abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 06:00 | IT novinky

Na Indiegogo byla spuštěna kampaň na podporu chytrého telefonu a kapesního počítače Astro Slide 5G Transformer od společnosti Planet Computers. Požadovaná částka 180 000 eur byla vybrána během 4 hodin. Stejně jako u předchozích zařízení Gemini PDA a Cosmo Communicator od této společnosti je slíbená podpora Linuxu.

Ladislav Hagara | Komentářů: 0
včera 19:22 | Zajímavý software

CryptPad je svobodný online kancelářský balík. Zdrojové kódy jsou k dispozici na GitHubu pod licencí AGPL-3.0. Oficiální instance nově nabízí 1 GB prostoru. Mozilla Foundation tento týden věnovala projektu 10 000 $.

Ladislav Hagara | Komentářů: 0
včera 18:22 | Nová verze

Byla vydána finální beta verze Ubuntu 20.04 LTS s kódovým názvem Focal Fossa. Přehled novinek v poznámkách k vydání. Dle plánu by Ubuntu 20.04 mělo vyjít 23. dubna 2020.

Ladislav Hagara | Komentářů: 1
včera 17:22 | Nová verze

Vyšel XCP-ng 8.1 (seznam změn), alternativní sestavení Citrix Hypervisor (dříve XenServer), tedy serverová distribuce hypervizoru Xen (4.13), toolstacku XAPI a systému CentOS v privilegované doméně. XCP-ng na rozdíl od bezplatné verze Citrix Hypervisoru nemá četná omezení funkcionality, vývojáři ale nabízejí i komerční podporu. Novinkou (zatím) pouze v XCP-ng je možnost zálohovat VM včetně aktuálního stavu jejich paměti; funkce je integrována také v administračním nástroji Xen Orchestra.

Fluttershy, yay! | Komentářů: 0
2.4. 17:55 | Nová verze

Byl vydán LineageOS ve verzi 17.1. LineageOS (Wikipedie) je svobodný operační systém pro chytré telefony, tablety a set-top boxy založený na Androidu. Jedná se o nástupce CyanogenModu. LineageOS 17.1 je založený na Androidu 10.

Ladislav Hagara | Komentářů: 9
2.4. 17:22 | Zajímavý projekt

Lukasz Erecinski na blogu Pine64 oznámil možnost předobjednání telefonu PinePhone v edici UBports Community Edition. Telefon bude mít speciální kryt s logem a nápisem UBports Edition. Základní deska bude podle nového schématu (v1.2) vylepšená podle zpětné vazby od majitelů BraveHeart edice. Bude mít FCC i CE certifikace.

joejoe | Komentářů: 3
2.4. 15:33 | IT novinky

Společnost Cloudflare před dvěma lety spustila DNS resolver 1.1.1.1. Včera spustila 1.1.1.1 pro rodiny aneb nové resolvery 1.1.1.2 (2606:4700:4700::1112) a 1.1.1.3 (2606:4700:4700::1113) blokující stránky s malwarem a obsahem pro dospělé. Dnes se omluvila, že nechtěně blokovala také LGBTQIA+ stránky.

Ladislav Hagara | Komentářů: 31
2.4. 14:55 | Nová verze

Společnost Red Hat oznámila vydání Red Hat Enterprise Linuxu 7.8, který přináší vedle nových vlastností a oprav chyb také aktualizaci ovladačů a předběžné ukázky budoucích technologií. Podrobnosti v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
2.4. 14:33 | Nová verze

V pondělí vyšel Linux 5.6. Dnes vyšla jeho 2. opravná verze 5.6.2 (git). Opravena byla mimo jiné diskutovaná chyba v ovladači iwlwifi.

Ladislav Hagara | Komentářů: 0
1.4. 19:55 | Nová verze

Po dvou letech od vydání verze 3.0 byla vydána nová major verze 4.0 nástrojů LXC, LXD a LXCFS pro kontejnerovou virtualizaci LXC (LinuX Containers). Jedná se o verzi s dlouhodobou podporou (LTS). Ta končí v červnu 2025. Přehled novinek v jednotlivých oznámeních o vydání: LXC, LXD a LXCFS.

Ladislav Hagara | Komentářů: 4
Chodíte do práce?
 (26%)
 (2%)
 (6%)
 (1%)
 (46%)
 (14%)
 (5%)
Celkem 87 hlasů
 Komentářů: 4, poslední 2.4. 14:20
Rozcestník

Ldap a Samba

5.6.2006 13:12 | Přečteno: 4678× | linux, počítače a tak vůbec

Tak Samba bohužel není jen brazilský tanec, ale i něco jiného. Takový pěkný program, který umožňuje sdílení souborů mezi Linuxem a Windows, nebo taky například proměnit linuxový server v PDC pro Windows stanice. A co to má společného s Ldapem? Někam přece musím cpát údaje o uživatelích.

Když začínám něco tvořit pod Linuxem, tak je mi Google velým pomocníkem. Nejinak tomu bylo i se Sambou. Najít návod jak mountovat Windows shares, nebo jak vytvořit svůj vlastní není problém. Sehnat návod, jak vytvořit pomocí Samby PDC už je trochu problém. Sehnat návod jak vytvořit PDC s podporou uživatelů v LDAPu už je velký problém. Přesto jsem jich několik našel. Například tento na http://www.unav.es/cti/ldap-smb/smb-ldap-3-howto.html. Bohužel všechny návody v této oblasti se omezují na změť neokomentovaných příkazů a konfiguráků, ve které není poznat co je skutečně důležité od toho, co autor používá kvůli nějáké úplně jiné ptákovině. Když pak něco nefunguje, a vy nevíte co s tím, protože pořádně nerozumíte konfiguraci, tak je to celkem blbé. (Proto se pokusím popsat jak rozběhat Sambu s LDAPem, tak aby jste veděli co konfigurujete.) Nepokusím, protože to ještě neumím.

Předpokládám, že Sambu umíte alespoň trochu nakonfigurovat. (Tedy alespoň tak aby se servr tvářil, jako počítač ve workgroupu. Pokud si navíc přečtete můj minulý blogpost, bude následující text dávat větší smysl.

První věc kterou je potřeba udělat, je připravit náš LDAP server na to, že budu obsahovat účty uživatelů Samby. Ty se trochu liší od běžných linuxových účtů. Obsahuje například takové věci jako SambaSID, heslo ve formátu takovém aby ho Windows schroupaly, a jiné informace. Proto je potřeba přidat mezi schémátka ldap servru, takové které definuje atributy účtů Samby. Teď je potřeba zjistit, kterou verzi Samby používáte. Konkrétně verze 3, používá jiná schémátka než verze předchozí. Stáhnout se dá ze stránek Samby. Nahraje se do složky s ostatními schémátky a restartuje se ldap server. Nyní už náš ldap servr zná Samba accounty, což se projeví například tím, že nám přibudou nabídky v phpldapadminu.

Teď zpátky k Sambě. Jistě si říkáte, kam Samba cpe informace o svých účtech, když nepoužívá ldap. Cpe je do souboru kdesi v /etc. To nás, ale nemusí vůbec zajímat. Následující výpis je konfigurační soubor Samby. Doporučuji přečíst komentáře ať víte co děláte.

[global]
#teď se jedná o doménu, takž jméno domény
workgroup = avc
#jmeno servru
netbios name = fat.avc
#popisek servru, doporucuji "Server v Kuchyni"
server string = FAT.avc Testing PDC
#tak ted zacina to zajimave. Tady sambe sdeluji, ze chci aby pouzivale ldap
passdb backend = ldapsam:ldap://fat.sh.cvut.cz/
#definuji vrsek stromu
ldap suffix = ou=accounts,dc=avc
#definuji, kam samba cpe jednotlive veci, zajimave je, ze stejne vzdy hleda
#od ldap suffix nadefinovaneho vrsku stromu
ldap group suffix = ou=smbgroups
ldap machine suffix = ou=Computers
ldap user suffix = ou=users
#binduj se jako
ldap admin dn = "cn=admin,dc=avc"

ldap passwd sync = no

#aby smazani v sambe nesmazalo celej ldap entry, pokud uzivatele mate jenom
#kvuli sambe tak dejte klidne yes. Nevim ale jestli to fakt funguje
ldap delete dn = no

username map =/etc/samba/smbusers

#nejak jsem nespozoroval, ze by to k necemu bylo
add user script = /usr/sbin/useradd -m %u
delete user script = /usr/sbin/userdel -r %u
add group script = /usr/sbin/groupadd %g
delete group script = /usr/sbin/groupdel %g
add user to group script = /usr/sbin/groupmod -A %u %g
delete user from group script = /usr/sbin/groupmod -R %u %g
add machine script = /usr/sbin/useradd -s /bin/false -d /var/lib/nobody %u

# Note: The following specifies the default logon script.
# Per user logon scripts can be specified in the user account using pdbedit
logon script = scripts\logon.bat

# Zde se nastavi, kde budou mit uzivatele svoje cestovni profily. Uz se pouziva
# cesta ve stylu windows. Jinak %N je jmeno servru \Profiles je share profiles
# na servru. A %U je jmeno uzivatele. Do logon drive je pismeno domovskeho
# adresare a logon home je cesta k nemu
logon path = \\%N\Profiles\%U
logon drive = H:
logon home = \\%N\%U

#nastaveni samby jako PDC.
domain logons = Yes
os level = 65
preferred master = Yes
domain master = Yes

#nemam tuseni
idmap uid = 15000-20000
idmap gid = 15000-20000

#tak tady se tvorej ty shary na ktry jsem napriklad uz drive odkazoval
#predpokladam ze polozky jsou jasne. Jinak homes asi neni uplne nutne
#ale profiles je, protoze tam se definuje kde budou profily.
#netlogon je nejspise interni yaleyitost windows
#tuhle sekci nicmene doporucuju obslehnout tak jakje, protoze
#se uplne stejne vyskytuje v 90% navodu.
[homes]
comment = Home Directories
valid users = %S
read only = No
browseable = No

[netlogon]
comment = Network Logon Service
path = /home/samba/netlogon
admin users = root
guest ok = Yes
browseable = No

[Profiles]
comment = Roaming Profile Share
path = /home/samba/profiles
read only = No
profile acls = Yes

Teď přichází asi nejhorší část. Tou je přidání uživatelů a zařazení pracovních stanic do domény. Nejdříve zaneseme do LDAPu položku sambaDomainName. Ta má dva důležité atributy, ato její jméno a sambaSID. SID je jednoznačné identifikační číslo vaší domény. Samba už nějaké určitě vytvořila. Zjistí se pomocí příkazu net getlocalsid. Tohle číslo opravdu nemůžete nikde obšlehnout, ale musíte si ho opravdu zjistit. Tuto položku jsem umístil do vršku stromu samby a funguje to. Další položka, bez které samba nebude fungovat je účet s uid=0, tedy root. Já vytvořil nového uživatele root s uid 0 a umístil ho na místo, kde ho samba vidí, ale kde ho nevidí linux. V mém případě tady do kořene samby. Jako SID nastavím SID domény a k tomu si vymyslím nějaké pěkné číslo. O SIDech je napsáno ve výše odkazovaném how-to. Já je moc nepochopil. Používám na to phpldapadmin, který automaticky tvoří samba i linux účet. Stejně tak je možno vytvořit i ostatní uživatele. Buď úplně odznova, a nebo tím že stávajícím přidáme objectClass: sambaSamAccount. Tak ještě je potřeba sambě sdělit kde má heslo k ldap databázi. To se zařídí příkazem smbpasswd -w heslo.

Před chvílí jsem zjistil, že dokonce funguje i smbpasswd -a username. Username musí existovat v ldapu, ale nemusí se jednat o sambaSamAccount.

Zbýva ještě přidat pracovní stanice. To se proved kliknutím sem tam, někam . Potom se objeví logovací okénko, kam zadáte jméno někoho z domény a odpovídající heslo. Já tohle provádím jako root (ten Sambí). Pak se ws restartuje, a pokud je vše v pořádku, tak se můžete zalogovat jako uživatel. Vytvoří se vám profil, (zkopírováním profilu Default User) a můžete pracovat. Teda nemůžete, protože je potřeba ještě ws sdělit, že na ní opravdu můžete a to tím, že jí zařadíte uživatele do patřičné lokální skupiny (třeba PowerUsers). Na to je třeba spustit user manager na ws jako Administrator, přidat uživatele do skupiny, prohledat doménu, ... Však vy to naklikáte. Jo a abych nezapoměl, furt s tim něco nefunguje. Občas se nepřipojí home jednotka. Dál je třeba aby uživatel byl ve skupině Administrator, pokud není tak to sice funguje ale hodně podivně. Možná je to ale tím, že se přihlašuji přes RemoteDesktop.

       

Hodnocení: 96 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Diskuse byla administrátory uzamčena

5.6.2006 15:37 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Ldap a Samba
Nejsem si jistý, zda Samba opravdu potřebuje účet s uid=0. Alespoň moje Samba žádný účet s uid=0 nemá :-)

SID je jedinečný identifikátor uživatele ve Windows (obdoba unixové uid, ale je v tom i doména atd.) Má několik částí, pro užiavtele to lze chápat jako SID domény + identifikátor uživatele. Důležitá je jeho jedinečnost (aby dva uživatelé neměli stejné SID) a stálost (aby jeden uživatel měl stále jedno a to samé SID). Dokud Samba nepoužívala databázi, kde tenhle údaj mohla mít uložený, používal se na zjištění SID algoritmus, kdy se vzalo SID domény a za něj se připojilo 1000 + 2*UID, pro skupiny pak 1001 + 2*GID.

V LDAP je prostor pro uložení této informace, takže koncová část (rozlišující uživatele) může být "libovolné" číslo, pokud se zachová unikátnost. Pokud budete vkládat účty přímo do LDAPu, musíte se o tu unikátnost postarat sami, pokud použijete Sambu, musíte Sambě říci, jakým způsob oné unikátnosti docílit (buď může používat opět stejný algoritmus, jako dřív, nebo může mít v LDAP poznamenáno poslední nejvyšší přidělenou uživatelskou část uid/gid a při přidání ji inkrementovat).
5.6.2006 17:34 xxx | skóre: 42 | blog: Na Kafíčko
Rozbalit Rozbalit vše Re: Ldap a Samba
Nejsem si jistý, zda Samba opravdu potřebuje účet s uid=0. Alespoň moje Samba žádný účet s uid=0 nemá :-)
Jenom bych se optal, zda používáte Sambu jako PDC. V některých návodech totiž upozorňovali, že když Samba nebude znát uživatele s uid=0, tak odmítne přidat jakoukoliv WinXP stanici do domény.
Please rise for the Futurama theme song.
5.6.2006 18:00 trekker.dk | skóre: 71
Rozbalit Rozbalit vše Re: Ldap a Samba
A nesouvisí to s přidáváním účtu stanice do /etc/passwd pomocí add machine script?
Quando omni flunkus moritati
5.6.2006 18:30 xxx | skóre: 42 | blog: Na Kafíčko
Rozbalit Rozbalit vše Re: Ldap a Samba
To jsem si taky myslel, ale ten root ja zmiňován i v těch ldap verzích. Možná že se jednaá o nějakou věc uvnitř Samby.
Please rise for the Futurama theme song.
5.6.2006 20:06 Filip Jirsák | skóre: 67 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Ldap a Samba
Používám Sambu jako PDC a stanice s Windows XP přidávám přes libovolný administrátorský účet (který má uid≠0). Pravda je, že ty stanice mají už unixový účet vytvořený. Dříve ten uid=0 býval pro něco potřeba, ale teď už to myslím nutné není… Ona se Samba zrovna v téhle oblasti docela vyvíjí, a pár měsíců starý návod už nemusí být přesný…
ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.