1.1, psj (??), 09:38, 21/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
При таком подходе у меня есть только одна проблема: логоны и пароли на русском языке. Если логон имя и пароль на английском - всё ОЧЕНЬ хорошо работает, если на русском - вход в домен не проходит :( (Правда я все это делал на FreeBSD 5.x и 6.x). Кто нибудь пробовал сделать тоже самое, НО с русскими логонами? | |
1.2, Voron (??), 10:11, 21/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Керберос ставить совсем необязательно. У меня было даже наоборот, с ним не хотело работать. В итоге убил krb5.conf и все заработало.
И самбу достаточно было собрать с поддержкой ADS. | |
|
2.7, psj (ok), 11:02, 21/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
>Керберос ставить совсем необязательно. У меня было даже наоборот, с ним не
>хотело работать. В итоге убил krb5.conf и все заработало.
>И самбу достаточно было собрать с поддержкой ADS.
Значит у тебя домен был режиме совместимости с NT4, а там нет кербероса. Если стоит 2003 домен - без кербероса работать не будет | |
|
3.14, Voron (??), 15:28, 21/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
Как-раз 2003-й и стоит. И не надо говорить, что работать не будет. Когда работает. Мне виднее, что у меня работает, а что нет :) Факты - вещь упрямая. Пока не послал керберос - были проблемы. | |
|
4.16, sapran (ok), 15:42, 21/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
в домене АД керберос нужен. может Самба как-то по-своему его имплементирует, я не в крусе. но если вдруг захочется расширить функциональность, то есть натравить Апач, Сквида и прочую живность на аккаунты в домене -- нужен будет керберос однозначно. | |
|
5.23, Voron (??), 19:13, 21/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
Я не говорю, что не нужен. Я этот вопрос насчет натравливания другого по на АД не изучал, хотя есть ощущение, что и тогда можно без него будет обойтись. Скорее всего с помощью pam.
Просто в данной задаче: достаточно собрать самбу с его поддержкой.
Если у кого есть время и ресурсы - проверьте :) Поскольку данная задача действительно в последнее время встречается все чаще, и инфы очень мало по ней.
Собственно говоря можно было не заострять внимание на ОС, так как самба не только под линуксом работает :) Тут можно обобщать под никсы в целом. | |
|
|
|
|
|
2.4, psj (ok), 10:29, 21/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
>Насколько знаю, с русскими логинами работать гарантировано не будет.
по моему все зависит от кривизны рук. У меня кривоватые - поэтому и не получилось. А вдруг кто-то сделал? | |
|
|
4.18, psj (ok), 16:03, 21/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
>не слыхал такого и у самого никогда не выходило.
А я слышал, но где не помню. Вроде как проблема в кодировке, а как ее исправить понять не могу :( | |
|
|
|
|
2.6, psj (ok), 10:59, 21/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
>Samba можно без LDAP-а собирать
по-моему нельзя. LDAP должен быть, т.к. Win AD есть форк от LDAP-a, то Samba должна поддерживать LDAP-аутентификацию
| |
|
1.9, Vaso Petrovich (?), 11:28, 21/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
как глупо, все руками собирать, для одного сервера еще можно попыхтеть, а когда их более 20, особено с обновлениями будет весело... | |
|
2.17, sapran (ok), 15:44, 21/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
>как глупо, все руками собирать, для одного сервера еще можно попыхтеть, а
>когда их более 20, особено с обновлениями будет весело...
не путайте продакшн с тренеровками =) как наглядный пример заставляющий пытлдивые умы углубиться в детали -- покатит. а если 20 серверов... тогда хауту не помогут, надо будет творить =) | |
|
1.10, Deepwalker (ok), 12:01, 21/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
1. ldap для samba нужен только для pdc или что то в этом роде.
2. В слаке самба АД не поддерживает по умолчанию, так что пересобирать приходится.
3. Cобрать надо только на ОДНОМ серваке, а на остальные просто установить пакет полученный с помощью checkinstall.
| |
1.11, McLeod095 (??), 12:06, 21/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Да много написано про настройку, но дистры то там не Slackware, и там уже все это дело как Samba + krb + ldap + ad уже стоит, или можно из rpm поставить, а слаке самба не собрана с этими вещами. А я писал именно под слаку т.к. там нет графических утилит по умолчанию и т.п. Да и вообще если надо что-то настроить, то надо сначала разобраться как это работает. Я ковырял и узнал что-то новое, поэтому захотел поделиться.
По поводу обновлений, скачай свежую версию, скомпиль на отдном серваке, далее makepkg *.tgz и upgradepkg *.tgz. | |
1.12, Arnis (?), 13:03, 21/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Отличная работа, mcleod095! Спасибо! И, хотя моя основная ОС - GentooLinux, я почерпнул много интересного. | |
1.20, mit_yau (?), 17:30, 21/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
И весь этот геморрой - только чтобы поднять файлопомойку? А на каком железе, если не секрет? | |
1.21, McLeod095 (??), 17:41, 21/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
железо было тестовое такое
p4 3.2 256RAM 160GB
но это пока на тестировние было. потом может быть переведем на нормальный сервак.
вообще задача состоит в том чтобы попробовать перенести рабочие станции с windows на linux.
т.к. полный переход сразу невозможен, то приходится заморачиваться.
Если кто-то делал аторизацию линух пользователей в вин домене не через PAM, то пишите, буду признателен. | |
|
2.22, mit_yau (?), 18:14, 21/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
А-а, а то я уж удивился, чего это в домене на W2K3 файлопомойку на иксах делают, вместо того же w2k3. :) | |
|
1.24, Аноним (-), 22:30, 21/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Нда... А кто-ибудь читал доки, которые идут вместе с Samba ?
Там написано как и почему не все Kerberos-ы одинаково полезны и каким макаром каждый прикручивать.
Автор гонит чушь по Samba и LDAP. В описанном режиме компилять LDAP вообще не надо, что автор собственно и сделал. На кой упоминать про LDAP? Ах да! Умные скажут: Он нужен, когда Самба работает в режиме контроллера домена. Пять баллов!
Однако здесь Самба в режиме клиента. И тут LDAP никаким местом.
Еще меня коробит слово "имплементация".
"Разработчики имплементировали..." Аж тошнит...
Граждане! Выучите: implementation = реализация, выполнение.
| |
|
2.25, Витя (?), 11:42, 22/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
А че, стремимся к международному языку - английскому, скоро все по нему потихоньку говорить будем.. так что б все технари друг друга понимали. вот сказал он "имплементировали" - тебя коробит, а пол мира поняло.
меня вот от русских интерфейсов программ коробит, к примеру..
а по собственно сабжу добавить или прокомментировать мне совершенно нечего :-P | |
|
1.26, PJ (??), 13:46, 22/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
А проблем со сроком жизни билета не было? Мне так и не удалось заставить выдавать пожизненный ticket. И renew тоже не проходило. А каждый день ручками обновлять его как-то неудобно. Пришлось сцепить Samba с Win2K по rpc. Так и работает уже полгода... | |
|
2.27, FK (?), 16:57, 22/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
гы, кстати по RPC и можно сцепить без пересборки....
на Фре, кстати, есть обалденная команда mount_smbfs - почти аналог smbmount
Насчет нужен или не нужен Krb и LDAP.
Если нужна проверка подлинности машины или юзверя в домене, то Krb нужен, т.к. без него тикет не получишь (пример - использование *NIX сервака как файлопомойки). Кстати, по крайней мере у Фри 5 и выше тикеты нормально обновляются; а срок жизни тикета прекрасно выставляется через GPO (тут уж простор фантазии; самые злобные буратины ставят день и меньше... почему бы в таком случае IPSEC не привернуть?... - ну эт уже другая песня).
Если нужно каким-либо образом обращаться к списку юзеров домена, то тогда LDAP нужен (пример - NTLM в сквиде).
| |
|
1.29, xray (?), 18:19, 25/04/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
ребята, уже ктото писал, но повторюсь:
без Kerberos работает если домен находится в режиме NT native, по умолчанию он вроде всегда так и ставится на 2000 и 2003
Kerberos обязателен если режим домена windows 2000 native или windows 2003 native
ps. с русскими логинами у меня тоже не заработала авторизация из шела, в squid'е работает всё ок | |
|
2.30, xray (?), 18:31, 25/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
точнее по умолчанию ставится Windows 2000 mixed, это и есть совместимость с NT,
где Kerberos не требуется | |
2.31, psj (ok), 08:18, 26/04/2006 [^] [^^] [^^^] [ответить]
| +/– |
>ребята, уже ктото писал, но повторюсь:
>без Kerberos работает если домен находится в режиме NT native, по умолчанию
>он вроде всегда так и ставится на 2000 и 2003
>Kerberos обязателен если режим домена windows 2000 native или windows 2003 native
Ну наговорил, ну наговорил :) , домен Win 2000-2003 в native режиме БЕЗ Kerberos работать не будет. Нужен клиент Kerberos.
>
>ps. с русскими логинами у меня тоже не заработала авторизация из шела,
>в squid'е работает всё ок
А вот с этого места пожалуйста поподробней. Меня авторизация в шелл через Win-домен не интересует в принципе. А как Вы добились авторизации с русскими логонами в squid-е? Видимо нечто подобное можно сделать и в Samba-сервере.
| |
|
3.33, vlad (??), 12:40, 05/05/2006 [^] [^^] [^^^] [ответить]
| +/– |
>А вот с этого места пожалуйста поподробней. Меня авторизация в шелл через Win-домен не >интересует в принципе. А как Вы добились авторизации с русскими логонами в squid-е? >Видимо нечто подобное можно сделать и в Samba-сервере.
Может нужно преобразовать логины в utf-8 перед засовыванием их в программу авторизации?
| |
|
2.34, vovan (??), 13:10, 05/05/2006 [^] [^^] [^^^] [ответить]
| +/– |
>>ps. с русскими логинами у меня тоже не заработала авторизация из шела, в squid'е >>работает всё ок
А можно по-подробнее на эту тему?
| |
|
1.35, McLeod095 (??), 16:02, 10/05/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
попробовал собрать samba без установки пакета ldap на что мне выдало ошибку что для поддрежки ADS нужен ldap. так что для тех кто говорит что и без него можно, то говорите только проверенные на себе данные. | |
1.36, Basmach (?), 23:10, 12/05/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
вроде как ldap клиент есть на www.slackware.com в разделе packages так что можно там брать. А в остальном очень хороший ман, для тех кто это делает в первый раз. Респект автору. Сам не одну неделю на это же потратил пока все, что надо не нашел... | |
1.37, artyom (??), 11:43, 23/05/2006 [ответить] [﹢﹢﹢] [ · · · ]
| +/– |
Решил написать глюки с которыми я столкнулся
при сборке самбы
1. в самбе 3.14a в логи валится всякая лабуда даже при правильной настройке.
2. При сборке heimdal самба работать отказывалась. хотя всё было супер . команда id не выводила пользователей доменов при правильных конфигах хотя всё работало на ура . и с самбы всё было доступно и билеты выдавались и в домен всё джойнилось.писала invalid user + начинали глючить обычные логины.
3. чтобы керберос работал по tcp надо писать
tcp/имя сервера:порт ,а не kdc = tcp/server !!!
4. пока не обновил порты и не пересобрал базу портов ( смотрите статью хитрости работы с портами) 5 керберос не собирался .
5. после того как я решил переджойнить тачку в домен билет не хотел обновляться ни в какую .
пришлось ждать 10 часов пока он умрёт . желающие могут поразвлекаться с утилитой управления билетами под винды . входит в 2003 recourse kit и называется kutil.
5. решение - сразу обновить порты собирать только новое ! 3.0.22 на данный момент + 5 kerberos . сразу включать его работу через tcp .
после того как всё завелось ничего не переджойнивать и преспокойно раздавать шары.
6.без обновлений портов работала связка 3.0.14a + krb4 но ошибка в логи валилась . + на живой домен я так и не смог это поднять , только на вирт машине .
удачи в борьбе с freebsd . | |
|