Обсуждение статьи тематического каталога: Slackware 10.2 Samba AD Win 2003 (linux slackware samba ldap domain kerberos)Ссылка на текст статьи: http://www.opennet.me/base/net/slackware_samba_ad.txt.html
При таком подходе у меня есть только одна проблема: логоны и пароли на русском языке. Если логон имя и пароль на английском - всё ОЧЕНЬ хорошо работает, если на русском - вход в домен не проходит :( (Правда я все это делал на FreeBSD 5.x и 6.x). Кто нибудь пробовал сделать тоже самое, НО с русскими логонами?
Керберос ставить совсем необязательно. У меня было даже наоборот, с ним не хотело работать. В итоге убил krb5.conf и все заработало.
И самбу достаточно было собрать с поддержкой ADS.
>Керберос ставить совсем необязательно. У меня было даже наоборот, с ним не
>хотело работать. В итоге убил krb5.conf и все заработало.
>И самбу достаточно было собрать с поддержкой ADS.Значит у тебя домен был режиме совместимости с NT4, а там нет кербероса. Если стоит 2003 домен - без кербероса работать не будет
Как-раз 2003-й и стоит. И не надо говорить, что работать не будет. Когда работает. Мне виднее, что у меня работает, а что нет :) Факты - вещь упрямая. Пока не послал керберос - были проблемы.
в домене АД керберос нужен. может Самба как-то по-своему его имплементирует, я не в крусе. но если вдруг захочется расширить функциональность, то есть натравить Апач, Сквида и прочую живность на аккаунты в домене -- нужен будет керберос однозначно.
Я не говорю, что не нужен. Я этот вопрос насчет натравливания другого по на АД не изучал, хотя есть ощущение, что и тогда можно без него будет обойтись. Скорее всего с помощью pam.
Просто в данной задаче: достаточно собрать самбу с его поддержкой.
Если у кого есть время и ресурсы - проверьте :) Поскольку данная задача действительно в последнее время встречается все чаще, и инфы очень мало по ней.
Собственно говоря можно было не заострять внимание на ОС, так как самба не только под линуксом работает :) Тут можно обобщать под никсы в целом.
плакал... а спор какой развернулся, нужен или не нужен Kerberos. нужен. а вот krb5.conf НЕ нужен. потому что все новые библиотеки Kerberos сами находят KDC.
http://squirl.ho.com.ua/samba-in-ad.html
а лучше - читаем первоисточники.
Насколько знаю, с русскими логинами работать гарантировано не будет.
>Насколько знаю, с русскими логинами работать гарантировано не будет.по моему все зависит от кривизны рук. У меня кривоватые - поэтому и не получилось. А вдруг кто-то сделал?
не слыхал такого и у самого никогда не выходило.
>не слыхал такого и у самого никогда не выходило.А я слышал, но где не помню. Вроде как проблема в кодировке, а как ее исправить понять не могу :(
Samba можно без LDAP-а собирать
>Samba можно без LDAP-а собиратьпо-моему нельзя. LDAP должен быть, т.к. Win AD есть форк от LDAP-a, то Samba должна поддерживать LDAP-аутентификацию
Уже ж были подобные статьи.
Про win2003
http://linuxrsp.ru/artic/samba_win2003_auth.html
Про w2k
http://volgograd.lug.ru/wiki/GrableVodstvo/articles/SquidNtlm
как глупо, все руками собирать, для одного сервера еще можно попыхтеть, а когда их более 20, особено с обновлениями будет весело...
>как глупо, все руками собирать, для одного сервера еще можно попыхтеть, а
>когда их более 20, особено с обновлениями будет весело...
не путайте продакшн с тренеровками =) как наглядный пример заставляющий пытлдивые умы углубиться в детали -- покатит. а если 20 серверов... тогда хауту не помогут, надо будет творить =)
1. ldap для samba нужен только для pdc или что то в этом роде.
2. В слаке самба АД не поддерживает по умолчанию, так что пересобирать приходится.
3. Cобрать надо только на ОДНОМ серваке, а на остальные просто установить пакет полученный с помощью checkinstall.
Да много написано про настройку, но дистры то там не Slackware, и там уже все это дело как Samba + krb + ldap + ad уже стоит, или можно из rpm поставить, а слаке самба не собрана с этими вещами. А я писал именно под слаку т.к. там нет графических утилит по умолчанию и т.п. Да и вообще если надо что-то настроить, то надо сначала разобраться как это работает. Я ковырял и узнал что-то новое, поэтому захотел поделиться.
По поводу обновлений, скачай свежую версию, скомпиль на отдном серваке, далее makepkg *.tgz и upgradepkg *.tgz.
Отличная работа, mcleod095! Спасибо! И, хотя моя основная ОС - GentooLinux, я почерпнул много интересного.
ставить на слаку pkgsrc и не морочиться
У меня отлично работает без керберес и Squid + AD
И весь этот геморрой - только чтобы поднять файлопомойку? А на каком железе, если не секрет?
железо было тестовое такое
p4 3.2 256RAM 160GB
но это пока на тестировние было. потом может быть переведем на нормальный сервак.
вообще задача состоит в том чтобы попробовать перенести рабочие станции с windows на linux.
т.к. полный переход сразу невозможен, то приходится заморачиваться.
Если кто-то делал аторизацию линух пользователей в вин домене не через PAM, то пишите, буду признателен.
А-а, а то я уж удивился, чего это в домене на W2K3 файлопомойку на иксах делают, вместо того же w2k3. :)
Нда... А кто-ибудь читал доки, которые идут вместе с Samba ?Там написано как и почему не все Kerberos-ы одинаково полезны и каким макаром каждый прикручивать.
Автор гонит чушь по Samba и LDAP. В описанном режиме компилять LDAP вообще не надо, что автор собственно и сделал. На кой упоминать про LDAP? Ах да! Умные скажут: Он нужен, когда Самба работает в режиме контроллера домена. Пять баллов!
Однако здесь Самба в режиме клиента. И тут LDAP никаким местом.Еще меня коробит слово "имплементация".
"Разработчики имплементировали..." Аж тошнит...Граждане! Выучите: implementation = реализация, выполнение.
А че, стремимся к международному языку - английскому, скоро все по нему потихоньку говорить будем.. так что б все технари друг друга понимали. вот сказал он "имплементировали" - тебя коробит, а пол мира поняло.
меня вот от русских интерфейсов программ коробит, к примеру..а по собственно сабжу добавить или прокомментировать мне совершенно нечего :-P
А проблем со сроком жизни билета не было? Мне так и не удалось заставить выдавать пожизненный ticket. И renew тоже не проходило. А каждый день ручками обновлять его как-то неудобно. Пришлось сцепить Samba с Win2K по rpc. Так и работает уже полгода...
гы, кстати по RPC и можно сцепить без пересборки....
на Фре, кстати, есть обалденная команда mount_smbfs - почти аналог smbmountНасчет нужен или не нужен Krb и LDAP.
Если нужна проверка подлинности машины или юзверя в домене, то Krb нужен, т.к. без него тикет не получишь (пример - использование *NIX сервака как файлопомойки). Кстати, по крайней мере у Фри 5 и выше тикеты нормально обновляются; а срок жизни тикета прекрасно выставляется через GPO (тут уж простор фантазии; самые злобные буратины ставят день и меньше... почему бы в таком случае IPSEC не привернуть?... - ну эт уже другая песня).
Если нужно каким-либо образом обращаться к списку юзеров домена, то тогда LDAP нужен (пример - NTLM в сквиде).
ребята, уже ктото писал, но повторюсь:
без Kerberos работает если домен находится в режиме NT native, по умолчанию он вроде всегда так и ставится на 2000 и 2003
Kerberos обязателен если режим домена windows 2000 native или windows 2003 nativeps. с русскими логинами у меня тоже не заработала авторизация из шела, в squid'е работает всё ок
точнее по умолчанию ставится Windows 2000 mixed, это и есть совместимость с NT,
где Kerberos не требуется
>ребята, уже ктото писал, но повторюсь:
>без Kerberos работает если домен находится в режиме NT native, по умолчанию
>он вроде всегда так и ставится на 2000 и 2003
>Kerberos обязателен если режим домена windows 2000 native или windows 2003 nativeНу наговорил, ну наговорил :) , домен Win 2000-2003 в native режиме БЕЗ Kerberos работать не будет. Нужен клиент Kerberos.
>
>ps. с русскими логинами у меня тоже не заработала авторизация из шела,
>в squid'е работает всё окА вот с этого места пожалуйста поподробней. Меня авторизация в шелл через Win-домен не интересует в принципе. А как Вы добились авторизации с русскими логонами в squid-е? Видимо нечто подобное можно сделать и в Samba-сервере.
>А вот с этого места пожалуйста поподробней. Меня авторизация в шелл через Win-домен не >интересует в принципе. А как Вы добились авторизации с русскими логонами в squid-е? >Видимо нечто подобное можно сделать и в Samba-сервере.Может нужно преобразовать логины в utf-8 перед засовыванием их в программу авторизации?
>>ps. с русскими логинами у меня тоже не заработала авторизация из шела, в squid'е >>работает всё окА можно по-подробнее на эту тему?
попробовал собрать samba без установки пакета ldap на что мне выдало ошибку что для поддрежки ADS нужен ldap. так что для тех кто говорит что и без него можно, то говорите только проверенные на себе данные.
вроде как ldap клиент есть на www.slackware.com в разделе packages так что можно там брать. А в остальном очень хороший ман, для тех кто это делает в первый раз. Респект автору. Сам не одну неделю на это же потратил пока все, что надо не нашел...
Решил написать глюки с которыми я столкнулся
при сборке самбы1. в самбе 3.14a в логи валится всякая лабуда даже при правильной настройке.
2. При сборке heimdal самба работать отказывалась. хотя всё было супер . команда id не выводила пользователей доменов при правильных конфигах хотя всё работало на ура . и с самбы всё было доступно и билеты выдавались и в домен всё джойнилось.писала invalid user + начинали глючить обычные логины.
3. чтобы керберос работал по tcp надо писать
tcp/имя сервера:порт ,а не kdc = tcp/server !!!
4. пока не обновил порты и не пересобрал базу портов ( смотрите статью хитрости работы с портами) 5 керберос не собирался .
5. после того как я решил переджойнить тачку в домен билет не хотел обновляться ни в какую .
пришлось ждать 10 часов пока он умрёт . желающие могут поразвлекаться с утилитой управления билетами под винды . входит в 2003 recourse kit и называется kutil.
5. решение - сразу обновить порты собирать только новое ! 3.0.22 на данный момент + 5 kerberos . сразу включать его работу через tcp .
после того как всё завелось ничего не переджойнивать и преспокойно раздавать шары.
6.без обновлений портов работала связка 3.0.14a + krb4 но ошибка в логи валилась . + на живой домен я так и не смог это поднять , только на вирт машине .удачи в борьбе с freebsd .
Проблема: юзеров видит не LOCAL\User а user