Вообщем начну с предыстории.

Есть офис порядка 1000 машин. Встала необходимость перехода всех на LINUX. Это связанно с тем что на 1000 компов винду закупать сильно дорого, особенно учитывая, что организация бюджетная.

Почитав в интернете про все дистрибутивы Linux остоновился именно на Ubuntu  как самую простую в управлении и дружелюбную для пользователя.

Я сам в Unuix  системах не силен, магу пару простеньких серверов поднять(почта, www, ftp, шлюз и тд)Ничего глобального я не побывал делать. В связи с этим у меня могут возникать очень дурацкие вопросы, за которые заранее прошу прощения.

Теперь суть.

Настраиваю связку LDAP Сервера и Ldap клиента. Сервер LDAP поднять под FreeBSD. С поднятием почти проблем не возникало. Сервер работает и отвечает на запросы об авторизации.
Проблема возникла при попытке привязать убунту к этому серверу. В Pam.d  в конфигах авторизации я прописал подгрузку библиотеки ldap. Nsswitch.conf тоже настроил. Ldap.conf  тоже вроде бы верно настроил, но по нему тоже потом задам пару вопросов.
В командной строке авторизация проходит. А вот графическая оболочка ругается на то что нет домашней директории пользователя.

Как можно заставить автоматически при авторизации нового пользователя через LDAP, что бы создавалась домашняя папка пользователя с соответствующими правами?

• LDAP авторизация на UBUNTU 9.04,NiGeR, 10:38 , 06-Окт-09
  • LDAP авторизация на UBUNTU 9.04,Rodger, 12:52 , 06-Окт-09
  • LDAP авторизация на UBUNTU 9.04,Warhead Wardick, 20:47 , 07-Окт-09
    • LDAP авторизация на UBUNTU 9.04,начинающий, 22:33 , 07-Окт-09
      • LDAP авторизация на UBUNTU 9.04,Rodger, 08:14 , 08-Окт-09
        • LDAP авторизация на UBUNTU 9.04,Начинающий Убунтовод, 22:51 , 11-Окт-09
          • LDAP авторизация на UBUNTU 9.04,Rodger, 10:40 , 12-Окт-09
            • LDAP авторизация на UBUNTU 9.04,Начинающий Убунтовод, 08:49 , 14-Окт-09
              • LDAP авторизация на UBUNTU 9.04,Rodger, 09:21 , 15-Окт-09
                • LDAP авторизация на UBUNTU 9.04,Начинающий Убунтовод, 11:33 , 15-Окт-09
                  • LDAP авторизация на UBUNTU 9.04,Rodger, 16:23 , 15-Окт-09
                  • LDAP авторизация на UBUNTU 9.04,начинающий, 21:21 , 15-Окт-09
                • LDAP авторизация на UBUNTU 9.04,новичок, 11:45 , 28-Янв-10

>[оверквотинг удален]
>в конфигах авторизации я прописал подгрузку библиотеки ldap. Nsswitch.conf тоже настроил.
>Ldap.conf  тоже вроде бы верно настроил, но по нему тоже
>потом задам пару вопросов.
>В командной строке авторизация проходит. А вот графическая оболочка ругается на то
>что нет домашней директории пользователя.
>
>Как можно заставить автоматически при авторизации нового пользователя через LDAP, что бы
>создавалась домашняя папка пользователя с соответствующими правами?
>
>

http://github.com/tonnerre/pam-mkhomedir

>>[оверквотинг удален]
>>в конфигах авторизации я прописал подгрузку библиотеки ldap. Nsswitch.conf тоже настроил.
>>Ldap.conf  тоже вроде бы верно настроил, но по нему тоже
>>потом задам пару вопросов.
>>В командной строке авторизация проходит. А вот графическая оболочка ругается на то
>>что нет домашней директории пользователя.
>>
>>Как можно заставить автоматически при авторизации нового пользователя через LDAP, что бы
>>создавалась домашняя папка пользователя с соответствующими правами?
>>

инсталишь libnss-ldap и libpam-ldap
в /etc/ldap.conf
настраиваешь что тебе нужно и будет тебе счастье...

на 7.04 нужно будет потенцевать с бубном, 8.04 устанавливали способ описано выше. на 9.04 не пробывали.. т.к. нету установленной

>>[оверквотинг удален]
>>Как можно заставить автоматически при авторизации нового пользователя через LDAP, что бы
>>создавалась домашняя папка пользователя с соответствующими правами?
>http://github.com/tonnerre/pam-mkhomedir

Ответ правильный но не полный!
Вначале надо задать аффтару вопрос - а нужно ли это делать?
Все таки не виндовс, в юниксах принято поднять NFS-server, экспортировать с него /home а на клиентах - монтировать. Тут у нас в деревенском univerity campus'е ~15К активных аккаунтов так сервят и ничего, все довольны. (придётся правда повозится со стартовыми скриптами в ~ - но это совсем другая история :)

>Вначале надо задать аффтару вопрос - а нужно ли это делать?
>Все таки не виндовс, в юниксах принято поднять NFS-server, экспортировать с него
>/home а на клиентах - монтировать. Тут у нас в деревенском
>univerity campus'е ~15К активных аккаунтов так сервят и ничего, все довольны.
>(придётся правда повозится со стартовыми скриптами в ~ - но это
>совсем другая история :)

Нужно или нет - это ситуация рулит. Есть свои преимущества и там и там.
А если по nfs хомяка раздавать, так ещё, если по уму, и керберос надо настраивать (иначе безопасность нулевая). А это тоже трафик, да и керберос не всем нравится.
У меня тоже /home по nfs раздается с керберос аутентификацией. Но клиентов только пару сотен. Пока не тормозит.

>А если по nfs хомяка раздавать, так ещё, если по уму, и
>керберос надо настраивать (иначе безопасность нулевая). А это тоже трафик, да
>и керберос не всем нравится.
>У меня тоже /home по nfs раздается с керберос аутентификацией. Но клиентов
>только пару сотен. Пока не тормозит.

у нас раздается Home тоже на NFS + еще и OPT
установил OpenOffice на 1 машине где разрешена запись в опт и на всех обновилось.. в общем удобно... керберос не осилил... что то там мутно все.. а права на уровне ACL раздаються

Вот еще один вопрос нарисовался, когда в nsswitch.conf прописываешь искать учетки в лдап, это убивает возможность устанавливать пакеты через графичиский интерфейс.

Может кто аськой поделится? Из тех кто настраивал когда либо Лдап сервер со связкой с убунту. буду крайне признателен в помощи. Либо вот моя ася: 175171883

>Вот еще один вопрос нарисовался, когда в nsswitch.conf прописываешь искать учетки в
>лдап, это убивает возможность устанавливать пакеты через графичиский интерфейс.
>
>Может кто аськой поделится? Из тех кто настраивал когда либо Лдап сервер
>со связкой с убунту. буду крайне признателен в помощи. Либо вот
>моя ася: 175171883

cat /etc/nsswitch.conf
passwd:         files ldap
group:          files ldap
shadow:         files ldap

hosts:          files dns
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

все работает на ура...

>[оверквотинг удален]
>
>protocols:      db files
>services:       db files
>ethers:         db files
>rpc:            
>db files
>
>netgroup:       nis
>
>все работает на ура...

Спасибо, я просто  ldap files  ставил.(Так в мане было)

Ещё вопрос, при связке с nfs сервером, не будет сеть нагружена? если каталог каждого пользователя может достигать 3 гига.

>Ещё вопрос, при связке с nfs сервером, не будет сеть нагружена? если
>каталог каждого пользователя может достигать 3 гига.

ну у нас на около 100 пользователей... на хомяках размер от 10 метров до 10 гиг. +opt еще на nfs, raid 10, два гигабитных интерфейса (1 недавно поставили).
пока работает 1 интрефейс.. загрузка в пике порядка 14-18Мбайт/с

проблема там в другом... бывает зависает фокса.. или офис.
если с ноги перегрузят комп.
но пользователям сделаны файлы что бы при их запуске убивались .lock файлы...

>[оверквотинг удален]
>
>ну у нас на около 100 пользователей... на хомяках размер от 10
>метров до 10 гиг. +opt еще на nfs, raid 10, два
>гигабитных интерфейса (1 недавно поставили).
>пока работает 1 интрефейс.. загрузка в пике порядка 14-18Мбайт/с
>
>проблема там в другом... бывает зависает фокса.. или офис.
>если с ноги перегрузят комп.
>но пользователям сделаны файлы что бы при их запуске убивались .lock файлы...
>

А если на самбе все сделать? Тоесть домашние каталоги раздовать через самбу? А права доступа на каталог брать с лдап? Так вроде бы многие делают. В чем там подводные камни и как реалезовать такую схему.  Есть куча манов, но порой всплывают некоторые неточности или вопросы по непонятным моментам.

>А если на самбе все сделать? Тоесть домашние каталоги раздовать через самбу?

Пробывали, но что то не очень понравилось... или не разобрались....

>А права доступа на каталог брать с лдап? Так вроде бы
>многие делают.

ldap + acl

>В чем там подводные камни и как реалезовать такую
>схему.  Есть куча манов, но порой всплывают некоторые неточности или
>вопросы по непонятным моментам.

ну группы и пользователи хранятся в ldap
через acl делаем доступ к папкам и все такое.. в общем и все...
да все крутиться на ext3 и nfs3

>А если на самбе все сделать? Тоесть домашние каталоги раздовать через самбу?
>А права доступа на каталог брать с лдап? Так вроде бы
>многие делают. В чем там подводные камни и как реалезовать такую
>схему.  Есть куча манов, но порой всплывают некоторые неточности или
>вопросы по непонятным моментам.

Самба тоже себя достаточно хорошо зарекомендовала. Использовать её вместо nfs, я думаю, имеет смысл, если большинство клиентов вендовых.
Небольшая проблема при монтирования домашних каталогов по самбе в том, что монтирование нужно проводить от имени самого пользователя с указанием его самбового (вендового) пароля. Для этого его нужно либо спросить, либо держать на диске вне домашенго каталога.

nfs по производительности не уступает. Основна проблема для /home - проблема безопасности - кто угодно может такой же доступ, который даётся владельцу. Эта проблема обычно решается посредством керберос.
Ещё один плюс в пользу керберос - достаточно держать единую базу паролей как для юниксовых и для вендовых (самбовских) пользователей.

>[оверквотинг удален]
>
>ну у нас на около 100 пользователей... на хомяках размер от 10
>метров до 10 гиг. +opt еще на nfs, raid 10, два
>гигабитных интерфейса (1 недавно поставили).
>пока работает 1 интрефейс.. загрузка в пике порядка 14-18Мбайт/с
>
>проблема там в другом... бывает зависает фокса.. или офис.
>если с ноги перегрузят комп.
>но пользователям сделаны файлы что бы при их запуске убивались .lock файлы...
>

вопрос от начинающего любителя linux, при такой конфигурации как написано, не возникает ли "торможение" из-за работы жестких дисков, другими словами, успевают ли диски за запросами от всех пользователей?