Страница 2 из 10
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 23.01.2009 10:04
default
HidX писал(а): ↑22.01.2009 22:17
Очень странно. Смотрел логи? самбы и суслога? Есть ли там ошибки?
id Administrator что говорит? Он должен входить в группу Domain Users.
лог самбы пустой, в syslog же вот что кажется подозрительным:
Код: Выделить всё
Jan 23 12:01:52 pdc slapd[2178]: <= bdb_equality_candidates: (sambaGroupType) index_param failed (18)
Jan 23 12:01:52 pdc slapd[2178]: <= bdb_equality_candidates: (sambaSIDList) index_param failed (18)
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 23.01.2009 12:39
HidX
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 23.01.2009 14:58
Ariasp
default писал(а): ↑22.01.2009 21:27
в каждом случае на смене группы /home/samba вываливается ошибка
элементарно ->
chgrp Domain
\ Users ..............
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 26.01.2009 16:50
ra5a
default писал(а): ↑20.01.2009 16:02
не пускает в систему ни под одним пользователем, делал все точно по инструкции, нигде проблем не возникало, в чем может быть проблема?
ТО ЖЕ САМОЕ : ((
Сделал все как описано. Debian 4.0 r6. Update1 не ставил.
Ошибок не было. Ругался питон и mmc на php5-xmlrpc но apt-get -f install все исправил. И вот после финальной перезагрузки (после окончания конфигурирования самбы) - не пускает ни под каким юзером.
В сингл мод пускает под рутом.
Получается, что когда тачка сама входит в свой домен, то войти на комп уже не получается. В чем может быть дело? Почему не получается залогиниться, если тачка загружается в домен?
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 26.01.2009 17:49
ra5a
ra5a писал(а): ↑26.01.2009 16:50
default писал(а): ↑20.01.2009 16:02
не пускает в систему ни под одним пользователем, делал все точно по инструкции, нигде проблем не возникало, в чем может быть проблема?
ТО ЖЕ САМОЕ : ((
Сделал все как описано. Debian 4.0 r6. Update1 не ставил.
Ошибок не было. Ругался питон и mmc на php5-xmlrpc но apt-get -f install все исправил. И вот после финальной перезагрузки (после окончания конфигурирования самбы) - не пускает ни под каким юзером.
В сингл мод пускает под рутом.
Получается, что когда тачка сама входит в свой домен, то войти на комп уже не получается. В чем может быть дело? Почему не получается залогиниться, если тачка загружается в домен?
не надо путать в PAMе required и sufficient :-D
default, не надо копипастить PAM-конфиги
Кстати, мне на контроллере домена не нужны интернет, почта, антивирус, и dhcp. так что я уже при установке пакетов повычеркивал из команд все постфиксы, dovecotы, кламавы и прочую муть.
иду дальше, начинаю bind )
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 26.01.2009 20:52
sdukshis
Во-первых хотелось бы поблагодарить за такой полный How-To
Во-вторых задать вопрос по поводу перемещаемых профилей.
Как я понимаю у Вас профили копируются на клиентскую машину при входе пользователя в домен.
Подскажите нормально ли справляется с этим сервер, и не кажется ли Вам более логичным подключать некоторые элементы профиля как автономные сетевые диски?
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 30.01.2009 10:12
default
ra5a писал(а): ↑26.01.2009 17:49
не надо путать в PAMе required и sufficient :-D
а можно поподробнее?
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 01.02.2009 14:08
HidX
sdukshis писал(а): ↑26.01.2009 20:52
Во-первых хотелось бы поблагодарить за такой полный How-To
Во-вторых задать вопрос по поводу перемещаемых профилей.
Как я понимаю у Вас профили копируются на клиентскую машину при входе пользователя в домен.
Подскажите нормально ли справляется с этим сервер, и не кажется ли Вам более логичным подключать некоторые элементы профиля как автономные сетевые диски?
Так и есть, профили синхронизируются при входе и выходе пользователя. Сервер справляется с этим отлично, при первой синхронизации пользователя, создается копия его профиля на сервере, на нее назначается специальные права...
По поводу дисков неочень понимаю логики. У пользователя же есть локальная копия профиля, зачем ему еще подключать сетевой диск с элементом профиля который на сервере?
В любом случае вы можите подключить сетевым диском все что угодно. Это право выбора каждого администратора. Некоторые подключают личную папку на сервере аля "сетевая флешка", а некоторые личную папку в сетевом обменнике.
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 05.02.2009 16:55
Ins
Товарищи в целом, и автор в частности. Как быть? После настроек pam и ребута не пускает не под одним юзером. Пытался даже не переписывать конфиги, а цельно использовать автора, с его доменом, паролем и всем прочим... Помогите найти выход.
Заранее благодарен
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 05.02.2009 19:03
veta1
В статье есть небольшая ошибка. После установки всех пакетов, при конфигурации Libnss-LDP, автор предлагает ввести ввести имя базы dc=ads,dc=com. А нужно dc=adsl,dc=com. Я, по неопытности, записал как предлагалось в статье и поздже не смог выполнить шаг chown -R :"Domain Users" /home/samba/. У меня вываливалось сообщение "chown: `:Domain Users': неверная группа". После исправления в /etc/pam_ldap.conf и /etc/libnss-ldap.conf опции base dc=ads,dc=com на base dc=adsl,dc=com, смог продолжить установку и настройку. Может, кому нибудь это поможет.
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 06.02.2009 13:05
default
veta1 писал(а): ↑05.02.2009 19:03
В статье есть небольшая ошибка. После установки всех пакетов, при конфигурации Libnss-LDP, автор предлагает ввести ввести имя базы dc=ads,dc=com. А нужно dc=adsl,dc=com. Я, по неопытности, записал как предлагалось в статье и поздже не смог выполнить шаг chown -R :"Domain Users" /home/samba/. У меня вываливалось сообщение "chown: `:Domain Users': неверная группа". После исправления в /etc/pam_ldap.conf и /etc/libnss-ldap.conf опции base dc=ads,dc=com на base dc=adsl,dc=com, смог продолжить установку и настройку. Может, кому нибудь это поможет.
Пытался настроить все это как только тема появилась, не получалось, не мог разобраться почему, сегодня еще раз попробовал, и без всяких проблем сервер поднялся =) Возможно тем у кого что то не получается нужно попробовать собрать все еще раз с нуля, ну и обращать внимание на дату редактирования.
Автору большое спасибо, в выходные буду тестить
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 06.02.2009 13:07
Ins
Тест конфига самбы:
Код: Выделить всё
Load smb config files from /etc/samba/smb.conf
WARNING: The "acl group control" option is deprecated
Processing section "[homes]"
Processing section "[public]"
Processing section "[archives]"
Processing section "[printers]"
Processing section "[print$]"
Processing section "[netlogon]"
Processing section "[profiles]"
Processing section "[partage]"
Processing section "[www]"
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC
Press enter to see a dump of your service definitions
Пугает WARNING и Server role: ROLE_DOMAIN_PDC, разве в место PDC не должно быть имя моей машины?
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 06.02.2009 15:38
kawey
Огромное спасибо за статью!
Искал подобные тексты, но все они датированы 3-5-ти летней давностью...
Конечно, цель статьи настроить, а не рассуждать стоит ли ставить, но тут кто-то кричал про деньги, так вот:
1. Лицензия на Windows Server 2003 c 5-ю клиентами стоит 32.000 за OEM и 46.000 за BOX.
2. Клиентские лицензии по 6.000 за 5 CAL.
уже здесь мы имеем зашкалившую сумму, а если у нас 100 машин как у автора?
Можно и старый 2000-й сервер взять, но на сегодня только ОЕМ. И опять же CALs....
Еще хотел сказать по поводу перемещаемых профилей - даже в документации к Win там много сложных моментов о том какие части стоит включать в перемещаемую часть, а какцю не стоит, что будет если профиль не выгрузился обратно (ноутбук покинул сеть, сбой сети) и проблемы их последующей синхронизации [если он начат заново на другой машине]. Я лично еще тогда забил на них. Скользкая тема.
Я не против командной строки для администрирования, ну на фиг эти размазанные GUI, но почему, учитывая наличие всех нужных систем и инструментов никто не может собрать это в одну кучу?
поправть конфиг там, поправь сям, это перезагрузи, то перезупусти, для этого докачай то, для того сё... МРАК.
Даже на простом 4-м пне можно запустить VMWARE SERVER или XEN и на его базе собрать качественную инфру:
ВиртМашина А - LDAP
ВиртМашина B - SAMBA-PDC
ВиртМашина C - SAMBA-SHARES
ВиртМашина D - OPENEXCAHGE
ВиртМашина E - MAIL
ВиртМашина А - DHCP+DNS
На базе отдельной физ машины шлюз с прозрачным или auth сквидом (тот же IPcop Linux подойдет)
все авторизируются через LDAP - как сервисы своих клиентов, так и клиенты Linux Workstationы.
отдельно еще можно BACKUP сервер для конфигов и LDAP базы сделать для параноиков (хоть на PII).
Сдесь вам и безопасность - 1 сервис - 1 система и гибкость:
сменить платворму на более мощную без переустановки всех сервисов, еще один XEN/VMSERVER и мигрировать часть если не хватает можностей.
Чтобы не было лишних комментов:
VMSERVER бесплатный,
XEN открытый,
Win SErver 2008 тоже с гипервизором.
CentOS - XEN работает в два прихлопа
VMSERVER - скачал, запустил, работает где угодно
Win - надо заплатить, но надеюсь тоже без гимора запустится.
Лично я вижу проблему лишь в настройке. Меня не напрягает 1-2 дня для запуска, но ПУГАЕТ если что-то рухнет - это опять 1-2 дня простоя.
Под РУХНЕТ я понимаю физический сбой, всетаки, не кричите, нагруженная сервисами Win больше 2-3 лет не держится, против *nix-ов..
Раз в год-два мать, БП или HDD - хоть кто-нибудь да сдохнет...
С проприетарным хуже - к моменту "все рухнет" может умереть OEM лицензия вместе с материнской платой - цена экономии на BOX.
С новой OS не будет работать старые сервисы - опять деньги...
Со свободным - всегда можно поставить все тоже что и было. Главное чтобы это устраивало.
В SAMBA меня напрягает заводить пользователей дважды из-за несовпадения типов паролей. LDAP круто все меняет и можно уже без проблем разнести одну САМБУ на ДВЕ - авторизация и файлы - и не забивать 1.000.000 пользователей.
Кто-то говорил, что самба это только для гибридных сетей,
а есть ли сегодня способ разделять доступ к файлам сучше сем CIFS?
ТО-то же...
Дождемся ли мы 4-й САМБЫ. Я даже готов потерпеть годик... Прожу не комментировать эту фразу. Пожулуйста. Google вам в помощь.
Кста, Mandriva Directory Server стоит что-то около 5.000 р. Если лень и деньги в наличии, можно даже не напрягаться.
Но лично мне MDS напоминает жирного программиста - толстый и неуклюжий. Хотя многое умеет.
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 06.02.2009 15:54
kawey
Возможно будет интересно начинающим - OpenLDAP прост как 3 копейки.
Если не настраивать шифрование трафика, то нужны
файлы-схемы - что-то уже есть, что-то берерется из пакетов BIND, SAMBA и т.д.
в файле настройти указать все нужные схемы (ну или все что есть), пару технических моментов, пароль - хоть в отрытой форме (но лучше не надо).
Индексы для ускорения, права доступа помимо rootDN - это все бонусы.
Все. можно запускать.
А теперь когда нужно в него что-то папихать, таже история, что и с OGG vorbis - хорош, но инструментов ноль.
Лично я столкнулся с тем, что это не SQL, и создать контейнер и наполнить его за один раз нельзя.
Т.е. в одном LDIF файле написать все что нужно и скормить его SLAPD-у.
Прийдется инструкция за инструкцией.
Все-таки LDAP проектировался для структурированного хранения данных в режиме чтения.
Запись здесь редкий гость.
пробовал PHP LDAPAdmin - вроде неплохо.
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 06.02.2009 21:44
sdukshis
kawey писал(а): ↑06.02.2009 15:38
а есть ли сегодня способ разделять доступ к файлам сучше сем CIFS?
Есть более старый, но не менее удобный протокол nfs.
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 06.02.2009 22:27
HidX
Ins писал(а): ↑06.02.2009 13:07
Пугает WARNING и Server role: ROLE_DOMAIN_PDC, разве в место PDC не должно быть имя моей машины?
Нет. Должно быть именно ROLE_DOMAIN_PDC. про варнинг - закоменти пока строку acl group control в самбе конфиге.
kawey Столько много написано.... Со многим я согласшусь с вами. Но есть так же спорные моменты, обсуждать их можно вечно.
По поводу самбы 4, сам её жду... не дождусь. Её делают уже года 3 правда...
КСТАТИ. ПО поводу денег и этого проекта. Вы можете глянуть, сколько стоит внедрение Mandriva Directory в компании.
http://www.linuxcenter.ru/shop/distros/lin...DS_Starter_Kit/
Вот тут всё хорошо описано.
Цена - почти 100 000 руб.
За эти деньги вы получите:
Однодневный тренинг для технического персонала клиента,.
Установка Mandriva Directory Server на сервере, установка необходимого ПО на 20 рабочих станциях.
Тоесть примерно всё то что мы проделываем в данном проекте....
И хотелось бы напомнить, что Active Directory базируется на Ldap стандартах. Собственно через обычный Ldap admin можно править всю базу а.д. (Но не желательно).
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 08.02.2009 21:14
Ariasp
kawey писал(а): ↑06.02.2009 15:54
Лично я столкнулся с тем, что
это не SQL, и создать контейнер и наполнить его за один раз нельзя.
Т.е. в одном LDIF файле написать все что нужно и скормить его SLAPD-у.
Прийдется инструкция за инструкцией.
Вот те раз, что же тогда делает slapcat, если не создаёт единый ldif-файл со всеми необходимыми данными? Только из одного этого следует, что указанная возможность есть. Тут главное в правильном порядке разместить в ldif-файле добавление новых элементов.
пробовал PHP LDAPAdmin - вроде неплохо.
Если кому тяжело работать с лдапом из консоли и составлять ldif-файлы, то есть вполне симпатичный gui-инструмент для управления лдап-каталогом:
http://www.mcs.anl.gov/~gawor/ldap/
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 09.02.2009 11:25
Ins
Удалось все завести по данному мануалу
Mandriva Directory Server On Debian Etch
Конфиги немного отличаются от конфигов автора, но не возникло проблем после настройки pam.
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 11.02.2009 15:23
Boratinka
Интересует на каком оборудовании реализован PDC , сколько весят пользовательские папки и т.д. и как можно поподробнее.... заранее спасибо!
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 12.02.2009 14:27
Ins
Пересобрал под корпоративную сеть. Все завелось, рад. Но есть проблема с dhcp сервером. При установке софта apt-get ругался что не видет пакета dhcp3-server-ldap, пришлось устанавливать без него. И теперь не могу стартануть dhcp сервер, ругается на конфиг. Пытался поставить такой же пакет от ubuntu но он ругался что зависимости версией ниже. Скачивал пакет со всеми зависимостями, ставил, и система умирала. Требуется пакет версии 3.0.4-13 под amd64
Подскажите где достать пакетик можно?
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 12.02.2009 18:31
ITprofi
А каким образом организовать аутентификацию в домене на samba через ldap так чтобы дополнительно не создавать системных аккаунтов? Иначе IMHO нет смысла в ldap
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 14.02.2009 14:47
Ins
Товарищи гуру, подскажите по самбе.
Смотрю конфы, читаю мануалы но не могу понять, как сделать в данной связке чтоб при вступлении в домен монтировался не только home каталог, но еще два каталога с правами на чтение/запись
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 15.02.2009 22:04
кодировщик
Что не могу вкурить, точно по описи
Код: Выделить всё
chown -R :"Domain Users" /home/samba/
chown: `:Domain Users': неверная группа
net -U Administrator rpc rights grant 'ADSL\Domain Admins' SeMachineAccountPrivilege
Password:
Could not connect to server 127.0.0.1
The username or password was not correct.
Connection failed: NT_STATUS_LOGON_FAILURE
Чо это?! Кто настраивал подскажите.
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 22.02.2009 13:53
fedorets82
default писал(а): ↑20.01.2009 16:02
возникла проблема после
chown -R :"Domain Users" /home/samba/ - появлялась ошибка chown `:Domain Users': invalid group
создал эту группу вручную, ошибка исчезла, но после перезагрузки о которой говорится тут
После этой надстроки. Мы должны ОБЯЗАТЕЛЬНО перезагрузиться.
не пускает в систему ни под одним пользователем, делал все точно по инструкции, нигде проблем не возникало, в чем может быть проблема?
Проблема втом, что сначала надо настроить PAM & LDAP - а затем выполнять этот шаг (во всяком случае в lenny)
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 22.02.2009 14:21
fedorets82
Здесь описал настройки для lenny (рабботает на VMWare 2.0) -
http://stragaw.blogspot.com/2009/02/mandri...mds-vmware.html
Есть несколько отличий в настройка (если надо кому - собиру в кучу и выложу, там изменились пакеты и т.д.)
НО главное - bind9 (под lenny) напрочь не знает о точ что такое ldap!!!
В конфигах сейчас прописанно так:
zone "0.168.192.in-addr.arpa" {
type master;
database "ldap ldap://127.0.0.1/ou=DNS,dc=example,dc=com????!bindname=cn%3Dadmin%2C%20dc%3Dexample%2C%20dc%3Dcom,!x-bindpw=secret 172800";
notify yes;
};
В логи пишется вот что:
-------------
named[11177]: zone 127.in-addr.arpa/IN: loaded serial 1
named[11177]: unsupported database type 'ldap'
named[11177]: zone 1.168.192.in-addr.arpa/IN: loading zone: creating database: not found
-------------
Если указываю тип file - все ок.
ldap настроен правильно (во всяком случае samba PDC\DHCP и т.д. работает отлично)
У кого какие мысли?
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 22.02.2009 14:46
HidX
кодировщик писал(а): ↑15.02.2009 22:04
Что не могу вкурить, точно по описи
Код: Выделить всё
chown -R :"Domain Users" /home/samba/
chown: `:Domain Users': неверная группа
net -U Administrator rpc rights grant 'ADSL\Domain Admins' SeMachineAccountPrivilege
Password:
Could not connect to server 127.0.0.1
The username or password was not correct.
Connection failed: NT_STATUS_LOGON_FAILURE
Чо это?! Кто настраивал подскажите.
Глянь конфиг самбы и slapd.
Была такая проблемма из-за последовательности в переменных конфига самбы. Проследи, чтобы последовательность преременных была такая же, как и в статье.
Ins Вообще это будет сделать легче через netlogon скрипт. (обычным батником)
fedorets82 На самом деле, в декабре поднимал MDS по этой же статье на lenny testing. bind без проблем заработал. Были проблемы с devcot.
На версии Lenny 5.0 Stable ещё не пробовал, но при случае попробую.
Щас вот копался с ntlm аутентификацией сквида.... это полная муть. Как же winbind не любит, когда самба - контроллер домена. Но в итоге всё получилось.
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 23.02.2009 08:37
fedorets82
HidX писал(а): ↑22.02.2009 14:46
fedorets82 На самом деле, в декабре поднимал MDS по этой же статье на lenny testing. bind без проблем заработал. Были проблемы с devcot.
На версии Lenny 5.0 Stable ещё не пробовал, но при случае попробую.
Есть мысль вместо бинда PowerDNS прикрутить. Если будет время сегодня попробую. О результатах отпишусь...
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 24.02.2009 08:49
fedorets82
Кажется разобрался c проблемой bind9 и ldap. Разработчики OpenSuse используют для bind9 патч вот от сюда
http://bind9-ldap.bayour.com/
Поступим и мы так же. Я взял патч версии release 1.0
#cd /usr/src/
#apt-get source bind9
#cd bind9*
#wget -c
http://bind9-ldap.bayour.com/bind-sdb-ldap-1.0.tar.gz
#tar zxvf bind-sdb-ldap-1.0.tar.gz
#cp ./bind-sdb-ldap-1.0/ldapdb.c ./bin/named
#cp ./bind-sdb-ldap-1.0/ldapdb.h ./bin/named/include
Дальше отредактируем vim ./bin/named/Makefile.in:
#
# Add database drivers here.
#
DBDRIVER_OBJS = ldapdb.@O@
DBDRIVER_SRCS = ldapdb.c
DBDRIVER_INCLUDES = -I/usr/local/include
DBDRIVER_LIBS = -L/usr/local/lib -lldap -llber -lresolv
И отредактируем последний файлик vim ./bin/named/main.c:
После строчки "#include "xxdb.h"" добавляем:
#include
После "xxdb_init();" добавим:
ldapdb_init();
А после "xxdb_clear();":
ldapdb_clear();
И собираем:
#./configure && make && make install
По хорошему в configure надо было задать префиксы путей, но я пока собираю просто для тестов, да и snapshot в VMware только сделал =)
#rm /usr/sbin/named && rm /usr/sbin/named-checkconf && rm /usr/sbin/named-checkzone
#ln -s /usr/local/sbin/named /usr/sbin/named
#ln -s /usr/local/sbin/named-checkconf /usr/sbin/named-checkconf
#ln -s /usr/local/sbin/named-checkzone /usr/sbin/named-checkzone
#ln -s /etc/bind/named.conf /etc/named.conf
#ln -s /etc/bind/rndc.key /etc/rndc.key
И добавим строчку в конфиг squid'a :
pid-file "/var/run/bind/run/named.pid";
#/etc/init.d/bind9 restart
И должно заработать. Если нет - смотрим логи. Сейчас могут не совпадать только пути и это легко исправить.
PS: А почему разработчики не вкючают этот патч в пакет бинда?
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 27.02.2009 13:32
Kagen
Спасибо огромное за howto ))
но вот та же проблема, что не найдена группа Domain Users =(
Конфиг самбы полностью откопипастил отсюда (изменив имя домена)
id Administrator говорит, что нет такого пользователя. Хотя добавлялся вроде без ошибок..
Re: Достойный контроллер домена на Linux. (Подробный HowTo)
Добавлено: 27.02.2009 21:19
Rusya89
Юзаю Slackware 12.2 никто еще не поднимал PDC на слаке в предложенном варианте?