > В Пнд, 17/05/2010 в 20:06 +0400, MisHel64 пишет:
> 
> >> Вот  вопрос, можно ли завести пользователя Вася в самбе, не заводя его
> >> в юнексе?
> >> Вопрос, зачем мне это нужно, прошу не затрагивать.
> > smbldap
> 
> Та же проблема, только с костылями.
> Мне  нужно, что бы некий админ мог создать пользователя в самбе, но не
> мог создать пользователя юникс.
> 
в самбовском конфиге указывается команда создающая пользователя, вбить
там, что бы /bin/false у пользователя было, и пусть из виндовой оснастки
создаёт кого хочет. 

Re: [Sysadmins] Самба. Пользователи. Хочется странного.

[MisHel64]

Здравствуйте, Владимир.

Вы писали 17 мая 2010 г., 22:16:25:

> В Пнд, 17/05/2010 в 21:19 +0400, MisHel64 пишет:
>> Здравствуйте, Владимир.
>> 
>> Вы писали 17 мая 2010 г., 20:55:38:
>> 
>> > В Пнд, 17/05/2010 в 20:06 +0400, MisHel64 пишет:
>> 
>> >> Вот  вопрос, можно ли завести пользователя Вася в самбе, не заводя его
>> >> в юнексе?
>> >> Вопрос, зачем мне это нужно, прошу не затрагивать.

> в самбовском конфиге указывается команда создающая пользователя, вбить
> там, что бы /bin/false у пользователя было, и пусть из виндовой оснастки
> создаёт кого хочет. 

Первоначальный вопрос стоял совершенно о другом.

-- 
С уважением,
 MisHel64                          mailto:MisHel64@Bk.Ru

Re: [Sysadmins] Самба. Пользователи. Хочется странного.

[MisHel64]

Вот тут человек описывает подобную проблему.
Но ответа на его вопрос нет.
http://osdir.com/ml/altlinux.samba/2005-04/msg00072.html

-- 
С уважением,
 MisHel64                          mailto:MisHel64@Bk.Ru

Re: [Sysadmins] Самба. Пользователи. Хочется странного.

[Dmitriy Kruglikov]

17 мая 2010 г. 20:13 пользователь Владимир написал:

> пользователи самбы в базе ldap через базу и управляются,
> с пользователями линукса нигде не пересекаются,
> если использование ldap только в smb.conf настраивать.
Необоснованное утверждение, граничащее с беспринципной ложью.
Пользователи, которые в LDAP, будут и пользователями *nix, и
пользователями Samba.
Если пользователь Samba не мапится на пользователя *nix,
то права на файловой системе у него не будет.




-- 
Best regards,
 Dmitriy Kruglikov.
    QString at, dot, mail, XMPP;
    at = "@";
    dot = ".";
    mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
    XMPP = $mail;

Re: [Sysadmins] Самба. Пользователи. Хочется странного.

[Владимир]

> Пользователи, которые в LDAP, будут и пользователями *nix, и
> пользователями Samba.
и как *nix сможет воспользоваться базой пользователей в LDAP если я не
сделаю настроек для этого?

Re: [Sysadmins] Самба. Пользователи. Хочется странного.

[Dmitriy Kruglikov]

18 мая 2010 г. 10:08 пользователь Владимир <haw@inbox.ru> написал:
>
>> Пользователи, которые в LDAP, будут и пользователями *nix, и
>> пользователями Samba.
> и как *nix сможет воспользоваться базой пользователей в LDAP если я не
> сделаю настроек для этого?
А как Samba отдаст пользователю файлы _С_ДИСКА_, если не проверит
права доступа, какому *nix пользователю ?

Предлагаю сперва скурить пару томов манов,
потом намозолить пальцы, настраивая все это, а потом фантазировать ...


-- 
Best regards,
 Dmitriy Kruglikov.
    QString at, dot, mail, XMPP;
    at = "@";
    dot = ".";
    mail = "Dmitriy.Kruglikov" + $at +"gmail" + $dot + "com";
    XMPP = $mail;

Re: [Sysadmins] Самба. Пользователи. Хочется странного.

[Владимир]

> А как Samba отдаст пользователю файлы _С_ДИСКА_, если не проверит
> права доступа, какому *nix пользователю ?
> 
а это пожелание топикстартера и его проблемы, может ему общие ресурсы не
нужны.

> Предлагаю сперва скурить пару томов манов,
> потом намозолить пальцы, настраивая все это, а потом фантазировать ...
уже намозолил согласовывая умолчальные конфиги ldap, smb и smbldap.
вместо sed -i 's/example/my_domain/' ...

Re: [Sysadmins] Самба. Пользователи. Хочется странного.

[MisHel64]

Здравствуйте, Dmitriy.

Вы писали 18 мая 2010 г., 11:09:43:

> 18 мая 2010 г. 10:08 пользователь Владимир <haw@inbox.ru> написал:
>>
>>> Пользователи, которые в LDAP, будут и пользователями *nix, и
>>> пользователями Samba.
>> и как *nix сможет воспользоваться базой пользователей в LDAP если я не
>> сделаю настроек для этого?
> А как Samba отдаст пользователю файлы _С_ДИСКА_, если не проверит
> права доступа, какому *nix пользователю ?

В первом посте я рассказал как.

> Предлагаю сперва скурить пару томов манов,
> потом намозолить пальцы, настраивая все это, а потом фантазировать ...

Предлагаю  прочитать всю переписку с начала, а потом намазолить пальцы
отвечая на не поставленные вопросы в столь резкой форме.

-- 
С уважением,
 MisHel64                          mailto:MisHel64@Bk.Ru

Re: [Sysadmins] Самба. Пользователи. Хочется странного.

[MisHel64]

Здравствуйте, Владимир.

Вы писали 18 мая 2010 г., 11:23:20:


>> А как Samba отдаст пользователю файлы _С_ДИСКА_, если не проверит
>> права доступа, какому *nix пользователю ?
>> 
> а это пожелание топикстартера и его проблемы, может ему общие ресурсы не
> нужны.

Судя по гуглю, такая схема, как хочу я раньше работала.

http://osdir.com/ml/altlinux.samba/2005-04/msg00072.html

Вот описание подобной проблемы.

-- 
С уважением,
 MisHel64                          mailto:MisHel64@Bk.Ru

Re: [Sysadmins] Самба. Пользователи. Хочется странного.

[Mykola S. Grechukh]

2010/5/18 MisHel64 <>:
>> Предлагаю сперва скурить пару томов манов,
>> потом намозолить пальцы, настраивая все это, а потом фантазировать ...
>
> Предлагаю  прочитать всю переписку с начала, а потом намазолить пальцы
> отвечая на не поставленные вопросы в столь резкой форме.

Предлагаю прочитать всю переписку с начала, а потом намозолить мозг пытаясь
догадаться - зачем же всё-таки gns@ рассказывал, где именно происходит маппинг.

-- 
Mykola Grechukh
RISC Group IT Solutions