Достойный контроллер домена на Linux. (Подробный HowTo) (MDS, Ldap, Samba, Postfix, SQUID)
Модератор: Модераторы разделов
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Траблу нашел: для имени домена самбы дозволено лишь 8 символов. Если больше - невозможно добавить в домен.
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
домен работает круто. поставил со второго-третьего раза. на втором предприятии поставил уже с первого раза.
все супер.
и старые винды и новые и серверные входят в домен и работают нормально.
вопрос ко всем участникам ветки , да и форума: какие еще аналоги samba+mds (Чтобы была возможность ввести винду в домен именно НАТИВНО) существуют?
все супер.
и старые винды и новые и серверные входят в домен и работают нормально.
вопрос ко всем участникам ветки , да и форума: какие еще аналоги samba+mds (Чтобы была возможность ввести винду в домен именно НАТИВНО) существуют?
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
а ставил на каком debian 4, 5?
Бэкап - акт проявления трусости.
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Я ставил на Debian Lenny. На чистую ОС без иксов и прочей дребедени. Если доменное имя превышало 8 символов, то оно обрезалось до 8.Всё происходило следующим образом: если 8 символов и меньше, то кд в сети виделся следующим образом(из винды)
если больше, то
Обратите внимание, что имя домена самбы было написано слитно с Samba 3.2.5, причем имя домена обрезалось до 8 символов. При попытке ввести машину в домен винда сообщала, что имя домена не найдено. Тогда я попробовал ввести имя домена в обрезаном варианте - появилось приглашение с просьбой ввести реквизиты администратора домена, но, естественно, в домен добавить не удалось ввиду несогласованности самбы и LDAP. Внимательно почитав форум, я обнаружил, что тут у одного человека были такие проблемы, но ему никто не отписался. Я же наткнулся на эту проблему, когда переводил офис на работу по этой схеме, так как имя организации было больше 8 символов. Когда первый раз тестил эту схему - то имя домена было лишь 4 символа(TEST вместо ADSL)
Код: Выделить всё
Samba 3.2.5 Pdc-srv-xxxxxxxx
Код: Выделить всё
Pdc-srv-xxxxxxxxSamba 3.2.5
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Venegance писал(а): ↑14.12.2009 14:42Я ставил на Debian Lenny. На чистую ОС без иксов и прочей дребедени. Если доменное имя превышало 8 символов, то оно обрезалось до 8.Всё происходило следующим образом: если 8 символов и меньше, то кд в сети виделся следующим образом(из винды)
если больше, тоКод: Выделить всё
Samba 3.2.5 Pdc-srv-xxxxxxxx
Обратите внимание, что имя домена самбы было написано слитно с Samba 3.2.5, причем имя домена обрезалось до 8 символов. При попытке ввести машину в домен винда сообщала, что имя домена не найдено. Тогда я попробовал ввести имя домена в обрезаном варианте - появилось приглашение с просьбой ввести реквизиты администратора домена, но, естественно, в домен добавить не удалось ввиду несогласованности самбы и LDAP. Внимательно почитав форум, я обнаружил, что тут у одного человека были такие проблемы, но ему никто не отписался. Я же наткнулся на эту проблему, когда переводил офис на работу по этой схеме, так как имя организации было больше 8 символов. Когда первый раз тестил эту схему - то имя домена было лишь 4 символа(TEST вместо ADSL)Код: Выделить всё
Pdc-srv-xxxxxxxxSamba 3.2.5
У меня название домена - 11 символов, имя машины-PDC - 4 символа + описание ("Samba 3.4.2")
Машина в сети видится как - Samba 3.4.2 (хх01)
Имена виндовых клиентов разные, есть и более 10 символов.
Подобных проблем не возникало.
ЗЫ Используется Samba из testing-ветки, т.е. версия 3.4.х
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
поставил по инструкции, на дебиан итче.
сейчас хочу попробовать Calculate Server посмотрим что из этого выйдет
FDS смотрел такое говно!
сейчас хочу попробовать Calculate Server посмотрим что из этого выйдет
FDS смотрел такое говно!
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Подскажите такое, пожалуйста.
smbldap-useradd создает пользователя с uidNumber большим, чем нужно
Что и где покрутить, чтобы uidNumber у вновь создаваемых пользователей продолжался 1082, 1083, 1084 и т.д.
smbldap-useradd создает пользователя с uidNumber большим, чем нужно
Код: Выделить всё
getent passwd
kunitskaya:x:1080:513:Margarita L. Kunitskaya:/home/kunitskaya:/bin/bash
yarkina:x:1081:513:Irina V. Yarkina:/home/yarkina:/bin/bash
biryukova:x:1108:513:Olga A. Biryukova:/home/biryukova:/bin/bash
Что и где покрутить, чтобы uidNumber у вновь создаваемых пользователей продолжался 1082, 1083, 1084 и т.д.
-
- Сообщения: 3
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Кто нибудь пробовал создавать сетевые ресурсы при помощи MDS? При создании ресурса указывается группа администраторов и группа (как я понял) которой разрешен доступ к ресурсу. Но после создания ресурса к ресурсу ни кто кроме администраторов не может получить доступ. В конфиге самбы появляется запись о сетевом диске, но вот только записи о группе для которой открыта эта шара НИЧЕГО. Как с этим бороться? Есть выход если группу для которой открывается шара добавлять в администраторы сетевой папки то тогда все работает. Но зачем тогда было указано поле для ввода еще нескольких групп?
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Не совсем понял, а MDS бесплатный?
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Настроил на дебиане lenny 5.03, правда не ставил сквид и почтовик. Всё встало с первого раза, правда перемещаемый профиль в подключённой к домену винде ужасно глючил, никакие настройки не сохранялись и после третьего захода в систему вывалилась ошибка, что мол профиль не найден.
Думаю, стОит переписать статью с etch на lenny, первый как ни крути устарел уже.
В lenny есть один специфичный момент - bind9 из офф. репозиториев не понимает ldap. Рабочая версия бинда лежит в том же репозитории, что и пакеты python-mmc-*, единственное что нужно - удалить bind, запустить aptitude и жёстко указать в нём нужную версию, согласившись с предупреждениями. Также не помешает сделать hold этого пакета.
Думаю, стОит переписать статью с etch на lenny, первый как ни крути устарел уже.
В lenny есть один специфичный момент - bind9 из офф. репозиториев не понимает ldap. Рабочая версия бинда лежит в том же репозитории, что и пакеты python-mmc-*, единственное что нужно - удалить bind, запустить aptitude и жёстко указать в нём нужную версию, согласившись с предупреждениями. Также не помешает сделать hold этого пакета.
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
всем привет!
благодаря данной ветке, почти год назад поднял домен на ubuntu hardy
до сих пор все работает стабильно с набором мелких глюков, не мешающих жизни.
из крупных очень-неприятных-глюков были два случая пропажи информации с рабочего стола пользователя (этот пользователь использует свою учетку на многих компах)
сейчас потребовалось ввести в домен машинки с win7, и тут я уткнулся в необходимость использования самбы ветки 3.4.х
а в hardy самба только 3.0.28а
после ряда попыток поднять нужную версию самбы, я понял что в этом можно по уши закопаться
поэтому возник вариант №2: поднять параллельно домен на свежей версии Ubuntu, и, если получится, то потом просто подменить старый контроллер на новый.
отсюда вопрос:
подскажите пожалуйста алгоритм переноса базы учеток и всего что необходимо со старой машины на новую. то есть, как правильно создать свежую копию старого домена?
благодаря данной ветке, почти год назад поднял домен на ubuntu hardy
до сих пор все работает стабильно с набором мелких глюков, не мешающих жизни.
из крупных очень-неприятных-глюков были два случая пропажи информации с рабочего стола пользователя (этот пользователь использует свою учетку на многих компах)
сейчас потребовалось ввести в домен машинки с win7, и тут я уткнулся в необходимость использования самбы ветки 3.4.х
а в hardy самба только 3.0.28а
после ряда попыток поднять нужную версию самбы, я понял что в этом можно по уши закопаться
поэтому возник вариант №2: поднять параллельно домен на свежей версии Ubuntu, и, если получится, то потом просто подменить старый контроллер на новый.
отсюда вопрос:
подскажите пожалуйста алгоритм переноса базы учеток и всего что необходимо со старой машины на новую. то есть, как правильно создать свежую копию старого домена?
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Всем привет.
Спасибо автору за пост.
Собрал с первого раза без явных ошибок. Возникли проблемы когда попытался загнать машину под вондой хр в домен, под учёткой administrator комп вгоняется. После перезагрузки пытаюсь зайти под новой учёткой, не пускает, под админитсратором тоже, пишет проверте правильность ввода домена или пароля, пускает только под локальной учёткой. Зашёл на комп под локальной учёткой, попытался достать из домена, после ввода пароля администратора, пишет что не найден указанный модуль. Где косяк? собирал второй раз, тоже самое, ос Debian GNU/Linux 5.0.4 (lenny).
Спасибо автору за пост.
Собрал с первого раза без явных ошибок. Возникли проблемы когда попытался загнать машину под вондой хр в домен, под учёткой administrator комп вгоняется. После перезагрузки пытаюсь зайти под новой учёткой, не пускает, под админитсратором тоже, пишет проверте правильность ввода домена или пароля, пускает только под локальной учёткой. Зашёл на комп под локальной учёткой, попытался достать из домена, после ввода пароля администратора, пишет что не найден указанный модуль. Где косяк? собирал второй раз, тоже самое, ос Debian GNU/Linux 5.0.4 (lenny).
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Народ в чем может быть проблема. Поставил все по мануалу на debian lenny. Ошибок в ходе установки вобщем то не было. После того как все поставил, решил войти с ХР в домен по учеткой администратора и ввести 1 пользователя. Но непускает даже под админом. Все вроде настроено правильно, почему не пускает непонятно?
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Помогите ввести в домен пк с ubuntu 9.10, контроллер которого настроен по этому мануалу.
Через likewise-open не получается, выдаёт следующую ошибку:
из этих портов на сервере открыт только 389 (ldap)
Через likewise-open не получается, выдаёт следующую ошибку:
Код: Выделить всё
The configuration stage 'open ports to DC' cannot be completed automatically. Please manually perform the following steps and rerun the domain join:
Some required ports on the domain controller could not be contacted. Please update your firewall settings to ensure that the following ports are open to 'domain.local':
88 UDP
389 UDP
464 UDP
88 TCP
464 TCP
из этих портов на сервере открыт только 389 (ldap)
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
likewise для ad, а не для nt4/smb
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Код: Выделить всё
aleksey@deb:~$ uptime
12:03:54 up 405 days, 23:59, 1 user, load average: 0.02, 0.04, 0.01
aleksey@deb:~$
Полет нормальный. Есть маленькие траблы с клиентами, но это пустяки...
Еще раз Респект автору
laptop: Ubuntu 8.04 work: openSuSE 11.1, Debian 5.01 lenny
-
- Сообщения: 139
- ОС: xubuntu 12.10
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Почему-то споткнулся на шаге с апачем (веб-интерфейс то бишь).
/etc/apache2/sites-available/http:
Первая часть конфига - это перенаправление с заблокированных страниц (для сквида), как я понимаю, вторая должна перенаправлять на https.
/etc/apache2/sites-available/https:
/etc/apache2/sites-enabled/http:
Пытаюсь перезапустить apache с этими конфигами - упорно пишет вот такую ерундень:
Хотя конфиги точь-в-точь как здесь, менял только сетевые имена и айпишники.
UPD: поскольку за 5 дней никто так и не ответил, выношу вопрос в отдельную тему в "Администрировании".
/etc/apache2/sites-available/http:
Код:
NameVirtualHost 192.168.100.120:80
ServerName blocked.class232.local
ServerAdmin Administrator@class232.local
DocumentRoot /var/www/squidguard/
AddHandler cgi-script .cgi
AllowOverride None
Options ExecCGI
Order allow,deny
Allow from 192.168.100.0/24
ErrorLog /var/log/apache2/squidguard_error.log
CustomLog /var/log/apache2/squidguard_access.log combined
LogLevel warn
ServerName pdc.class232.local
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
Первая часть конфига - это перенаправление с заблокированных страниц (для сквида), как я понимаю, вторая должна перенаправлять на https.
/etc/apache2/sites-available/https:
Код:
NameVirtualHost 192.168.100.120:443
ServerName pdc.class232.local
ServerAdmin Administrator@class232.local
DocumentRoot /usr/share/mmc/
SSLEngine on
SSLCertificateKeyFile ssl/server.key
SSLCertificateFile ssl/server.crt
SSLProtocol all
SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
AllowOverride None
Order allow,deny
Allow from 192.168.100.0/24
php_flag short_open_tag on
SSLRequire %{SSL_CIPHER_USEKEYSIZE} >= 128
ErrorLog /var/log/apache2/mmc_error.log
CustomLog /var/log/apache2/mmc_access.log combined
LogLevel warn
/etc/apache2/sites-enabled/http:
Код:
NameVirtualHost 192.168.100.120:80
ServerName blocked.class232.local
ServerAdmin Administrator@class232.local
DocumentRoot /var/www/squidguard/
AddHandler cgi-script .cgi
AllowOverride None
Options ExecCGI
Order allow,deny
Allow from 192.168.100.0/24
ErrorLog /var/log/apache2/squidguard_error.log
CustomLog /var/log/apache2/squidguard_access.log combined
LogLevel warn
ServerName pdc.class232.local
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
Пытаюсь перезапустить apache с этими конфигами - упорно пишет вот такую ерундень:
Код:
pdc:~# /etc/init.d/apache2 restart
Restarting web server: apache2Syntax error on line 6 of /etc/apache2/sites-enabled/http:
AllowOverride not allowed here
failed!
Хотя конфиги точь-в-точь как здесь, менял только сетевые имена и айпишники.
UPD: поскольку за 5 дней никто так и не ответил, выношу вопрос в отдельную тему в "Администрировании".
-
- Сообщения: 16
- ОС: Ubuntu 10.04 Beta 2
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Ачуметь!!! =) Поднял! пару дней полёт нормальный. для поднимающих по этому мануалу скажу что после того как я повторил всё предложенное автором в первый раз ничего не получилось, скорее всего я просто где-то ошибся когда вводил команды может ещё что, но в конце меня не пускала MMC. Я слил все свои конфиги (копи\паст предложенных автором почти на 100%) и повторил всё ещё раз более внимательно. Но так как причину первой неудачной установки я не знал то предпринял кое какие меры:
1. Переделал конфиг самбы: я взял оригинальный и тех строк что не хватало добавил не в середине как примерно выглядит у автора а в самый низ секции [global]
2. я поднимал на lenny. первый неудачный раз использовал репозитории от etch возможно это стало ошибкой, второй раз использовал эти.
Во время установки вместо libsasl2 нужно указать libsasl2-2. Так же не обнаружился пакет unzoo, ничего похожего не оказалось поэтому я просто проигнорировал это. Предполагаю что это анпакер файлов zoo, где они применяются и чем мне грозит его отсутствие?
3. dcc-client и server при установке сказали что хотят ещё dcc-common и -milter, последний в свою очередь ещё и сендмейл попросил. В первый раз я покорно всё установил. Во второй просто влепил их всех четверых с опцией --force - вроде всё пашет (хотелось бы подробностей по этому пункту, правильно ли я сделал)
4. Самый распространённый глюк тут у всех это chown -R :"Domain Users" /home/samba/. Я делал так:
- дошёл до этого шага полностью выполнив настройку самбы
- затем перешёл к настройке pam ldap
- попробовал таки сменить права - не вышло, перезагрузился и всё прошло на ура.
5. в конфиге slapd у меня не определяет параметр schemacheck on - я его как тут советуют закоментировал. Сheckpoint 512 30 оставил, вроде и с ним работает.
Ну вот вроде все траблы с которыми столкнулся при сборке на lenny. Автору мегареспект , мануал на данный момент практически идеален, все недочеты в теме уже описаны поэтому можно разобраться хотя 7 страниц я замучался читать, надо бы решения либо в статью перенести либо ниже немного =)
1. Переделал конфиг самбы: я взял оригинальный и тех строк что не хватало добавил не в середине как примерно выглядит у автора а в самый низ секции [global]
2. я поднимал на lenny. первый неудачный раз использовал репозитории от etch возможно это стало ошибкой, второй раз использовал эти.
Код: Выделить всё
deb http://security.debian.org/ lenny/updates main contrib
deb-src http://security.debian.org/ lenny/updates main contrib
deb http://ftp.de.debian.org/debian lenny main
deb http://mds.mandriva.org/pub/mds/debian lenny main
Во время установки вместо libsasl2 нужно указать libsasl2-2. Так же не обнаружился пакет unzoo, ничего похожего не оказалось поэтому я просто проигнорировал это. Предполагаю что это анпакер файлов zoo, где они применяются и чем мне грозит его отсутствие?
3. dcc-client и server при установке сказали что хотят ещё dcc-common и -milter, последний в свою очередь ещё и сендмейл попросил. В первый раз я покорно всё установил. Во второй просто влепил их всех четверых с опцией --force - вроде всё пашет (хотелось бы подробностей по этому пункту, правильно ли я сделал)
4. Самый распространённый глюк тут у всех это chown -R :"Domain Users" /home/samba/. Я делал так:
- дошёл до этого шага полностью выполнив настройку самбы
- затем перешёл к настройке pam ldap
- попробовал таки сменить права - не вышло, перезагрузился и всё прошло на ура.
5. в конфиге slapd у меня не определяет параметр schemacheck on - я его как тут советуют закоментировал. Сheckpoint 512 30 оставил, вроде и с ним работает.
Ну вот вроде все траблы с которыми столкнулся при сборке на lenny. Автору мегареспект , мануал на данный момент практически идеален, все недочеты в теме уже описаны поэтому можно разобраться хотя 7 страниц я замучался читать, надо бы решения либо в статью перенести либо ниже немного =)
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Автору + все хорошо.. только есть маленький вопрос. по ссылке на Poledit нет файла winnt.adm .. пытался найти в гуглях ничего хорошего не нашел. может кто выкинет архивчик?
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Всем привет
Автору отдельное СПАСИБО!!! Все установилось, все почти работает, пользователи создаются, в домен пускает, сетевой диск подключается, на шары доступ есть, а вот профиль не сохраняется, подскажите где копать?
Автору отдельное СПАСИБО!!! Все установилось, все почти работает, пользователи создаются, в домен пускает, сетевой диск подключается, на шары доступ есть, а вот профиль не сохраняется, подскажите где копать?
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
ulan44
задайте вопрос в Администрирование
там скорее найдётся знаток ldap-а.
upd. а лучше я сейчас отрежу ваш вопрос в новую тему.
done. пользователи ldap
задайте вопрос в Администрирование
там скорее найдётся знаток ldap-а.
upd. а лучше я сейчас отрежу ваш вопрос в новую тему.
done. пользователи ldap
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
при сбоях форума см.блог
-
- Сообщения: 8
- ОС: SLES SLED
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
никто не пробовал новый релиз?
2.4
2.4
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Все конечно хорошо что все хорошо работает =) но есть затык с Windows 7 оно никак не хочет заходить в домен
Почитал гугл и гугл мне ответил что 1 нужно копаться в реестре и сделать пару настроек
после чего у меня в домен все таки зашла тачка с виндовс7 =) но при логине пользователя говорит что нету доверительных отношений
Далее опять полез в гугл и гугл мне ответил что нужно поставить Samba 3.3 и выше а в Дебиане стоит 3,2,5
Где взять пакеты ?
Почитал гугл и гугл мне ответил что 1 нужно копаться в реестре и сделать пару настроек
после чего у меня в домен все таки зашла тачка с виндовс7 =) но при логине пользователя говорит что нету доверительных отношений
Далее опять полез в гугл и гугл мне ответил что нужно поставить Samba 3.3 и выше а в Дебиане стоит 3,2,5
Где взять пакеты ?
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
А кто-нибудь привязывал модуль ppolice ?
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
для lenny есть репозиторий backports. а в нём есть samba 3.4.8: http://packages.debian.org/search?suite=le...;keywords=samba
подключение репозитория: http://wiki.debian.org/Backports
(пожалуй, для наших палестин лучше всего подойдёт яндексовское зеркало — http://mirror.yandex.ru/backports.org/)
Писать безграмотно - значит посягать на время людей, к которым мы адресуемся, а потому совершенно недопустимо в правильно организованном обществе. © Щерба Л. В., 1957
при сбоях форума см.блог
при сбоях форума см.блог
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Вобщем вопрос: если я сделаю экспорт базы ldap и прикручу модуль ppolice, а потом обратно импортирую базу, то будет ли она работоспособной ?
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Вобщем прикрутил я модуль ppolicy, но такое ощушение двоякое =) вроде как работает, задаешь параметры для пользователя, существование пароля не более 100секунд и чего-то не просит о смене пароля =(
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
ставил по инструкции на debian504
отсутвуют некоторые файлы в /usr/share/doc/python-mmc-base
где взять? как исправить?
отсутвуют некоторые файлы в /usr/share/doc/python-mmc-base
где взять? как исправить?