abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 19:00 | Zajímavý projekt

CutiePi Shell je nové open source uživatelské rozhraní pro mobilní zařízení vytvořené pro tablet CutiePi postavený na Raspberry Pi.

joejoe | Komentářů: 0
dnes 11:44 | Nová verze

Vyšla nová verze nástroje pro správu diskových oddílů GParted a distribuce GParted Live, která obsahuje tento a další nástroje pro zálohování či obnovu dat. GParted 1.1.0 aktualizuje překlady a opravuje chyby včetně v např. přesunu uzamknutých šifrovaných oddílů LUKS, výpočtu velikosti souborového systému JFS či rozpoznávání členů ATARAID a jejich stavu. GParted Live 1.1.0-1 pak obsahuje novou verzi GParted, Linux 5.4.13 a vůbec novější balíčky z Debianu Sid.

Fluttershy, yay! | Komentářů: 0
dnes 09:55 | Zajímavý článek

Jiří Eischmann se v příspěvku /e/: Android bez Googlu na starém telefonu na svém blogu podělil o zkušenosti s mobilním operačním systémem /e/ (Wikipedie) na telefonu Samsung Galaxy S4 Mini: Pokud hledáte pro svůj androidí telefon systém bez závislosti na Googlu, je to asi ta nejlepší volba.

Ladislav Hagara | Komentářů: 7
včera 18:55 | Nová verze

Po roce vývoje od vydání verze 4.0 a více než 7 400 změnách byla vydána nová stabilní verze 5.0 softwaru, který vytváří aplikační rozhraní umožňující chod aplikací pro Microsoft Windows také pod GNU/Linuxem, Wine (Wikipedie). Z novinek lze zdůraznit moduly ve formátu PE, podporu více monitorů, reimplementaci XAudio2 anebo podporu Vulkanu 1.1. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 1
včera 15:11 | Zajímavý článek

Michal Altair Valášek publikoval na svém blogu návod MQTT server do kapsy: Mosquitto na Orange Pi Zero na postavení vlastního MQTT (MQ Telemetry Transport) serveru s brokerem Mosquitto postaveného na ARM klonu Debianu Armbian na jednodeskovém počítači za deset dolarů Orange Pi Zero a zabezpečeného pomocí TLS certifikátů od Let's Encrypt a uživatelských jmen a hesel.

Ladislav Hagara | Komentářů: 3
20.1. 17:11 | Nová verze

Vyšlo Pharo 8.0. Přináší lepší nástroje pro refactoring či spoluráci s Gitem. Pharo je programovací jazyk a vývojové prostředí s řadou pokročilých vlastností.

Pavel Křivánek | Komentářů: 5
20.1. 13:11 | Pozvánky

Ak pracujete na zaujímavom projekte, zaujíma Vás špecifická téma alebo sa vyznáte o novinkách a trendoch vo svete Pythonu, zdieľajte to s ostatnými. Možnosť prihlásiť sa so svojou témou na PyConSK 2020 je otvorená do 31. 1. 2020.

… více »
RicCo386 | Komentářů: 0
20.1. 10:55 | Komunita

Mozilla.cz informuje (en), že Firefox Preview (kódově Fenix) se blíží svému prvnímu ostřejšímu vydání. Tento zcela nový prohlížeč pro Android nahradí zítra 21. ledna noční verze stávajícího Firefoxu pro Android (kódově Fennec).

Ladislav Hagara | Komentářů: 18
20.1. 06:00 | Zajímavý software

Byl vydán MindForger v nové major verzi 1.50.0. Přehled novinek na GitHubu. MindForger je poznámkový blok, markdown editor a nástroj pro management znalostí.

Ladislav Hagara | Komentářů: 2
19.1. 20:22 | Nová verze

Byla vydána nová stabilní verze 18 open source cloudového systému Nextcloud (Wikipedie). Nová verze tohoto forku ownCloudu přichází s novým názvem Nextcloud Hub a řadou předinstalovaných aplikací (Files, Flow, ONLYOFFICE, Photos, Calendar, Mail, Talk). Podrobnosti i s náhledy a videi v příspěvku na blogu.

Ladislav Hagara | Komentářů: 14
Zdají se vám sny s IT tématikou?
 (9%)
 (1%)
 (14%)
 (17%)
 (53%)
 (7%)
Celkem 251 hlasů
 Komentářů: 10, poslední 18.1. 16:18
Rozcestník

Ldap a Samba

5.6.2006 13:12 | Přečteno: 4669× | linux, počítače a tak vůbec

Tak Samba bohužel není jen brazilský tanec, ale i něco jiného. Takový pěkný program, který umožňuje sdílení souborů mezi Linuxem a Windows, nebo taky například proměnit linuxový server v PDC pro Windows stanice. A co to má společného s Ldapem? Někam přece musím cpát údaje o uživatelích.

Když začínám něco tvořit pod Linuxem, tak je mi Google velým pomocníkem. Nejinak tomu bylo i se Sambou. Najít návod jak mountovat Windows shares, nebo jak vytvořit svůj vlastní není problém. Sehnat návod, jak vytvořit pomocí Samby PDC už je trochu problém. Sehnat návod jak vytvořit PDC s podporou uživatelů v LDAPu už je velký problém. Přesto jsem jich několik našel. Například tento na http://www.unav.es/cti/ldap-smb/smb-ldap-3-howto.html. Bohužel všechny návody v této oblasti se omezují na změť neokomentovaných příkazů a konfiguráků, ve které není poznat co je skutečně důležité od toho, co autor používá kvůli nějáké úplně jiné ptákovině. Když pak něco nefunguje, a vy nevíte co s tím, protože pořádně nerozumíte konfiguraci, tak je to celkem blbé. (Proto se pokusím popsat jak rozběhat Sambu s LDAPem, tak aby jste veděli co konfigurujete.) Nepokusím, protože to ještě neumím.

Předpokládám, že Sambu umíte alespoň trochu nakonfigurovat. (Tedy alespoň tak aby se servr tvářil, jako počítač ve workgroupu. Pokud si navíc přečtete můj minulý blogpost, bude následující text dávat větší smysl.

První věc kterou je potřeba udělat, je připravit náš LDAP server na to, že budu obsahovat účty uživatelů Samby. Ty se trochu liší od běžných linuxových účtů. Obsahuje například takové věci jako SambaSID, heslo ve formátu takovém aby ho Windows schroupaly, a jiné informace. Proto je potřeba přidat mezi schémátka ldap servru, takové které definuje atributy účtů Samby. Teď je potřeba zjistit, kterou verzi Samby používáte. Konkrétně verze 3, používá jiná schémátka než verze předchozí. Stáhnout se dá ze stránek Samby. Nahraje se do složky s ostatními schémátky a restartuje se ldap server. Nyní už náš ldap servr zná Samba accounty, což se projeví například tím, že nám přibudou nabídky v phpldapadminu.

Teď zpátky k Sambě. Jistě si říkáte, kam Samba cpe informace o svých účtech, když nepoužívá ldap. Cpe je do souboru kdesi v /etc. To nás, ale nemusí vůbec zajímat. Následující výpis je konfigurační soubor Samby. Doporučuji přečíst komentáře ať víte co děláte.

[global]
#teď se jedná o doménu, takž jméno domény
workgroup = avc
#jmeno servru
netbios name = fat.avc
#popisek servru, doporucuji "Server v Kuchyni"
server string = FAT.avc Testing PDC
#tak ted zacina to zajimave. Tady sambe sdeluji, ze chci aby pouzivale ldap
passdb backend = ldapsam:ldap://fat.sh.cvut.cz/
#definuji vrsek stromu
ldap suffix = ou=accounts,dc=avc
#definuji, kam samba cpe jednotlive veci, zajimave je, ze stejne vzdy hleda
#od ldap suffix nadefinovaneho vrsku stromu
ldap group suffix = ou=smbgroups
ldap machine suffix = ou=Computers
ldap user suffix = ou=users
#binduj se jako
ldap admin dn = "cn=admin,dc=avc"

ldap passwd sync = no

#aby smazani v sambe nesmazalo celej ldap entry, pokud uzivatele mate jenom
#kvuli sambe tak dejte klidne yes. Nevim ale jestli to fakt funguje
ldap delete dn = no

username map =/etc/samba/smbusers

#nejak jsem nespozoroval, ze by to k necemu bylo
add user script = /usr/sbin/useradd -m %u
delete user script = /usr/sbin/userdel -r %u
add group script = /usr/sbin/groupadd %g
delete group script = /usr/sbin/groupdel %g
add user to group script = /usr/sbin/groupmod -A %u %g
delete user from group script = /usr/sbin/groupmod -R %u %g
add machine script = /usr/sbin/useradd -s /bin/false -d /var/lib/nobody %u

# Note: The following specifies the default logon script.
# Per user logon scripts can be specified in the user account using pdbedit
logon script = scripts\logon.bat

# Zde se nastavi, kde budou mit uzivatele svoje cestovni profily. Uz se pouziva
# cesta ve stylu windows. Jinak %N je jmeno servru \Profiles je share profiles
# na servru. A %U je jmeno uzivatele. Do logon drive je pismeno domovskeho
# adresare a logon home je cesta k nemu
logon path = \\%N\Profiles\%U
logon drive = H:
logon home = \\%N\%U

#nastaveni samby jako PDC.
domain logons = Yes
os level = 65
preferred master = Yes
domain master = Yes

#nemam tuseni
idmap uid = 15000-20000
idmap gid = 15000-20000

#tak tady se tvorej ty shary na ktry jsem napriklad uz drive odkazoval
#predpokladam ze polozky jsou jasne. Jinak homes asi neni uplne nutne
#ale profiles je, protoze tam se definuje kde budou profily.
#netlogon je nejspise interni yaleyitost windows
#tuhle sekci nicmene doporucuju obslehnout tak jakje, protoze
#se uplne stejne vyskytuje v 90% navodu.
[homes]
comment = Home Directories
valid users = %S
read only = No
browseable = No

[netlogon]
comment = Network Logon Service
path = /home/samba/netlogon
admin users = root
guest ok = Yes
browseable = No

[Profiles]
comment = Roaming Profile Share
path = /home/samba/profiles
read only = No
profile acls = Yes

Teď přichází asi nejhorší část. Tou je přidání uživatelů a zařazení pracovních stanic do domény. Nejdříve zaneseme do LDAPu položku sambaDomainName. Ta má dva důležité atributy, ato její jméno a sambaSID. SID je jednoznačné identifikační číslo vaší domény. Samba už nějaké určitě vytvořila. Zjistí se pomocí příkazu net getlocalsid. Tohle číslo opravdu nemůžete nikde obšlehnout, ale musíte si ho opravdu zjistit. Tuto položku jsem umístil do vršku stromu samby a funguje to. Další položka, bez které samba nebude fungovat je účet s uid=0, tedy root. Já vytvořil nového uživatele root s uid 0 a umístil ho na místo, kde ho samba vidí, ale kde ho nevidí linux. V mém případě tady do kořene samby. Jako SID nastavím SID domény a k tomu si vymyslím nějaké pěkné číslo. O SIDech je napsáno ve výše odkazovaném how-to. Já je moc nepochopil. Používám na to phpldapadmin, který automaticky tvoří samba i linux účet. Stejně tak je možno vytvořit i ostatní uživatele. Buď úplně odznova, a nebo tím že stávajícím přidáme objectClass: sambaSamAccount. Tak ještě je potřeba sambě sdělit kde má heslo k ldap databázi. To se zařídí příkazem smbpasswd -w heslo.

Před chvílí jsem zjistil, že dokonce funguje i smbpasswd -a username. Username musí existovat v ldapu, ale nemusí se jednat o sambaSamAccount.

Zbýva ještě přidat pracovní stanice. To se proved kliknutím sem tam, někam . Potom se objeví logovací okénko, kam zadáte jméno někoho z domény a odpovídající heslo. Já tohle provádím jako root (ten Sambí). Pak se ws restartuje, a pokud je vše v pořádku, tak se můžete zalogovat jako uživatel. Vytvoří se vám profil, (zkopírováním profilu Default User) a můžete pracovat. Teda nemůžete, protože je potřeba ještě ws sdělit, že na ní opravdu můžete a to tím, že jí zařadíte uživatele do patřičné lokální skupiny (třeba PowerUsers). Na to je třeba spustit user manager na ws jako Administrator, přidat uživatele do skupiny, prohledat doménu, ... Však vy to naklikáte. Jo a abych nezapoměl, furt s tim něco nefunguje. Občas se nepřipojí home jednotka. Dál je třeba aby uživatel byl ve skupině Administrator, pokud není tak to sice funguje ale hodně podivně. Možná je to ale tím, že se přihlašuji přes RemoteDesktop.

       

Hodnocení: 96 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Diskuse byla administrátory uzamčena

5.6.2006 15:37 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Ldap a Samba
Nejsem si jistý, zda Samba opravdu potřebuje účet s uid=0. Alespoň moje Samba žádný účet s uid=0 nemá :-)

SID je jedinečný identifikátor uživatele ve Windows (obdoba unixové uid, ale je v tom i doména atd.) Má několik částí, pro užiavtele to lze chápat jako SID domény + identifikátor uživatele. Důležitá je jeho jedinečnost (aby dva uživatelé neměli stejné SID) a stálost (aby jeden uživatel měl stále jedno a to samé SID). Dokud Samba nepoužívala databázi, kde tenhle údaj mohla mít uložený, používal se na zjištění SID algoritmus, kdy se vzalo SID domény a za něj se připojilo 1000 + 2*UID, pro skupiny pak 1001 + 2*GID.

V LDAP je prostor pro uložení této informace, takže koncová část (rozlišující uživatele) může být "libovolné" číslo, pokud se zachová unikátnost. Pokud budete vkládat účty přímo do LDAPu, musíte se o tu unikátnost postarat sami, pokud použijete Sambu, musíte Sambě říci, jakým způsob oné unikátnosti docílit (buď může používat opět stejný algoritmus, jako dřív, nebo může mít v LDAP poznamenáno poslední nejvyšší přidělenou uživatelskou část uid/gid a při přidání ji inkrementovat).
5.6.2006 17:34 xxx | skóre: 42 | blog: Na Kafíčko
Rozbalit Rozbalit vše Re: Ldap a Samba
Nejsem si jistý, zda Samba opravdu potřebuje účet s uid=0. Alespoň moje Samba žádný účet s uid=0 nemá :-)
Jenom bych se optal, zda používáte Sambu jako PDC. V některých návodech totiž upozorňovali, že když Samba nebude znát uživatele s uid=0, tak odmítne přidat jakoukoliv WinXP stanici do domény.
Please rise for the Futurama theme song.
5.6.2006 18:00 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Ldap a Samba
A nesouvisí to s přidáváním účtu stanice do /etc/passwd pomocí add machine script?
Quando omni flunkus moritati
5.6.2006 18:30 xxx | skóre: 42 | blog: Na Kafíčko
Rozbalit Rozbalit vše Re: Ldap a Samba
To jsem si taky myslel, ale ten root ja zmiňován i v těch ldap verzích. Možná že se jednaá o nějakou věc uvnitř Samby.
Please rise for the Futurama theme song.
5.6.2006 20:06 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Ldap a Samba
Používám Sambu jako PDC a stanice s Windows XP přidávám přes libovolný administrátorský účet (který má uid≠0). Pravda je, že ty stanice mají už unixový účet vytvořený. Dříve ten uid=0 býval pro něco potřeba, ale teď už to myslím nutné není… Ona se Samba zrovna v téhle oblasti docela vyvíjí, a pár měsíců starý návod už nemusí být přesný…
ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.