[devel] Графическая аутентификация в домен AD

[devel] Графическая аутентификация в домен AD

[Андрей Черепанов]

Пользователи просят предоставить графические инструменты для аутентификации в 
домене Active Directory.

Кто может заняться этой задачей или хотя бы подскать, куда копать?
У нас сейчас в десктопных дистрибутивах аутентификация через локальные файлы и 
LDAP. Насколько технически сложно будет добавить Active Directory в этот 
список?

-- 
Андрей Черепанов
ALT Linux
cas@altlinux.ru

Re: [devel] Графическая аутентификация в домен AD

[Evgeny Sinelnikov]

12 декабря 2008 г. 12:15 пользователь Андрей Черепанов
<cas@altlinux.ru> написал:
> Пользователи просят предоставить графические инструменты для аутентификации в
> домене Active Directory.
>
> Кто может заняться этой задачей или хотя бы подскать, куда копать?
> У нас сейчас в десктопных дистрибутивах аутентификация через локальные файлы и
> LDAP. Насколько технически сложно будет добавить Active Directory в этот
> список?
>

Я попробую посмотреть, но заняться смогу только через неделю. Пока
могу описать процесс. Буквально вчера подключал 64-битный Desktop 4.1
к университетскому домену.

Обнаружилось, что, во-первых, в бранч ещё не приехала Samba-3.0.33,
во-вторых, samba у нас собрана без опции --with-dnsupdate. Пришлось
пересобирать... К сожалению, обновить DNS-запись в DNS от AD так и не
получилось:
[sin@kafedra03 ~]$ net ads dns register -U sin
sin's password:
DNS update failed!
[sin@kafedra03 ~]$ sudo net ads dns register -P
DNS update failed!

К сожалению, для работы в домене и вообще с kerberos, в некоторых
случаях очень мешает вот этот баг:
https://bugzilla.altlinux.org/show_bug.cgi?id=17498

В плане описания процесса подключения я, уже довольно давно, делал описание:
http://prcnit.sgu.ru/aps/dokumenty/podklyuchenie-linux-desktopov-k-domenu

С тех пор изменилось только одно - для получения SPN, после входа в домен
# net ads join
необходимо выполнить
# net ads keytab create

-- 
Sin (Sinelnikov Evgeny)

Re: [devel] Графическая аутентификация в домен AD

[Андрей Черепанов]

12 декабря 2008 Evgeny Sinelnikov написал:
> Обнаружилось, что, во-первых, в бранч ещё не приехала Samba-3.0.33,
> во-вторых, samba у нас собрана без опции --with-dnsupdate. Пришлось
> пересобирать... К сожалению, обновить DNS-запись в DNS от AD так и не
> получилось:
> [sin@kafedra03 ~]$ net ads dns register -U sin
> sin's password:
> DNS update failed!
> [sin@kafedra03 ~]$ sudo net ads dns register -P
> DNS update failed!
Спасибо, Евгений. Я напишу ab@, чтобы пересобрали как надо. Кстати, можно ли 
произвести аутентификацию через DE (конечно, после выбора источника 
аутентификации в alterator)? То есть как будет лучше и проще конечному 
пользователю?

-- 
Андрей Черепанов
ALT Linux
cas@altlinux.ru

Re: [devel] Графическая аутентификация в домен AD

[Evgeny Sinelnikov]

12 декабря 2008 г. 13:18 пользователь Андрей Черепанов
<cas@altlinux.ru> написал:
> 12 декабря 2008 Evgeny Sinelnikov написал:
>> Обнаружилось, что, во-первых, в бранч ещё не приехала Samba-3.0.33,
>> во-вторых, samba у нас собрана без опции --with-dnsupdate. Пришлось
>> пересобирать... К сожалению, обновить DNS-запись в DNS от AD так и не
>> получилось:
>> [sin@kafedra03 ~]$ net ads dns register -U sin
>> sin's password:
>> DNS update failed!
>> [sin@kafedra03 ~]$ sudo net ads dns register -P
>> DNS update failed!
> Спасибо, Евгений. Я напишу ab@, чтобы пересобрали как надо. Кстати, можно ли

Я думаю, что он тоже следит за рассылками, но всё равно будет не лишне.
Я сам не успел никого предупредить, покольку обнаружил только вчера.

> произвести аутентификацию через DE (конечно, после выбора источника
> аутентификации в alterator)? То есть как будет лучше и проще конечному
> пользователю?
>

Чтобы нормально войти в домен, нужно, чтобы нормальна была настроена
сеть... А у нас пока нет нормального API, позволяющего настраивать
сеть. Всё что можно сделать - это проверить настройки и, если чего-то
не хватает, попросить сменить натройки сети. А чтобы можно было
нормально пользоваться настройками сети, нужно хотя бы починить
#17498. Все необходимые детали для этого готовы. Предложено два
вариатна решения - статический и динамический.

-- 
Sin (Sinelnikov Evgeny)

Re: [devel] Графическая аутентификация в домен AD

[Evgeny Sinelnikov]

12 декабря 2008 г. 13:12 пользователь Dmitriy Kruglikov
<dmitriy.kruglikov@gmail.com> написал:
>
>
> 12 декабря 2008 г. 11:45 пользователь Evgeny Sinelnikov  написал:
>>
>> К сожалению, обновить DNS-запись в DNS от AD так и не
>> получилось:
>
> А серверу DNS сказали принимать апдейты от клиентов ?
> В  bind/etc/local.conf
> типа
> acl AD-Фирма-Ltd {
>         192.168.1.1;
> };
>
> zone "breg.ltd" {
>         type master;
>         allow-update {AD-Фирма-Ltd;};
>         check-names ignore;
>         file "фирма.ltd";
> };
>
> И тогда клиент с адресом 192.168.1.1будет обновлять свои записи в DNS ...
> Точнее, все, кто перечислен в acl AD-Фирма-Ltd ...
>

Да, этот вопрос ставился на конференции... Но всё дело в том, что,
во-первых, там не bind, а виндовый DNS, в котором динамически
обновляют записи виндовые клиенты. Во-второых механизм, которы вы
предлагаете не подразумевает никакой аутентификации.

То есть потенциально, в вашем варианте, любой хост может присвоить
себе любое имя... В случае же с аутентификацией, хост может изменить
только то, что ему позволено, как аутентифицированному по SPN члену
домена, а именно только своё имя... Именно по той же самой причине у
нас, в Tartarus, есть своя утилита обновления записи хоста DNS.

-- 
Sin (Sinelnikov Evgeny)

Re: [devel] Графическая аутентификация в домен AD

[Dmitriy M. Maslennikov]

12 декабря 2008 г. 13:52 пользователь Dmitriy Kruglikov
<dmitriy.kruglikov@gmail.com> написал:
> А если пойти по пути DHCP и раздавать имена с адресами на основании MAC?
> Тогда обновлять записи в DNS будет не клиент, а сервер DHCP.
> А ему уже ключи назначить и права дать ...
> Опять же, морда альтераторная к нему ....
Да, но здесь обсуждается введение Linux в AD, а там принято, чтобы
клиенты сами обновляли свои записи. При этом это в AD работает "из
каробки". Проблема в том, что если вы предложите админу, настраивать
линуксовый DHСP-сервер, и bind, в то время как у него уже настроены и
работают аналоги из AD, только рада того, чтобы ввести в домен линукс,
то он разумно пошлет вас в далекое путешествие. (Кстати, а виндовый
DHCP может обновлять DNS записи на виндовом же DNS?)

Все-таки в чужой монастырь (AD), со своим уставом (обновление записей
в DNS DHCP-сервером) не ходят.

> Я бы вообще ни чего не оставлял на стороне клиента ...
> В случае с мультизагрузкой или с загрузкой с Live*, когда машина в домен не
> войдет,
> будут гарантированы и имя, и адрес ...
Не будут, поскольку не факт, что настроено получение адреса по DHCP, а
не статика.

-- 
Dmitriy M. Maslennikov
rlz@etersoft.ru
rlz@altlinux.org
maslennikovdm@gmail.com
master@armory.ru

Re: [devel] Графическая аутентификация в домен AD

[Dmitriy M. Maslennikov]

12 декабря 2008 г. 14:42 пользователь Dmitriy Kruglikov
<dmitriy.kruglikov@gmail.com> написал:
> Сорри ... Таком случае предложения остаются в силе ...
> Виндовый же DHCP, и все само обновляется (если звезды станут в 78-ю
> позицию)...

> P.S.
> Виндовый DHCP+DNS чего-то там умеют раздавать и обновлять ...
> Недавно пришлось подправлять ... :)
Тогда, конечно, это варинт. Только не забываем, что сети бывают
разные. В том числе такие, где перенастроить DNS/DHCP очень сложно по
административным причинам (например, сеть университета). Так что
работающий инструмент обновления DNS в виндовом стиле все-таки нужен.

-- 
Dmitriy M. Maslennikov
rlz@etersoft.ru
rlz@altlinux.org
maslennikovdm@gmail.com
master@armory.ru

Re: [devel] Графическая аутентификация в домен AD

[Alexander Bokovoy]

2008/12/12 Evgeny Sinelnikov <sin@altlinux.ru>:
> 12 декабря 2008 г. 12:15 пользователь Андрей Черепанов
> <cas@altlinux.ru> написал:
>> Пользователи просят предоставить графические инструменты для аутентификации в
>> домене Active Directory.
>>
>> Кто может заняться этой задачей или хотя бы подскать, куда копать?
>> У нас сейчас в десктопных дистрибутивах аутентификация через локальные файлы и
>> LDAP. Насколько технически сложно будет добавить Active Directory в этот
>> список?
>>
>
> Я попробую посмотреть, но заняться смогу только через неделю. Пока
> могу описать процесс. Буквально вчера подключал 64-битный Desktop 4.1
> к университетскому домену.
>
> Обнаружилось, что, во-первых, в бранч ещё не приехала Samba-3.0.33,
http://ftp.altlinux.org/pub/distributions/ALTLinux/4.0/branch/files/SRPMS/samba-3.0.33-alt1.M40.1.src.rpm
В Сизифе тоже есть. Что касается 4.1 -- это все к перекладывателям, о
том, что есть рассинхронизация репозитариев, я говорил довольно давно.

> во-вторых, samba у нас собрана без опции --with-dnsupdate. Пришлось
> пересобирать... К сожалению, обновить DNS-запись в DNS от AD так и не
> получилось:
> [sin@kafedra03 ~]$ net ads dns register -U sin
> sin's password:
> DNS update failed!
> [sin@kafedra03 ~]$ sudo net ads dns register -P
> DNS update failed!
Разберитесь, я не буду включать то, что не работает.

> К сожалению, для работы в домене и вообще с kerberos, в некоторых
> случаях очень мешает вот этот баг:
> https://bugzilla.altlinux.org/show_bug.cgi?id=17498
Можно рекомендацию? Не надо городить новых nss модулей. Делайте, как
делают все: добавляйте записи в /etc/hosts на любую выделенную подсеть
в 127., благо все они гарантированно ресолвятся в пределах одного
узла. Например, 127.127.127./24, если нужен какой-то конкретный
вариант.

> В плане описания процесса подключения я, уже довольно давно, делал описание:
> http://prcnit.sgu.ru/aps/dokumenty/podklyuchenie-linux-desktopov-k-domenu
>
> С тех пор изменилось только одно - для получения SPN, после входа в домен
> # net ads join
> необходимо выполнить
> # net ads keytab create
В пакете samba-doc есть книга Samba-3 By Example, в ней теме
подключения клиентов к различным доменам (как на основе AD, так и на
основе Samba и NT4) уделено несколько довольно обширных глав.

-- 
/ Alexander Bokovoy

Re: [devel] samba

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1230 bytes --]

On Fri, Dec 12, 2008 at 02:50:52PM +0300, Alexander Bokovoy wrote:
> 2008/12/12 Evgeny Sinelnikov <sin@altlinux.ru>:
> > 12 декабря 2008 г. 12:15 пользователь Андрей Черепанов
> > <cas@altlinux.ru> написал:
> >> Пользователи просят предоставить графические инструменты для аутентификации в
> >> домене Active Directory.
> >>
> >> Кто может заняться этой задачей или хотя бы подскать, куда копать?
> >> У нас сейчас в десктопных дистрибутивах аутентификация через локальные файлы и
> >> LDAP. Насколько технически сложно будет добавить Active Directory в этот
> >> список?
> >
> > Я попробую посмотреть, но заняться смогу только через неделю. Пока
> > могу описать процесс. Буквально вчера подключал 64-битный Desktop 4.1
> > к университетскому домену.
> >
> > Обнаружилось, что, во-первых, в бранч ещё не приехала Samba-3.0.33,
> http://ftp.altlinux.org/pub/distributions/ALTLinux/4.0/branch/files/SRPMS/samba-3.0.33-alt1.M40.1.src.rpm
> В Сизифе тоже есть. Что касается 4.1 -- это все к перекладывателям, о
> том, что есть рассинхронизация репозитариев, я говорил довольно давно.

Ты её (и самбу, и рассинхронизацию) сам и делаешь.
Никто такие пакеты без тестирования перекладывать не будет.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] samba

[Alexander Bokovoy]

2008/12/12 Dmitry V. Levin <ldv@altlinux.org>:
>> > Я попробую посмотреть, но заняться смогу только через неделю. Пока
>> > могу описать процесс. Буквально вчера подключал 64-битный Desktop 4.1
>> > к университетскому домену.
>> >
>> > Обнаружилось, что, во-первых, в бранч ещё не приехала Samba-3.0.33,
>> http://ftp.altlinux.org/pub/distributions/ALTLinux/4.0/branch/files/SRPMS/samba-3.0.33-alt1.M40.1.src.rpm
>> В Сизифе тоже есть. Что касается 4.1 -- это все к перекладывателям, о
>> том, что есть рассинхронизация репозитариев, я говорил довольно давно.
>
> Ты её (и самбу, и рассинхронизацию) сам и делаешь.
> Никто такие пакеты без тестирования перекладывать не будет.
У меня нет 4.1, по факту я не могу с этим бранчем работать. Сизиф и
4.0 у меня присутствуют и поддерживаются, я регулярно заливаю
собранные пакеты в /incoming/updates/4.0, но без принудительного
"пинания" их не перекладывают.. Странные посылки со стороны
сотрудников ООО ALTLinux по перекладыванию разнообразных версий уже
наблюдались -- без желания контактировать со мной. Отсюда я делаю
вывод, что моя деятельность по поддержке этого пакета людям
неинтересна.

-- 
/ Alexander Bokovoy

Re: [devel] samba

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1620 bytes --]

On Fri, Dec 12, 2008 at 03:00:17PM +0300, Alexander Bokovoy wrote:
> 2008/12/12 Dmitry V. Levin <ldv@altlinux.org>:
> >> > Я попробую посмотреть, но заняться смогу только через неделю. Пока
> >> > могу описать процесс. Буквально вчера подключал 64-битный Desktop 4.1
> >> > к университетскому домену.
> >> >
> >> > Обнаружилось, что, во-первых, в бранч ещё не приехала Samba-3.0.33,
> >> http://ftp.altlinux.org/pub/distributions/ALTLinux/4.0/branch/files/SRPMS/samba-3.0.33-alt1.M40.1.src.rpm
> >> В Сизифе тоже есть. Что касается 4.1 -- это все к перекладывателям, о
> >> том, что есть рассинхронизация репозитариев, я говорил довольно давно.
> >
> > Ты её (и самбу, и рассинхронизацию) сам и делаешь.
> > Никто такие пакеты без тестирования перекладывать не будет.
> У меня нет 4.1, по факту я не могу с этим бранчем работать. Сизиф и
> 4.0 у меня присутствуют и поддерживаются, я регулярно заливаю
> собранные пакеты в /incoming/updates/4.0, но без принудительного
> "пинания" их не перекладывают..

Нельзя перекладывать из 4.0 branch в updates/4.0 без тестирования, тем
более samba, в которой бывали regressions.

> Странные посылки со стороны
> сотрудников ООО ALTLinux по перекладыванию разнообразных версий уже

Нет никакого перекладывания между несовместимыми бранчами.
В некоторых случаях возможно перекладывать 4.0->4.1, но и это нужно
специально тестировать.

> наблюдались -- без желания контактировать со мной. Отсюда я делаю
> вывод, что моя деятельность по поддержке этого пакета людям
> неинтересна.

Из ложной посылки можно сделать произвольный вывод. :)


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] samba

[Alexander Bokovoy]

2008/12/12 Dmitry V. Levin <ldv@altlinux.org>:
>> > Ты её (и самбу, и рассинхронизацию) сам и делаешь.
>> > Никто такие пакеты без тестирования перекладывать не будет.
>> У меня нет 4.1, по факту я не могу с этим бранчем работать. Сизиф и
>> 4.0 у меня присутствуют и поддерживаются, я регулярно заливаю
>> собранные пакеты в /incoming/updates/4.0, но без принудительного
>> "пинания" их не перекладывают..
>
> Нельзя перекладывать из 4.0 branch в updates/4.0 без тестирования, тем
> более samba, в которой бывали regressions.
Можно подробнее о регрессиях в Самбе в 4.0? Сборку для 4.0 я тестирую
на своей тестовой среде (с WinXP, Vista и Samba).

>> Странные посылки со стороны
>> сотрудников ООО ALTLinux по перекладыванию разнообразных версий уже
>
> Нет никакого перекладывания между несовместимыми бранчами.
> В некоторых случаях возможно перекладывать 4.0->4.1, но и это нужно
> специально тестировать.
Еще раз: 4.1 у меня нет и по всей видимости не будет. Стабилизируется
состояние Sisyphus до нужного мне в области openvz, 4.0 тоже уедет на
тестовую ферму в виде виртуальной машины. Я смогу обеспечить работу
будущих сборок Samba 3.2 только в Сизифе,  остальное должны будут
делать те, кому эти разнообразные бранчи будут нужны. Стоимость
поддержания разных веток сейчас высока как никогда.

>> наблюдались -- без желания контактировать со мной. Отсюда я делаю
>> вывод, что моя деятельность по поддержке этого пакета людям
>> неинтересна.
>
> Из ложной посылки можно сделать произвольный вывод. :)
Я имею в личном архиве переписку с цитированием произвольных посылок и
тезисов. Что пишут, на то и опираюсь.

-- 
/ Alexander Bokovoy

Re: [devel] samba

[Alexander Bokovoy]

2008/12/12 Dmitry V. Levin <ldv@altlinux.org>:
>> > Ты её (и самбу, и рассинхронизацию) сам и делаешь.
>> > Никто такие пакеты без тестирования перекладывать не будет.
>> У меня нет 4.1, по факту я не могу с этим бранчем работать. Сизиф и
>> 4.0 у меня присутствуют и поддерживаются, я регулярно заливаю
>> собранные пакеты в /incoming/updates/4.0, но без принудительного
>> "пинания" их не перекладывают..
>
> Нельзя перекладывать из 4.0 branch в updates/4.0 без тестирования, тем
> более samba, в которой бывали regressions.
Можно подробнее о регрессиях в Самбе в 4.0? Сборку для 4.0 я тестирую
на своей тестовой среде (с WinXP, Vista и Samba).

>> Странные посылки со стороны
>> сотрудников ООО ALTLinux по перекладыванию разнообразных версий уже
>
> Нет никакого перекладывания между несовместимыми бранчами.
> В некоторых случаях возможно перекладывать 4.0->4.1, но и это нужно
> специально тестировать.
Еще раз: 4.1 у меня нет и по всей видимости не будет. Стабилизируется
состояние Sisyphus до нужного мне в области openvz, 4.0 тоже уедет на
тестовую ферму в виде виртуальной машины. Я смогу обеспечить работу
будущих сборок Samba 3.2 только в Сизифе,  остальное должны будут
делать те, кому эти разнообразные бранчи будут нужны. Стоимость
поддержания разных веток сейчас высока как никогда.

>> наблюдались -- без желания контактировать со мной. Отсюда я делаю
>> вывод, что моя деятельность по поддержке этого пакета людям
>> неинтересна.
>
> Из ложной посылки можно сделать произвольный вывод. :)
Я имею в личном архиве переписку с цитированием произвольных посылок и
тезисов. Что пишут, на то и опираюсь.


-- 
/ Alexander Bokovoy

Re: [devel] samba

[Mikhail Gusarov]

Twas brillig at 15:09:59 12.12.2008 UTC+03 when ab@altlinux.org did gyre and gimble:

 AB> Еще раз: 4.1 у меня нет и по всей видимости не будет.

Давай перейдём к конструктиву: что нужно делать гипотетическому
поддерживающему самбу в 4.1 (5.0...)?

-- 

Re: [devel] samba

[Alexander Bokovoy]

2008/12/12 Mikhail Gusarov <dottedmag@altlinux.org>:
> Twas brillig at 15:09:59 12.12.2008 UTC+03 when ab@altlinux.org did gyre and gimble:
>
>  AB> Еще раз: 4.1 у меня нет и по всей видимости не будет.
>
> Давай перейдём к конструктиву: что нужно делать гипотетическому
> поддерживающему самбу в 4.1 (5.0...)?
С точки зрения Самбы -- ничего, насколько я понимаю, потому что в
окружающей среде на уровне API ничего существенно не изменилось.
Ее нужно собрать и протестировать. Для тестирования используются как
ручные тесты, так и среда, работающая на build.samba.org.
-- 
/ Alexander Bokovoy

Re: [devel] samba

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 1653 bytes --]

On Fri, Dec 12, 2008 at 03:09:59PM +0300, Alexander Bokovoy wrote:
> 2008/12/12 Dmitry V. Levin <ldv@altlinux.org>:
> >> > Ты её (и самбу, и рассинхронизацию) сам и делаешь.
> >> > Никто такие пакеты без тестирования перекладывать не будет.
> >> У меня нет 4.1, по факту я не могу с этим бранчем работать. Сизиф и
> >> 4.0 у меня присутствуют и поддерживаются, я регулярно заливаю
> >> собранные пакеты в /incoming/updates/4.0, но без принудительного
> >> "пинания" их не перекладывают..
> >
> > Нельзя перекладывать из 4.0 branch в updates/4.0 без тестирования, тем
> > более samba, в которой бывали regressions.
> Можно подробнее о регрессиях в Самбе в 4.0? Сборку для 4.0 я тестирую
> на своей тестовой среде (с WinXP, Vista и Samba).

Были исправления, требовавшие последующих исправлений, это точно.
Не думаю что имеет смысл вспоминать, когда и какие именно.

> >> Странные посылки со стороны
> >> сотрудников ООО ALTLinux по перекладыванию разнообразных версий уже
> >
> > Нет никакого перекладывания между несовместимыми бранчами.
> > В некоторых случаях возможно перекладывать 4.0->4.1, но и это нужно
> > специально тестировать.
> Еще раз: 4.1 у меня нет и по всей видимости не будет. Стабилизируется
> состояние Sisyphus до нужного мне в области openvz, 4.0 тоже уедет на
> тестовую ферму в виде виртуальной машины. Я смогу обеспечить работу
> будущих сборок Samba 3.2 только в Сизифе,  остальное должны будут
> делать те, кому эти разнообразные бранчи будут нужны. Стоимость
> поддержания разных веток сейчас высока как никогда.

2инженеры-поддержки-дистрибутивов: это вам сказано, не пропустите.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 197 bytes --]

Re: [devel] samba

[Alexander Bokovoy]

2008/12/12 Dmitry V. Levin <ldv@altlinux.org>:
> On Fri, Dec 12, 2008 at 03:09:59PM +0300, Alexander Bokovoy wrote:
>> 2008/12/12 Dmitry V. Levin <ldv@altlinux.org>:
>> >> > Ты её (и самбу, и рассинхронизацию) сам и делаешь.
>> >> > Никто такие пакеты без тестирования перекладывать не будет.
>> >> У меня нет 4.1, по факту я не могу с этим бранчем работать. Сизиф и
>> >> 4.0 у меня присутствуют и поддерживаются, я регулярно заливаю
>> >> собранные пакеты в /incoming/updates/4.0, но без принудительного
>> >> "пинания" их не перекладывают..
>> >
>> > Нельзя перекладывать из 4.0 branch в updates/4.0 без тестирования, тем
>> > более samba, в которой бывали regressions.
>> Можно подробнее о регрессиях в Самбе в 4.0? Сборку для 4.0 я тестирую
>> на своей тестовой среде (с WinXP, Vista и Samba).
>
> Были исправления, требовавшие последующих исправлений, это точно.
> Не думаю что имеет смысл вспоминать, когда и какие именно.
Был ровно один "скачок" 29 мая/31 мая 2008 года, он связан был с
исправлениями, которые были сделаны после выпуска обновления в
безопасности Самбы по результатам моего тестирования предыдущей версии
-- обновление в безопасности требовалось выпустить незамедлительно,
ошибку же исправили через два дня. Эта ошибка присутствовала и в
предыдущей версии.
http://sisyphus.ru/srpm/Branch4/samba/changelog

Можно привести другие "исправления, требовавшие последущих
исправлений"? Либо перестать делать произвольные выводы...

>> Еще раз: 4.1 у меня нет и по всей видимости не будет. Стабилизируется
>> состояние Sisyphus до нужного мне в области openvz, 4.0 тоже уедет на
>> тестовую ферму в виде виртуальной машины. Я смогу обеспечить работу
>> будущих сборок Samba 3.2 только в Сизифе,  остальное должны будут
>> делать те, кому эти разнообразные бранчи будут нужны. Стоимость
>> поддержания разных веток сейчас высока как никогда.
>
> 2инженеры-поддержки-дистрибутивов: это вам сказано, не пропустите.
По факту взаимодействия: инженеры поддержки дистрибутивов сейчас
вообще ничего по Самбе сказать не могут, насколько я понимаю
взаимодействие с некоторыми из них в последние несколько месяцев.

Хочу лишь одного: объясните мне, как без дополнительных трудностей
организационного характера разобраться в чехарде бранчей и
сборок-дистрибутивов-которые-сейчас-актуальны-и-поддерживаются? Как
добиться того, чтобы если уж от меня-мейнтейнера чего-то хотят, можно
было понять из открытых источников где, как, в какие сроки и для чего
этого хотят?
-- 
/ Alexander Bokovoy

Re: [devel] Графическая аутентификация в домен AD

[Evgeny Sinelnikov]

12 декабря 2008 г. 14:50 пользователь Alexander Bokovoy
<ab@altlinux.org> написал:
> 2008/12/12 Evgeny Sinelnikov <sin@altlinux.ru>:
>> 12 декабря 2008 г. 12:15 пользователь Андрей Черепанов
>> <cas@altlinux.ru> написал:
>>> Пользователи просят предоставить графические инструменты для аутентификации в
>>> домене Active Directory.
>>>
>>> Кто может заняться этой задачей или хотя бы подскать, куда копать?
>>> У нас сейчас в десктопных дистрибутивах аутентификация через локальные файлы и
>>> LDAP. Насколько технически сложно будет добавить Active Directory в этот
>>> список?
>>>
>>
>> Я попробую посмотреть, но заняться смогу только через неделю. Пока
>> могу описать процесс. Буквально вчера подключал 64-битный Desktop 4.1
>> к университетскому домену.
>>
>> Обнаружилось, что, во-первых, в бранч ещё не приехала Samba-3.0.33,
> http://ftp.altlinux.org/pub/distributions/ALTLinux/4.0/branch/files/SRPMS/samba-3.0.33-alt1.M40.1.src.rpm
> В Сизифе тоже есть. Что касается 4.1 -- это все к перекладывателям, о
> том, что есть рассинхронизация репозитариев, я говорил довольно давно.

Да, я видел... Как раз хотел указать на то, что вчера ещё не приехал...

>> во-вторых, samba у нас собрана без опции --with-dnsupdate. Пришлось
>> пересобирать... К сожалению, обновить DNS-запись в DNS от AD так и не
>> получилось:
>> [sin@kafedra03 ~]$ net ads dns register -U sin
>> sin's password:
>> DNS update failed!
>> [sin@kafedra03 ~]$ sudo net ads dns register -P
>> DNS update failed!
> Разберитесь, я не буду включать то, что не работает.

То есть вы предлагаете мне самостоятельно решить этот вопрос, причём
не будучи сами уверены в его работоспособности? :) Я, конечно, не
против :)
Но было бы приятнее получить ссылки на уже занимающихся, чтобы не
дублировать усилия...

>> К сожалению, для работы в домене и вообще с kerberos, в некоторых
>> случаях очень мешает вот этот баг:
>> https://bugzilla.altlinux.org/show_bug.cgi?id=17498
> Можно рекомендацию? Не надо городить новых nss модулей. Делайте, как
> делают все: добавляйте записи в /etc/hosts на любую выделенную подсеть
> в 127., благо все они гарантированно ресолвятся в пределах одного
> узла. Например, 127.127.127./24, если нужен какой-то конкретный
> вариант.

Это вариант я предлагал, как статический. Для этого нужно, во-первых,
задавать для имени хоста другой ip, например, 127.0.0.2. И, во-вторых,
не добавлять записи, а заменять...

Вариант динамический был предложен в процессе обсуждения, модуль
nss_fallback (написан на чистом C, если это кого-нибудь волнует :))
уже лежит в сизифе. В принципе, этот вариант уже можно использовать.

>
>> В плане описания процесса подключения я, уже довольно давно, делал описание:
>> http://prcnit.sgu.ru/aps/dokumenty/podklyuchenie-linux-desktopov-k-domenu
>>
>> С тех пор изменилось только одно - для получения SPN, после входа в домен
>> # net ads join
>> необходимо выполнить
>> # net ads keytab create
> В пакете samba-doc есть книга Samba-3 By Example, в ней теме
> подключения клиентов к различным доменам (как на основе AD, так и на
> основе Samba и NT4) уделено несколько довольно обширных глав.

Отлично, правда там действительно много английских букв ;)

-- 
Sin (Sinelnikov Evgeny)

Re: [devel] Графическая аутентификация в домен AD

[Alexander Bokovoy]

2008/12/12 Evgeny Sinelnikov <sin@altlinux.ru>:
>>> во-вторых, samba у нас собрана без опции --with-dnsupdate. Пришлось
>>> пересобирать... К сожалению, обновить DNS-запись в DNS от AD так и не
>>> получилось:
>>> [sin@kafedra03 ~]$ net ads dns register -U sin
>>> sin's password:
>>> DNS update failed!
>>> [sin@kafedra03 ~]$ sudo net ads dns register -P
>>> DNS update failed!
>> Разберитесь, я не буду включать то, что не работает.
>
> То есть вы предлагаете мне самостоятельно решить этот вопрос, причём
> не будучи сами уверены в его работоспособности? :) Я, конечно, не
> против :)
Я хочу сказать, что не включено оно по вполне понятной причине
неработоспособности. Код DNS UPDATE взят из Likewise Open. В Likewise
Open он отличается, не сильно, но достаточно. Втягивать целиком весь
Likewise Open я бы пока не хотел -- там существенные отличия в
winbindd, хотя и есть все нужные графические утилиты ввода машин в
домен, о которых первоначально шла дискуссия.

>>> К сожалению, для работы в домене и вообще с kerberos, в некоторых
>>> случаях очень мешает вот этот баг:
>>> https://bugzilla.altlinux.org/show_bug.cgi?id=17498
>> Можно рекомендацию? Не надо городить новых nss модулей. Делайте, как
>> делают все: добавляйте записи в /etc/hosts на любую выделенную подсеть
>> в 127., благо все они гарантированно ресолвятся в пределах одного
>> узла. Например, 127.127.127./24, если нужен какой-то конкретный
>> вариант.
>
> Это вариант я предлагал, как статический. Для этого нужно, во-первых,
> задавать для имени хоста другой ip, например, 127.0.0.2. И, во-вторых,
> не добавлять записи, а заменять...
Это вопрос более развернутой логики скрипта в etcnet/alterator? Так
напишите, там несложно.

> Вариант динамический был предложен в процессе обсуждения, модуль
> nss_fallback (написан на чистом C, если это кого-нибудь волнует :))
> уже лежит в сизифе. В принципе, этот вариант уже можно использовать.
Я бы все-таки рекомендовал уменьшить количество ненужных сущностей,
если можно обойтись существующими механизмами. Прегенерация хорошо
справляется со своей задачей. Добавить вызов скрипта в net ads dns,
если требуется, элементарно (равно как и вызвать его после вызова net
ads dns register самостоятельно).

>>> С тех пор изменилось только одно - для получения SPN, после входа в домен
>>> # net ads join
>>> необходимо выполнить
>>> # net ads keytab create
>> В пакете samba-doc есть книга Samba-3 By Example, в ней теме
>> подключения клиентов к различным доменам (как на основе AD, так и на
>> основе Samba и NT4) уделено несколько довольно обширных глав.
>
> Отлично, правда там действительно много английских букв ;)
Других актуальных и поддерживаемых в актуальном состоянии ресурсов нет
и, по всей видимости, не будет.

-- 
/ Alexander Bokovoy

Re: [devel] Графическая аутентификация в домен AD

[Stanislav Ievlev]

On Fri, Dec 12, 2008 at 03:36:23PM +0300, Alexander Bokovoy wrote:
> 2008/12/12 Evgeny Sinelnikov <sin@altlinux.ru>:
> >>> во-вторых, samba у нас собрана без опции --with-dnsupdate. Пришлось
> >>> пересобирать... К сожалению, обновить DNS-запись в DNS от AD так и не
> >>> получилось:
> >>> [sin@kafedra03 ~]$ net ads dns register -U sin
> >>> sin's password:
> >>> DNS update failed!
> >>> [sin@kafedra03 ~]$ sudo net ads dns register -P
> >>> DNS update failed!
> >> Разберитесь, я не буду включать то, что не работает.
> >
> > То есть вы предлагаете мне самостоятельно решить этот вопрос, причём
> > не будучи сами уверены в его работоспособности? :) Я, конечно, не
> > против :)
> Я хочу сказать, что не включено оно по вполне понятной причине
> неработоспособности. Код DNS UPDATE взят из Likewise Open. В Likewise
> Open он отличается, не сильно, но достаточно. Втягивать целиком весь
> Likewise Open я бы пока не хотел -- там существенные отличия в
> winbindd, хотя и есть все нужные графические утилиты ввода машин в
> домен, о которых первоначально шла дискуссия.
> 
> >>> К сожалению, для работы в домене и вообще с kerberos, в некоторых
> >>> случаях очень мешает вот этот баг:
> >>> https://bugzilla.altlinux.org/show_bug.cgi?id=17498
> >> Можно рекомендацию? Не надо городить новых nss модулей. Делайте, как
> >> делают все: добавляйте записи в /etc/hosts на любую выделенную подсеть
> >> в 127., благо все они гарантированно ресолвятся в пределах одного
> >> узла. Например, 127.127.127./24, если нужен какой-то конкретный
> >> вариант.
> >
> > Это вариант я предлагал, как статический. Для этого нужно, во-первых,
> > задавать для имени хоста другой ip, например, 127.0.0.2. И, во-вторых,
> > не добавлять записи, а заменять...
> Это вопрос более развернутой логики скрипта в etcnet/alterator? Так
> напишите, там несложно.
> 
> > Вариант динамический был предложен в процессе обсуждения, модуль
> > nss_fallback (написан на чистом C, если это кого-нибудь волнует :))
> > уже лежит в сизифе. В принципе, этот вариант уже можно использовать.
> Я бы все-таки рекомендовал уменьшить количество ненужных сущностей,
> если можно обойтись существующими механизмами. Прегенерация хорошо
> справляется со своей задачей. Добавить вызов скрипта в net ads dns,
> если требуется, элементарно (равно как и вызвать его после вызова net
> ads dns register самостоятельно).
Статический вариант не работает в общем случае. А динамический позволяет
реализовать именно то поведение которое все ожидают.
Подобное поведение в статическом варианте без привлечения искуственного интеллекта 
и доп. непонятных вопросов пользователю реализовать невозможно.

Можно сделать в системе большой рубильник, который на выбор будет
включать тот или иной вариант: кому что больше нравится ;)

Re: [devel] Графическая аутентификация в домен AD

[Evgeny Sinelnikov]

12 декабря 2008 г. 17:15 пользователь Stanislav Ievlev
<inger@altlinux.org> написал:
> On Fri, Dec 12, 2008 at 03:36:23PM +0300, Alexander Bokovoy wrote:
>> 2008/12/12 Evgeny Sinelnikov <sin@altlinux.ru>:
>> >>> во-вторых, samba у нас собрана без опции --with-dnsupdate. Пришлось
>> >>> пересобирать... К сожалению, обновить DNS-запись в DNS от AD так и не
>> >>> получилось:
>> >>> [sin@kafedra03 ~]$ net ads dns register -U sin
>> >>> sin's password:
>> >>> DNS update failed!
>> >>> [sin@kafedra03 ~]$ sudo net ads dns register -P
>> >>> DNS update failed!
>> >> Разберитесь, я не буду включать то, что не работает.
>> >
>> > То есть вы предлагаете мне самостоятельно решить этот вопрос, причём
>> > не будучи сами уверены в его работоспособности? :) Я, конечно, не
>> > против :)
>> Я хочу сказать, что не включено оно по вполне понятной причине
>> неработоспособности. Код DNS UPDATE взят из Likewise Open. В Likewise
>> Open он отличается, не сильно, но достаточно. Втягивать целиком весь
>> Likewise Open я бы пока не хотел -- там существенные отличия в
>> winbindd, хотя и есть все нужные графические утилиты ввода машин в
>> домен, о которых первоначально шла дискуссия.
>>

Спасибо за разъяснение... Я попробую отладить, что смогу...

>> >>> К сожалению, для работы в домене и вообще с kerberos, в некоторых
>> >>> случаях очень мешает вот этот баг:
>> >>> https://bugzilla.altlinux.org/show_bug.cgi?id=17498
>> >> Можно рекомендацию? Не надо городить новых nss модулей. Делайте, как
>> >> делают все: добавляйте записи в /etc/hosts на любую выделенную подсеть
>> >> в 127., благо все они гарантированно ресолвятся в пределах одного
>> >> узла. Например, 127.127.127./24, если нужен какой-то конкретный
>> >> вариант.
>> >
>> > Это вариант я предлагал, как статический. Для этого нужно, во-первых,
>> > задавать для имени хоста другой ip, например, 127.0.0.2. И, во-вторых,
>> > не добавлять записи, а заменять...
>> Это вопрос более развернутой логики скрипта в etcnet/alterator? Так
>> напишите, там несложно.
>>

Ну, всё к этому идёт... Нашёл проблемы - исправь сам :)
Изначально я полагал, что могу своими действиями помешать какой-нибудь
глубокой задумке автора... Но вы развязываете мне руки :)))

>> > Вариант динамический был предложен в процессе обсуждения, модуль
>> > nss_fallback (написан на чистом C, если это кого-нибудь волнует :))
>> > уже лежит в сизифе. В принципе, этот вариант уже можно использовать.
>> Я бы все-таки рекомендовал уменьшить количество ненужных сущностей,
>> если можно обойтись существующими механизмами. Прегенерация хорошо
>> справляется со своей задачей. Добавить вызов скрипта в net ads dns,
>> если требуется, элементарно (равно как и вызвать его после вызова net
>> ads dns register самостоятельно).
> Статический вариант не работает в общем случае. А динамический позволяет
> реализовать именно то поведение которое все ожидают.
> Подобное поведение в статическом варианте без привлечения искуственного интеллекта
> и доп. непонятных вопросов пользователю реализовать невозможно.
>

С другой стороны, предложенное динамическое решение довольно просто...
В идеале эту логику бы уметь включить средствами самого nss... Но
текущий вариант очень даже вписывается в общую инфраструктуру...

Если хост никем не найден, и соотвествует короткому или полному
доменному имени, отдаваемому вызовом gethostname(), то он разрешается
в 127.0.0.1 (или ::1, в случае ipv6)...

Как быть c ipv6 пока непонятно, но это вполне решаемо. Сейчас для
этого нужно пересобрать модуль отключив один define. Иного способа,
чем собрать fallback6 у меня пока нет... Если он, кому-нибудь нужен,
например, при настройке сети, то в следующей сборке я его добавлю.

PS: на самом деле меня устроит любой вариант, хоть статический, хоть
динамический... хотя динамический, когда он уже реализован,
предпочтительнее... И если бы я начал разбираться с графическими
утилитами, то я бы и ручку добавил... Но пока в моих силах добавить
какой-то один вариант, да и тот, я пока не готов решить в самое
ближайшее время...

-- 
Sin (Sinelnikov Evgeny)

Re: [devel] Графическая аутентификация в домен AD

[Stanislav Ievlev]

On Fri, Dec 12, 2008 at 02:50:52PM +0300, Alexander Bokovoy wrote:
> 2008/12/12 Evgeny Sinelnikov <sin@altlinux.ru>:
> > 12 декабря 2008 г. 12:15 пользователь Андрей Черепанов
> > <cas@altlinux.ru> написал:
> >> Пользователи просят предоставить графические инструменты для аутентификации в
> >> домене Active Directory.
> >>
> >> Кто может заняться этой задачей или хотя бы подскать, куда копать?
> >> У нас сейчас в десктопных дистрибутивах аутентификация через локальные файлы и
> >> LDAP. Насколько технически сложно будет добавить Active Directory в этот
> >> список?
> >>
> >
> > Я попробую посмотреть, но заняться смогу только через неделю. Пока
> > могу описать процесс. Буквально вчера подключал 64-битный Desktop 4.1
> > к университетскому домену.
> >
> > Обнаружилось, что, во-первых, в бранч ещё не приехала Samba-3.0.33,
> http://ftp.altlinux.org/pub/distributions/ALTLinux/4.0/branch/files/SRPMS/samba-3.0.33-alt1.M40.1.src.rpm
> В Сизифе тоже есть. Что касается 4.1 -- это все к перекладывателям, о
> том, что есть рассинхронизация репозитариев, я говорил довольно давно.
> 
> > во-вторых, samba у нас собрана без опции --with-dnsupdate. Пришлось
> > пересобирать... К сожалению, обновить DNS-запись в DNS от AD так и не
> > получилось:
> > [sin@kafedra03 ~]$ net ads dns register -U sin
> > sin's password:
> > DNS update failed!
> > [sin@kafedra03 ~]$ sudo net ads dns register -P
> > DNS update failed!
> Разберитесь, я не буду включать то, что не работает.
> 
> > К сожалению, для работы в домене и вообще с kerberos, в некоторых
> > случаях очень мешает вот этот баг:
> > https://bugzilla.altlinux.org/show_bug.cgi?id=17498
> Можно рекомендацию? Не надо городить новых nss модулей. Делайте, как
> делают все: добавляйте записи в /etc/hosts на любую выделенную подсеть
> в 127., благо все они гарантированно ресолвятся в пределах одного
> узла. Например, 127.127.127./24, если нужен какой-то конкретный
> вариант.
Не поможет. Некоторый особенно кривой софт для вычислительных кластеров занимается 
обратным resolv'ов hostname и ему сильно не полегчает, если он получит 127.127.127.x

nss-модуль совершенно никому не мешает и решает проблему полностью.

Re: [devel] Графическая аутентификация в домен AD

[Stanislav Ievlev]

On Fri, Dec 12, 2008 at 12:45:36PM +0300, Evgeny Sinelnikov wrote:
> 12 декабря 2008 г. 12:15 пользователь Андрей Черепанов
> <cas@altlinux.ru> написал:
> > Пользователи просят предоставить графические инструменты для аутентификации в
> > домене Active Directory.
> >
> > Кто может заняться этой задачей или хотя бы подскать, куда копать?
> > У нас сейчас в десктопных дистрибутивах аутентификация через локальные файлы и
> > LDAP. Насколько технически сложно будет добавить Active Directory в этот
> > список?
> >
> 
> Я попробую посмотреть, но заняться смогу только через неделю. Пока
> могу описать процесс. Буквально вчера подключал 64-битный Desktop 4.1
> к университетскому домену.
> 
> Обнаружилось, что, во-первых, в бранч ещё не приехала Samba-3.0.33,
> во-вторых, samba у нас собрана без опции --with-dnsupdate. Пришлось
> пересобирать... К сожалению, обновить DNS-запись в DNS от AD так и не
> получилось:
> [sin@kafedra03 ~]$ net ads dns register -U sin
> sin's password:
> DNS update failed!
> [sin@kafedra03 ~]$ sudo net ads dns register -P
> DNS update failed!
> 
> К сожалению, для работы в домене и вообще с kerberos, в некоторых
> случаях очень мешает вот этот баг:
> https://bugzilla.altlinux.org/show_bug.cgi?id=17498
А Дима, так и не одобрил модуль nss?

Re: [devel] Графическая аутентификация в домен AD

[Evgeny Sinelnikov]

12 декабря 2008 г. 17:02 пользователь Stanislav Ievlev
<inger@altlinux.org> написал:
> On Fri, Dec 12, 2008 at 12:45:36PM +0300, Evgeny Sinelnikov wrote:
>> 12 декабря 2008 г. 12:15 пользователь Андрей Черепанов
>> <cas@altlinux.ru> написал:
>> > Пользователи просят предоставить графические инструменты для аутентификации в
>> > домене Active Directory.
>> >
>> > Кто может заняться этой задачей или хотя бы подскать, куда копать?
>> > У нас сейчас в десктопных дистрибутивах аутентификация через локальные файлы и
>> > LDAP. Насколько технически сложно будет добавить Active Directory в этот
>> > список?
>> >
>>
>> Я попробую посмотреть, но заняться смогу только через неделю. Пока
>> могу описать процесс. Буквально вчера подключал 64-битный Desktop 4.1
>> к университетскому домену.
>>
>> Обнаружилось, что, во-первых, в бранч ещё не приехала Samba-3.0.33,
>> во-вторых, samba у нас собрана без опции --with-dnsupdate. Пришлось
>> пересобирать... К сожалению, обновить DNS-запись в DNS от AD так и не
>> получилось:
>> [sin@kafedra03 ~]$ net ads dns register -U sin
>> sin's password:
>> DNS update failed!
>> [sin@kafedra03 ~]$ sudo net ads dns register -P
>> DNS update failed!
>>
>> К сожалению, для работы в домене и вообще с kerberos, в некоторых
>> случаях очень мешает вот этот баг:
>> https://bugzilla.altlinux.org/show_bug.cgi?id=17498
> А Дима, так и не одобрил модуль nss?
>

Я не знаю, он, видимо, ещё размышляет, может быть проверяет... Со
своей стороны я готов обсуждать любые конструктивные предложения...
Модуль там довольно простой, так что аудит кода провести не сложно...


-- 
Sin (Sinelnikov Evgeny)

Re: [devel] Графическая аутентификация в домен AD

[Stanislav Ievlev]

On Fri, Dec 12, 2008 at 08:12:06PM +0300, Evgeny Sinelnikov wrote:
> 12 декабря 2008 г. 17:02 пользователь Stanislav Ievlev
> <inger@altlinux.org> написал:
> > On Fri, Dec 12, 2008 at 12:45:36PM +0300, Evgeny Sinelnikov wrote:
> >> 12 декабря 2008 г. 12:15 пользователь Андрей Черепанов
> >> <cas@altlinux.ru> написал:
> >> > Пользователи просят предоставить графические инструменты для аутентификации в
> >> > домене Active Directory.
> >> >
> >> > Кто может заняться этой задачей или хотя бы подскать, куда копать?
> >> > У нас сейчас в десктопных дистрибутивах аутентификация через локальные файлы и
> >> > LDAP. Насколько технически сложно будет добавить Active Directory в этот
> >> > список?
> >> >
> >>
> >> Я попробую посмотреть, но заняться смогу только через неделю. Пока
> >> могу описать процесс. Буквально вчера подключал 64-битный Desktop 4.1
> >> к университетскому домену.
> >>
> >> Обнаружилось, что, во-первых, в бранч ещё не приехала Samba-3.0.33,
> >> во-вторых, samba у нас собрана без опции --with-dnsupdate. Пришлось
> >> пересобирать... К сожалению, обновить DNS-запись в DNS от AD так и не
> >> получилось:
> >> [sin@kafedra03 ~]$ net ads dns register -U sin
> >> sin's password:
> >> DNS update failed!
> >> [sin@kafedra03 ~]$ sudo net ads dns register -P
> >> DNS update failed!
> >>
> >> К сожалению, для работы в домене и вообще с kerberos, в некоторых
> >> случаях очень мешает вот этот баг:
> >> https://bugzilla.altlinux.org/show_bug.cgi?id=17498
> > А Дима, так и не одобрил модуль nss?
> >
> 
> Я не знаю, он, видимо, ещё размышляет, может быть проверяет... Со
> своей стороны я готов обсуждать любые конструктивные предложения...
> Модуль там довольно простой, так что аудит кода провести не сложно...
В общем, после нового года я уберу из модуля биндинг для hostname,
пожалуйста оформите ваш fallback как installer-feature. Желающие сделают
installer-feature для "статического" варианта.