Пример настроек (http://www.lissyara.su/?id=1487) Samba, OpenLDAP и FreeBSD обеспечивающих работу домена WIN2003.URL: http://www.lissyara.su/?id=1487
Новость: http://www.opennet.ru/opennews/art.shtml?num=11604
наверное всетаки домена NT4 а не win2k3
Всетаки win2k3 т.к. в NT4 никакого LDAP не было)))
>Всетаки win2k3 т.к. в NT4 никакого LDAP не было)))смиалсо.
А в NT и Win2k по-моему вообще нет LDAP, ибо LDAP ето unix имплементация Windoz Active Directory
Боюсь, что наборот - Active Directory это имплементация стандарта LDAP.
> А в NT и Win2k по-моему вообще нет LDAP, ибо LDAP ето unix имплементация Windoz Active DirectoryСпасибо, посмеялся. :)
> А в NT и Win2k по-моему вообще нет LDAP, ибо LDAP ето unix имплементация Windoz Active Directory+1
Вы чо! Уже забыли, как мистер Билkи Колумб Гейтс открыл интернет? ;-)
>Вы чо! Уже забыли, как мистер Билkи Колумб Гейтс открыл интернет? ;-)Млин!!! Ты смеешься, а мне в 95 году одна короста на полном серьезе втирала что с Инетом может работать только Win95.
И смех и грех! В смысле с одной стороны смешно было, а с другой - грешно смеяться над больными людьми ...
ага, а UNIX это имплементация MS-DOS
>ибо LDAP ето
>unix имплементация Windoz Active DirectoryСмешно! :-)
Очень недурственное чтение, автору 5+. Лишь небольшой неприятный осадок от статьи: автор пишет rc-скрипты, не пользуясь rc.subr абсолютно и равно не пользуясь rcorder. Но это дело легко поправимо теми, кому это потребуется.Автор, так держать!
Респект за мануал... Действительно w2k-style домен только вот базовый вариант для одного сервера.....я как понимаю ни политик ни многого другого.....
А теперь ещё скрипт который задаст пару вопросов и автоматизирует эту всю байду ;)
политики можно ставить. не групповые, как в AD, но функционал по политикам достаточно серьезный.кому интересно - пишите, отвечу.
А куда писат? Есть пара сертезных вопросов.
Мне тоже очень интересно что можно реализовать и в каком объеме...
Напишите пожалуйста вкратце на metsger at gmail dot com. Буду признателен.
Я так понимаю, что ключевые слова это:
poledit.exe common.adm wintn.adm - для WinNT style PolicyИ если вдумчиво прочитать часть III главу 24 Samba Howto Collection, а потом поиграться,
то можно получить значительный функционал Виндовых политик.Илья, у Вас есть положительный опыт?
феерическая бессмыслица...
молодец автор
Прошу прощения, а где тут управление Group Policy ?
А ntconfig.pol+poledit.exe+схемы Win2k3 и всего к чему душа ляжет, тебя не устроят?
>Прошу прощения, а где тут управление Group Policy ?В samba версии 3 их нет и не будет. Или жди samba 4 или покупай сторонние коммерческие решения для реализации групповых политик на samba 3.
Что за продукты? Например?
Nitrobit group policy
poledit + Samba
>>Прошу прощения, а где тут управление Group Policy ?
>
>В samba версии 3 их нет и не будет. Или жди samba
>4 или покупай сторонние коммерческие решения для реализации групповых политик на
>samba 3.Может дешевле и проще будет всё-таки один серверок от MS оставить? :-)
а не подскажет ли кто полноценную доку по интеграции samba+ldap в ad? то, что находится поиском или в доках от самбы описывает в стиле "введите А, на экране будет Б", увы Б не появляется :)
Сколько можно,тема избита ... И заголовок провакационный ... Можно подумать там описывается как из MS AD в LDAP базу конвертировать ..
Спасибо за статью, могу еще добавить описание интеграции с почтой (exim+courier-imap+ldap)
насчёт заголовка - это к mc - на сайте заголовок другой.
=========
даёшь интеграцию с почтой! :)
не нужно эмулировать домен win AD и т.п. самбойhttp://us3.samba.org/samba/docs/man/Samba-HOWTO-Collection/N...
Make sure everyone knows that Samba-3 is not MS Windows NT4.
... и уж тем более не ADэто - РАЗНЫЕ продукты.
просто часть функционала у них пересекается.
в некоторых случаях связки samba+XXXXX можно использовать более гибко, чем AD
иногда AD проще.вообще по ссылке выше всё это хорошо расписано.
What are the features that Samba-3 cannot provide?
...
The features that Samba-3 does provide and that may be of compelling interest to your site include:
...
Есть довольно подробная дока по Heimdal Kerberos KDC & OpenLDAP содержащая также примеры настроек Kerberos V5 аутентификации для NFS, Apache, SSH...Ну а если смотреть коммерческие аналоги, то самая лучшая интеграция пожалуй от Quest & Centrify.
>А ntconfig.pol+poledit.exe+схемы Win2k3 и всего к чему душа ляжет, тебя не устроят?А где вять схемы Win2k3 ? У меня в сети нет Win2k3.
Вопрос автору: а ЗАЧЕМ Вы это делали? Какова цель перевода массы конфигов в массу объектов LDAP?IMHO, основное преймущество любого Directory Service, будь то AD, или eDirectory, или IBM Lotus, заключается не в единой точке управления (как Вы пишете), а в едином объекте управления. У Вас получилось сделать так, что-бы, например, был один объект - user с атрибутами name, group, email, comment, password для ВСЕХ служб сети? Поменяли в одном месте пароль и он сменился абсолютно для всех служб: логин в домен, доступ к сайту, FTP, почта и т.п. Ежели нет - пустое все это.
Судя по тому, что у Вас включена samba.schema со своими уникальными атрибутами, типа SambaUserPasswd (по-моему так), которые ни кто другой не понимает, все эти шаманства не имеют ни какой ПРАКТИЧЕСКОЙ ЦЕННОСТИ. Пионэры, администрирующие "сетку на 20 компов", переводят текстовые конфиги в LDAP исключительно из баловства - оно им реально не нужно. Компании на 4 - 5 тысяч юзеров не перейдут на подобную схему ни когда - сдохнут!
>[оверквотинг удален]
>к сайту, FTP, почта и т.п. Ежели нет - пустое все
>это.
>
>Судя по тому, что у Вас включена samba.schema со своими уникальными атрибутами,
>типа SambaUserPasswd (по-моему так), которые ни кто другой не понимает, все
>эти шаманства не имеют ни какой ПРАКТИЧЕСКОЙ ЦЕННОСТИ. Пионэры, администрирующие "сетку
>на 20 компов", переводят текстовые конфиги в LDAP исключительно из баловства
>- оно им реально не нужно. Компании на 4 - 5
>тысяч юзеров не перейдут на подобную схему ни когда - сдохнут!
>А это мы проверим через годик, когда будут переведены наши две тыщщи юзеров :))
> ...основное преймущество любого Directory Service, будь то AD, или eDirectory, или
>IBM Lotus, заключается не в единой точке управления (как Вы пишете),
>а в едином объекте управления. У Вас получилось сделать так, что-бы,
>например, был один объект - user с атрибутами name, group, email,
>comment, password для ВСЕХ служб сети? Поменяли в одном месте пароль
>и он сменился абсолютно для всех служб: логин в домен, доступ
>к сайту, FTP, почта и т.п.+1
PS
Хотя и другие задачи могут иметь чисто научно-похнавательный характер. Может в дальнейшем и практически ценное что-нибудь получится. Удачи пацанам! :-)
Я плакал, честно. Статья хорошая, НО название не отражает действительности. Вся эта бодяга не дает одного существенного преимущества - Групповых политик и Политик Безопасности. Объяснте тогда зачем нужен такой домен? Функциональности хотябы WinServer 2000 Samba дай бог достигнет лет через 5. К сожалению для сетей, где необходим безопасный домен, Win2003 пока не переплюнуть - проверено на практике.
>...не дает одного существенного преимущества - Групповых политик и Политик
>Безопасности.А оно и не всегда так уж и нужно, да и скрипты еще никто не отменял.
Кстати вопрос: в Win2003 есть инструменты ЦЕНТРАЛИЗОВАННОГО мониторинга применения политики для того, чтобы точно знать какие политики отработали на конкретном ПК?> Объяснте тогда зачем нужен такой домен? Функциональности хотябы WinServer 2000
>Samba дай бог достигнет лет через 5.Да хоть и так. Думаю полно предприятий, для которых функционала AD2000 за глаза хватит.
В географически распределеннх сетях с централизованным администрированием и NT4-домена в ряде случаев может хватить.> К сожалению для сетей,
>где необходим безопасный домен, Win2003 пока не переплюнуть - проверено на
>практике.Согласен. Мощность AD наиболее заметна в больших и географически распределенных сетях с разделенным (иерархическим) администрированием, но и других контор полно, где один или несколько десятков сотрудников. Накой в малых сетях огород городить?!
>Кстати вопрос: в Win2003 есть инструменты ЦЕНТРАЛИЗОВАННОГО мониторинга применения политики для того,
>чтобы точно знать какие политики отработали на конкретном ПК?Group Policy Management Console
Почему-то как-то забыли, что основное предназначение контроллера домена -- не групповые политики, а банальная замена Master Browser на DC, со всеми вытекающими последствиями.
NT4 для резольвинга сетевых имен использовала NetBIOS. AD для этих же целей использует DNS. Поэтому если lissyara сумел заставить Samba3 работать в режиме, максимально приближенном к AD -- честь ему и хвала.
>Почему-то как-то забыли, что основное предназначение контроллера домена -- не групповые политики,
>а банальная замена Master Browser на DC, со всеми вытекающими последствиями.прежде чем писать такую охинею, необходимо хотя бы иметь представление об AD и кол-ве служб, с которыми она интегрируется
>
>NT4 для резольвинга сетевых имен использовала NetBIOS. AD для этих же целей
>использует DNS.для читателей этого портала, наверняка это не открытие.
>>Почему-то как-то забыли, что основное предназначение контроллера домена -- не групповые политики,
>>а банальная замена Master Browser на DC, со всеми вытекающими последствиями.
>
>прежде чем писать такую охинею, необходимо хотя бы иметь представление об AD
>и кол-ве служб, с которыми она интегрируется
>
>>Сначала почитайте ДЛЯ ЧЕГО ВООБЩЕ ИЗНАЧАЛЬНО СОЗДАВАЛСЯ контроллер домена в сети Windows и какие проблемы в сети присутствовали до внедрения этой технологии. Даю наводку -- нужно гуглить по слову Master Browser.
АD, количество служб и прочие вкусности -- это здорово. И очень хорошо, что Вы их так прекрасно изучили. Но AD -- далеко не первый и не единственный контроллер домена в истории операционных систем. И будем надеяться, не последний.
А может быть все дело в банальной авторизации? Не так давно видел сетку из 80 машин: Домена нет, 10 рабочих групп. На сервере заведено около 30 разных пользователей...и все равно - отключили гостя - сразу начались проблемы...PS: А вы говорите AD, групповые политики...
AD - это domen windows+промышленные стандарты LDAP + Kerberos
Без Kerberos никакой безопасности в сети нет(единая точка входа -signon,и защита от подмены машин при уже имеющимся соединении),Лдап просто хранит всю инфоормацию по пользователям вместе -никакой интеграции с АД не будет если нет Цербероса и лдапа.
В АД это работает на стандартных портах и почти соответсвует стандартам.
Самба 4 пробует стать заменой АД -там есть встроенный лдап(можно прикрутить внешний) и интеграция с церберосом.хотя я и не пробовал -насколько понятно из последнего интервью с разработчиками в самба3 добавлятся ничего нового не будет -только исправляться баги