abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
eParkomat, startup z ČR, postoupil mezi finalisty evropského akcelerátoru ChallengeUp!
Robot na pivo mu otevřel dveře k opravdovému byznysu
Internet věcí: Propojený svět? Už se to blíží...
dnes 06:00 | Komunita

Na YouTube byl publikován Blender Institute Reel 2016, ani ne dvouminutový sestřih z filmů, které vznikly za posledních 10 let díky Blender Institutu. V institutu aktuálně pracují na novém filmu Agent 327. Dění kolem filmu lze sledovat na Blender Cloudu. Videoukázka Agenta 327 z června letošního roku na YouTube.

Ladislav Hagara | Komentářů: 0
dnes 01:02 | Zajímavý článek

Minulý týden byly vydány verze 1.2.3 a 1.1.7 webového poštovního klienta Roundcube. V oznámení o vydání bylo zmíněno řešení bezpečnostního problému nalezeného společností RIPS a souvisejícího s voláním funkce mail() v PHP. Tento týden byly zveřejněny podrobnosti. Útočník mohl pomocí speciálně připraveného emailu spustit na serveru libovolný příkaz. Stejně, jak je popsáno v článku Exploit PHP’s mail() to get remote code execution z roku 2014.

Ladislav Hagara | Komentářů: 0
včera 16:00 | Nová verze

Byla vydána verze 0.98 svobodného nelineárního video editoru Pitivi. Z novinek lze zmínit například přizpůsobitelné klávesové zkratky. Videoukázka práce s nejnovější verzí Pitivi na YouTube.

Ladislav Hagara | Komentářů: 1
včera 15:00 | Zajímavý software

Stop motion je technika animace, při níž je reálný objekt mezi jednotlivými snímky ručně upravován a posouván o malé úseky, tak aby po spojení vyvolala animace dojem spojitosti. Jaký software lze pro stop motion použít na Linuxu? Článek na OMG! Ubuntu! představuje Heron Animation. Ten bohužel podporuje pouze webové kamery. Podpora digitálních zrcadlovek je začleněna například v programu qStopMotion.

Ladislav Hagara | Komentářů: 3
7.12. 21:21 | Nová verze Ladislav Hagara | Komentářů: 0
7.12. 11:44 | Zajímavý projekt

Na Indiegogo byla spuštěna kampaň na podporu herní mini konzole a multimediálního centra RetroEngine Sigma od Doyodo. Předobjednat ji lze již od 49 dolarů. Požadovaná částka 20 000 dolarů byla překonána již 6 krát. Majitelé mini konzole si budou moci zahrát hry pro Atari VCS 2600, Sega Genesis nebo NES. Předinstalováno bude multimediální centrum Kodi.

Ladislav Hagara | Komentářů: 2
7.12. 00:10 | Nová verze

Byla vydána verze 4.7 redakčního systému WordPress. Kódové označením Vaughan bylo vybráno na počest americké jazzové zpěvačky Sarah "Sassy" Vaughan. Z novinek lze zmínit například novou výchozí šablonu Twenty Seventeen, náhledy pdf souborů nebo WordPress REST API.

Ladislav Hagara | Komentářů: 8
6.12. 12:00 | Zajímavý projekt

Projekt Termbox umožňuje vyzkoušet si linuxové distribuce Ubuntu, Debian, Fedora, CentOS a Arch Linux ve webovém prohlížeči. Řešení je postaveno na projektu HyperContainer. Podrobnosti v často kladených dotazech (FAQ). Zdrojové kódy jsou k dispozici na GitHubu [reddit].

Ladislav Hagara | Komentářů: 27
6.12. 11:00 | Bezpečnostní upozornění

Byly zveřejněny informace o bezpečnostní chybě CVE-2016-8655 v Linuxu zneužitelné k lokální eskalaci práv. Chyba se dostala do linuxového jádra v srpnu 2011. V upstreamu byla opravena minulý týden [Hacker News].

Ladislav Hagara | Komentářů: 2
5.12. 22:00 | Komunita

Přibližně před měsícem bylo oznámeno, že linuxová distribuce SUSE Linux Enterprise Server (SLES) běží nově také Raspberry Pi 3 (dokumentace). Obraz verze 12 SP2 pro Raspberry Pi 3 je ke stažení zdarma. Pro registrované jsou po dobu jednoho roku zdarma také aktualizace. Dnes bylo oznámeno, že pro Raspberry Pi 3 je k dispozici také nové openSUSE Leap 42.2 (zprávička). K dispozici je hned několik obrazů.

Ladislav Hagara | Komentářů: 6
Kolik máte dat ve svém domovském adresáři na svém primárním osobním počítači?
 (32%)
 (24%)
 (29%)
 (8%)
 (5%)
 (3%)
Celkem 799 hlasů
 Komentářů: 50, poslední 29.11. 15:50
Rozcestník
Reklama

Dotaz: Samba + ldap rozumný návod pro NEdoménovou konfiguraci

29.6.2010 11:11 salam
Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Přečteno: 3336×
Chtěl bych sambu nakonfigurovat tak, aby pouze poskytovalova sdílení s tím, že by uživatele a skupiny četla z ldap. Našel jsem mraky návodů na konfiguraci domény, ale to já nechci. Nepotřebuju si ldap databázi zahlcovat nesmyslama které generuje smbldap-populate. Jak to mám nastavit popř. mi prosím napište link na nějaký rozumný howto.

Odpovědi

29.6.2010 13:44 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Strucne: to nejde. Bud tam postrkate potrebne atributy alebo sambu s LDAPom neprepojite. To iste sa da povedat o domene. Bud pouzivate sambu a logicky domena bude (a je na vas ci ju vyuzijete alebo nie), alebo pouzite iny protokol na prenos suborov.
29.6.2010 14:32 salam
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Byl bych klidně pro jiný protokol, ALE - mám vůbec ve windows na výběr? (Podmínkou je server běžící pod linuxem)
29.6.2010 15:10 Opin Dog
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Treba si naimportovat schemu pre SAMBU a je na Vas, co si potom implementujete, ci aj domenu alebo len pristupy.

29.6.2010 15:52 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Já jsem to nikdy nezkusil ale ze znalosti architektury mě nenapadá žádný důvod proč by to nešlo. LDAP je přece jen backend pro db uživatelů a ta db může fungovat i pokud samba není domain master.
In Ada the typical infinite loop would normally be terminated by detonation.
29.6.2010 16:26 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci

To ano, problem je v tom, autor prispevku nechce, aby mu LDAP "zahlcovali" specificke sambacke objekty a atributy. A bez toho to nejde. Proste ak ma byt user autentifikovany cez sambu, musi mat sambacky objectclass a priradene atributy vratane NTLM hashu hesla a pod. Ved to iste sa musi robit aj v pripade, ze je databaza ako tdbsam, pricom sambacke heslo pre usera sa musi robit dodatocne prikazom smbpasswd... neda sa pouzit heslo z /etc/shadow. Preto som pisal, ze pokial sa maju useri autentifikovat cez sambu, podmienkou su pridruzene atributy pre kazdeho takehoto usera.

Co sa tyka domeny. Samba nerozlisuje stav standalone servera a PDC kontrolera (teda ano, ale to je vecou NMBd a nastavenia parametrov ako domain master, domain logons a pod... tieto parametre vsak netreba menit z defaultneho stavu a domain master samba nebude), a teda vzdy sa jedna o stav "security = user", co teda znamena user-level autentifikacia voci nejakej definovanej databaze.

29.6.2010 17:14 salam
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Atributy pro heslo mi nevadí, ale atributy specifické pro doménu jak oskupina Domain Masters apod. mi přijdou zbytečné. Já už mám v síti rozjeté přihlašování windows oproti ldapu pomocí pGINA, což je docela suprový nástroj. Jenže ještě potřebuju připojovat sdílené prostředky(síťové adresáře) a nemyslel jsem že to bude tak složitý. Přeci samba potřebuje jen uložit ty svoje hesla ne? K čemu mi budou samba-windows-like skupiny s SSID apod. Mě by stačily unixové skupiny.
29.6.2010 17:42 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci

Bez skupin si asi vystacite (ale musite mat aspon nutnych userov ako napr. guest resp nobody), taktiez je nevyhnutny atribut SambaSID pre kazdeho usera.

Vacsinou sa totiz samba integruje s existujucou databazou dvomi sposobmi... bud mate niekde NT4 like domenu (samba3) a file server bude ako domain member server (bez pouzitia vlastnej DB), alebo je niekde W2k or W2k3 AD a file server bude AD member server (opat bez pouzitia internej databazy userov), alebo budete mat standalone (domain) server s vlastnou DB.

Ak riesite nieco dost specifikce ako teraz, tak musite to riesit sposobmi, ktore su dostupne, a pokial viem, ziadna dalsia ina rozumna moznost nieje.

Druha vec je ta, ze nepoznam pGinu (ucel ano, ale nie funkcnost) a teda neviem ci by sa fileserver nedal nejak na nu previazat...

29.6.2010 17:50 salam
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Tak to vypadá že bude jednodušší vyrobit si samba pdc server se vším všudy. Jen se bojím jak tu bude spolehlivé, proto se mu vyhýbám.
29.6.2010 18:14 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
smbldap-populate také nepoužívám, protože se mi zdá, že toho vytvoří zbytečně moc. Jinak co se týče konfigurace Samby, tak rozdíl když je/není PDC je jen v parametru domain logons = no/yes. Na LDAP serveru je třeba mít zapnuté Samba schéma stejně jako pro doménu.

Při přípravě LDAP+Samba serveru si přes nějaký LDAP editor vytvořím základní OU: users, groups (to už asi máte). Pak pro stávající nebo nově založené uživatele stačí spustit smbpasswd -a $login, a Samba do LDAPu k uživateli přidá potřebné atributy. U skupin je se Samba atributy přidají přes net groupmap ... (přidá SID skupiny, Windows to potřebují). V těch návodech na PDC se obvykle ještě vytváří skupiny Domain Admins, Users, Guests, ... Mě to vždy fungovalo i bez nich, možná v novějších verzích Samby je to jinak.

Používám "LDAP Admin" editor na Windows, umí pěkně pracovat se Samba účty, skupinami (snadno jdou vytvořit speciální Admin skupiny), pro rychlé zásahy nahradí smbpasswd atd. Situaci okolo nástrojů na Linuxu neznám. V nejhorším jde použít phpldapadmin nebo udělat ručně ldif.

Jinak PDC není třeba se bát, funguje to skutečně stabilně. Jen je třeba dát pozor na situace, kdy Samba server má víc síťových rozhraní nebo je síť rozdělena routery. Pak je lepší IP adresu PDC ve Windows napevno nastavit přes soubor LMHOSTS a v smb.conf nastavit socket address = nejaka_hlavni_ip. Windows se snaží nají PDC pomocí broadcastů, a pak vznikají záhadné stavy, kdy najednou nejde přihlašování, za chvíli se to samo spraví apod. Při pevném nastavení jsem za několik let v sítí s cca 150 PC nezaznamenal žádný problém.

Výhoda PDC je i v tom, že můžete třeba nastavovat práva pro uživatele z LDAPu na sdílené složky na Windows stanicích (uživatelé z LDAPu jsou vidět při nastavení ACL stejně jako lokální). Můžete si třeba udělat speciálního uživatele s Domain Admin oprávněním, který se bude používat na zálohování dat z Windows PC apod.
29.6.2010 18:55 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Pripajam sa ku konstatovaniu, ze riesenie domeny formu samba servera je dost stabilne riesenie. Ked uz vznikne v niecom problem, vacsinou to ma na svedomi nmbd.
Jinak PDC není třeba se bát, funguje to skutečně stabilně. Jen je třeba dát pozor na situace, kdy Samba server má víc síťových rozhraní nebo je síť rozdělena routery. Pak je lepší IP adresu PDC ve Windows napevno nastavit přes soubor LMHOSTS a v smb.conf nastavit socket address = nejaka_hlavni_ip. Windows se snaží nají PDC pomocí broadcastů, a pak vznikají záhadné stavy, kdy najednou nejde přihlašování, za chvíli se to samo spraví apod. Při pevném nastavení jsem za několik let v sítí s cca 150 PC nezaznamenal žádný problém.

Na "problem" viacerych podsieti sa pouziva wins server. Netreba nic staticky definovat na klientoch, len im cez dhcp poslat IP adresu wins servera, ktory je v podstate NetBIOS mennou sluzbou pre WinNT4 like domenu. Nasledne si klienti dokazu najst spravnu adresu kontrolera pripadne dalsie info.

29.6.2010 19:10 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Ne, WINS Server nepomohl. Navíc pokud máte 100+ PC a jejich názvy se průběžně mění, je v databázi WINS jen bordel. Můj názor je, že WINS server nebrat. Mě tedy ten problém s přihlašováním nevyřešil. Při podrobnějším zkoumání jsem zjistil, že WINS server jako adresu PDC nabízel všechny IP adresy serveru ze všech možných rozhraní, a to nedělalo dobrotu.
29.6.2010 20:43 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
A co vam branilo nastavit si konrektnu adresu/interfejs, na ktorom by smbd pocuval a len ta adresa by sa ulozila na WINS serveri?
29.6.2010 20:56 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
druha moznost by bolo spravit prezistentny zaznam do wins db s vymenovanymi dostupnymi adresami PDC kontrolera. fajn je na winse aj to, ze nasledne su vsetky domenove PC dostupne cez meno a odpada nutnost poznat IP adresu.
29.6.2010 21:58 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Perzistentní záznamy jsem zkoušel, s tehdy používanou verzí Samby to stejně nefungovalo pořádně. V síti mám všechny PC evidované a zanesené v DNS, takže můžu používat jména, a to třeba i z linuxu, kde není WINS vždy úplně snadné nastavit. Jak říkám, ve větší síti ve WINS databázi vzniká nepořádek, staré záznamy apod. Pro menší síť to může být OK.

Po nasazení Samba PDC pro nějakých 100 PC to i s nastaveným WINS náhodně nefungovalo, nevěděl jsem co s tím. Statické nastavení LMHOSTS to vyřešilo na 100%. Možná to byl nějaký bug, a už je to opravené. Každopádně když se to použije, nic se nezkazí.
29.6.2010 18:59 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Přeci samba potřebuje jen uložit ty svoje hesla ne?
Tak mi příde že problém bude spíš ten nástroj smbldap-populate než cokoliv jiného. Já jsem vždycky pouštěl jen smbd a nmbd s ručně nastaveným konfigurákem a žádný velký sračky to do ldapu necpalo.

Konkrétně jsem to měl nastavené tak, že samba používala již existující strukturu objektů typu Person nebo tak něco, do kterého si jen přidala to svoje sambaAccount a pár atributů (ten NTLM hash atd). Pro správu domény pak samba potřebuje ještě jeden objekt kde si drží nějaké SID ale to vy nechcete.
In Ada the typical infinite loop would normally be terminated by detonation.
29.6.2010 20:46 timeos | skóre: 32
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Problem je napr v tom ze pre objectclass sambaSamAccount je atribut SambaSID povinny udaj. Iste... pokial sambe nedate prilis povolujuce prava, tak do LDAPu moc neskrabe. Lenze toto je asi nevyhnutne minimum.
29.6.2010 22:22 pht | skóre: 48 | blog: pht
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Problem je napr v tom ze pre objectclass sambaSamAccount je atribut SambaSID povinny udaj.
V tom úplně zatím ten problém nevidím...
In Ada the typical infinite loop would normally be terminated by detonation.
30.6.2010 02:02 salam
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Zeptám se trochu jinak: jakou konfiguraci byste volili vy pro heterogenní síť windows/linux s tím, že si uživatel může přinést vlastní notebook a připojovat se ke sdíleným prostředkům? Hrozně se mi líbí pGINA, ale přijde mi nezralá pro běžné použití(současný ldap plugin umí jen dvě skupiny users a administrators a ještě musí být upraveno schéma ldapu, protože tenhle plugin najde uživatele a teprve pak prohlíží jeho skupiny - ne jak je to zvykem v unixu). Moc se mi nelíbí domény protože to je zase moc kanón na vrabce a taky možná bezpečnostní díra v případě notebookových uživatelů. Možná existuje ještě jiné opensource řešení které zatím neznám?
30.6.2010 02:22 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
pGINA řešení jsem zkoumal asi 2 roky zpět. Proti Samba PDC to bylo na první pohled jednodušší, ale nepřišlo mi to moc zralé. Potíž byla hlavně v případě, když uživatel používá několik různých PC (tohle řeší právě ta NT doména). Řádově víc je nasazení Samba PDC než pGINA, to také o něčem vypovídá. Navíc lze pak snadno najít někoho, kdo pomůže s řešením problémů.

U uživalete s vlastním notebookem s Windows není problém aby si ze Samby připojil sdílené disky bez zařazení do domény. Pokud bude mít lokálně stejný login i heslo, dokonce se toto heslo použije k připojení disků, a on nebude muset nic zadávat.

Zařazení cizího notebooku do domény nevidím jako bezpečnostní riziko, ale moc výhod to nepřinese. Tou operací se jen na Samba serveru vytvoří speciální "účet důvěry" pro daný počítač. Ale administrátor na tom PC žádná vyšší práva k doménovým zdrojům nezíská. Netřeba se bát. Spíš je problém v tom, jak se chová přihlašování na doménové účty mimo síť (je třeba používat tzv. lokální profily i pro doménové uživatele a stejně to občas zlobí).

Jiné řešení je AFS - Andrew File System. Používá Kerberos autentizaci a klient je jak pro Windows tak pro Linux. Používá se jako primární síťový FS třeba na ZČU pro tisíce strojů, takže stabilní to je. Nicméně jde o velmi složitou věc na instalaci a konfiguraci. To už bych spíš doporučil tu Sambu, třeba i v kombinaci s Kerberos - viz seriál článků co vyšel tady na abclinuxu.
30.6.2010 19:57 salam
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Potíž byla hlavně v případě, když uživatel používá několik různých PC (tohle řeší právě ta NT doména).
Mohl bys to konkretizovat? V čem byla potíž a jakou výhodu přináší doména?
30.6.2010 21:36 salam
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Jo a ještě jsem nepochopil k čemu potřebuje windows doména seznam pc které jsou v ní zařazeny. Vždyť tokový pc mohu přímo přidat do ldapu nebo se tam může někdo přidat "nelegálně" tím že přejmenuje svůj pc na nějaký který už v doméně je.
30.6.2010 21:47 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Není to tak úplně seznam PC. V okamžiku zařazení PC do domény se vytvoří v podstatě obyčejný uživatelský účet pojmenovaný podle hostname toho klienta. Nastaví se mu náhodné heslo. Klient toto heslo zná, server je schopen ho ověřit stejným mechanismem jako když se přihlašuje uživatel. Tohle heslo si počítač navíc sám čas od času mění (změní si ho u sebe i na serveru, jako když si uživatel mění své heslo).

Jmenuje se to "účet důvěry" (machine trust account). Když si někdo přejmenuje PC, nebude znát to heslo, kreré zná ten pravý PC. Takže PDC ho odmítne. Při kontaktu počítače s doménou PDC vyžaduje heslo toho trust accountu.

Když by se ten účet přidal ručně, tak se musí na ten klientský PC nějak dopravit úvodní nastavené heslo. Jde to udělat, výchozí heslo se při ručním vytvoření trust accountu volí podle nějakého klíče z hostname. Při zařazení do domény PC, kterému se účet vytvořil ručnš, zkusí změnu hesla tak, že použije jako steré heslo tohle výchozí. Používá se to když z nějakéoho důvodu nefunguje automatické vytvoření trust accountu (to se na Sambě děje přes add machine script).
30.6.2010 21:39 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Zkusím nějak popsat:

Na desktopových Windows existují 2 druhy uživatelů: lokální účty a doménové účty. Když používáte klasický způsob přihlašování (ne třeba tu obrazovku s obrázky uživatelů na Windows XP), tak je-li PC v doméně, máte kromě loginu a heslo volbu "přihlásit se k". Vybírá se přihlášení lokální, nebo název domény (může jich tam být víc, ale to se skoro nevidí).

Bez domény má každý počítač jen svou lokální databázi užovatelů (něco jako /etc/passwd na linuxu). Pro každého musíte ručně založit účet na každém PC, které má používat. Na každém PC může být jiné heslo. Taktéž na fileserveru musí mít ten uživatel účet, ideálně se stejným heslem jako jinde. I v případě lokálních účtů si Windows heslo, kterým se uživatel přihlásil, nějak pamatují, a při pokusu o přístup na síťové disky ho zkusí použít.

Dále s tím souvisí to, že Windows udržují tzv. profi uživatele - analogie domovského adresáře na unixech, kde je uložena veškerá uživatelská konfigurace systému a aplikací. Na Windows 2k/XP jsou tyto adresáře v "C:\Documents and Settings". Bez NT domény je profil na každém PC samostatný - to někdy chceme a někdy ne. Doména umožňuje stejné chování jako lokální účty (tzv. lokální profil) nebo sdílení (resp. kopírování tam a zpět) profilu (tzv. cestovní profil). Je dobré rozmyslet, co se hodí víc, protože cestovní profily se moc nehodí pro notebooky provozované mimo síť. Teoreticky se na každém PC může udržovat cache toho profilu pro offline použití, ale ve výsledku to je k vzteku. Nicméně třeba se škole, kde se jeden člověk přihlašuje pokaždé na jiném PC a je žádoucí aby se mu zachovala nastavení, jsou cestovní profily dobrou volbou.

Tedy výhody domény: sdílený seznam uživatelů, který lze použít pro definici přístupových práv na sdílené soubory; možnost použití cestovních profilů; i při použití lokálních profilů se hodí funkce jako logon skript - na automatické připojení disků, automatické úpravy nastavení Windows apod. Jakmile mám PC v doméně, můžu použít doménový administrátorský účet na zálohování nebo vzdálené spouštění příkazů.

NT doména je přibližnou analogií k linuxovému nss_ldap, pam_ldap, a k /home na NFS (tady je jiný princip, ale user-experience je stejný).

Když jsem se díval na pGINA, tak tam snad byla možnost, že se při prvním přihlášení novému uživateli automaticky vytvoří lokální účet. Pak ověřuje heslo na LDAPu, čímž obchází lokální hesla. To může být někdy šikovné chování, záleží na prostředí. Pokud máte hodně uživatelů, tak budou na PC zůstávat dávno nevyužívané účty vč. jejich dat a dočasných souborů (TEMP je součástí profilu), což může být několik stovek MB na uživatele. Potíž bude, když chcete z nějakého PC nasdílet adresář / tiskárnu a nastavit práva jen úpro konkrétního uživatele. Na to potřebuje mít v případě lokálních účtů všude stejná hesla, a to pGINA nezajistí.

Je dobré vědět, že NT doména, jak ji umí Samba 3, je v Microsoft světě už 10 let zastaralá technologie a moc toho neumí. Nástupcem je Active Directory (implementuje ji i Samba 4, zatím to asi není v produkční kvalitě), což je technologie postavená na Kerberosu a LDAPu, které Microsoft trochu upravil. Tam jsou možnosti mnohem větší. Sám jsem ale neměl potřebu je využít.

Klidně se ptej na další věci.
1.7.2010 02:52 Petr F
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Pokud k tomuto komentáři dodáte ukázky konfiguračních souborů, tak máte článek. A to nemyslím jako vtip, zauvažujte nad tím. Minimálně jako článek na blogu.
1.7.2010 12:35 salam
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Děkuju za rady.
Klidně se ptej na další věci.:-)
Docela by mě zajímalo jak současná samba řeší mapování uživatelů a skupin uživatelů. Potřebuju k tomu winbind? Na těch samba manuálových stránkách je to docela divně popsané. Jen vím že se to dělá přes "net groupmap add", ale netuším zda k tomu musí běžet winbind. Další otázka: když jsem procházel spousty návodů na konfiguraci samby jako pdc, prakticky všude bylo nastavování nss a PAMu. Je to nutnost? Nechci aby se mi mohli uživatelé přihlásit k serveru pomocí ssh.
1.7.2010 13:13 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Winbind v tomto případě potřeba není. Ten se používá, pokud jsou uživatelé vedeni v Active Directory na Windows Serveru (nebo na jiném Linux serveru když nemáte LDAP). U čistě linux serverů při nasazení LDAPu na winbind zapomeňte.

net groupmap add dělá triviální věc - přidá SID atribut do LDAP záznamu konkrétní skupiny. Proto je dobré používat pro uživatele jen skupiny z LDAPu, ne ty definované v /etc/groups.

nss_ldap je potřeba (doporučuji nss_ldapd, naopak nscd se raději vyhněte). Samba potřebuje mít pro přistupující uživatele klasické systémové účty. Tj. ve výstupu getent passwd musí být vidět uživatelé, kteří budou přistupovat na Sambu. Novější verze Samby to umí obejít, ale raději bych to udělal klasickým způsobem.

pam_ldap je potřeba jen v případě, kdy se mají uživatelé z LDAPu přihlašovat třeba přes ssh, nebo lokálně na linuxovém PC. Pro Sambu význam nemá.

PAM slouží k ověření hesla = náhrada /etc/shadow, NSS slouží jako zdroj informací o uživatelích (login, UID, GID atd.) = náhrada /etc/passwd.
1.7.2010 13:20 salam
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Problém je ten, že pam_unix.so umí ověřovat oproti nss. Stačí mu tedy nastavení nss(z vlastní zkušenosti).
1.7.2010 13:34 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Je vícero možností, jak to nastavit. Hlavně co se týče LDAP účtu, pod kterým přistupuje nss knihovna na LDAP server.

Protože LDAP atribut userPassword je obvykle čitelný jen administrátorem LDAP serveru, musel by nss_ldap přistupovat k LDAPu pod admin účtem. To je podle mě zbytečné bezpečnostní riziko, má takové nastavení jen jednu výhodu: root pak může přes passwd nastavit heslo libovolnému uživateli. Navíc je v tomto případě nebezpečné, že pokud uživatel získá roota na lokálním PC (třeba přes live CD), získá i ldap admin heslo.

Já mám na LDAP serveru speciální účet s minimálními právy, co může číst jen UNIX atributy uživatelů. Tento LDAP účet pak používá NSS na linuxu. V tomto případě přes NSS rozhodně heslo neověříte.

pam_ldap pak dělá tzv. bind auth. Je to velmi bezpečné, protože heslo zadané uživatelem přes ssh se pošle na LDAP server a ten odpoví zda je heslo správné nebo ne. Další výhoda je, že LDAP server pak může heslo ukládat různými způsoby (třeba různé hashovací metody).

Celkem bych chtěl vidět konfiguraci, kdy pam_unix ověří heslo skrze nss_ldap.
1.7.2010 14:57 salam
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
No mě to šlo provést když jsem používal ověřování oproti mysql, tak mi stačil nss. Jestli to u ldapu nejde, tím líp. Takže mě by stačilo následující nastavení(které je na debian slapd defaultní): anonymní bind: číst atributy kromě hesla může každý, pokud se provede to bind auth a tam si uživatel může číst a měnit heslo. Nebo je pak ldap účet admin a ten může dělat všechno. Proč bych měl používat speciální účet pro čtení uživatelských atributů, pod anonymním přístupem přeci nehrozí žádné bezpečnostní riziko ne?
1.7.2010 15:03 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Pokud je LDAP server nastaven tak, že umožňuje anonymní bind, tak je to přesně jak píšeš. Speciální účet není třeba.

Bezpečnostní riziko nehrozí. Ale třeba pokud na tom serveru mají cizí lidé php skripty (nějaký hosting), tak nemusí být žádoucí, aby mohli anonymně číst obsah celého LDAPu (můžou tam být seznamy všech e-mailových shránek apod.), i když bez hesel.
1.7.2010 15:03 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Pokud je LDAP server nastaven tak, že umožňuje anonymní bind, tak je to přesně jak píšeš. Speciální účet není třeba.

Bezpečnostní riziko nehrozí. Ale třeba pokud na tom serveru mají cizí lidé php skripty (nějaký hosting), tak nemusí být žádoucí, aby mohli anonymně číst obsah celého LDAPu (můžou tam být seznamy všech e-mailových schránek apod.), i když bez hesel.
1.7.2010 17:12 salam
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Jakým způsobem bych měl postupovat pokud bych chtěl samba server pro linux i windows klienty? Pro linux klienty by se jednalo jen o připojování svazků. To budu muset mít skupiny pro linux a windows hezky vedle sebe v třeba v ou=Groups a uživatelé budou muset být členy obou skupin?
1.7.2010 17:24 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Pokud se bude na Sambu přistupovat z linuxu, není v tom žádný rozdíl oproti Windows. Skupiny jsou každopádně definované jen jednou. Ty skupiny, co se mají používat skrze Sambu jsou jen v LDAPu doplněné o Samba atributy (SID apod.). To se udělá přes ten net groupmap nebo to přímo umí ten LdapAdmin, co jsem to o něm psal - tam stačí v editaci skupiny zaškrtnout "Samba" a jde zvolit, jetsli to je obyčejná skupina, nebo administrátorská (ta má speciální SID). Tahle úprava skupin je v podstatě potřebná jen když je samba jako řadič domény, jinak nemá moc význam.

Uživatel nemusí být nutně členem nějaké skupiny (krom té primární, kterou má vždy nastavenou), aby Samba fungovala.
1.7.2010 21:38 salam
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Zrovna smolím konfiguraci za použití několika návodů. Můžeš mi nějak víc objasnit k čemu je idmap. Na google books jsem se dočetl že slouží pro překlad windows SID na unixové UID a že se tenhle rozsah neměl používat pro linuxové účty, jenže proč a k čemu je to dobré když budu mít v ldapu u uživatelských účtů jak definovaný SID tak UID uživatele protože uživatelé budou jak pro windows tak pro linux.
1.7.2010 21:47 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Pokud neřešíš ověřování proti exitujícímu Windows serveru, na IDMAP zapomeň. Používá se když máš uživatele na Windows serveru, protože tam není uloženo unixové UID. To se pak musí nějak vypočítat / zvolit a k tomu slouží různé idmap techniky.

Taky bych ignoroval ty různé návody, co se válí na internetu. Často tam jsou staré neplatné nebo zavádějící věci. Sám jsem radši postupoval podle SAMBA HOWTO COLLECTION na oficiálním webu Samby. Tam bylo podrobně rozebráno několik scénářů vč. použití LDAPu.
2.7.2010 01:10 salam
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Vypadá to slibně, samba už běží, účty se dají přidávat přes smbpasswd. Pokud budu chtít přidat pc do domény tak budu muset použít účet roota(který se tam založil v ldapu)? ... ještě trochu mimo: co musím nastavit aby si mohl uživatel z linuxu změnit heslo z ldapu? Linux klient se oproti ldapu ověří úspěšně, nss funguje, ale passwd vypíše:
passwd
Enter login(LDAP) password: 
passwd: Autentizační informace nelze získat
passwd: heslo nebylo změněno
2.7.2010 02:07 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Aby šlo měnit heslo přes passwd, je třeba mít správně nastavený PAM. Ale pozor na to, že se takhle nezmění heslo na Sambu! Je lepší měnit heslo z Windows (ctrl+alt+delete, do "přihlásit se k" napsat IP Samba serveru" - jde to i pokud PC není v doméně), nebo na linuxu přes smbpasswd. smbpasswd umí i změnit heslo jiného uživatele než je aktuálně přihlášený, takhle:
smbpasswd -s -r 127.0.0.1 -U $login
což jsem používal v jednoduchém php skriptu, přes který si uživatelé měnili hesla. (můžu v případě zájmu poskytnout)

Při nastavení ldap password sync v smb.conf se současně se Samba heslem změní to unixové (userPassword v LDAPu).

Pro přidání PC do domény musí hlavně fungovat add machine script, to je nejčastější problém. Pak se ve Windows zadává účet, který má na tohle právo. Může to být root, ale to není moc bezpečné, a hlavně s LDAPem to může zlobit. Proto je lepší nějakému uživateli, co je kompletně v LDAPu, přidat práva:
# net sam rights grant WORKGROUP\\login SeMachineAccountPrivilege
Granted SeAddUsersPrivilege to WORKGROUP\login
WORKGROUP nahraďte názvem prac. skupiny / domény z konfigurace Samby, login je jméno uživatele. Stejným způsobem lze přidělit práva i skupině. Pokud to nepůjde, tak zkusit nahradit SeMachineAccountPrivilege za SeAddUsersPrivilege (jednou jsem se s tím setkal u starší verze Samby).

2.7.2010 03:16 salam
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Takže root účet mohu z ldapu klidně vymazat aniž by to sambě jakkoliv vadilo?
2.7.2010 13:28 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Přesně tak. Z bezpečnostního pohledu je to i lepší, když tam není. Já mám třeba skupinu ntadmins, která má nastaven speciální SID (přes Ldap Admin to jde naklikat, nebo to jde i pomocí net groupmap, je to popsáno v tom HOWTO Collection), takže její členové jsou na všech počítačích v doméně administrátoři. Zároveň přes výše uvedený příkaz mají členové této skupiny nastaveno právo přidávat PC do domény.
2.7.2010 17:02 salam
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Tak jsem uživateli přidal práva na připojování pc do domény a opravdu to funguje. Jen jsem nebyl schopen najít kam se ta práva ukládají? K čemu se mi vlastně v ldapu založily skupiny "Domain Admins", "Domain ... když práva nastavuju takhle ručně? Vím že tyto skupiny mají speciální význam ale už nějak nepobírám vztah těhto skupin s právy uživatelů která jsem nastavil pomocí net sam rights. Docela rád bych přiděloval oprávnění jen v ldapu.
2.7.2010 17:25 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Práva ve smyslu Samba Privileges jako např. to přidání do domény se týkají jen Samba serveru, klientské PC s Windows o nich nic neví. Jsou uložena v nějakých tdb souborech ve /var/lib/samba. Na stejném místě je uloženo i heslo k účtu, pod kterým Samba přistupuje k LDAPu. Není třeba se o to nějak starat, jen při úplné reinstalaci serveru je třeba kromě zálohy LDAPu nastavit i tohle. Nědky se doporučuje pro jistotu zálohovat celý tento adresář. Pokud se nepoužije LDAP, je v těch tdb souborech uložen i tzv. SID domény, podle kterého počítače poznají o jakou doménu jde (název domény je jen pomocná informace). Když o něj přijdete, je to velký problém (musí se všechna PC znovu zařadit, ale všechno se tím stejně nespraví). V LDAPu je ale doménový SID uložen v atributu "sambaDomainName", takže stačí zálohovat obsah LDAPu přes slapcat.

"Domain Admins" - to už je věcí Windows. Když se přihlásí k PC doménový uživatel, Windows si přes Sambu vylistují jeho skupiny. Proto ty skupiny musí mít nastavený SID, jinak s nimi Windows nemůžou pracovat - SID je akvivalent GID čísla na linuxu. Existují speciální hodnoty SID (resp. toho posledního čísla v SID), které uživateli dávají administrátorská (nebo jiná) práva. Pro "Domain Admins" je to 512. Jednoduše: pokud je uživatel členem skupiny, jejíž SID končí "...-512", pak má na Windows PC administrátorská práva, nemá ale nijak vyšší práva na Samba serveru (že by mohl měnit cizí soubory apod.).

Ještě existují speciální skupiny "Domain Users", "Domain Guests" a další. Jejich smysl jsem moc nepochopil, mě to vždy fungovalo bez nich. Vždy ale platí, že Windows tyhle skupiny nerozlišují podle názvu, ale podle toho čísla na konci SID.
2.7.2010 21:54 salam
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
A ty add/delete skripty v smb.conf slouží pro smbpasswd utilitu, pro přidávání stanice do domény, pro změnu hesla z Windows a to je všechno? Nemůže se windows administrátor hrabat v účtech nebo něco podobného?
2.7.2010 22:53 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
add/delete skriptů bych si vůbec nevšímal, resp. je nenastavoval. Samozřejmě krom toho add machine script, který je nutný kvůli doméně. Jde o relikt minulosti, pomocí těch skriptů jde spravovat uživatele a skupiny na Sambě přes nějaké nástroje z dob Windows NT (User Manager for Domains nebo jak se to jmenovalo).

smbpasswd ani změna hesla vůbec nepotebují mít ty add/delete skripty nastavené! To si dělá Samba interně.

Ale členství v Domain Admins skupině (tj. Windows administrátoři) neumožňuje členům nějaké zásahy na Samba serveru, na to jsou ty Privileges.
2.7.2010 23:48 salam
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Co bych musel kde nastavit abych mohl použít logon skripty pro jednotlivé skupiny? Třeba pokud bude uživatel "pokus" členem skupiny "vsichni" použije se "vsichni.bat"? Napadlo mě vytvořit si skupinu "vsichni" jejíž členem by byla skupina "Domain Users" popř. nějaké další a pak bych si už nastavil v sambě jméno logon skriptu na jméno primární skupiny uživatele. Umožňuje tohle samba? Rád bych si ještě ujasnil jestli jsem podle manuálů správně pochopil tyto znaky:
%S - jméno sdílení, prostě to co je v závorkách v smb.conf např. [sdilene]
%u - jméno uživatele přistupujícího ke sdílenému prostředku
%U - ??? (tohle jsem nepochopil)
3.7.2010 00:11 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
%u vs. %U je otázka nějakých kouzel s aliasy v Sambě - je možné se do Windows přihlašovat jiným jménem, než je jméno linuxového účtu, který se použije. Moc význam to nemá, v praxi je asi lepší vždy použít %u.

Normálně v linuxu nejde udělat, aby jedna skupina byla členem jiné skupiny.

Já používám logon skript takhle:
  logon script = logon.vbs %G
většina věcí v tom skriptu je shodná. Věci rozdílné pro různé skupiny se řeší tak, že VBS skript dostává jako 1. parametr název primární skupiny přihlášeného uživatele. Jinak jde udělat i:
  logon script = %G.vbs
ale snadno se na nějakou skupinu zapomene...

VBS skript může vypadat třeba takhle:

Option Explicit
On Error Resume Next

Dim objShell, objNetwork, Args, strComp, strUser, strGroup, i

Set objShell   = WScript.CreateObject("WScript.Shell")
Set objNetwork = WScript.CreateObject("WScript.Network")
Set Args       = Wscript.Arguments

strComp        = objNetwork.ComputerName
strUser        = objNetwork.UserName
strGroup       = Args(0)


' WScript.Echo strUser + "/" + strGroup + "@" + strComp

' ----------------------------------------------------------
' Mapovani sitovych disku
' ----------------------------------------------------------

If strComp = "NEJAKYSPECIALNIHOSTNAME" Then
  objNetwork.MapNetworkDrive "R:", "\\server\neco", true
  objNetwork.MapNetworkDrive "K:", "\\server\sw", true
  wscript.quit(0)
End If

' Essentials

  objNetwork.MapNetworkDrive "U:", "\\server\public\ucitele", true
  objNetwork.MapNetworkDrive "K:", "\\server\sw", true

' Per Group

If strGroup = "ucitele" Then
  objNetwork.MapNetworkDrive "S:", "\\server\public\sdilene", true
End If


Dim specialusers
specialusers = Array("user1", "jarda", "pepa")

If IsInArray(strUser, specialusers) Then
  objNetwork.MapNetworkDrive "R:", "\\server\resources", true
End If

' ----------------------------------------------------------
' Upozorneni na kvoty
' ----------------------------------------------------------

objShell.Run("\\server\netlogon\quota.vbs")

' ----------------------------------------------------------

wscript.quit(0)

' ----------------------------------------------------------
' Funkce
' ----------------------------------------------------------

Function IsInArray(str, array)
  Dim I
  IsInArray = false
  For Each I In array
    If I = str Then IsInArray = true
  Next
End Function
3.7.2010 01:15 salam
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Teď bych potřeboval ještě vyřešit mapování uid na sid. Mohu použít analogii, že SID = ....-uid aby se to nepletlo? Dá se nějak sambě říct, že pro přidávání počítačů do domény se mají používat uid v rozsahu xx-yy? Takhle totiž mám třeba uid 1001 patřící uživateli, 1002 patřící stroji atp.
3.7.2010 01:51 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Hodnoty SID bych nechal na automatické volbě Samby, nikdy se s nimi člověk přímo nesetká. Navíc prostor SID je společný pro uživatele i skupiny, navíc tam jsou ty speciální hodnoty. Dříve Samba SID počítala tak, že u uživatelů byly sudé hodnoty, u skupin liché. Jaké je výchozí chování teď, to nevím přesně (jde jen o prvotní vyegnerování hodnoty, která je pak uložená v LDAPu).

Ohledně UID uživatelů záleží jedině na tom, jakým způsobem se uživatelé zakládají, resp. jak pracuje add machine script. Já smbldap-tools nepoužívám. Mám vlastní skripty, kde mám pro stroje zvláštní rozsah UID, a pro uživatele také. Jde ale jen o pocit, UID hodnota není až tak důležitá. Jedině pokud se přidávají uživatelé klasicky i do /etc/passwd, tak je třeba dávat pozor na kolize UID. Hlavně v případech, kdy se v LDAPu něco smaže apod. To by měly mít ošetřené skripty na přidávání uživatelů do LDAPu. Pokud přidávám uživatele nebo skupinu do /etc/passwd, volím UID/GID ručně mimo rozsah, který používám pro LDAP.
3.7.2010 02:04 salam
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
No já bych si chtěl totiž napsat administraci uživatelů v php pro přidávání/mazání/editaci uživatelů a skupin a proto mě zajímá to SID. LAM a podobné php aplikace použít nemohu, ta moje php administrace totiž bude ještě synchronizovat hesla s tabulkami userů v mysql.
3.7.2010 03:09 salam
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Mimochodem zjistil jsem, že pokud nemám v smb.conf definované ty skripty add user .. apod. tak nejdou přes smbpasswd přidávat uživatelé.
3.7.2010 14:15 kuda
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
zdravim, @pan Stetka: mohl byste, prosim, prilozit aktualni smb.conf, ktery pouzivate? soucasne bych mel dotaz na jakem zeleze provozujete tu sambu se 150 uzivateli ... mam pdc ve virtualnim prostredi (KVM) a nejsem si zcela jist vykonem pri plnem zatizeni ... v neposledni rade bych se rad zeptal, jestli ma nekdo zkusenosti z "napojeni" wokenniho terminal serveru na sambu - i s ohledem na vykon samby a TS(terminal serveru) OMLOUVAM SE, ze sem se sposte nalepil na cizi thread, ale myslim, ze otazky jsou docela relevantni k problemum, ktere se tu resi ....diky moc k.
3.7.2010 14:50 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Výkon samotného PDC a LDAPu není v tomto případě až tak kritický, resp. na současném HW to je minimální zátěž.

Výkonnostní problém vzniká v okamžiku, kdy se pro velké množství počítačů používají cestovní profily, a ještě dochází k přihlašování z hodně PC naráz. Pak je to extrémní zátěž na diskový systém, a tam bych virtualizované řešení tedy nepoužil. Ale může to stačit, záleží na charaktru používání. Jestli na tom serveru budou ještě nějaké domovské adresáře, které budou uživatelé používat na něco náročnějšího (práce s velkými soubory apod.), tak je zase potřeba myslet na dostatečný výkon disků.

Pro těch 150 PC máme server s 2×Xeon 3.06 GHz (starý, architektura P4), jen 1 GB RAM, disky SCSI 10rpm: 2×147 GB v RAID1 a 2×72 GB v RAID 1, přes ty 2 RAIDy je LVM, takže se zátěž trochu rozloží. Na tomhle HW už je znát, že při větší zátěži disky nestíhají a přihlašování je pomalejší. Velmi důležité je donutit uživatele držet velikost profilu co nejmenší – tj. nic nedávat na plochu, Dokumenty přesměrovat přímo na síťový disk, pohlídat si aplikace co dávají velké věci do "Data Aplikací". Nebo pokud uživatelé necestují mezi počítači, použít lokální profily.

Terminal server není problém. Máme 1 serer s Windows 2003 a koupenými několika TSCAL, několik let to jede bez problému. Pak ještě jeden stroj s Windows 2003 a XP Unlimited (externí nástroj pro Windows pro neomezený počet terminálových připojení bez potřeby Microsoft TS CAL licencí), a to běží víc jak rok. Výkonové nároky to má stejné jako když se používá normální PC – když je na TS připojeno 5 lidí, je stejná zátěž jako by měli 5 samostatných počítačů. Na TS ale používáme lokální profily, takže to Samba server zatěžuje minimálně.

smb.conf (tento je ze serveru s Debianem Etch, mám ale ještě jeden server s Debianem Lenny se stejnou funkčností a config je prakticky stejný, teď se k němu nedostanu):
#======================= Global Settings =======================

[global]

  dos charset = 852
  unix charset = UTF-8
  workgroup = FIRMA

  load printers = no
  printcap name = /dev/null

  server string = %h

  interfaces = 192.168.1.0/24 lo
  socket address = 192.168.1.5

  wins support = no
  name resolve order = hosts bcast

  smb ports = 139

  log file = /var/log/samba/log.%m
  log level = 1
  max log size = 1000
  syslog = 0

  security = user
  map to guest = bad user
  encrypt passwords = true

  socket options = TCP_NODELAY SO_KEEPALIVE IPTOS_LOWDELAY

  add machine script = /etc/scripts/wadm/ldap-machineadd %u

  logon script = logon.vbs %G

  logon drive = H:

  ldap suffix = dc=firma,dc=cz
  ldap admin dn = cn=admin,dc=firma,dc=cz
  ldap delete dn = yes
  ldap machine suffix = ou=machines
  ldap group suffix = ou=groups
  ldap user suffix = ou=users
  ldap passwd sync = yes
  passdb backend = ldapsam:ldap://localhost

  domain master = yes
  domain logons = yes
  local master = yes
  os level = 128

  enable privileges = yes

  include = /etc/samba/machines/%m

  inherit acls = yes

#======================= Share Definitions =======================

[homes]
   browseable = no
   writable = yes
   valid users = %S
   create mask = 0711
   directory mask = 2711
   inherit permissions = yes
   map hidden = yes
   map system = yes
   csc policy = disable

[netlogon]
   path = /home/netlogon
   guest ok = yes
   writable = yes
   create mask = 0775
   directory mask = 2775
   map hidden = yes
   map system = yes

3.7.2010 16:13 salam
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Tak v ldapu je vážně něco jako nextRID u objektu domény. Mám ale pocit, že pokud nějaké uživatele smažu, tak se bude SID=DOMENABASE-RID stále zvětšovat. Jaké je maximální číslo RID a vlastně i UID či GID? A kdybych se vyhnul RID < 1000 a kolizím mezi existujícími tak by neměl být problém volit si vlastní RID ne?
4.7.2010 00:42 salam
Rozbalit Rozbalit vše Re: Samba + ldap rozumný návod pro NEdoménovou konfiguraci
Taky jsem zjistil že musím uvádět vždy velké %U a %G, nikoliv malé.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.