Доброго времени суток!
Вобщем сабж, подскажите как можно реализовать?
после всех манипуляций имею следующее положение: ДОМЕН1 и ДОМЕН2, OpenLDAP центр на ДОМЕН1. Репликация на ДОМЕН2 проходит нормально, если с помощью самбы меняю пароль в ДОМЕН2 он меняется и в ДОМЕН1. Вопрос вот в чем как или что нужно изменить(или где найти доку по сабжу) чтобы настоить доверия между доменами. При любой попытке зарегистрироваться в ДОМЕН2 выдает ошибку:
#net rpc join ДОМЕН2 -U admin
Password:
Creation of workstation account failed
Unable to join domain ДОМЕН2.
#
Т.е. после поднятия репликационной копии LDAP'a ДОМЕН2 перестал инициализироватьсяСпасибо!
Каждый домен должен быть отдельным(они разделены месторасположением - связаны VPN'ом),соответсвенно в каждый домен будут вноситься тачки,в сетевом окружении они должны быть видны как домен1,домен2, ну и.тд, но при этом должна использоваться одна центральная база LDAP'a . Может быть я вообще не в ту сторону смотрю, тогда подскажите плизз.
>Каждый домен должен быть отдельным(они разделены месторасположением - связаны VPN'ом),соответсвенно в каждый
>домен будут вноситься тачки,в сетевом окружении они должны быть видны как
>домен1,домен2, ну и.тд, но при этом должна использоваться одна центральная база
>LDAP'a . Может быть я вообще не в ту сторону смотрю,
>тогда подскажите плизз.а в чем собственно проблема? ветки dc в ldap различны?
пример:dn: dc=local
objectClass: dcObject
objectClass: organization
dc: local
o: orgdn: dc=domain1,dc=local
objectClass: dcObject
objectClass: organization
dc: domain1
o: org1dn: dc=domain2,dc=local
objectClass: dcObject
objectClass: organization
dc: domain2
o: org2
это я про:
> если с помощью самбы меняю пароль в ДОМЕН2 он меняется и в ДОМЕН1.
>это я про:
>> если с помощью самбы меняю пароль в ДОМЕН2 он меняется и в ДОМЕН1.не с этим проблем нет, все верно, пользователь внесенный в одном домене заводится и в другом,проблемма в ПК кооторые заводятся. Когда я говорю завести ПК в домене2 он автомате перенаправляет в домен1, и на этом глохнет, поиск по логам дал: что это проблемма в SID и ли подкаталогах дерева. Возможно нужно создать ветку? В ДОМЕНЕ1 ветку Домен2 нокак объяснить что именно новые компы, и только компы нужно туда вносить. Короче видимо придется делать каждому свой лдап. Но вопрос открыт.
Если что,кто может, пишите в аську: 254908108
Вот тут покаопался и получил некоторые результаты
PDC + BDC + LDAP
Но дело в том что при варианте PDC + BDC + LDAP с репиликацией - след. ситуация: сервер BDC входит в домен сервера PDC, при этом в сетевом окружении виден только 1 домен, и все бы ничего,но, для людей кому около 45 и более(а в нашей фирме таких большинство) гораздо проще зайти в домен с названием их офиса и искать необходимую тачку среди 20 штук, чем в общий и выбирать из 100. Это первое, второе. учитывая специфику работы BDC,он будет отвечать на запросы пользователей только в случае падения PDC(если я не прав поправьте меня).А это само собой будет вызывать нагрузку на канал, т.к. сервера то в разных офисах.
У меня получилось сделать связку DOMEN1+LDAP1,DOMEN2+LDAP2,DOMEN3+LDAP3
Но хотелось бы иметь такую:
ДОМЕН1+LDAP-центральный
/ | \
/ | \
ДОМЕН2+LDAP-slave ДОМЕН3+LDAP-slave ДОМЕН4+LDAP-slave
Так что вопрос остается открытым.
Народ. Подскажите пожалуйста кто знает, как решить проблемму синхронизации SID между samba PDC и Win2003 PDC ?Если я захожу в samba домен от имени юзера которого нет в его домене, то он впускает или сразуже запрашивает имя и пароль, и соответственно я могу зарегаться под необходимым юзером, а если я пытаюсь войти от имени юзера который уже есть в samba домене то она кричит что у юзера неправельный сид.
1) можно ли и как синхронизировать SID'ы ?
2) если нет то можно ли заставить самбу при попытках входа подставлять не чужой домен а свой?
3) заставить при любом подключении из чужого домена выводить имя пользователя и пароль
4) отучить винду втыкать имя своего домена при входе в чужойспасибо
ляп
>ляпПростите не понял. где ляп?
да я вчера ляпнул -- голова уж не думает совсем
вот -- чтобы не привлекать товарищей модераторов решил поправить на "ляп"
а предложение было поставить map to guest = Bad Password
да вот только на сколько я помню это когда samba играет роль раб/станции а не домена
вот он и есть мой ляп
>да я вчера ляпнул -- голова уж не думает совсем
>вот -- чтобы не привлекать товарищей модераторов решил поправить на "ляп"
>а предложение было поставить map to guest = Bad Password
>да вот только на сколько я помню это когда samba играет роль
>раб/станции а не домена
>вот он и есть мой ляпвсе верно map to guest не катит
боюсь ошибиться но в самбе есть функция TRUSTED DOMAIN
может в эту сторону покапать?
просто настроить доверие между доменами и не париться
>боюсь ошибиться но в самбе есть функция TRUSTED DOMAIN
>может в эту сторону покапать?
>просто настроить доверие между доменами и не паритьсявот
net rpc trustdom
>>боюсь ошибиться но в самбе есть функция TRUSTED DOMAIN
>>может в эту сторону покапать?
>>просто настроить доверие между доменами и не париться
>
>вот
>
>net rpc trustdomДоверия настроены.но,без них я не смог бы даже войти в чужой домен,а тут трабла в другом я не могу войти в клиентскую тачку.Повторюсь: если имя юзера от которого я вхожу уже имеется в обоих доменах.
>[оверквотинг удален]
>>>просто настроить доверие между доменами и не париться
>>
>>вот
>>
>>net rpc trustdom
>
>Доверия настроены.но,без них я не смог бы даже войти в чужой домен,а
>тут трабла в другом я не могу войти в клиентскую тачку.Повторюсь:
>если имя юзера от которого я вхожу уже имеется в обоих
>доменах.Ну добавьте доменного Юзера в локальную Группу Power Users или куда нужно, при чем юзера из того домена из которого вам нужно, я думаю все заработает.