Integrace linuxového serveru do domény Windows 2003

Dobry den,
Neresil nekdo problem, mam dva sambovsky servery na LINUXU,ktere tvori dve MS domeny a potreboval bych mit jednu spolecnou databazi uzivatelskych jmen a hesel pro dalsi sluzby.
Dekuji za jakoukoliv radu, napovedu.. Martin

12.1.2006 11:27 Honza "tux" Friesse | skóre: 15 | blog: Tuxův blog | Vyškov
Rozbalit Rozbalit vše Re: Integrace linuxového serveru do domény Windows 2003 - 3

Řešením by mohl být LDAP.

12.1.2006 12:02 Martin Vlasak | skóre: 9 | blog: Muj_prvni_blog | Liberec
Rozbalit Rozbalit vše Re: Integrace linuxového serveru do domény Windows 2003 - 3

SAMBA a LDAP, ma nevyhodu v ulozenem rootovskem heslem v plaintextove podobe.

12.1.2006 12:19 Abraxis
Rozbalit Rozbalit vše Re: Integrace linuxového serveru do domény Windows 2003 - 3

Neznam konkretne nasazeni Samby s LDAPem, ale DOST bych o tom pochyboval. Podle mne, jde nastavit, jak se tam ty hesla budou uchovavat (zda plaintext nebo MD5/... hash)

12.1.2006 12:22 Martin Vlasak | skóre: 9 | blog: Muj_prvni_blog | Liberec
Rozbalit Rozbalit vše Re: Integrace linuxového serveru do domény Windows 2003 - 3

Nevim prosel jsem hodne navodu, ale vsechny konci smbpass -w ..., ktery prave ulozi rootovske LDAPove heslo do secret.tdb v plaintextove podobe. Jinak ostatni hesla nejsou plaintextove.

12.1.2006 13:11 Honza "tux" Friesse | skóre: 15 | blog: Tuxův blog | Vyškov
Rozbalit Rozbalit vše Re: Integrace linuxového serveru do domény Windows 2003 - 3

Ano, admin heslo do LDAP si samba někde musí uložit a je logické, aby ho ukládala jako plain-text a nedávala uživateli falešný pocit bezpečí. To by ale neměl být problém, protože do secret.tdb by měl mít přístup jen root.

12.1.2006 13:25 Martin Vlasak | skóre: 9 | blog: Muj_prvni_blog | Liberec
Rozbalit Rozbalit vše Re: Integrace linuxového serveru do domény Windows 2003 - 3

S tim souhlasim,ale pro mne je to nevyhoda. U nas se o kazdy server stara nekdo jiny a pak bych jsi prozradil rootovske heslo. Proto se ptam jestli nekdo nema zkusenost, nebo nevi jak na tuto situaci. Jedinou moznost co me napadla a nestihl jsem ji overit, zadat password server na druhe sambe,ale nevim co nastavit jako security?

12.1.2006 13:37 Honza "tux" Friesse | skóre: 15 | blog: Tuxův blog | Vyškov
Rozbalit Rozbalit vše Re: Integrace linuxového serveru do domény Windows 2003 - 3

Rootovské heslo != heslo LDAP admina. Prostě je 1-n LDAP serverů (kde jeden je master a ty ostatní jsou asi slave). Ten má svoje heslo. To musí vědět všichni administrátoři, co administrují LDAP. Ale to nemusí být root heslo do systému. Může to být jiné heslo a je doporučeno, aby to tak bylo. Navíc je doporučeno nemít uživatele jako root v LDAP (server se porouchá a nikdo se už nepřihlásí nikam). To znamená, že do LDAP nastavíte jiné heslo, než je na všech ostatních strojích a je po problému (pokud není problém to, že ostatní admini budou vědět heslo do LDAP).

ehm možná se zeptám blbě, ale jde udělat aby samba byla PDC a např. w2k server jako BDC a ten BDC by si bral ucty z LDAPu na tom PDC?

cd /pub | more beer

13.1.2006 08:57 Abraxis
Rozbalit Rozbalit vše Re: Integrace linuxového serveru do domény Windows 2003 - 3

Ech, mam dojem, ze tohle nejde (nemuze byt Samba PDC s Windows BDC). Navic ale (AFAIK) v Active Directory uz neexistuje PDC/BDC, ale jen DC ;-)

A jaky by to melo smysl? Kdyz odpadne PDC, tak ti nepojede ani BDC => BDC postrada smysl existence ;-)

13.1.2006 09:21 Arno3t | skóre: 23 | Uherské Hradiště
Rozbalit Rozbalit vše Re: Integrace linuxového serveru do domény Windows 2003 - 3

Při uvedení AD Microsoft tvrdil, že skutečně existují pouze DC a v jistém smyslu je to pravda. Nicméně stále zůstává faktem, že některé funkce obstarává pouze jeden stroj (třeba DHCP v rámci jedné sítě) a jsou to funkce na které se vážou údaje pro AD. Proto stále má smysl mluvit o primární úloze nějakého serveru i když to není totéž jako v NT4. V každém případě MS DC je přece jen nativní server pro Windows se širším množstvím funkcí než Samba a když už zaplatím za serverové licence je nesmysl zmíněný model používat.

16.1.2006 08:28 B0biN | skóre: 21 | blog: B0biN bloguje
Rozbalit Rozbalit vše Re: Integrace linuxového serveru do domény Windows 2003 - 3

ano to je pravda, ze to postrada smysl a jde tedy udelat to, aby si ten w2k server bral ucty a hesla z LDAPu na tom PDC ..???

cd /pub | more beer

16.1.2006 12:04 Arno3t | skóre: 23 | Uherské Hradiště
Rozbalit Rozbalit vše Re: Integrace linuxového serveru do domény Windows 2003 - 3

V tomto místě Samba Howto je jednoznačně vyjádřeno, že Samba server nemůže být AD server. Dobře jsou podporovány vlastnosti na úrovni NT4 PDC, ale ani tyto nejsou podporovány beze zbytku.