The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Настройка полноценного PDC на базе Samba, OpenLDAP, BIND и Kerberos

05.06.2008 16:13

"Настройка Samba как полноценный PDC (OpenLDAP + BIND + acl + Kerberos)"

  1. Главная ссылка к новости (http://debian.telenet.ru/adjus...)
Лицензия: CC-BY
Тип: яз. русский / Практикум
Короткая ссылка: https://opennet.ru/16318-samba
Ключевые слова: samba, domain, pdc, ldap
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (16) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Артемий Васюков (?), 20:13, 05/06/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    При всем моем уважении, я бы не назвал это полноценным PDC так как в моём (и я думаю многих других людей тоже) "полноценный PDC" - это что-то все-таки похожее на AD. Или я не прав?
     
  • 1.2, Vaso_Petrovich (?), 20:16, 05/06/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    а чем это не похоже на AD, только аргументировано, ато сдается мне что вы ваабще нефига не шарите в этом вАпросе...
     
     
  • 2.5, toka (?), 07:34, 06/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    юзабельностью, отсутствием GP...
     
     
  • 3.8, baradatiy (?), 10:25, 06/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    групповые политики прикрутить можно, а что с юзабельностью?
     
  • 2.11, Testudo (?), 12:43, 06/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    Не похоже тем, что PDC (как и BDC) относится к домену Windows NT. Домен Windows NT и AD все-таки несколько разные вещи. Даже _не_ несколько.

    Получить _полноценный_ (т.е. со _всеми_ фичами) контроллер домена AD на самбе пока нереально.
    А вот создать на основе Samba домен Windows NT, с Primary и Backup контроллерами, с перемещаемыми профилями, с хранением доменных аккоунтов в LDAP - сколько угодно. Инфы и док навалом.

    Еще раз повторюсь - домен Windows NT, а не AD.

     

  • 1.3, m_mans (?), 21:31, 05/06/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Автору большое спасибо. Будет надобность настроить PDC - обязательно воспользуюсь статьей
     
  • 1.4, PavelR (??), 22:17, 05/06/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Слегка не понятно, нафига шаманство с зонами и керберос, ИМХО ни на что не особо не повлияет. Ранее эта связка настраивалась без них, и успешно работала.
     
  • 1.6, Аноним (6), 09:38, 06/06/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    PDC - это первичный контроллер домена, и никакого отношения он к АД не имеет, по этому групповые политику тут не причем, тем более групповые политики добавляются к этой связке элементарно с помощью нескольких батников. И юзабельность у такой связки гораздо выше чем у нативной винды, все управление ведется через быстрый ссш с помощью нескольких простейших команд. А керберос необходим для работы переферийного софта с ПКД. Автору статьи большой респект. На мой взгляд это первая вменяемая статья по настройке полноценного ПКД. Спасибо
     
     
  • 2.9, o.k. (?), 10:29, 06/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >PDC - это первичный контроллер домена, и никакого отношения он к АД
    >не имеет, по этому групповые политику тут не причем, тем более
    >групповые политики добавляются к этой связке элементарно с помощью нескольких батников.
    >И юзабельность у такой связки гораздо выше чем у нативной винды,
    >все управление ведется через быстрый ссш с помощью нескольких простейших команд.
    >А керберос необходим для работы переферийного софта с ПКД. Автору статьи
    >большой респект. На мой взгляд это первая вменяемая статья по настройке
    >полноценного ПКД. Спасибо

    =) расскажите мне, плз, про массовую установку софта батниками.

     
     
  • 3.12, Abu (?), 14:32, 06/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >>PDC - это первичный контроллер домена, и никакого отношения он к АД
    >>не имеет, по этому групповые политику тут не причем, тем более
    >>групповые политики добавляются к этой связке элементарно с помощью нескольких батников.
    >>И юзабельность у такой связки гораздо выше чем у нативной винды,
    >>все управление ведется через быстрый ссш с помощью нескольких простейших команд.
    >>А керберос необходим для работы переферийного софта с ПКД. Автору статьи
    >>большой респект. На мой взгляд это первая вменяемая статья по настройке
    >>полноценного ПКД. Спасибо
    >
    >=) расскажите мне, плз, про массовую установку софта батниками.

    Ну, для массовой установки софта есть просто пара приблуд в линуксе, не помню названий, правда.

    А вот как, например, сделать разный вход в систему для разных пользователей батниками с условием централизованного урпавления - это мне интересно было б узнать. Например, чтобы кто-то с логином входил, кто-то - без, кто-то брал профиль группы, к которой принадлежит и тп. Все это решаемо, но, насколько я понимаю, не просто через батники, а через костыли.

    То есть NFS для профилей, слежение за правами групповых профилей, некий скрипт при логине в систему, ACL, которые юзаются тоже достаточно специфично, и тд и тп. Собственно - ключевое во всем этом слово - =некий скрипт=. Который у MS есть, а в линуксе - нет.  

     
     
  • 4.13, Аноним (-), 16:42, 06/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    >=) расскажите мне, плз, про массовую установку софта батниками.

    Я о том что все групповые политики в АД как раз и реализованы через батники которые запускают VB скрипты. в том числе и установку софта. команда gpudate просто заставляет систему скачать батник с шары контроллера и запустить его.

     
  • 2.10, Andrew Kolchoogin (?), 10:43, 06/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > А керберос необходим для работы переферийного софта с ПКД. Автору статьи
    > большой респект. На мой взгляд это первая вменяемая статья по настройке
    > полноценного ПКД. Спасибо

    Хочется только добавить, что статья устарела на несколько версий Kerberos'а. Теперь хранить Kerberos'ную базу в Berkeley DB v2, как ее хранил Kerberos все предыдущие годы, не гламурно и не готично -- храните ее в том же LDAP, что настроили непосредственно перед Kerberos'ом. ;)

    А что касается "зачем Kerberos" -- так это... Можно страстить Active Directory с Kerberos'ным доменом, например... Замапив пользователей... Впрочем, смотрите сами: http://technet.microsoft.com/en-us/library/bb742432(TechNet.10).aspx

     
     
  • 3.14, csdoc (ok), 22:21, 06/06/2008 [^] [^^] [^^^] [ответить]  
  • +/
    > Теперь хранить Kerberos'ную базу в Berkeley DB v2,
    > как ее хранил Kerberos все предыдущие годы, не гламурно и не готично --
    > храните ее в том же LDAP, что настроили непосредственно перед Kerberos'ом. ;)

    но ведь LDAP сам по себе backend'ом имеет BDB, зачем эта лишняя прослойка для Kerberos'a
    в виде LDAP-сервера, чтобы уменьшить уровень безопасности и скорость работы Kerberos'a ?
    не вижу смысла в этом предложении.

     

  • 1.7, Аноним (6), 10:11, 06/06/2008 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Да кстати если не прописывать СРВ записи в днс зоны то машины с виндой из других подсетей попросту не увидят контроллер

    Столкнулся с этим когда отбирал у АД виндовый ДНС сервер и менял на бинд.

    вот какие записи у меня
    $ORIGIN gdm.org.
    *                       MX      10 mail
    $ORIGIN _tcp.dc._msdcs.gdm.org.
    _kerberos               SRV     0 100 88 cs.gdm.org.
    _ldap                   SRV     0 100 389 cs.gdm.org.
    $ORIGIN _msdcs.gdm.org.
    gc                      SRV     0 100 3268 cs.gdm.org.
    $ORIGIN _tcp.gdm.org.
    _kerberos               SRV     0 100 88 cs.gdm.org.
    _ldap    

     
  • 1.15, Аноним (-), 12:14, 20/05/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    так где же статья??? выложите, плизз, если у когото есть копия.
     
  • 1.16, Аноним_Ещ (?), 20:00, 04/06/2012 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    присоединяюсь к последнему анониму: было бы интересно взглянуть на статейку..
     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру