The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Перевод домена WIN2003 под управление samba и FreeBSD.

31.07.2007 17:19

Пример настроек Samba, OpenLDAP и FreeBSD обеспечивающих работу домена WIN2003.

  1. Главная ссылка к новости (http://www.lissyara.su/?id=148...)
Лицензия: CC-BY
Тип: яз. русский / Практикум
Короткая ссылка: https://opennet.ru/11604-samba
Ключевые слова: samba, domain, windows, ldap
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (44) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, eyt (?), 19:29, 31/07/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    наверное всетаки домена NT4 а не win2k3
     
  • 1.2, Руслан (?), 19:56, 31/07/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Всетаки win2k3 т.к. в NT4 никакого LDAP не было)))
     
     
  • 2.3, Vasja (??), 20:22, 31/07/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Всетаки win2k3 т.к. в NT4 никакого LDAP не было)))

    смиалсо.  

     
  • 2.4, Dmitry (??), 20:29, 31/07/2007 [^] [^^] [^^^] [ответить]  
  • +/
    А в NT и Win2k по-моему вообще нет LDAP, ибо LDAP ето unix имплементация Windoz Active Directory
     
     
  • 3.5, wade (?), 20:41, 31/07/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Боюсь, что наборот - Active Directory это имплементация стандарта LDAP.
     
  • 3.8, . (?), 21:35, 31/07/2007 [^] [^^] [^^^] [ответить]  
  • +/
    > А в NT и Win2k по-моему вообще нет LDAP, ибо LDAP ето unix имплементация Windoz Active Directory

    Спасибо, посмеялся. :)

     
  • 3.15, muxas (??), 07:42, 01/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    > А в NT и Win2k по-моему вообще нет LDAP, ибо LDAP ето unix имплементация Windoz Active Directory

    +1
    Вы чо! Уже забыли, как мистер Билkи Колумб Гейтс открыл интернет? ;-)

     
     
  • 4.18, Serge (??), 09:42, 01/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Вы чо! Уже забыли, как мистер Билkи Колумб Гейтс открыл интернет? ;-)

    Млин!!! Ты смеешься, а мне в 95 году одна короста на полном серьезе втирала что с Инетом может работать только Win95.

    И смех и грех! В смысле с одной стороны смешно было, а с другой - грешно смеяться над больными людьми ...

     
  • 4.31, Аноним (-), 14:21, 01/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    ага, а UNIX это имплементация MS-DOS
     
  • 3.36, serg1224 (?), 19:42, 02/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >ибо LDAP ето
    >unix имплементация Windoz Active Directory

    Смешно! :-)

     

  • 1.6, GateKeeper (ok), 20:43, 31/07/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Очень недурственное чтение, автору 5+. Лишь небольшой неприятный осадок от статьи: автор пишет rc-скрипты, не пользуясь rc.subr абсолютно и равно не пользуясь rcorder. Но это дело легко поправимо теми, кому это потребуется.

    Автор, так держать!

     
  • 1.7, Аноним (-), 20:44, 31/07/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Респект за мануал... Действительно w2k-style домен только вот базовый вариант для одного сервера.....я как понимаю ни политик ни многого другого.....
     
  • 1.9, don_oles (??), 22:04, 31/07/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А теперь ещё скрипт который задаст пару вопросов и автоматизирует эту всю байду ;)
     
  • 1.10, Илья Шипицин (?), 22:13, 31/07/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    политики можно ставить. не групповые, как в AD, но функционал по политикам достаточно серьезный.

    кому интересно - пишите, отвечу.

     
     
  • 2.11, rakshas (??), 01:09, 01/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    А куда писат? Есть пара сертезных вопросов.
     
  • 2.14, Аноним (-), 07:23, 01/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Мне тоже очень интересно что можно реализовать и в каком объеме...
    Напишите пожалуйста вкратце на metsger at gmail dot com. Буду признателен.
     
  • 2.27, milk (??), 11:30, 01/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Я так понимаю, что ключевые слова это:
    poledit.exe common.adm wintn.adm - для WinNT style Policy

    И если вдумчиво прочитать часть III главу 24 Samba Howto Collection, а потом поиграться,
    то можно получить значительный функционал Виндовых политик.

    Илья, у Вас есть положительный опыт?

     

  • 1.12, Аноним (12), 01:27, 01/08/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    феерическая бессмыслица...
     
  • 1.13, Billy (??), 06:40, 01/08/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    молодец автор
     
  • 1.16, SDenis (??), 08:21, 01/08/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Прошу прощения, а где тут управление Group Policy ?
     
     
  • 2.24, chas (?), 11:16, 01/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    А ntconfig.pol+poledit.exe+схемы Win2k3 и всего к чему душа ляжет, тебя не устроят?
     

  • 1.17, Аноним (-), 09:17, 01/08/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Прошу прощения, а где тут управление Group Policy ?

    В samba версии 3 их нет и не будет. Или жди samba 4 или покупай сторонние коммерческие решения для реализации групповых политик на samba 3.

     
     
  • 2.21, Аноним (-), 10:30, 01/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Что за продукты? Например?
     
     
  • 3.26, saylor_ua (??), 11:24, 01/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Nitrobit group policy
     
  • 2.25, chas (?), 11:18, 01/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    poledit + Samba
     
  • 2.37, serg1224 (?), 19:46, 02/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >>Прошу прощения, а где тут управление Group Policy ?
    >
    >В samba версии 3 их нет и не будет. Или жди samba
    >4 или покупай сторонние коммерческие решения для реализации групповых политик на
    >samba 3.

    Может дешевле и проще будет всё-таки один серверок от MS оставить? :-)

     

  • 1.19, reaper (??), 09:44, 01/08/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а не подскажет ли кто полноценную доку по интеграции samba+ldap в ad? то, что находится поиском или в доках от самбы описывает в стиле "введите А, на экране будет Б", увы Б не появляется :)
     
  • 1.20, karp (??), 09:53, 01/08/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сколько можно,тема избита ... И заголовок провакационный ... Можно подумать там описывается как из MS AD в LDAP базу конвертировать ..
     
  • 1.22, Hipsis_WB (?), 10:31, 01/08/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Спасибо за статью, могу еще добавить описание интеграции с почтой (exim+courier-imap+ldap)
     
  • 1.28, товарисч (?), 11:31, 01/08/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    насчёт заголовка - это к mc - на сайте заголовок другой.
    =========
    даёшь интеграцию с почтой! :)
     
  • 1.29, B.O.B.A.H. (??), 12:37, 01/08/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    не нужно эмулировать домен win AD и т.п. самбой

    http://us3.samba.org/samba/docs/man/Samba-HOWTO-Collection/NT4Migration.html
    Make sure everyone knows that Samba-3 is not MS Windows NT4.
    ... и уж тем более не AD

    это - РАЗНЫЕ продукты.
    просто часть функционала у них пересекается.
    в некоторых случаях связки samba+XXXXX можно использовать более гибко, чем AD
    иногда AD проще.

    вообще по ссылке выше всё это хорошо расписано.

    What are the features that Samba-3 cannot provide?
    ...
    The features that Samba-3 does provide and that may be of compelling interest to your site include:
    ...

     
  • 1.30, Алексей (??), 12:46, 01/08/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Есть довольно подробная дока по Heimdal Kerberos KDC & OpenLDAP содержащая также примеры настроек Kerberos V5 аутентификации для NFS, Apache, SSH...

    Ну а если смотреть коммерческие аналоги, то самая лучшая интеграция пожалуй от Quest & Centrify.

     
  • 1.32, SDenis (??), 19:55, 01/08/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >А ntconfig.pol+poledit.exe+схемы Win2k3 и всего к чему душа ляжет, тебя не устроят?

    А где вять схемы Win2k3 ? У меня в сети нет Win2k3.

     
  • 1.33, Sampan (?), 21:15, 01/08/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вопрос автору: а ЗАЧЕМ Вы это делали? Какова цель перевода массы конфигов в массу объектов LDAP?

    IMHO, основное преймущество любого Directory Service, будь то AD, или eDirectory, или IBM Lotus, заключается не в единой точке управления (как Вы пишете), а в едином объекте управления. У Вас получилось сделать так, что-бы, например, был один объект - user с атрибутами name, group, email, comment, password для ВСЕХ служб сети? Поменяли в одном месте пароль и он сменился абсолютно для всех служб: логин в домен, доступ к сайту, FTP, почта и т.п. Ежели нет - пустое все это.

    Судя по тому, что у Вас включена samba.schema со своими уникальными атрибутами, типа SambaUserPasswd (по-моему так), которые ни кто другой не понимает, все эти шаманства не имеют ни какой ПРАКТИЧЕСКОЙ ЦЕННОСТИ. Пионэры, администрирующие "сетку на 20 компов", переводят текстовые конфиги в LDAP исключительно из баловства - оно им реально не нужно. Компании на 4 - 5 тысяч юзеров не перейдут на подобную схему ни когда - сдохнут!

     
     
  • 2.34, товарисч (?), 22:32, 01/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >к сайту, FTP, почта и т.п. Ежели нет - пустое все
    >это.
    >
    >Судя по тому, что у Вас включена samba.schema со своими уникальными атрибутами,
    >типа SambaUserPasswd (по-моему так), которые ни кто другой не понимает, все
    >эти шаманства не имеют ни какой ПРАКТИЧЕСКОЙ ЦЕННОСТИ. Пионэры, администрирующие "сетку
    >на 20 компов", переводят текстовые конфиги в LDAP исключительно из баловства
    >- оно им реально не нужно. Компании на 4 - 5
    >тысяч юзеров не перейдут на подобную схему ни когда - сдохнут!
    >

    А это мы проверим через годик, когда будут переведены наши две тыщщи юзеров :))

     
  • 2.38, serg1224 (?), 19:54, 02/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    > ...основное преймущество любого Directory Service, будь то AD, или eDirectory, или
    >IBM Lotus, заключается не в единой точке управления (как Вы пишете),
    >а в едином объекте управления. У Вас получилось сделать так, что-бы,
    >например, был один объект - user с атрибутами name, group, email,
    >comment, password для ВСЕХ служб сети? Поменяли в одном месте пароль
    >и он сменился абсолютно для всех служб: логин в домен, доступ
    >к сайту, FTP, почта и т.п.

    +1

    PS
    Хотя и другие задачи могут иметь чисто научно-похнавательный характер. Может в дальнейшем и практически ценное что-нибудь получится. Удачи пацанам! :-)

     

  • 1.35, РжуНимагу (?), 00:12, 02/08/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я плакал, честно. Статья хорошая, НО название не отражает действительности. Вся эта бодяга не дает одного существенного преимущества - Групповых политик и Политик Безопасности. Объяснте тогда зачем нужен такой домен? Функциональности хотябы WinServer 2000 Samba дай бог достигнет лет через 5. К сожалению для сетей, где необходим безопасный домен, Win2003 пока не переплюнуть - проверено на практике.
     
     
  • 2.39, serg1224 (?), 20:09, 02/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >...не дает одного существенного преимущества - Групповых политик и Политик
    >Безопасности.

    А оно и не всегда так уж и нужно, да и скрипты еще никто не отменял.
    Кстати вопрос: в Win2003 есть инструменты ЦЕНТРАЛИЗОВАННОГО мониторинга применения политики для того, чтобы точно знать какие политики отработали на конкретном ПК?

    > Объяснте тогда зачем нужен такой домен? Функциональности хотябы WinServer 2000
    >Samba дай бог достигнет лет через 5.

    Да хоть и так. Думаю полно предприятий, для которых функционала AD2000 за глаза хватит.
    В географически распределеннх сетях с централизованным администрированием и NT4-домена в ряде случаев может хватить.

    > К сожалению для сетей,
    >где необходим безопасный домен, Win2003 пока не переплюнуть - проверено на
    >практике.

    Согласен. Мощность AD наиболее заметна в больших и географически распределенных сетях с разделенным (иерархическим) администрированием, но и других контор полно, где один или несколько десятков сотрудников. Накой в малых сетях огород городить?!

     
     
  • 3.40, alcohollica (?), 18:46, 06/08/2007 [^] [^^] [^^^] [ответить]  
  • +/

    >Кстати вопрос: в Win2003 есть инструменты ЦЕНТРАЛИЗОВАННОГО мониторинга применения политики для того,
    >чтобы точно знать какие политики отработали на конкретном ПК?

    Group Policy Management Console

     
     
  • 4.41, Тот о ком не говорят (?), 18:46, 09/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    Почему-то как-то забыли, что основное предназначение контроллера домена -- не групповые политики, а банальная замена Master Browser на DC, со всеми вытекающими последствиями.
    NT4 для резольвинга сетевых имен использовала NetBIOS. AD для этих же целей использует DNS. Поэтому если lissyara сумел заставить Samba3 работать в режиме, максимально приближенном к AD -- честь ему и хвала.
     
     
  • 5.42, Сергей Анатольевич (?), 16:19, 10/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >Почему-то как-то забыли, что основное предназначение контроллера домена -- не групповые политики,
    >а банальная замена Master Browser на DC, со всеми вытекающими последствиями.

    прежде чем писать такую охинею, необходимо хотя бы иметь представление об AD и кол-ве служб, с которыми она интегрируется

    >
    >NT4 для резольвинга сетевых имен использовала NetBIOS. AD для этих же целей
    >использует DNS.

    для читателей этого портала, наверняка это не открытие.

     
     
  • 6.43, tratam (?), 18:39, 16/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    >>Почему-то как-то забыли, что основное предназначение контроллера домена -- не групповые политики,
    >>а банальная замена Master Browser на DC, со всеми вытекающими последствиями.
    >
    >прежде чем писать такую охинею, необходимо хотя бы иметь представление об AD
    >и кол-ве служб, с которыми она интегрируется
    >
    >>

    Сначала почитайте ДЛЯ ЧЕГО ВООБЩЕ ИЗНАЧАЛЬНО СОЗДАВАЛСЯ контроллер домена в сети Windows и какие проблемы в сети присутствовали до внедрения этой технологии. Даю наводку -- нужно гуглить по слову Master Browser.
    АD, количество служб и прочие вкусности -- это здорово. И очень хорошо, что Вы их так прекрасно изучили. Но AD -- далеко не первый и не единственный контроллер домена в истории операционных систем. И будем надеяться, не последний.

     

  • 1.44, Dorlas (??), 22:59, 18/08/2007 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А может быть все дело в банальной авторизации? Не так давно видел сетку из 80 машин: Домена нет, 10 рабочих групп. На сервере заведено около 30 разных пользователей...и все равно - отключили гостя - сразу начались проблемы...

    PS: А вы говорите AD, групповые политики...

     
     
  • 2.45, DmA (??), 12:04, 21/08/2007 [^] [^^] [^^^] [ответить]  
  • +/
    AD - это domen windows+промышленные стандарты LDAP + Kerberos
    Без Kerberos никакой безопасности в сети нет(единая точка входа -signon,и защита от подмены машин при уже имеющимся соединении),Лдап просто хранит всю инфоормацию по пользователям вместе -никакой интеграции с АД не будет если нет Цербероса и лдапа.
    В АД это работает на стандартных портах и почти соответсвует стандартам.
    Самба 4 пробует стать      заменой АД -там есть встроенный лдап(можно прикрутить внешний) и интеграция с церберосом.хотя я и не пробовал -насколько понятно из последнего интервью с разработчиками в самба3 добавлятся ничего нового не будет -только исправляться баги


     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру