Re: [Sysadmins] Контролер домена

Re: [Sysadmins] Контролер домена

[Maks Re]

это в samba пожалуй.

сейчас сам ковыряюсь, но как-то успех странный...



2008/8/13 Андрей Анатолиевич . <statskij@gmail.com>:
> Добрый день.
>
> Хочу на ALTLinux Office Server поднять контролер домена, скажите пожалуйста
> кто имел подобный опыт, расскажите как он работает и большая просьба
> подскажите что можно почитать на русском языке.
>
> --
> С уважением
> Андрей Анатолиевич
>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
>



-- 
С уважением,
 Макс.

Re: [Sysadmins] Контролер домена

[Maks Re]

ну например у меня, не может пройти "аутентификация" в домене...
и я не понимаю из-за чего...


2008/8/13 Андрей Анатолиевич . <statskij@gmail.com>:
> Что именно странного?
>
> 13 августа 2008 г. 12:50 пользователь Maks Re <admaks@gmail.com> написал:
>>
>> это в samba пожалуй.
>>
>> сейчас сам ковыряюсь, но как-то успех странный...
>>
>>
>>
>> 2008/8/13 Андрей Анатолиевич . <statskij@gmail.com>:
>> > Добрый день.
>> >
>> > Хочу на ALTLinux Office Server поднять контролер домена, скажите
>> > пожалуйста
>> > кто имел подобный опыт, расскажите как он работает и большая просьба
>> > подскажите что можно почитать на русском языке.
>> >
>> > --
>> > С уважением
>> > Андрей Анатолиевич
>> >
>> > _______________________________________________
>> > Sysadmins mailing list
>> > Sysadmins@lists.altlinux.org
>> > https://lists.altlinux.org/mailman/listinfo/sysadmins
>> >
>> >
>>
>>
>>
>> --
>> С уважением,
>>  Макс.
>> _______________________________________________
>> Sysadmins mailing list
>> Sysadmins@lists.altlinux.org
>> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
>
>
> --
> С уважением
> Андрей Анатолиевич
>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
>



-- 
С уважением,
 Макс.

Re: [Sysadmins] Контролер домена

[Maks Re]

> На  freesource.info есть пошаговые описания, которые у меня работали и не
> один раз.
> Как в связке с LDAP, так и без него.

ну значит вам повезло, а мне нет.
описания я глядел...

>
> Ну и банальнейшая рекомендация заглянуть в логи ...
> При этом желательно повысить "болтливость" демонов ...
и не один раз заглядывал...




-- 
С уважением,
 Макс.

Re: [Sysadmins] Контролер домена

[Vyacheslav Brunev]

В сообщении от Wednesday 13 August 2008 16:20:40 Maks Re написал(а):
> ну например у меня, не может пройти "аутентификация" в домене...
> и я не понимаю из-за чего...
>
Покажите пожалуйста Ваш smb.conf, может и подскажу чего...

-- 
> В условиях катострофической нехватки времени знакомое зло всегда выигрывает 
у незнакомого...

С уважением, Вячеслав.

Re: [Sysadmins] Контролер домена

[Maks Re]

http://thread.gmane.org/gmane.linux.altlinux.samba/2283


2008/8/13 Vyacheslav Brunev <bv@gres.tomske.elektra.ru>:
> В сообщении от Wednesday 13 August 2008 16:20:40 Maks Re написал(а):
>> ну например у меня, не может пройти "аутентификация" в домене...
>> и я не понимаю из-за чего...
>>
> Покажите пожалуйста Ваш smb.conf, может и подскажу чего...
>
> --
>> В условиях катострофической нехватки времени знакомое зло всегда выигрывает
> у незнакомого...
>
> С уважением, Вячеслав.
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>



-- 
С уважением,
 Макс.

Re: [Sysadmins] Контролер домена

[Maks Re]

http://thread.gmane.org/gmane.linux.altlinux.samba/2283

2008/8/13 Dmitriy Kruglikov <dmitriy.kruglikov@gmail.com>:
> 13 августа 2008 г. 12:30 пользователь Maks Re написал:
>>
>> ну значит вам повезло, а мне нет.
>> описания я глядел...
>
>
> Как там у Суворова ?
> На тему раз - везение, два - везение, а когда же умение ?
> За дословность цитаты не ручаюсь, но суть в том, что я не только "глядел"
> ...
> Что именно у вас не получается?
> Какая часть рекомендаций вам непонятна ?
> Задайте более четкий вопрос, и кто-нибудь, вероятно, сможет на него
> ответить.
> Не исключено, что у меня уже сошла шишка от таких же грабель, и я смогу вам
> подсказать.
>
> --
> Как правильно задавать вопросы:
> http://maddog.sitengine.ru/smart-question-ru.html
>
> Помогает:
> http://search.altlinux.org
>
> Best regards,
> Dmitriy L. Kruglikov
> Dmitriy.Kruglikov_at_gmail_dot_com
> DKR6-RIPE
> DKR6-UANIC
> XMPP: Dmitriy.Kruglikov_at_gmail_dot_com
>
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>
>



-- 
С уважением,
 Макс.

Re: [Sysadmins] Контролер домена

[Yuri Bushmelev]

В сообщении от Среда 13 августа 2008 Андрей Анатолиевич . написал(a):
> Интерестно ALT Linux думает выпускать, аналог Контролера доменов, ка кэто
> делает Мандрива и Новел?

У меня есть подозрение, что оно не надо..
Равно как и не надо контроллер домена (NT) делать на linux..
Всякой вещи - свое место. Раз уж используется виндовая сеть, то разумнее и 
домен держать на винде, дабы не создавать себе головную боль.

-- 
С уважением,
Бушмелев Юрий

Re: [Sysadmins] Контролер домена

[Vyacheslav Brunev]

В сообщении от Wednesday 13 August 2008 16:39:27 вы написали:
> http://thread.gmane.org/gmane.linux.altlinux.samba/2283
Из того что бросилось в глаза:
interfaces                                              = 192.168.10.1/24
Уберите либо CIDR (маска всё равно не правильная - нужно 32) или проще укажите 
название интерфейса ex: eth1.

# А оно Вам нужно? (я бы выкинул)
remote browse sync                          = 192.168.10.255
remote announce                                     = 192.168.10.255

# Не стоит задирать ах до 255 вполне хватает 65
        os level                                                = 255

# Нужно ли?
    use sendfile                                        = Yes

Затем сделайте testparam и если нет ругани рестарт самбы.
После этого не забываем добавлять сам Samba-сервер (PDC) в свойже домен т.е.:
net rpc join -W Perfect -U sysop%password_sysop

Вроде пока всё.

-- 
> В условиях катострофической нехватки времени знакомое зло всегда выигрывает 
у незнакомого...

С уважением, Вячеслав.

Re: [Sysadmins] Контролер домена

[Vyacheslav Brunev]

В сообщении от Wednesday 13 August 2008 16:39:35 Maks Re написал(а):
> http://thread.gmane.org/gmane.linux.altlinux.samba/2283
>
Вот ещё ознакомьтесь внимательно (http://www.lissyara.su/?id=1487), там всё 
достаточно подробно изложено, Вам останется только адаптировать "под себя".

Удачи!
-- 
> В условиях катострофической нехватки времени знакомое зло всегда выигрывает 
у незнакомого...

С уважением, Вячеслав.

Re: [Sysadmins] Контролер домена

[Yuri Bushmelev]

В сообщении от Среда 13 августа 2008 Dmitriy Kruglikov написал(a):
> 13 августа 2008 г. 12:51 пользователь Yuri Bushmelev  написал:
> > Раз уж используется виндовая сеть, то разумнее и
> > домен держать на винде, дабы не создавать себе головную боль.
>
> Вы забыли упомянуть, что для того, чтобы держать домен на винде нужно
> _купить_
> некоторую софтинку ...
> А ради 3-5-10 ноутов (которые с лицензиями покупались) покупать серверную
> ОСь не рационально.
> А вот перемещаемые профили - весьма полезная фича ...
> Samba - вполне правомерно пименить.
>
> Рекомендовать _тут_ использовать ворованную ОСь - аморально.
> А если админ уже принял решение и хочет его реализовать,
> то для того, чтобы советовать ему изменить это решение нужно иметь весьма
> веские основания.

Как то вы резко все восприняли..

Я просто высказал свое мнение.. Как бы не была хороша samba, но всегда есть 
шанс получить "болт с левой нарезкой", последствия чего могут быть весьма 
серьезными. И стоит ли данный риск тех денег, за которые можно взять "нечто 
с AD" - это уже решать начальнику отдела IT. Ему же и разгребать 
последствия принятого решения.

В бизнесе нет места "красноглазию".

-- 
С уважением,
Бушмелев Юрий

Re: [Sysadmins] Контролер домена

[Maks Re]

>> # А оно Вам нужно? (я бы выкинул)
>> remote browse sync                          = 192.168.10.255
>> remote announce                                     = 192.168.10.255
>
> Разумно.
убрал

>> # Не стоит задирать ах до 255 вполне хватает 65
>>        os level                                                = 255
>
> Может не хватить ... Смотря кто еще в сети рядом болтается ...
> Кое кто 128 фонарит, и выиграет выборы контроллера.
> findsmb в консоли от root покажет, кто есть кто.

некоторые, в том числе и в рассылке, рекомендуют, если планируется 1С
на файловом сервера самба, увеличить до 255..




-- 
С уважением,
 Макс.

Re: [Sysadmins] Контролер домена

[Maks Re]

да, глядел...

2008/8/13 Vyacheslav Brunev <bv@gres.tomske.elektra.ru>:
> В сообщении от Wednesday 13 August 2008 16:39:35 Maks Re написал(а):
>> http://thread.gmane.org/gmane.linux.altlinux.samba/2283
>>
> Вот ещё ознакомьтесь внимательно (http://www.lissyara.su/?id=1487), там всё
> достаточно подробно изложено, Вам останется только адаптировать "под себя".
>
> Удачи!
> --
>> В условиях катострофической нехватки времени знакомое зло всегда выигрывает
> у незнакомого...
>
> С уважением, Вячеслав.
> _______________________________________________
> Sysadmins mailing list
> Sysadmins@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/sysadmins
>



-- 
С уважением,
 Макс.

Re: [Sysadmins] Контролер домена

[Led]

Wednesday, 13 August 2008 13:07:37 Dmitriy Kruglikov написав:
> 13 августа 2008 г. 12:51 пользователь Yuri Bushmelev  написал:
> > Раз уж используется виндовая сеть, то разумнее и
> > домен держать на винде, дабы не создавать себе головную боль.
>
> Вы забыли упомянуть, что для того, чтобы держать домен на винде нужно
> _купить_
> некоторую софтинку ...
> А ради 3-5-10 ноутов (которые с лицензиями покупались) покупать серверную

И все эти "3-5-10 ноутов" - с лицензиями на Prof, а не на Home? Редкий 
случай...

> ОСь не рационально.
> А вот перемещаемые профили - весьма полезная фича ...
> Samba - вполне правомерно пименить.
>
> Рекомендовать _тут_ использовать ворованную ОСь - аморально.
> А если админ уже принял решение и хочет его реализовать,
> то для того, чтобы советовать ему изменить это решение нужно иметь весьма
> веские основания.



-- 
Led

Re: [Sysadmins] Контролер домена

[Владимир]

> и способы отключения попыток объявить себя LMB в Вынь.
а я знаю!! заменить на linux!!

Re: [Sysadmins] Контролер домена

[Maks Re]

> Некоторые, в том числе и в рассылке рекомендуют знать назначение каждого
> параметра,
> как минимум того, который изменяем, дабы изменение было _осознано_ !
> Почему 255, а не 345 ?
>
> Данный параметр определяет, кто же выиграет выборы конроллера домена, если
> несколько машин одновременно объявят себя таковыми, либо в сети уже есть
> машина, которая возомнила.
> Чем выше os level, тем больше вероятность выиграть.
> Если вы ставите Самбу в качетве PDC, то должны быть уверены, что ни какая
> сВиста не перехватит управление.
> А в выборах могут участвовать любые Вынь и приблудные Самбы ...

именно поэтому я выставил 255, чтобы исход был ожидаемый

> Задание для самостоятельной проработки:
> Значения по умолчанию для каждой ОС
> и способы отключения попыток объявить себя LMB в Вынь.


в любом случае, это никак не соотносится с теми сложностями, которые с
меня не получились, например добавить самба-сервер к себе в домен...


-- 
С уважением,
 Макс.

Re: [Sysadmins] Контролер домена

[Maks Re]

> Команду добавления и ругань в студию...



те ссылки статей, которые приводили тут в треде - были прочитаны до
начала экспериментов, впрочем как и во время...

про проверку, по шагам (на freesource.info) - все отрабатывается, все корректно.

но, ввести машину-сервер в свой домен - не получается...
# net rpc join -W Perfect -Usysop%sysop_pw
Could not connect to server SRV-GW-1
Connection failed: NT_STATUS_UNSUCCESSFUL

в логах видно. что пользователь sysop корректно вытянулся из БД,но

[2008/08/13 15:34:00, 4] libsmb/ntlm_check.c:ntlm_password_check(326)
 ntlm_password_check: Checking NT MD4 password
[2008/08/13 15:34:00, 4] auth/auth_sam.c:sam_account_ok(138)
 sam_account_ok: Checking SMB password for user sysop
[2008/08/13 15:34:00, 3] smbd/sec_ctx.c:push_sec_ctx(208)
 push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1
[2008/08/13 15:34:00, 3] smbd/uid.c:push_conn_ctx(358)
 push_conn_ctx(0) : conn_ctx_stack_ndx = 0
[2008/08/13 15:34:00, 3] smbd/sec_ctx.c:set_sec_ctx(241)
 setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2008/08/13 15:34:00, 3] smbd/sec_ctx.c:pop_sec_ctx(356)
 pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2008/08/13 15:34:00, 3] smbd/sec_ctx.c:push_sec_ctx(208)
 push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1
[2008/08/13 15:34:00, 3] smbd/uid.c:push_conn_ctx(358)
 push_conn_ctx(0) : conn_ctx_stack_ndx = 0
[2008/08/13 15:34:00, 3] smbd/sec_ctx.c:set_sec_ctx(241)
 setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2008/08/13 15:34:00, 3] passdb/pdb_ldap.c:ldapsam_enum_group_memberships(2719)
 primary group of [sysop] not found
[2008/08/13 15:34:00, 3] smbd/sec_ctx.c:pop_sec_ctx(356)
 pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2008/08/13 15:34:00, 0] auth/auth_sam.c:check_sam_security(352)
 check_sam_security: make_server_info_sam() failed with
'NT_STATUS_UNSUCCESSFUL'
[2008/08/13 15:34:00, 3] auth/auth_winbind.c:check_winbind_security(80)
 check_winbind_security: Not using winbind, requested domain
[Perfect] was for this SAM.
[2008/08/13 15:34:00, 2] auth/auth.c:check_ntlm_password(319)
 check_ntlm_password:  Authentication for user [sysop] -> [sysop]
FAILED with error NT_STATUS_UNSUCCESSFUL
[2008/08/13 15:34:00, 3] smbd/error.c:error_packet_set(106)
 error packet at smbd/sesssetup.c(105) cmd=115 (SMBsesssetupX)
NT_STATUS_UNSUCCESSFUL
[2008/08/13 15:34:00, 3] smbd/process.c:timeout_processing(1329)
 timeout_processing: End of file from client (client has disconnected).

как видно, что не найдена примари групп (primary group of [sysop] not
found ), и какая итоговая ошибка (check_ntlm_password:  Authentication
for user [sysop] -> [sysop]
FAILED with error NT_STATUS_UNSUCCESSFUL)

хотя
# id sysop
uid=0(root) gid=0(root) groups=0(root),512(Domain Admins)

пользователя root.root в каталоге БД нету, он хранится в shadow/tcb


-- 
С уважением,
 Макс.

Re: [Sysadmins] Контролер домена

[Eugene Ostapets]

2008/8/13 Maks Re <admaks@gmail.com>:
>> Команду добавления и ругань в студию...
> как видно, что не найдена примари групп (primary group of [sysop] not
> found ), и какая итоговая ошибка (check_ntlm_password:  Authentication
> for user [sysop] -> [sysop]
> FAILED with error NT_STATUS_UNSUCCESSFUL)
>
> хотя
> # id sysop
> uid=0(root) gid=0(root) groups=0(root),512(Domain Admins)
>
> пользователя root.root в каталоге БД нету, он хранится в shadow/tcb
Вы считаете, что uid=0 для пользователя - это умное решение? Я не
знаю, где вы еще подобных глупостей натворили, но вы явно не
представляете себе, что делаете и зачем...

Домен контроллер на базе ALTLinux поднимается легко и непринуждённо,
не вызывая ни малейших проблем у людей, умеющих головой не только
есть, но и думать...
-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re: [Sysadmins] Контролер домена

[Maks Re]

> Вы считаете, что uid=0 для пользователя - это умное решение? Я не
> знаю, где вы еще подобных глупостей натворили, но вы явно не
> представляете себе, что делаете и зачем...
согласно smbldap-populate, после работы будет создан один
пользователь. где в каталоге будет указано,что у него uid/gid=0
(параметры по умолчанию)
и этот пользователь автоматически является домен админом.
в свете новых фич самбы, типа net rpc rights, которые появились позже,
чем был "обкатал" пакет smbldap-tools

поэтому я повторно задам вопрос (первый раз в samba@) - smbldap-tools
не протух ли?
как его нынче используют.
правильно ли отрабатываются скрипты. которые обслуживают каталог
(smbldap-useradd and other)



>
> Домен контроллер на базе ALTLinux поднимается легко и непринуждённо,
> не вызывая ни малейших проблем у людей, умеющих головой не только
> есть, но и думать...
осталось научится
а потом уже легко и непренужденно........

-- 
С уважением,
 Макс.

Re: [Sysadmins] Контролер домена

[Eugene Ostapets]

2008/8/13 Maks Re <admaks gmail.com>:
>> Вы считаете, что uid=0 для пользователя - это умное решение? Я не
>> знаю, где вы еще подобных глупостей натворили, но вы явно не
>> представляете себе, что делаете и зачем...
> согласно smbldap-populate, после работы будет создан один
> пользователь. где в каталоге будет указано,что у него uid/gid=0
> (параметры по умолчанию)
> и этот пользователь автоматически является домен админом.
> в свете новых фич самбы, типа net rpc rights, которые появились позже,
> чем был "обкатал" пакет smbldap-tools
Нет, эта фигня тянется еще с тех времен, когда самба не поддерживала
domain admins = user в конфиге и тогда единственным администратором
являлся root, но об этом, как мне кажеться, написано на каждом
заборе... Может почерк неразборчивый?
>
> поэтому я повторно задам вопрос (первый раз в samba@) - smbldap-tools
> не протух ли?
> как его нынче используют.
> правильно ли отрабатываются скрипты. которые обслуживают каталог
> (smbldap-useradd and other)
Я не испытывал проблем с smbldap-tools, хотя качество этой перловой
каши меня повергает в ужас...
>>
>> Домен контроллер на базе ALTLinux поднимается легко и непринуждённо,
>> не вызывая ни малейших проблем у людей, умеющих головой не только
>> есть, но и думать...
> осталось научится
> а потом уже легко и непренужденно........
Честно говоря я не понимаю чему там особенному учиться... Нужно знать
принципы функционирования юникс-подобных систем, иметь голову на
плечах и прочитать документацию, поставляемую с samba...
-- 
С уважением,
Евгений Остапец
uin: 23747217
jid: eugene_ostapets@jabber.ru

Re: [Sysadmins] Контролер домена

[Maks Re]

> Нет, эта фигня тянется еще с тех времен, когда самба не поддерживала
> domain admins = user в конфиге и тогда единственным администратором
> являлся root, но об этом, как мне кажеться, написано на каждом
> заборе... Может почерк неразборчивый?
сцылки в студию...
я первый раз про такое слышу...
конечно, я не перечитывал доки по самбе давно...
но чтобы встретить то о чем вы говорите - впервые

>>
> Я не испытывал проблем с smbldap-tools, хотя качество этой перловой
> каши меня повергает в ужас...
видимо так..
а есть альтернативы?

> Честно говоря я не понимаю чему там особенному учиться... Нужно знать
> принципы функционирования юникс-подобных систем, иметь голову на
> плечах и прочитать документацию, поставляемую с samba...
некорые, которые делали домен много раз, сделают егоеще раз  быстро и лекго...
а некоторым. приходится изучать и тыкать, тыкать..

/me пошел дальше читать, пока есть свободного времени немного...




-- 
С уважением,
 Макс.

Re: [Sysadmins] Контролер домена

[Vyacheslav Brunev]

В сообщении от Wednesday 13 August 2008 19:14:35 вы написали:
> да, глядел...
>
Вот если бы Вы действительно глядели, то не допускали бы ошибок в настройке 
nss_ldap.conf и nsswitch.conf!

-- 
> В условиях катострофической нехватки времени знакомое зло всегда выигрывает 
у незнакомого...

С уважением, Вячеслав.

Re: [Sysadmins] Контролер домена

[Vyacheslav Brunev]

В сообщении от Thursday 14 August 2008 09:01:08 Vyacheslav Brunev написал(а):
> В сообщении от Wednesday 13 August 2008 19:14:35 вы написали:
> > да, глядел...
>
> Вот если бы Вы действительно глядели, то не допускали бы ошибок в настройке
> nss_ldap.conf и nsswitch.conf!
упс... просмотрел с nsswitch.conf всё в порядке.

-- 
> В условиях катострофической нехватки времени знакомое зло всегда выигрывает 
у незнакомого...

С уважением, Вячеслав.

Re: [Sysadmins] Контролер домена

[Maks Re]

>> Вот если бы Вы действительно глядели, то не допускали бы ошибок в настройке
>> nss_ldap.conf и nsswitch.conf!
> упс... просмотрел с nsswitch.conf всё в порядке.
т.е. там все белее или менее?

только смущает, что первая стройка в nss_ldap.conf не
закоментирована... уж не знаю. как влияет это на качество
"пилотирования"

# cat /etc/nss_ldap.conf |grep ^[^#]
 @(#)$Id: ldap.conf,v 2.47 2006/05/15 08:13:44 lukeh Exp $
base dc=office,dc=perfect-ltd,dc=ru
uri ldap://localhost
timelimit 5
bind_timelimit 5
nss_reconnect_tries 1
nss_reconnect_maxconntries 1
-- 
С уважением,
 Макс.

Re: [Sysadmins] Контролер домена

[Vyacheslav Brunev]

В сообщении от Thursday 14 August 2008 12:12:53 вы написали:
> >> Вот если бы Вы действительно глядели, то не допускали бы ошибок в
> >> настройке nss_ldap.conf и nsswitch.conf!
> >
> > упс... просмотрел с nsswitch.conf всё в порядке.
>
> т.е. там все белее или менее?
Там всё нормально - как и должно быть.

>
> только смущает, что первая стройка в nss_ldap.conf не
> закоментирована... уж не знаю. как влияет это на качество
> "пилотирования"
>
> # cat /etc/nss_ldap.conf |grep ^[^#]
>  @(#)$Id: ldap.conf,v 2.47 2006/05/15 08:13:44 lukeh Exp $
> base dc=office,dc=perfect-ltd,dc=ru
> uri ldap://localhost
> timelimit 5
> bind_timelimit 5
> nss_reconnect_tries 1
> nss_reconnect_maxconntries 1

Думаю стоит добавить строки:
ldap_version 3
bind_policy soft
nss_base_passwd         ou=users,dc=office,dc=perfect-ltd,dc=ru?one
nss_base_group          ou=groups,dc=office,dc=perfect-ltd,dc=ru?one
nss_base_passwd         ou=computers,dc=office,dc=perfect-ltd,dc=ru?one
nss_base_shadow         ou=users,dc=office,dc=perfect-ltd,dc=ru?one

P.S. вместо users, groups и т.д. подставить соответствующие ветки из Вашей 
базы LDAP.

-- 
> В условиях катострофической нехватки времени знакомое зло всегда выигрывает 
у незнакомого...

С уважением, Вячеслав.

Re: [Sysadmins] Контролер домена

[Vyacheslav Brunev]

В сообщении от Thursday 14 August 2008 14:10:22 Vyacheslav Brunev написал(а):
> В сообщении от Thursday 14 August 2008 12:12:53 вы написали:
> > >> Вот если бы Вы действительно глядели, то не допускали бы ошибок в
> > >> настройке nss_ldap.conf и nsswitch.conf!
> > >
> > > упс... просмотрел с nsswitch.conf всё в порядке.
> >
> > т.е. там все белее или менее?
>
> Там всё нормально - как и должно быть.
>
> > только смущает, что первая стройка в nss_ldap.conf не
> > закоментирована... уж не знаю. как влияет это на качество
> > "пилотирования"
> >
> > # cat /etc/nss_ldap.conf |grep ^[^#]
> >  @(#)$Id: ldap.conf,v 2.47 2006/05/15 08:13:44 lukeh Exp $
> > base dc=office,dc=perfect-ltd,dc=ru
> > uri ldap://localhost
> > timelimit 5
> > bind_timelimit 5
> > nss_reconnect_tries 1
> > nss_reconnect_maxconntries 1
>
> Думаю стоит добавить строки:
> ldap_version 3
> bind_policy soft
> nss_base_passwd         ou=users,dc=office,dc=perfect-ltd,dc=ru?one
> nss_base_group          ou=groups,dc=office,dc=perfect-ltd,dc=ru?one
> nss_base_passwd         ou=computers,dc=office,dc=perfect-ltd,dc=ru?one
> nss_base_shadow         ou=users,dc=office,dc=perfect-ltd,dc=ru?one
>
> P.S. вместо users, groups и т.д. подставить соответствующие ветки из Вашей
> базы LDAP.

Ещё увидел в smb.conf должны быть заданы параметры:
# следующие два параметра обязательны т.к. у них нет значения "по умолчанию".
winbind uid = 10000-20000 # значения диапазона в котором искать пользователей 
домена
winbind gid = 10000-20000 # значения диапазона в котором искать группы 
пользователей домена
winbind separator = +
winbind use default domain = yes

P.S. а утверждали, что всё прочитали. Ай не хорошо...

-- 
> В условиях катострофической нехватки времени знакомое зло всегда выигрывает 
у незнакомого...

С уважением, Вячеслав.

Re: [Sysadmins] Контролер домена

[Vyacheslav Brunev]

В сообщении от Thursday 14 August 2008 14:30:17 вы написали:

Вот ваш случай, думаю стоит ознакомится с этим:
http://lists.altlinux.org/pipermail/samba/2007-October/003492.html

Затем пополнить знания здесь:
http://us1.samba.org/samba/docs/man/Samba-Guide/unixclients.html#adssdm

И выкинув все Ваши старые конфигурационные файлы, начать всё с чистого листа. 
Уверен выполнив этот алгоритм работы добросовестно Вам легко всё удастся.

-- 
> В условиях катострофической нехватки времени знакомое зло всегда выигрывает 
у незнакомого...

С уважением, Вячеслав.

Re: [Sysadmins] Контролер домена

[Maks Re]

> nss_base_passwd         ou=users,dc=office,dc=perfect-ltd,dc=ru?one
> nss_base_shadow         ou=users,dc=office,dc=perfect-ltd,dc=ru?one
> nss_base_group          ou=groups,dc=office,dc=perfect-ltd,dc=ru?one
> nss_base_passwd         ou=computers,dc=office,dc=perfect-ltd,dc=ru?one

здесь нет очепятки?
т.е.   nss_base_passwd ишется в ou=users&computers?
хотя если ПК - это пользователь, то искать там имеет смысл,
вапрос - два указания где искать passwd - допустимо (т.е. два nss_base_passwd)?
/me пошел проверять на практике.



> А Ваш ОфисСервер4 из коробки заточен для работы в качестве Samba PDC с
> использованием базы данных LDAP?

именно это и хочется сделать.

> Эти параметры необходимы!
> Если Вы решили этим пренебречь, то мне нечем Вам помочь, набивайте шишки...
когда эти параметры были закомментированы, ведь каким-то образом
пользователей  из каталога ldap вытягивало...

Re: [Sysadmins] Контролер домена

[Maks Re]

я снова не могу интерпретировать ошибку...

# id sysop
uid=1000(sysop) gid=512(Domain Admins) groups=512(Domain Admins)

делаю
# net rpc join -W PERFECT -UsysopPaSsword
Creation of workstation account failed
Unable to join domain PERFECT.


в логах...
<----------------->
[2008/08/15 14:55:47, 2] lib/smbldap_util.c:smbldap_search_domain_info(256)
  smbldap_search_domain_info: Searching
for:[(&(objectClass=sambaDomain)(sambaDomainName=PERFECT))]
[2008/08/15 14:55:47, 2] passdb/pdb_ldap.c:init_ldap_from_sam(972)
  init_ldap_from_sam: Setting entry for user: srv-gw-1$
[2008/08/15 14:55:47, 3] passdb/pdb_ldap.c:ldapsam_create_user(4813)
  ldapsam_create_user: Creating new posix user
[2008/08/15 14:55:47, 3] smbd/sec_ctx.c:push_sec_ctx(208)
  push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 2
[2008/08/15 14:55:47, 3] smbd/uid.c:push_conn_ctx(358)
  push_conn_ctx(101) : conn_ctx_stack_ndx = 1
[2008/08/15 14:55:47, 3] smbd/sec_ctx.c:set_sec_ctx(241)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 2
[2008/08/15 14:55:47, 3] smbd/sec_ctx.c:pop_sec_ctx(356)
  pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 1
[2008/08/15 14:55:47, 3] passdb/lookup_sid.c:store_gid_sid_cache(1151)
  store_gid_sid_cache: gid 513 in cache ->
S-1-5-21-1851348703-3830549236-805131012-513
[2008/08/15 14:55:47, 0] passdb/pdb_ldap.c:ldapsam_create_user(4824)
  ldapsam_create_user: Unable to allocate a new user id: bailing out!
<----------------->

последняя строка... не могу интерпретировать ошибку...

-- 
С уважением,
 Макс.

Re: [Sysadmins] Контролер домена

[Maks Re]

> P.S.
> smbldap-tools я ни когда не использовал и ни кому не рекомендую, потому как
> криво ...
> Для себя я создал структуру сам, и у меня одна запись пользователя  для всех
> служб ...
> Со всеми необходимыми атрибутами ...

может тогда поделитесь, наработками...

а также интересует, какие скрипты используются при управлении
каталога, наподобие smbldap-useradd &etc

-- 
С уважением,
 Макс.

Re: [Sysadmins] Контролер домена

[Maks Re]

>> smbldap-tools я ни когда не использовал и ни кому не рекомендую, потому как
>> криво ...
>> Для себя я создал структуру сам, и у меня одна запись пользователя  для всех
>> служб ...
>> Со всеми необходимыми атрибутами ...
>

вообщем про smbldap-tools поведую, что сам накопал...

при вызове smbldap-useradd -w  test-srv - должна происходить
инициализация добавления записи имени ПК в ветку...
так и есть, добавляет... только вот не полностью как нужно...
в частности не добавляется объект  sambaSamAccount для данной записи...
соответственно, при поиске в каталоге, такая запись не считается
правильной, т.е. ищет по параметру SID, который не присвоен этой
записи

после проезживания "утюгом" по этой записи
smbldap-usermod -a testsrv$
все необходимые атрибуты появляются, в частности sambaSamAccount&SID
и тогда этот ПК можно долбавить в домен...

почему у меня не получилось сделать
net rpc join -Uuser%pass
не в курсе,
но после того, как я создал запись с именем ПК, (опять таки:
добавление и модификация записи) то этот ПК смог добавится к себе в
домен...


в общем - smbldap-tools не совсем готовы из коробки к использованию,
требуется:
1) или доработка из напильником
2) альтернативные скрипты



-- 
С уважением,
 Макс.

Re: [Sysadmins] Контролер домена

[Alexey Shabalin]

15 августа 2008 г. 17:32 пользователь Maks Re написал:
>>> smbldap-tools я ни когда не использовал и ни кому не рекомендую, потому как
>>> криво ...
>>> Для себя я создал структуру сам, и у меня одна запись пользователя  для всех
>>> служб ...
>>> Со всеми необходимыми атрибутами ...
>>
>
> вообщем про smbldap-tools поведую, что сам накопал...
>
> при вызове smbldap-useradd -w  test-srv - должна происходить
> инициализация добавления записи имени ПК в ветку...
> так и есть, добавляет... только вот не полностью как нужно...
> в частности не добавляется объект  sambaSamAccount для данной записи...
> соответственно, при поиске в каталоге, такая запись не считается
> правильной, т.е. ищет по параметру SID, который не присвоен этой
> записи
>
если я не ошибаюсь, то при добавлении машины в домен, samba сама
вписывает SID в каталог, т.е. утюгом ездить не надо.
Я помню, что у меня получалось добавлять машины в домен даже не
вызывая предварительно "smbldap-useradd -w namemachin" - самба сама
всё делала - добавляла в ldap. Как сейчас обстоят дела - точно не
знаю.

> после проезживания "утюгом" по этой записи
> smbldap-usermod -a testsrv$
> все необходимые атрибуты появляются, в частности sambaSamAccount&SID
> и тогда этот ПК можно долбавить в домен...
>
> почему у меня не получилось сделать
> net rpc join -Uuser%pass
> не в курсе,
> но после того, как я создал запись с именем ПК, (опять таки:
> добавление и модификация записи) то этот ПК смог добавится к себе в
> домен...
>
>
> в общем - smbldap-tools не совсем готовы из коробки к использованию,
> требуется:
> 1) или доработка из напильником
> 2) альтернативные скрипты


-- 
Alexey Shabalin

Re: [Sysadmins] Контролер домена

[Maks Re]

> если я не ошибаюсь, то при добавлении машины в домен, samba сама
> вписывает SID в каталог, т.е. утюгом ездить не надо.
> Я помню, что у меня получалось добавлять машины в домен даже не
> вызывая предварительно "smbldap-useradd -w namemachin" - самба сама
> всё делала - добавляла в ldap. Как сейчас обстоят дела - точно не
> знаю.

в смыле "самба сама"?

самба ж должна дабовить запись, но на основании чегото,
в данном случае, это скрипт  "smbldap-useradd -w namemachin"
но при вызове этого скрипта, создается элемент в каталоге без объекта
sambaSamAccount

дальнейшие манипуляции с элементом в каталоге основываются на поиске в
БД элементов, которые имеют sambaSamAccount...
т.е. созданный с "smbldap-useradd -w namemachin"
не является элементом для самбы, т.к. нету sambaSamAccount.



-- 
С уважением,
 Макс.

Re: [Sysadmins] Контролер домена

[Вадим Илларионов]

Yuri Bushmelev wrote:

> В сообщении от Среда 13 августа 2008 Андрей Анатолиевич . написал(a):
>> Интерестно ALT Linux думает выпускать, аналог Контролера доменов, ка кэто
>> делает Мандрива и Новел?

В принципе, ничего особенного, кроме ЛДАП и самбы, для этого не требуется.
А они есть. Как тот суслик, коего не видно.

> У меня есть подозрение, что оно не надо..

Есть подозрение, что вышеозвученное подозрение беспочвенно.

> Равно как и не надо контроллер домена (NT) делать на linux..

Прекрасно работает в нескольких конторах, где мною реализовался, от года до
пяти. Причём, с политиками.

> Всякой вещи - свое место. Раз уж используется виндовая сеть, то разумнее и
> домен держать на винде, дабы не создавать себе головную боль.

ТСО зашкаливает, если посчитать цены на виндовый сервер, железо для него, да
присовокупить сюда стоимость каждой лицензии. Да лицензия на антивирь к
оному серверу тоже денег стоит.
А если учесть, что при таком подходе придётся вести как минимум две базы
ЛДАП, то головняк, от коего бежим, обеспечен вдвойне.

_________________________________
С уважением,
Вадим Илларионов
системный администратор
ООО "Новые Системы Телеком"
UIN: 7899517
JID: master at usib dot irkps dot ru
Телефоны:
- рабочий    +7 495 6414045+5885
- мобильный  +7 916 3889337

Re: [Sysadmins] Контролер домена

[Вадим Илларионов]

Dmitriy Kruglikov wrote:

> а также интересует, какие скрипты используются при управлении
>> каталога, наподобие smbldap-useradd &etc
> gq+hands+brain

Два плюса.

В моём случае, правда, 's:gq:JXplorer:' КроссОСость порой востребована, увы.
Но и smbldap-tools не брезгую. А если вдруг возникают недоразумения с
означенным инструментарием, лезу в т.н. "перловую кашу" и перевариваю под
себя с добавлением ингредиентов по вкусу.
Впрочем, и коррекцией ЛДАПовых схем не гнушаюсь.
Вот такое я админ.
_________________________________
С уважением,
Вадим Илларионов
системный администратор
ООО "Новые Системы Телеком"
UIN: 7899517
JID: master at usib dot irkps dot ru
Телефоны:
- рабочий    +7 495 6414045+5885
- мобильный  +7 916 3889337

Re: [Sysadmins] Контролер домена

[Maxim Tyurin]

[-- Attachment #1: Type: text/plain, Size: 724 bytes --]

Вадим Илларионов пишет:
>> Всякой вещи - свое место. Раз уж используется виндовая сеть, то разумнее и
>> домен держать на винде, дабы не создавать себе головную боль.
> 
> ТСО зашкаливает, если посчитать цены на виндовый сервер, железо для него, да
> присовокупить сюда стоимость каждой лицензии. Да лицензия на антивирь к
> оному серверу тоже денег стоит.

Чем считали? Как? Для каких условий?

Не уподобляйтесь plz маркетолагам одной известной корпорации в
размахивании флагом с надписью "TCO".

> А если учесть, что при таком подходе придётся вести как минимум две базы
> ЛДАП, то головняк, от коего бежим, обеспечен вдвойне.

-- 

With Best Regards, Maxim Tyurin
JID:	MrKooll@jabber.pibhe.com
			


[-- Attachment #2: OpenPGP digital signature --]
[-- Type: application/pgp-signature, Size: 252 bytes --]