URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID14
Нить номер: 2665
[ Назад ]
Исходное сообщение
"Samba, как контроллер домена и VPN IPSec"
Отправлено alon , 18-Фев-16 14:10 
Здравствуйте.
У меня немного каша в голове, т.к. я больше по передачи данных, а не по всем этим серверам и сервисам. Помогите разобраться.
Есть некий офис с сетью 192.168.0.0/24
В нем есть сервер с samba в режиме контроллера домена и файлопомойки одновременно.
Небольшая часть людей из этого офиса переезжает в другую часть города, там будет свой провайдер и лвс 192.168.10.0/24
Соединить эти 2 сети через ipsec site-to-site не проблема.
Вопрос у меня, как быть с пользователями и их авторизацией на этом самом контроллере домена. Если вручную прописать им доступ к соответствующим папкам на сервере через \\ip-адрес_сервера\<папка>, то доступ, наверное будет?, т.к. их учетные записи пока удалять не планировалось (пускай через запрос их логина/пароля).
Вопрос, как быть с непосредственной аутентификацией на контроллере домена при входе в виндюки, ну и с возможностью дальнейшего подключения к домену новых компьютеров?
Можно ли как-то добиться того, чтобы пользователи при входе в виндюки проходили аутентификацию на контроллере домена через этот самый vpn (и подключение нового компьютера к домену можно было через него же сделать), с учетом того, что сети то будут разные.
Содержание
Сообщения в этом обсуждении
"Samba, как контроллер домена и VPN IPSec"
Отправлено ALex_hha , 18-Фев-16 17:54 
На компах в подсети 192.168.10.0/24 прописать WINS, в качестве адреса указать адрес КД (там где запущена сама самба) из подсети 192.168.0.0/24. Убедиться, что на КД в smb.conf есть строка 

wins support = yes

> Соединить эти 2 сети через ipsec site-to-site не проблема.
> Если вручную прописать им доступ к соответствующим папкам на сервере через
> \\ip-адрес_сервера\<папка>, то доступ, наверное будет?

вроде ipsec site-to-site не пропускает броадкаст, который нужен для работы smb протокола, но могу и ошибаться

P.S.
мб пригодится - http://sys-adm.org.ua/net/samba-pdc-ldap

Версия самбы какая?

"Samba, как контроллер домена и VPN IPSec"
Отправлено alon , 19-Фев-16 01:23 
> вроде ipsec site-to-site не пропускает броадкаст, который нужен для работы smb протокола,
> но могу и ошибаться

В точку, поэтому и думаю, как быть. Есть, конечно, извращения, как засунуть броадкаст в туннель, но это не про мой вариант, да и подсети все равно разные...

> Версия самбы какая?

насколько я понимаю, 3.4.7 версия


Другими словами, без установки какого-то дополнительного сервера, типа dns или еще чего-то, в подсети 192.168.10.0/24, ничего путного не выйдет или все же запись wins на хостах может помочь им как-то найти удаленный кд?

"Samba, как контроллер домена и VPN IPSec"
Отправлено ACCA , 24-Фев-16 11:15 
> На компах в подсети 192.168.10.0/24 прописать WINS, в качестве адреса указать адрес
> КД (там где запущена сама самба) из подсети 192.168.0.0/24. Убедиться, что
> на КД в smb.conf есть строка
> 
 
> wins support = yes 
>

Можно прописать не на компах подсети 192.168.10.0/24, а на их DHCP сервере, опция 44 (WINS server).

"Samba, как контроллер домена и VPN IPSec"
Отправлено Павел Самсонов , 18-Фев-16 18:32 
>[оверквотинг удален]
> Вопрос у меня, как быть с пользователями и их авторизацией на этом
> самом контроллере домена. Если вручную прописать им доступ к соответствующим папкам
> на сервере через \\ip-адрес_сервера\<папка>, то доступ, наверное будет?, т.к. их учетные
> записи пока удалять не планировалось (пускай через запрос их логина/пароля).
> Вопрос, как быть с непосредственной аутентификацией на контроллере домена при входе в
> виндюки, ну и с возможностью дальнейшего подключения к домену новых компьютеров?
> Можно ли как-то добиться того, чтобы пользователи при входе в виндюки проходили
> аутентификацию на контроллере домена через этот самый vpn (и подключение нового
> компьютера к домену можно было через него же сделать), с учетом
> того, что сети то будут разные.

Про аутентификацию при входе в вин - рабочие станции должны быть настроены на использование DNS  сервера который знает записи служб контроллера домена. Этот DNS  сервер или сам контроллер домена, или форвардер на него.


"Samba, как контроллер домена и VPN IPSec"
Отправлено ALex_hha , 18-Фев-16 19:18 
> Про аутентификацию при входе в вин - рабочие станции должны быть настроены
> на использование DNS  сервера который знает записи служб контроллера домена.
> Этот DNS сервер или сам контроллер домена, или форвардер на
> него.

в самба 3 нет такого функционала, только в samba4 ;)

"Samba, как контроллер домена и VPN IPSec"
Отправлено Сергей , 19-Фев-16 11:26 
>> Про аутентификацию при входе в вин - рабочие станции должны быть настроены
>> на использование DNS  сервера который знает записи служб контроллера домена.
>> Этот DNS сервер или сам контроллер домена, или форвардер на
>> него.
> в самба 3 нет такого функционала, только в samba4 ;)

Ну и что из этого, у винды разрешение имен включает в себя dns, hosts, wins, lmhosts.
Достаточно будет на станциях прописать в lmhosts строчку с использованием директив #PRE и #DOM: и золотой ключик ваш, в конце концов можно поставить вторую самбу в качестве BDC... Вариантов множество и все они будут рабочими...


"Samba, как контроллер домена и VPN IPSec"
Отправлено ALex_hha , 25-Фев-16 10:45 
>[оверквотинг удален]
>>> на использование DNS  сервера который знает записи служб контроллера домена.
>>> Этот DNS сервер или сам контроллер домена, или форвардер на
>>> него.
>> в самба 3 нет такого функционала, только в samba4 ;)
>  Ну и что из этого, у винды разрешение имен включает в
> себя dns, hosts, wins, lmhosts.
>  Достаточно будет на станциях прописать в lmhosts строчку с использованием директив
> #PRE и #DOM: и золотой ключик ваш, в конце концов можно
> поставить вторую самбу в качестве BDC... Вариантов множество и все они
> будут рабочими...

ага, бегать и прописывать на 100+ компах, очень классно. Какое отношение имеет bdc к сабжу?