Есть головной офис, есть филиалы. нужно, чтобы пользователи головного офиса автоматически появлялись на филиалах!!
Кто нибудь пробывал реализовывать такую схему?? если да то где об этом можно почитать
или может быть кто просто что-нибудь посоветует, а то просто даже не знаю с какой стороны подойти к данной задаче ((((
>Есть головной офис, есть филиалы. нужно, чтобы пользователи головного офиса автоматически появлялись
>на филиалах!!
>Кто нибудь пробывал реализовывать такую схему?? если да то где об этом
>можно почитать
>или может быть кто просто что-нибудь посоветует, а то просто даже не
>знаю с какой стороны подойти к данной задаче ((((
Что стоит в HQ? Что стоит в филиалах? Не в обиду будет сказано уважаемый, но даже тема поста не прибавила вашему "ковырянию в носу" логичности и раскрытия сути вопроса... Советую прочесть правила постановки вопросов на форуме....
>>Есть головной офис, есть филиалы. нужно, чтобы пользователи головного офиса автоматически появлялись
>>на филиалах!!
>>Кто нибудь пробывал реализовывать такую схему?? если да то где об этом
>>можно почитать
>>или может быть кто просто что-нибудь посоветует, а то просто даже не
>>знаю с какой стороны подойти к данной задаче ((((
>
>
>Что стоит в HQ? Что стоит в филиалах? Не в обиду будет
>сказано уважаемый, но даже тема поста не прибавила вашему "ковырянию в
>носу" логичности и раскрытия сути вопроса... Советую прочесть правила постановки вопросов
>на форуме....на всех филиалах стоят samba+ldap Домены в том числе и в головном офисе
>>>Есть головной офис, есть филиалы. нужно, чтобы пользователи головного офиса автоматически появлялись
>>>на филиалах!!
>>>Кто нибудь пробывал реализовывать такую схему?? если да то где об этом
>>>можно почитать
>>>или может быть кто просто что-нибудь посоветует, а то просто даже не
>>>знаю с какой стороны подойти к данной задаче ((((
>>
>>
>>Что стоит в HQ? Что стоит в филиалах? Не в обиду будет
>>сказано уважаемый, но даже тема поста не прибавила вашему "ковырянию в
>>носу" логичности и раскрытия сути вопроса... Советую прочесть правила постановки вопросов
>>на форуме....
>
>на всех филиалах стоят samba+ldap Домены в том числе и в головном
>офисе
Если нам повезет, то возможно мы увидим таки засекреченые конфиги Самбы )))
[global]
server string = %h
workgroup = MY-DOMAIN
netbios name = PDC
security = user
enable privileges = yes
load printers = yes
printing = cups
printcap name = cups
guest account = nobodylog level = 3 passdb:5 auth:10 winbind:10
log file = /var/log/samba/log.%m
max log size = 500syslog = 0
lock directory = /var/lock/samba
private dir = /etc/samba/private
dont descend = /proc,/dev,/etc,/lib,/lost+found,/initrdsocket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
interfaces = lo eth0
bind interfaces only= yes
smb ports = 139local master = yes
os level = 255
domain master = yes
preferred master = yes
domain logons = yes
host msdfs = yesusername level = 8
logon drive = r:
logon script = defuser.bat
logon home =
logon path =wins support = no
add user script = /etc/smbldap-tools/smbldap-useradd -a -m %u
add group script = /etc/smbldap-tools/smbldap-groupadd -a %g
add machine script = /etc/smbldap-tools/smbldap-useradd -t 0 -w -c "Winstation" -d /dev/null %uusername map = /etc/samba/smbusers
passdb backend = ldapsam:ldap://127.0.0.1
passdb expand explicit = noidmap uid = 10000-50000
idmap gid = 10000-50000ldap ssl = off
ldap passwd sync = Yes
ldap delete dn = Yes
ldapsam:trusted = Yes
ldap suffix = ou=co,o=my-domain,c=su
ldap idmap suffix = ou=Idmap
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Winstations
ldap admin dn = cn=Manager,ou=co,o=my-domain,c=suwinbind separator = /
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
template homedir = /home/users/winnt/%U
template shell = /bin/bash
#-----------------------------------------------------------------------------#============================ Share Definitions ==============================
[homes]
comment = Home Directories
browseable = no
writable = yes
valid users = %S
hide files = /.*/Maildir/encodings/GNUstep/
veto files = /.*/Maildir/encodings/GNUstep/
delete veto files = no
vfs object = recycle
recycle:repository = /home/exports/exgate/recycled/%u
recycle:keeptree = Yes
recycle:touch = Yes
recycle:directory_mode = 0700
recycle:subdir_mode = 0700
recycle:maxsize = 104857600
recycle:exclude = *.tmp|*.temp|*.o|*.obj|~$*|*.~??
recycle:excludedir = /tmp|/temp|/cache
recycle:versions = Yes
recycle:noversions = *.doc|*.xls|*.ppt[netlogon]
comment = Network Logon Service
path = /home/exports/samba/netlogon
volume = NETLOGON
guest ok = yes
read only = yes
share modes = no
force group = +staff
Опять таки какая версия Самбы?
Непонятно как все домены взаимодействуют между собой...Да и вообще стоит почитать доку и маны на опеннет на тему сабжа...
>Опять таки какая версия Самбы?
>Непонятно как все домены взаимодействуют между собой...
>
>Да и вообще стоит почитать доку и маны на опеннет на тему
>сабжа...
в догонку http://www.opennet.me/base/net/ldap_spama_pdc.txt.html
это конечно все замечательно....... только вот сама связкана на каждом филиале уже настроена и работает замечательно
, между собой эти домены никак сейчас не связаны....в принципе проблем с репликациями тоже особых нет , но есть одно НО!
samba sid у каждого домена свой , а задача состоит в том чтобы юзер заведенный в центральном офисе(который нужно сделать корнем) автоматически смог авторизоватся на филиале, при этом филиал должен сохранять и автономную работоспособность
..а вопрос в начале я действительно некоректно сформулировал
>это конечно все замечательно....... только вот сама связкана на каждом филиале
>уже настроена и работает замечательно
>, между собой эти домены никак сейчас не связаны....в принципе проблем с
>репликациями тоже особых нет ,
Это как??? если они не связаны, то как они реплику делают? (вероятно нет реплики - нет проблем)
> но есть одно НО!
>samba sid у каждого домена свой ,
речь идет о разных доменах? я правильно понимаю? домен != поддомен.домен
>а задача состоит в том
>чтобы юзер заведенный в центральном офисе(который нужно сделать корнем)
Решение лежит на поверхности, объединение всех доменов в лес, вот только как это будет работать в ничем не связанных доменах.... хз . Мосье видать тонкий извращенец (шутка)))
> автоматически смог
>авторизоватся на филиале, при этом филиал должен сохранять и автономную работоспособность
>Никогда не сталкивался с подобными загогулинами (для автономной работы нужно юзать свой ДНС [и остальных сервисов иметь в наличии] на каждом из контроллеров в филиалах,)... но судя по всему не затрагивая структуры уже существующих филиалов не получиццо((( только если костыли понавставлять
собсно так и есть Ou=co,o=my-domain,c=ru;
ou=filial1,o=my-domain,c=ru итд..
ДНС собственный соответственно тоже есть, и куча сервисов в том чиле ...
вопрос то как раз в том как собрать этот "Лес" ПУСТЬ ДАЖЕ С ЗАБИВАНИЕМ ПАРЫ ТРОЙКИ КОСТЫЛЕЙ
>
>собсно так и есть Ou=co,o=my-domain,c=ru;
> ou=filial1,o=my-domain,c=ru итд..
>ДНС собственный соответственно тоже есть, и куча сервисов в том чиле
>...
>вопрос то как раз в том как собрать этот "Лес" ПУСТЬ ДАЖЕ
>С ЗАБИВАНИЕМ ПАРЫ ТРОЙКИ КОСТЫЛЕЙХристос Воскресе!!!
Уважаемый надеюсь я получу всётаки мало-мальский ответ на вопросы которые были заданы выше????
Воистину воскресе!отвечаю:
версия самы 3.0.24
репликаций сейчас нет вообще
домен=поддомен.доменнужно чтобы уч запись пользователя заведенного в центральном офисе
появилась не только в ldap дериктории ЦО но и в 20 других филиалах
и таким образом чтобы они эти пользователи могли авторизоватся
в любой из виндовых станций в каждом офисе
надеюсь я понятно изъясняюсь.....
>Воистину воскресе!
>
>отвечаю:
>версия самы 3.0.24
>репликаций сейчас нет вообще
>домен=поддомен.домен
>
>нужно чтобы уч запись пользователя заведенного в центральном офисе
>появилась не только в ldap дериктории ЦО но и в 20 других
>филиалах
>и таким образом чтобы они эти пользователи могли авторизоватся
>в любой из виндовых станций в каждом офисе
>надеюсь я понятно изъясняюсь.....желательно привести все домены в филиалах и основном офисе к одному sid`у, но это потребует перевода компов в филиалах в новый домен и переделке профилей пользователей. также необходимо настроить репликацию между центральным ldap-сервером и ldap-серверами в филиалах.
будет ли такая схема работать?
сид в каждом домене свой и дается net getlocalsid
Будет ли корректно работать схема если вручную заменить сиды всех объектов в LDAP базе?
и соответственно перезагнать все рабочие станции в новый домен?
>будет ли такая схема работать?
>сид в каждом домене свой и дается net getlocalsidда, так работает. в филиалах и ЦО одинаковый SID, названия доменов разные. это позволяет безболезненно переносить пользователя из филиала в филиал, или держать его в ветке лдапа видимой для всех филиалов. Лдап ЦО содержит все ветки филиалов, каждому филиалу реплицируется только общая для всех ветка и его собственная.
>Будет ли корректно работать схема если вручную заменить сиды всех объектов в
>LDAP базе?
>и соответственно перезагнать все рабочие станции в новый домен?да, будет.