abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
včera 22:22 | Zajímavý projekt

S pomocí 3D tiskárny vyrobitelná klávesnice Katy K80CS (Deskthority, Geekhack) inspirovaná Kinesis Advantage je nyní open hardware – včetně souborů STL nově pod licencí Creative Commons BY-SA. Firmware byl dostupný již dříve. Jedná se o alternativu k populárnímu projektu Dactyl s řadou forků včetně varianty Dactyl-Manuform (viz též galerii, kterou spravuje Xah Lee).

Fluttershy, yay! | Komentářů: 1
včera 22:11 | Nová verze

Android Studio (Wikipedie), tj. oficiální integrované vývojové prostředí pro vývoj aplikací pro mobilní operační systém Android, bylo vydáno v nové stabilní verzi 4.0. Přehled novinek i s náhledy v oficiálním oznámení a také na YouTube.

Ladislav Hagara | Komentářů: 0
včera 15:33 | Nová verze

Byla vydána verze 1.14 systému pro správu a verzování zdrojových kódů Apache Subversion (Wikipedie). Jedná se o LTS verzi. Přehled novinek v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0
včera 14:22 | IT novinky

V červnu loňského roku bylo představeno Raspberry Pi 4 s 1 GB, 2 GB a 4 GB RAM. Dnes přibyla varianta s 8 GB RAM za 75 dolarů. Současně bylo oznámeno přejmenování Raspbianu na Raspberry Pi OS. K dispozici je beta verze 64bitové varianty. Minulý týden byla oznámena beta verze firmwaru umožňujícího bootování Raspberry Pi 4 z USB místo z SD karty.

Ladislav Hagara | Komentářů: 9
včera 07:00 | Zajímavý článek

Portál Stack Overflow po roce opět vyzpovídal své uživatele, jedná se především o vývojáře softwaru, a zveřejnil detailní výsledky průzkumu. Průzkumu se letos zúčastnilo téměř 65 tisíc vývojářů. Jejich nejpopulárnější i nejmilovanější platformou zůstává Linux.

Ladislav Hagara | Komentářů: 11
včera 00:33 | Nová verze

Po deseti měsících vývoje byla vydána nová verze 3.10 svobodného alternativního webového prohlížeče NetSurf (Wikipedie). Přehled změn v cgitu.

Ladislav Hagara | Komentářů: 7
27.5. 23:55 | Nová verze

Oznámení o vydání nové verze 8.3 sady aplikací pro SSH komunikaci OpenSSH obsahuje upozornění, že vzhledem v lednu publikovanému útoku na SHA-1 bude v blízké budoucnosti v OpenSSH ve výchozím stavu zakázáno použití algoritmu ssh-rsa. Zda bude komunikace se serverem i po tomto zákazu fungovat, lze vyzkoušet pomocí příkazu "ssh -oHostKeyAlgorithms=-ssh-rsa user@host".

Ladislav Hagara | Komentářů: 4
26.5. 17:11 | Nová verze

Byla vydána nová stabilní verze 5.15 toolkitu Qt. Přehled novinek na wiki stránce. Jedná se o LTS verzi. V důsledku nedávných změn je ale dlouhodobá podpora pouze pro držitele komerční licence.

Ladislav Hagara | Komentářů: 21
26.5. 11:11 | Komunita

Libre Graphics Meeting 2020, tj. konference a setkání vývojářů a uživatelů svobodných grafických softwarů, proběhne online od středy 27. května do pátku 29. května. Na programu jsou zajímavé přednášky i tutoriály. Sledovat je lze zdarma a bez registrace.

Ladislav Hagara | Komentářů: 2
26.5. 07:00 | Komunita

Canonical na svém blogu oznámil, že Ubuntu 18.04 LTS získalo certifikaci FIPS 140-2 Level 1. Jedná se o americký vládní standard pro počítačovou bezpečnost používaný ke schvalování kryptografických modulů. Certifikace bývá vyžadována u státních, zdravotnických a bankovních IT systémů.

Ladislav Hagara | Komentářů: 16
Kdy přecházíte na nové vydání distribuce/OS?
 (14%)
 (13%)
 (21%)
 (7%)
 (3%)
 (41%)
Celkem 347 hlasů
 Komentářů: 0
Rozcestník

Připojovat linux klienty v učebně do Win domény?

18.3.2009 15:55 | Přečteno: 4892× | Linuxové báchorky | Výběrový blog | poslední úprava: 18.3.2009 15:56

Zdravim
Máme ve škole Windows server 2003 a na něj se připojujou Windows XP. Prostě windowsí doména. Server sice přímo nespravuju, ale co by bylo potřeba tam můžu provést, heslo mám. Tento server obsahuje žákovská data, jejich domovské adresáře. Chci na to navázat linuxové stanice.

Vedle toho je linuxový server pro tlusté klienty (NFS boot). Cílem je mít k dispozici několik distribucí, které budou sdílet stejná uživatelská data a uživatele. Oba servery mají rychlé diskové pole s dostatečnou kapacitou. Dřív jsem oveřoval proti NIS, který běžel na stejném stroji jako Samba PDC, ten byl nahrazen woknama.

Řeším co s tím. Rád bych aby se uživatelé mohli hlásit do linuxu i windows pod stejným heslem a aby měli k dispozici svoje data.

Možná řešení:

1) Na společné uživatele i home se vykašlat. Každá distribuce na linux serveru by měla svoje homy a svoje uživatele. Do uživatelského profilo bych dal skriptík, který přes CIFS připojí profil z WIN serveru do ~/windows_data. Otázka je co s heslem, kde ho na tom linuxu seženu? A pořešit sudo aby to šlo připojit pod uživatelem.

Nějak takhle: mount -t cifs -o user=stepanek,password=nereknu,iocharset=utf8 //srv/zamestnanci/stepanek /mnt/cifs/

2) Na WIN server nainstalovat "Services for unix", to by mělo rozjet NIS a NFS server na woknech a celé to ověřovat proti tomu. LDAP databáze na woknech se rozšíří o Linuxové UID, GID, Shell atd. Teoreticky by to mělo fungovat podobně jako dřív, ale je to už poněkud zastaralé řešení vyžadující výrazný zásah na windowsím serveru.

3) Připojovat linux přímo do domény windows. To znamená nastavit PAM, Kerberos atd na přihlašování proti AD. A sambu, winbind atd. pro připojení domovského adresáře. Našel jsem na to několik náviodu: první druhý třetí. Ale šla mi z toho hlava kolem, něco tak příšerně složitého a ošklivého jsem už dlouho neviděl (zejména v porovnání jak jednoduše se to nakliká ve windows XP). Tohle řešení by ještě mohlo mít problém v tom, že z jednoho serveru (identický smb.conf) startuje třeba celá učebna. Návody očekávají v smb.conf jméno počítače, musí být pokaždé jiné.

Preferuju řešení které má společná hesla. Už teď mají uživatelé několik hesel na několika serverech a udržet v tom pořádek je problematické. Je nepřijatelné aby se ve výchozím nastavení na windows přihlásili a na linux ne. To je pak celá snaha s Linuxem do školy zbytečná.

Nějaké nápady, návrhy, řešení?

Díky všem.

Zdeněk

       

Hodnocení: 100 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Vložit další komentář

Luk avatar 18.3.2009 16:11 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?
Před časem jsem zkoušel počítač s openSUSE 11.1 připojit do domény AD. Nepovedlo se to, přestože se všechno tvářilo, že není nikde žádný problém - ovšem když jsem se chtěl jako uživatel přihlásit, vždy to selhalo. Moc důkladně jsem to nezkoumal, ale rozhodně se nedá říct, že by to byla "plug and play" věc.
LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
18.3.2009 16:34 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?
Stačí použít Ubuntu a do něj nainstalovat LikeWise (má to balík). Ozkoušeno, funkčnost stoprocentní včetně kešování přihlašovacích údajů, změn hesla atd.
18.3.2009 16:34 CET
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?
Pises "LDAP databaze na woknech se rozsiri o UID, GID a Shell". Pak nechapu, proc tam motas ten NIS. Kdyz uz mas uzivatele v LDAPu, muzes nastavit nss-ldap na pouzivani toho LDAPu. Pokud ten LDAP je opravdu LDAP a pouziva userPassword pro autentizaci, tak muzes pouzit i pam-ldap na prihlasovani, pripadne by snad mohl jit pouzit nejaky pam-samba modul, kterej overi prihlaseni uzivatele pres sambu (a samba snad jde nastavit jako clen AD, my mame pouze domNT4).

Nejlepsi by asi bylo, kdyby se homediry pripojovaly pres NFS, aby se tam nikde nemotalo heslo, ale to na nasich serverech neresemi, takze nevim.

Mam ale dojem, ze jsem nekde cetl, ze samba se neda nastavit jako windows, ze pokud pristoupis na nejakej server na share, tak se posle tvoje uzivatelsky jmeno. Samba tohle nedokaze delat, protoze samba nedokaze ze systemu prevzit heslo, kterym se uzivatel prihlasil. Takze leda tam udela skriptik na manualni pripojeni disku s tim, ze se uzivatele zepta na heslo jeste jednou. A nebo ten NFS.

Jinak spousta lidi tlaci ve Win na AD, ale pritom vyuzijou tak 10% funkci, ktery by meli i tak v NT4dom. Takze IMHO by spis bylo lepsi predelat ten server na linux:)
18.3.2009 20:27 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?
Moc jsi mi nepomohl, ale driv jsme meli domenu na linuxu, prehistorik redhat 9, ja to jen zdedil. Melo to svoje bugy, ale jelo to. Kolega to pak udelal na woknech a to sice jede lip, ale me tim zpusobil problem.

Presne jsi popsal problem, ze samba (smbclient, mount.cifs) nedokaze vzit heslo z beziciho systemu, neboli automaticky pripojit houm z woken pro prave prihlasenyho uzivatele.

Takze bud NFS nebo na plochu budu lepit ikonku "pripojit disk H:" a to se zepta na heslo.

Zdenek
www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf
19.3.2009 10:12 alkoholik | skóre: 38 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?
To zni, jako kdybys potreboval prave vyse zmineny kerberos. Zadas heslo, dostanes ticket a ten na mount staci.
Jinak automaticke mountovani CIFS svazku pri prihlaseni muzes poresit pres PAM moduly.
18.3.2009 22:01 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?
Mam ale dojem, ze jsem nekde cetl, ze samba se neda nastavit jako windows, ze pokud pristoupis na nejakej server na share, tak se posle tvoje uzivatelsky jmeno. Samba tohle nedokaze delat, protoze samba nedokaze ze systemu prevzit heslo, kterym se uzivatel prihlasil. Takze leda tam udela skriptik na manualni pripojeni disku s tim, ze se uzivatele zepta na heslo jeste jednou. A nebo ten NFS.

Mount.cifs sice neumí vzít heslo za běhu systému, ale umí ho převzít v rámci přihlášení pomocí PAM - modul pam_mount. Nastavení není triviální, ale fungovalo mi to.

18.3.2009 22:34 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?

zkusil jsem namountovat sambu a na heslo se to zeptalo:

vodik:~ # mount //10.10.10.1/MYSHARE1 /aoe1
Password:
 

-- Nezdar není hanbou, hanbou je strach z pokusu.
18.3.2009 22:41 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?

Možná jsem se nevyjádřil úplně přesně. Prostě jde připojit přesně definované "síťové disky" v rámci přihlášení bez zadání hesla. Později, při ručním připojení, si to heslo už nepamatuje. Ale naznačený problém takhle lze řešit.

Pokud je stroj s Linuxem pomocí Samby zařazen v AD, pak by mělo ověření proběhnout přes Kerberos bez hesla (to ale nemám vyzkoušené).

19.3.2009 09:56 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?
Tohle je popisovane v prvnim odkazovanem navodu. Zatim to vypada ze se mi to libi. Uzavetele budou oddeleni, pojede vsechno z jednoho serveru a pokud budou mit stejny hesla (coz muzu zaridit) tak se jim automaticky do ~/disk_h pripojej data.
www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf
19.3.2009 10:42 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?
Pokud budete mít na tom linux serveru stejné loginy jako na Windows (třeba i ručně zakládané), zkuste pro hesla použít ten pam_smb. Natavení je celkem triviální - úprava PAM konfigurace + 1 soubor v /etc kde se nastaví jen název domény a IP adresa doménového řadiče, na straně Windows serveru není třeba nastavovat nic. Mohou být nastavena i lokální hesla, která se použijí, když selže pam_smb - podle konkrétního nastavení PAM. Pak nebude problém s tím, když si uživatel změní heslo.

 

18.3.2009 21:57 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?

1) Pokud jde o připojování adresářů z Windows serveru, tak to lze relativně jednoduše a pro uživatele příjemně řešit pomocí pam_mount - zařadí se do konfigurace PAM pro login, kdy má k dispozici plaintext heslo, které uživatel zadal. Pak se v nějakém konfiguračním souboru v /etc nastaví, co chci připojovat - použije se mount.cifs, zadá se adresa serveru + share, kde lze opužít některé proměnné - jsou tam příklady.

Kdysi mi to fungovalo na LTSP celkem bez problémů. Uživatelům se Windows disk připojil do ~/H/ a o nic se nemuseli starat.

2) Ověřování lze udělat čistě a složitě přes Winbind (část Samby, zajístí NSS - seznam uživatelů + skupin) + Kerberos který zajístí ověřování na Windows KDC. Ale konfigurovat to pro tlusté klienty bude hodně těžké. Každý stroj s linuxem se musí pod svým jménem zařadit do Windows domény přes net ads join...

Pokud jde do Windows LDAPu nějak "snadno" dostat UID a GID, tak bych na něj nasměroval přímo libnssl-ldap - to by mělo jít nastavit snadno.

Pro ověřování hesla (sice z Linuxu oproti Samba serveru, ale to by mělo být stejné) jsem používal pam_smb ( http://www.csn.ul.ie/~airlied/pam_smb/ ) - ten fungoval velmi jednoduše a spolehlivě. Vůbec se nestaral o doménu, ale jednoduše vzaj jméno+heslo a zkusil se připojit na daný Samba/Windows server. Ovšem už v době, kdy byl stable Debian Sarge, jsem musel používat používat balíček z Debianu Woody protože v novějším Debianu nebyl, nevím jak teď.

3) Napadá mě ještě jedna možnost, pro danou situaci by to mohlo být vyhovující a spolehlivé, ale není to moc čisté...

Každou noc bych pomocí skriptu třeba v Perlu vytáhl seznam uživatelů z Active Directory (přes LDAP protokol, příklady lze najít). Nové uživatele v AD bych vytvořil v /etc/passwd na boot serveru, odstraněné z AD zde smazal (vkládal bych je do nějaké spec. skupiny, aby se odlišili od ostatních). Tím by byl na klientech zajištěn seznam uživatelů (NSS) - místo toho lde samozřejmě přímo použít LDAP, otázka je co bude jednodušší. Ověření hesla by šlo přes pam_smb. Adresář z Windows serveru by se připojil pomocí pam_mount. Hodně podobně mi to fungovalo před pár lety s LTPS a Samba serverem, když jsem neznal LDAP.

19.3.2009 14:37 beko
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?

skuste link na zmienovany preklad z AD do LDAP. Pred casom som nieco take hladal a neuspesne. Vdaka.

19.3.2009 15:23 VSi | skóre: 28
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?

Active Directory doménový řadič funguje jako LDAP server, ke kterému se lze připojit ("bind" v terminologii LDAPu), pokud tam máte účet. V případě LDAPu obecně nestačí login + heslo, ale je třeba vědět DN (Distinguished Name) ve tvaru jako: CN=ucet,OU=orgunit,DC=domena,DC=com. V případě AD možná bude fungovat i "login@DOMAIN" (třeba první odkazovaný článek to tvrdí).

Možná je třeba něco povolit na Windows Serveru, to nevím. Zkusil bych i připojení na LDAPs port, možná nebude nešifrované spojení povoleno.

Pro začátek bych zkusil se na Windows server připojit nějakým LDAP prohlížečem - LDAPAdmin pro Windows nebo Luma pro Linux. Pochopíte tak strukturu a atributy, jak jsou data uložená. Pak lze s LDAP serverem pracovat třeba v Perlu / PHP / Pythonu - nějaké odkazy:

http://www.samuraj-cz.com/clanek/autentizace-uzivatele-vuci-ad-v-php/

http://www.developer.com/open/article.php/10930_3106601_2

 

20.3.2009 10:51 beko
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?

Asi sme sa celkom nepochopili. Ja som myslel ze su vytvoreny xxx.schema pre LDAP, tak aby sa dali naimportovat ldif exporty z AD. Takpovediac "online" pristup do AD mi je jasny.

18.3.2009 23:26 mimi.vx | skóre: 37 | blog: Mimi.VX | Praha
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?

 pokud do konfu nehodis netbios name tak to vezme automaticky hostname pocitace ...

 

USE="-gnome -kde";turris
19.3.2009 20:16 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?
Zatim se mi libi ten pam_mount, skoro mi to uz funguje, az na jeden detail. Na win serveru jsou sdileni ve tvaru:

/ia06/ia06hmoz

/ds07/ds07herf

/pa05/pa05kpor

/zamestnanci/novak

V pam_mount je pouze promena %(USER), ten meziadresar bych musel nejak skriptem dopocitat, coz sice programatorsky neni problem, ale nevim jak to vpasovat do toho XML konfigu pam_mount.

Rekl jsem kolegovi co to spravuje jestli by mi udelal aliasy bez toho meziadresare, tak snad to pujde.

Potom asi zacnu resit zase pres PAM overovani pouze jmena a hesla proti WIN serveru, starsi formou jako do NT domeny, uz to tady bylo zmineno. Proste co nejjednodusejc. PAM by pro nove vytvareneho uzivatele vytvoril home adresar a hotovo.

Cili takove hodne lehke napojeni na domenovy server.

Zdenek
www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf
23.3.2009 22:46 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?
Zdravim

Nevite nekdo jak tohle vyresit? Koukal jsem na dokumentaci, ale bud malo, nebo je ta promenna proste zadratovana do zdrojaku PAMu a nehnu s tim...

Zdenek
www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf
20.3.2009 11:35 zelial
Rozbalit Rozbalit vše Re: Připojovat linux klienty v učebně do Win domény?

ad 3) kerberos neres - samba si ho nakonfiguruje sama. staci byt na nej nachystany (nainstalovane baliky, synchronizovany cas) win uzivatele v linuxu - winbind nainstalovany a pridany do /etc/nsswitch.conf, pocitac pridany do ads (net join ads ...). afaik by melo stacit

Založit nové vláknoNahoru

ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.