The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

31.05.2012 00:06  Контроллер домена на базе samba с хранением учетных записей в OpenLDAP

В статье продемонстрирован процесс настройки Samba 3 в качестве основного контроллера домена (PDC) с хранением всех записей о пользователях в LDAP-каталоге. Преимущества подобной организации очевидны - упрощение управления пользователями, возможность делегирования полномочий по управлению пользователями в домене, повышение отказоустойчивости системы, простота переноса и восстановления после отказа аппаратного обеспечения, возможность интеграции с LDAP других сервисов - svn, jabber, squid, postfix/exim, proftpd и т.п.

  1. Главная ссылка к новости (http://wiki.sys-adm.org.ua/net...)
Автор новости: ALex_hha
Тип: яз. русский / Практикум
Ключевые слова: samba, ldap, domain, windows
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, kerneliq, 11:42, 31/05/2012 [ответить] [смотреть все]
  • +/
    А где же samba4?
     
     
  • 2.43, Аноним, 17:49, 31/05/2012 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    В Альфе
     
     
  • 3.57, kerneliq, 23:15, 31/05/2012 [^] [ответить] [смотреть все]
  • +/
    > В Альфе

    А я уже год как использую. Вот чудеса!

     
     
  • 4.75, Docent, 22:08, 01/06/2012 [^] [ответить] [смотреть все]
  • +/
    Аналогично, уже около года Полностью собрал сеть с AD на базе samba4, в сети ок... весь текст скрыт [показать]
     
  • 4.77, Аноним, 11:49, 02/06/2012 [^] [ответить] [смотреть все]  
  • +/
    Вы используете альфу, никаких чудес.

    //Капитан скептик

     
  • 1.2, daemon666, 11:43, 31/05/2012 [ответить] [смотреть все]  
  • +1 +/
    заканчиваю писать web-морду, для управления учетками samba-домена, а так классическая статься как запустить samba-домена на ldap-е
     
     
  • 2.4, Аноним, 11:50, 31/05/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    http://www.ldap-account-manager.org/lamcms/screenshots
     
     
  • 3.5, daemon666, 11:59, 31/05/2012 [^] [ответить] [смотреть все]  
  • +/
    щупал, не понравилось
     
  • 2.16, Сергей, 14:01, 31/05/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Есть проект ASLDAP, там есть web-морда для управления пользователями домена на... весь текст скрыт [показать] [показать ветку]
     
  • 2.78, Johny, 08:32, 04/06/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Я что-то не пойму, а стандартной оснасткой из MMC домен на самбе не админиться ч... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, Аноним, 11:48, 31/05/2012 [ответить] [смотреть все]  
  • +1 +/
    Странно, а я когда-то делал так что контроллер домена сам создавал учетку для ко... весь текст скрыт [показать]
     
     
  • 2.9, Аноним, 12:59, 31/05/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Ну мля, за что минус Это был скорее вопрос Потому что нифига не приколько доба... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.51, Аноним, 19:14, 31/05/2012 [^] [ответить] [смотреть все]  
  • +/
    Кто-то позавидовал =)) Исправил
     
  • 1.6, Аноним, 12:01, 31/05/2012 [ответить] [смотреть все]  
  • –5 +/
    Возни так много, и результат такой нестабильный что проще 2008-ую купить по акци... весь текст скрыт [показать]
     
     
  • 2.8, Anonymous1, 12:34, 31/05/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Похоже, что это связано с некоторыми очаровательными особенностями стека протоко... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.12, AdVv, 13:29, 31/05/2012 [^] [ответить] [смотреть все]  
  • –6 +/
    Это все от твоей неграмотности дружище ...
     
  • 3.52, Аноним, 19:16, 31/05/2012 [^] [ответить] [смотреть все]  
  • +/
    Не важно Важно, что не работает стабильно в этой связке - значит непригодно, ка... весь текст скрыт [показать]
     
  • 2.27, Аноним, 15:22, 31/05/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это, конечно, здорово, но придётся ещё на каждый пк каждого пользователя купить ... весь текст скрыт [показать] [показать ветку]
     
  • 2.30, Аноним, 15:42, 31/05/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    А смысл ее покупать EULA все равно запрещает пускать не под hyper-v ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.37, qwerty, 16:42, 31/05/2012 [^] [ответить] [смотреть все]  
  • +/
    чего?
     
  • 1.7, Дед Анон, 12:10, 31/05/2012 [ответить] [смотреть все]  
  • +2 +/
    Отличная статья! Респект автору!
    Конечно же в сети полно разных HowTO по настройке LDAP, но как то они не по людски написаны(лишь бы сделать ), что то вроде копируем отсюда, вставляем сюда и т.д.
    Такой подход к делу заранее неправилен так как не даёт понимания сути того что делаешь.
    В данной же статье я наконец таки проникся тем что написано и благодарен автору за такую статью(как и за все статьи на сайте wiki.sys-adm.org.ua, которые не раз меня выручали)!
     
  • 1.10, ALex_hha, 13:12, 31/05/2012 [ответить] [смотреть все]  
  • +/
    > А где же samba4?

    когда она выйдет из стадии альфа, если такое вообще будет когда-нибудь, тогда и посмотрим на нее более плотно. Я пока что не рискну внедрить samba 4 в продакшен для 300+ компьютеров. Хотя в рассылках самбы многие пишут что уже используют ее в продакшене, но это дело личное

     
     
  • 2.14, Andrew, 13:56, 31/05/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Более года в продакшене на alpha14 в сети с 50 компьютеров Недавно проапдейтил... весь текст скрыт [показать] [показать ветку]
     
  • 1.11, GNercYuR, 13:28, 31/05/2012 [ответить] [смотреть все]  
  • +4 +/
    В чём смысл городить такую связку в которой перед введением компа в домен, надо ещё на сервере чего-то вручную ввести? Есть же опция в самбе для этого (что у Лиссяры отлично расписано):
    add machine script = /usr/local/etc/samba/add_machine_script.sh "%u"

    Во-вторых, зачем такой кастрированный домен нужен? Если для 10 компов, то ладно ещё, опять же я лично домен поднимаю не только для централизованной авторизации, но и для групповых политик в большей степени, тут и настройка клиентских ПК, и установка/обновление ПО у клиентов, писать такую статью с анонсом на авторитетном IT-ресурсе, так предлагать нормальное законченное решение.

    Сколько таких статей не читал (про связку Samba PDC + ...), везде кто-нибудь рассказывает что у него и политики групповые реализованы и все остальные плюшки, однако в виде статей к сожалению имеются лишь абсолютно одинаковые по мне так почти бесполезные огрызки.

     
  • 1.13, ALex_hha, 13:37, 31/05/2012 [ответить] [смотреть все]  
  • +2 +/
    я описывал этот момент и в чем отличие Никто тебе не мешает вводить компьютеры ... весь текст скрыт [показать]
     
     
  • 2.17, Аноним, 14:12, 31/05/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    И выбрал самый неудобный способ Спасибо, Кэп А ничего, что политики реализуютс... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, dmitriy, 14:33, 31/05/2012 [^] [ответить] [смотреть все]  
  • +/
    А что не так в Calculate DS И машины в домен просто вводятся, и шаблоны пользов... весь текст скрыт [показать]
     
  • 2.73, ram_scan, 15:11, 01/06/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Да ну Даже win95 поддерживала политики как таковые Более того, их вполне реа... весь текст скрыт [показать] [показать ветку]
     
  • 1.15, Аноним, 14:00, 31/05/2012 [ответить] [смотреть все]  
  • +/
    Подобные статьи тоже читаю уже давно, с середины нулевых годов, наверное Ничего... весь текст скрыт [показать]
     
  • 1.18, ФФ, 14:12, 31/05/2012 [ответить] [смотреть все]  
  • +/
    Полезная вещь, особенно для тех, кто хотел бы слезть с виндовой иглы.
     
     
  • 2.64, AdVv, 02:44, 01/06/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Ты сам понял какую хрень сказал ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.68, ФФ, 08:01, 01/06/2012 [^] [ответить] [смотреть все]  
  • +/
    > Ты сам понял какую хрень сказал ?

    Не осилил, сынок? )))

     
     
  • 4.76, AdVv, 00:00, 02/06/2012 [^] [ответить] [смотреть все]  
  • +/
    Что-то я не припоминаю чтобы у моих родителей наблюдался синдром дауна ... весь текст скрыт [показать]
     
  • 1.19, ALex_hha, 14:14, 31/05/2012 [ответить] [смотреть все]  
  • +3 +/
    > автор даже скриптом автодобавления машины не воспользовался

    еще один слепой :D

    в smb.conf есть
    add machine script = /usr/sbin/smbldap-useradd -w '%u' -g 515

    > P.S. На Samba не вернусь никогда!

    мы рады за тебя :)

    > не говоря уже о скриптах, хоть частично выполняющих функционал ГП.

    жалкое подобие, которое мне не нужно. Если кому то будет нужно, то никто не запрещает добавить необходимый функционал

    Еще раз, статье не о том, как на самбе сделать аналог AD. samba 3 + ldap != AD, чтобы там кто не говорил

     
     
  • 2.23, GNercYuR, 14:59, 31/05/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    Статья если рассматривать её как грамотно и доступно и последовательно написанны... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.32, ФФ, 15:47, 31/05/2012 [^] [ответить] [смотреть все]  
  • +/
    А что такого контроллер шлюз Samba NFS ещё что-нибудь - вполне бюджетный и в ... весь текст скрыт [показать]
     
     
  • 4.36, GNercYuR, 16:38, 31/05/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Я про пельмени, вы про плюшки Я где-то хоть слово сказал о том что роутер самба... весь текст скрыт [показать]
     
     
  • 5.40, ФФ, 17:01, 31/05/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    Ваше мнение понятно, но оно не более чем Ваше Моё мнение иное и да, оно не бол... весь текст скрыт [показать]
     
     
  • 6.47, GNercYuR, 18:46, 31/05/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    И то, что я не считаю винду плохой только потому что это винда Я рассматриваю О... весь текст скрыт [показать]
     
     
  • 7.69, ФФ, 08:03, 01/06/2012 [^] [ответить] [смотреть все]  
  • +/
    ноу коммент... весь текст скрыт [показать]
     
  • 3.41, none_first, 17:17, 31/05/2012 [^] [ответить] [смотреть все]  
  • +/
    остальные 4-е - может puppet ?! ;)
     
  • 3.67, Аноним, 06:25, 01/06/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    GNercYuR - а ты почему решил что если в этой статье об этом не написано - то это... весь текст скрыт [показать]
     
  • 1.21, ALex_hha, 14:37, 31/05/2012 [ответить] [смотреть все]  
  • +3 +/
    не использую перемещаемые профили из-за таких граблей, собственно они есть и на ... весь текст скрыт [показать]
     
     
  • 2.55, Аноним, 22:20, 31/05/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ага, знаем-знаем, не нужно , потому что Ваше решение просто этого сделать НОРМА... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.56, ALex_hha, 22:45, 31/05/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    еще раз, для тех кто в танке - мне перемещаемые профили не нужны Или они козырн... весь текст скрыт [показать]
     
     
  • 4.58, Аноним, 23:17, 31/05/2012 [^] [ответить] [смотреть все]  
  • +/
    Да какая разница, в каком домене клиенты Скрипты, например, влияющие на оснастк... весь текст скрыт [показать]
     
     
  • 5.62, ALex_hha, 23:34, 31/05/2012 [^] [ответить] [смотреть все]  
  • +/
    настолько старых нет Но вот возвращаясь к puppet, например, на Windows XP он ... весь текст скрыт [показать]
     
     
  • 6.63, Аноним, 00:14, 01/06/2012 [^] [ответить] [смотреть все]  
  • +/
    Спасибо за ответы, но вот чего точно не понял на обычных клиентских ПК не Windo... весь текст скрыт [показать]
     
  • 5.65, Аноним, 06:02, 01/06/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Чисто чтобы порвать шаблон кое кому Я _виндовым_ клиентам виндовые родные... весь текст скрыт [показать]
     
     ....нить скрыта, показать (6)

  • 1.22, Diceman, 14:51, 31/05/2012 [ответить] [смотреть все]  
  • +/
    Поддержу автора, ибо уже больше двух лет только поглядываю на нагиос, который светится зелененькими ОК. Остальное все работает на ура
     
  • 1.24, sasku, 15:02, 31/05/2012 [ответить] [смотреть все]  
  • +/
    Статья то правильная, только устарела лет так на 5
    От, вместо переписывания чужих статьей, взял бы и написал о настройке Samba+Ldap для slapd.d.cn=config
    Это было бы намного интересней. По крайней мере начинающим
     
  • 1.25, ALex_hha, 15:07, 31/05/2012 [ответить] [смотреть все]  
  • +/
    не столь актуально, но решается другими методами Да не очень удобно, но тут нич... весь текст скрыт [показать]
     
     
  • 2.28, GNercYuR, 15:23, 31/05/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • –3 +/
    Тут должен не согласиться, вот буквально полтора года обслуживаю контору у котор... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, Mikula, 15:42, 31/05/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    В своё вермя прекрасно жило на Novell Directory Service Так что альтернатива ес... весь текст скрыт [показать]
     
     
  • 4.39, GNercYuR, 16:52, 31/05/2012 [^] [ответить] [смотреть все]  
  • +/
    Согласен, погорячился Я с этим продуктом познакомился только как пользователь ... весь текст скрыт [показать]
     
  • 3.33, ФФ, 15:55, 31/05/2012 [^] [ответить] [смотреть все]  
  • +/
    Тут Вы правы - LDAP не может синхронизироваться сарказм ... весь текст скрыт [показать]
     
     
  • 4.38, GNercYuR, 16:48, 31/05/2012 [^] [ответить] [смотреть все]  
  • +/
    Прекрасно знаю что лдап может синхронизироваться, но 1 В данном решении про эт... весь текст скрыт [показать]
     
     
  • 5.42, none_first, 17:30, 31/05/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    никак не пойму - неужто название АД такое притягательное может к дохтуру ... весь текст скрыт [показать]
     
     
  • 6.45, GNercYuR, 18:29, 31/05/2012 [^] [ответить] [смотреть все]  
  • +/
    1 Как связана система для управления линукс серверами с управлением сетью виндо... весь текст скрыт [показать]
     
     
  • 7.48, GNercYuR, 18:52, 31/05/2012 [^] [ответить] [смотреть все]  
  • +/
    Извините за резкость Посмотрел побольше про пуппет, можно будет попробовать его... весь текст скрыт [показать]
     
  • 7.49, none_first, 19:03, 31/05/2012 [^] [ответить] [смотреть все]  
  • +2 +/
    1 - puppet кроссплатформенный http docs puppetlabs com guides platforms html h... весь текст скрыт [показать]
     
     
  • 8.50, GNercYuR, 19:13, 31/05/2012 [^] [ответить] [смотреть все]  
  • +/
    Выше уж понял что погорячился А МС я не башлял, и в конторах где хотели бы ба... весь текст скрыт [показать]
     
  • 5.44, ФФ, 18:11, 31/05/2012 [^] [ответить] [смотреть все]  
  • +/
    Подойдите к зеркалу и познакомьтесь с этим человеком По остальным пунктам како... весь текст скрыт [показать]
     
     
  • 6.46, GNercYuR, 18:34, 31/05/2012 [^] [ответить] [смотреть все]  
  • +/
    Извините, если обидел Просто не люблю когда что-то пытаешься написать а тебе от... весь текст скрыт [показать]
     
     
  • 7.66, Аноним, 06:16, 01/06/2012 [^] [ответить] [смотреть все]  
  • +/
    Врёшь - уж извини за резкость Ибо даже на _не_ точенном OpenLDAP - синхрони... весь текст скрыт [показать]
     
     ....нить скрыта, показать (13)

  • 1.26, ALex_hha, 15:13, 31/05/2012 [ответить] [смотреть все]  
  • +/
    > Статья то правильная, только устарела лет так на 5

    От, вместо переписывания чужих статьей, взял бы и написал о настройке Samba+Ldap для slapd.d.cn=config
    Это было бы намного интересней. По крайней мере начинающим
    потому что, когда я поднимал эту связку в продакшене, CentOS 6 еще не было ;) А что мешает перенести LDAP с 2.3 на 2.4?

    > А что не так в Calculate DS? И машины в домен просто вводятся, и шаблоны пользовательских профилей работают. И перемещаемые профили синхронизируются, и.т.д.

    стараюсь не разводить зоопарки на работе. CentOS отлично справляется с поставленной задачей.

     
  • 1.29, Аноним, 15:37, 31/05/2012 [ответить] [смотреть все]  
  • +/
    эм, нафига оно надо если есть samba4
     
     
  • 2.34, anonymous, 15:55, 31/05/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    >есть samba4

    В самом деле есть?

     
     
  • 3.59, kerneliq, 23:17, 31/05/2012 [^] [ответить] [смотреть все]  
  • +/
    >>есть samba4
    > В самом деле есть?

    Еще как!

     
  • 1.35, ALex_hha, 16:09, 31/05/2012 [ответить] [смотреть все]  
  • +/
    > Можно хаять МС сколько угодно, но для своей гомогенной среды они реализовали всё отлично и безотказно при правильной реализации. Остальное чаще всего - проблемы конкретного админа не желающего признавать, что он просто где-то чего-то не знает и неправильно настроил.

    ничего не могу сказать, так как АД там администрировал не я, но ребята были опытные.

    > эм, нафига оно надо если есть samba4

    а то, что она альфа вас никак не смущает? Мы ведь говорим о решении не поиграться на виртуалке, а о продакшене, где час простоя, пока вы будете разбираться, а чего же оно не работает, просто не приемлем.

     
     
  • 2.60, kerneliq, 23:18, 31/05/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > а то, что она альфа вас никак не смущает? Мы ведь говорим
    > о решении не поиграться на виртуалке, а о продакшене, где час
    > простоя, пока вы будете разбираться, а чего же оно не работает,
    > просто не приемлем.

    За год проблем не было. 50 машин, все путем. GPO только не тестил, но должно работать.

     
     
  • 3.61, ALex_hha, 23:22, 31/05/2012 [^] [ответить] [смотреть все]  
  • +/
    > За год проблем не было. 50 машин, все путем. GPO только не
    > тестил, но должно работать.

    ну у меня пока нет особого желания/времени тестить ;)

     
  • 1.53, Сергей, 20:09, 31/05/2012 [ответить] [смотреть все]  
  • +/
    Политики и в NT4 существовали, только вот документации почти не было, да и то что имелась на англицком была, да и сети были маленькие, вот и не прижились они в то время. В конченом счете, что такое политика, просто редактирование реестра локальной машины. Сейчас это выглядит просто и элегантно, а в сущности все осталось как в NT4, где-то на серверах или на локльной машине лежат файлики с расширением *.pol... С другой стороны наличие домена облегчает администрирование, начиная уже с 5-ти виндовых машин...
     
     
  • 2.70, ананим, 09:45, 01/06/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    с 5 - да.
    но с 500 порой бывает что групповых политек больше чем пользователей.
    вначале закручивают гайки, потом пользователи пишут служебки "по-производственной необходимости открыть ресурс/сд/усб/сеть/впн/итд..."
    и это разрастается так, что админы так же в "курсе" событий, как если бы их не было.
    так что ими увлекаться тоже не стоит.

    с другой стороны, домен в стиле нт4 в линуховой энкарнации - это бональный хомяк в сети. и/или его репликация

     
     
  • 3.74, ram_scan, 18:08, 01/06/2012 [^] [ответить] [смотреть все]  
  • +/
    > но с 500 порой бывает что групповых политек больше чем пользователей.
    >вначале закручивают гайки, потом пользователи пишут служебки "по-производственной необходимости открыть ресурс/сд/усб/сеть/впн/итд..."

    Если на самотек все пустить то бардак ясный перец разрастется. Если заранее начинать морщить череп о том как выкручиваться когда кому-то захочется странного - терпимо. Я на парке чуть более тысячи машин обхожусь наверное десятком политик, мож чуть больше.

    Голову особо не грею.

    Хотя на мой взгляд NDS/eDirectory в плане удобства администрирования и гибкости была куда как гораздее чем AD.

     
  • 1.54, Аноним, 20:13, 31/05/2012 [ответить] [смотреть все]  
  • +1 +/
    Проблему установки софта для Win неплохо решает WPKG.
     
  • 1.71, кверти, 12:10, 01/06/2012 [ответить] [смотреть все]  
  • +/
    вот скажите, у всех так - винда вводится в домен со второго раза при автоматическом добавлении учетки машины?
     
  • 1.72, ALex_hha, 13:47, 01/06/2012 [ответить] [смотреть все]  
  • +/
    Нет, у меня с первого :)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor