Инструкция (http://sysadmin.su/index.php?option=com_content&task=view&id...) по настройке samba на freebsd 6.0 в качестве файлсервера.URL: http://sysadmin.su/index.php?option=com_content&task=view&id...
Новость: http://www.opennet.me/opennews/art.shtml?num=8357
http://sysadmin.su/ не работает, только http://www.sysadmin.su/
Ни че так статья. читается легко, описано достаточно развернуто мне понравилась.
p.s А у меня отработало http://sysadmin.su
А кто-нибудь пробовал ставить so_sndbuf=XXXX на 3.0.X (А64 6.1p6)? А то у меня виснет все наглухо с этим параметром, вернее максимум один поток, остальные нервно курят.
я ставил, обычно нормально вроде работает (пока правда 5.4-RELEASE-p18)
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8760 SO_RCVBUF=8760
но виснет, когда начинаешь слушать один большой файл с .cue разметкой и плеел начинает перескакивать с одной композиции на другую. Я то слушаю, а остальные скрипят зубами.
А вот про работу nssiwtch.conf информация в статье несколько неверная.
Проверка паролей происходит без участия nsswitch.conf.
Да?-) Даже если PAM выключить?-) Очень странно, и зачем это в nss_ldap.conf указывается, где внутри LDAP-схемы пароль пользователя лежит, прямо даже и не знаю... ;)
"kinit: NOTICE: ticket renewable lifetime is 1 week"
Народ просветите, а чего будет через неделю когда срок билета истечёт? Самба перестанет работать в домене или чего?
Все будет путем, билет сам продлится без твоего учатия
Не надо торопитсо. :) Это как Керберос откалибруешь, так и будет. :)
По умолчанию Керберос просит non-renewable ticket, но это можно изменить через krb5.conf.
А можно по подроней? Как это изменить?
Нет, это не надо менять, это мне надо спать подольше. :) Я перепутал "forwardable" с "renewable". :)Хотя это принципиально ничего не меняет. krb5.conf(5) от MIT Kerberos v1.4.3 говорит:
===
renew_lifetime
The value of this tag is the default renewable lifetime for ini-
tial tickets. The default value for the tag is 0.
forwardable
If this flag is set, initial tickets by default will be forward-
able. The default value for this flag is false.
===По умолчанию renew_lifetime==0, то есть, тикет вечен. :) И нефорвардабелен. :)
Опять таки остается проблема с русскими логонами. Т.е. если в домене логоны русские, а у меня исторически сложилось именно так, то аутентификация на самба-сервере не работает и войти в распределенную папку нельзя. Хотя всех пользователей с русскими именами видно в команде - wbinfo -u. (Во всяком случае весной 2006 года аутентификация не работала)
Или уже все нормально работает?
Иногда традиции НАДО ломать. У меня начались вопросы насчёт "русских" имён. На что было сказано, что в Windows 3 кодировки и если не дай бог хоть что то пойдёт не так, то восстановить всё будет крайне сложно, т.к. все внутренности всё равно на аглицком, у некоторых были случаи BSOD на синие экранчики с "кракозябрами" все посмотрели. Вопросов больше не было.
Ну иногда это не так просто как кажется. Я уже пытался, но слишком много завязано имено на русские логоны. В т.ч. и корпоративная система которая ведется уже более 5 лет. А объяснить женщине 54 лет что теперь надо набирать логон по английски - практически не возможно :)
Если переход на латиницу уменьшает стоимость поддержки и время простоя (что нужно аргументированно доказать руководству) то с тетеньками 54 все происходит крайне просто - в рамках проекта модернизации системы проводятся курсы переквалификации, где КАЖДЫЙ сотрудник подписывается в том, что необходимую порцию сокровенных знаний он получил в полном обьеме. Вопрос их усвоения - это проблема уже сотрудника и его дальнейшего прибывания в компании..
>Если переход на латиницу уменьшает стоимость поддержки и время простоя (что нужно
>аргументированно доказать руководству) то с тетеньками 54 все происходит крайне просто
>- в рамках проекта модернизации системы проводятся курсы переквалификации, где КАЖДЫЙ
>сотрудник подписывается в том, что необходимую порцию сокровенных знаний он получил
>в полном обьеме. Вопрос их усвоения - это проблема уже сотрудника
>и его дальнейшего прибывания в компании..Sergey, какой вы право слово, оптимист :) В моей компании что 54 года, что 24 - заставить кого либо делать так как нужно невозможно. Полнейшая "безнадёга точка ру" :) Аргумент один: "Я не понимаю". И всё. А по поводу "пребывания сотрудника в компании" так никто никого не уволит за неумение набрать логин и пароль, вы уж мне поверьте.
>Sergey, какой вы право слово, оптимист :) В моей компании что 54
>года, что 24 - заставить кого либо делать так как нужно
>невозможно. Полнейшая "безнадёга точка ру" :) Аргумент один: "Я не понимаю".
>И всё. А по поводу "пребывания сотрудника в компании" так никто
>никого не уволит за неумение набрать логин и пароль, вы уж
>мне поверьте.БРАВО!!! Все правильно и более того меня-же, после согласия директора, директор и заставит по утрам ходить и вводить всем логины и пароли. Т.к. английской клавиатуры НИКТО не знает и что самое главное, и я считаю правильное, никто ее не будет учить. У людей другая работа. А компьютер должен помогать сотрудникам работать, а не создавать проблемы в работе. :(
Пользователей больше тысячи в директории? Если да — то ты маньяк, менять тыщщу логинов с русских на английские. ;)
по хорошему нужно подвесить за выступающие части тех менеджеров, что приняли решение о вводи в эксплуотацию именно такой системы. Опять жешь в АД есть средства миграции и автоматизации сего процесса. И вообще если уж используют всякие виндовые "фишки" то нефиг после морочиться с самбой, поднять файл-сервер на Win2k3/R2 и не иметь геморроя. В конечном счете ТСО для крупных предприятий файл-сервера на винде или самбе сравнима, клиентские машины-то наверняка под WinXP...
Пробовали класть болт на связку winbindd/nss_winbindd, и ходить в директорию напрямую, через nss_ldap?
>Пробовали класть болт на связку winbindd/nss_winbindd, и ходить в директорию напрямую, через
>nss_ldap?А вот тут можно поподробнее? Такого я не делал.
Можно. Так как Active Directory есть не что иное, как LDAP с некоторыми добавленными типами данных и аутентикацией через GSS-SPNEGO, GSSAPI или DIGEST-MD5, то ничто не мешает ходить туда непосредственно через LDAP.
Пути описаны в Интернете, находятся Гуглом, однако, общая идея такова: в директории заводятся два пользователя, один - администратор директории, другой - совершенно без прав, но так как AD не поддерживает Anonymous Bind, он необходим для того, чтобы сделать Initial Bind и проверить, есть ли пользователь. Далее они (эти пользователи) прописываются в nss_ldap.conf, там же раскомментируются настройки для AD, и вперёд...
>Инструкция (http://sysadmin.su/index.php?option=com_content&task=view&id...) по настройке samba на freebsd 6.0 в качестве файлсервера.
>
>URL: http://sysadmin.su/index.php?option=com_content&task=view&id...
>Новость: http://www.opennet.me/opennews/art.shtml?num=8357
Кстати, было бы неплохо знать автору, что LDAP служит как backend для хранения учёток и паролей, т.е. если мы хотим чтобы он был DC (Domain Controller основной или добавочный) то тогда LDAP нужен, а если просто как участник сети, тогда LDAP абсолютно лишний!
Ну да, ну да, конечно-конечно. Для поддержки Active Directory (_не_ в режиме совместимости с доменом pre-Windows 2000) LDAP необходим _обязательно_: Самба к контроллерам через него за проверками групп, etc. ходит. Можно, конечно, это оторвать и зацепить Самбу к AD через RPC, но это неспортивно. :)
> Ну да, ну да, конечно-конечно. Для поддержки Active Directory
Неправильно. Для простого участника домена LDAP НЕ НУЖЕН!!!!!
>LDAP необходим _обязательно_: Самба к контроллерам через него за проверками групп, etc. ходит.
Кто Вам подобное сказал?! Не верьте Вас жестоко обманули! Не ходит samba за проверками через LDAP!!!! НЕ ХОДИТ!!!! Ещё раз повторюсь для простого участника домена LDAP ЛИШНЕЕ. Или вы считаете что AD должен устанавливаться на любой клиентской машине?
Соберите Самбу без LDAP и попробуйте сказать "net ads join". Вы сильно удивитесь результату. :) А данную операцию надо делать _на каждой клиент ской машине_, вне зависимости от того, что на ней стоит - Windows или Самба. :)
Легко, только писать надо net joinДля члена домена LDAP не нужен.
Похоже, кто-то не умеет читать thread целиком. Я же сказал, что если собрать Самбу без LDAP, то её можно подцепить к директории через RPC (как домен pre-Windows 2000), но это не спортивно. В директорию, как в директорию Самбу без LDAP затащить нельзя.
>Соберите Самбу без LDAP и попробуйте сказать "net ads join". Вы сильно удивитесь результату. :) А данную операцию надо делать _на каждой клиент ской машине_, вне зависимости от того, что на ней стоит - Windows или Самба. :)
Да без проблем собирал с поддержкой ADS и ВСЁ!!!! Не нужен LDAP!!! Вот если захочу чтобы Samba стала добавочным DC в домене, тогда да без LDAP не обойтись.
Кстати, неужто вы считаете что где то в недрах XP или 2000 есть LDAP то вы глубоко заблуждаетесь! Kerberos ЕСТЬ! А LDAP (AD) ТОЛЬКО НА СЕРВЕРЕ ;)
1) Нет, Вы просто не понимаете, что Вы делаете. Собрать Самбу с поддержкой ADS и без поддержки LDAP нельзя -- попробуйте указать эти ключи в командной строке "./configure" и посмотрите на получаемый config.h.
2) Самба не умеет быть добавочным DC в директории, это FAQ. Она может быть только Directory Member'ом. Читайте smb.conf(5).
3) LDAP есть везде в Windows 2000 и Windows XP. В противном случае в Address Book нельзя было бы добавлять LDAP-источники.Короче говоря, перед тем, как кричать на OpenNet'е, сделайте так, как советуют Великие Гуру -- "Use the Force, read the source!"
> 1) Нет, Вы просто не понимаете, что Вы делаете. Собрать Самбу с поддержкой ADS и без поддержки LDAP нельзя -- попробуйте указать эти ключи в командной строке "./configure" и
посмотрите на получаемый config.h.Больше похоже на то, что не понимаете то как раз Вы
> 2) Самба не умеет быть добавочным DC в директории, это FAQ. Она может быть только Directory Member'ом. Читайте smb.conf(5).
Согласен, ошибся. Но она может быть DC с LDAP backend-ом.>3) LDAP есть везде в Windows 2000 и Windows XP. В противном случае в Address Book нельзя было бы добавлять LDAP-источники.
Чушь! LDAP клиент есть и он то как раз и позволяет "добавлять LDAP-источники".Вы путаете LDAP бакэнд и клиент!!! Так что!!! "перед тем, как кричать на OpenNet'е, сделайте так, как советуют Великие Гуру".
И не ленитесь читать официальные HOW-TO.
Интересно. Вот про это хоть кто-нибудь напишет. Как правельно оформить тикет кербероса для UNIX систем Microsoft Q324144. А тикет сам нихера не обновляется.
А по умолчанию в виндовс он не валиден через 7 дней и должен обновиться.Знатока вопящем про то что LDAP не нужен.
отличие net ads join от net join в том что net join это аналогично вводу в домент Windows NT 4.0 и использует NTLM в этом случае никакой вам керберос нафиг не нужен. А вот если 2003 работает в native mode и отключен NTLM то нужен и LDAP и все остальные навороты.
У меня работает в нативе собрал без ldap все пашет как танк читаем спецификацию AD если тикет имеется и он обновляется или без срочен то двфз нах не нужен он winbind свободно авторизирует по sid
А в логах контроллера домена ничего нет про тикет самба сервера?
да все чисто ;) да и мом не говнится :) так что все ок
А как версия самбы если не секрет?
3.0.21c если мне память не изменяет.
но я так понял что вы признали что вы неправы ;)
По поводу керберос у меня например проблема есть. Ругается регулярно и иногда ни стого ни ссего когда начинает ругаться не пускает зверей. Хотя у меня самба намного меньше. Наверное пришло время обновить. :-)
>3.0.21c если мне память не изменяет.
>но я так понял что вы признали что вы неправы ;)
Точнее ругалась. По как Microsoft пишет не сделал.
>Знатока вопящем про то что LDAP не нужен.
Перестаньте брызгать слюной, это не эстетично.....
И запомни, ads=active directory service, проще для такого "знатока" как Вы объясню, LDAP ТОЛЬКО НА СТОРОНЕ СЕРВЕРА!!!!!
Читайте доки http://us5.samba.org/samba/docs/man/Samba-HOWTO-Collection/d...
и не порите чушь на форумах!
У меня со слюноотделением все в порядке. А у вас помоему нет. Кроме доков самбы читайте доки по Windows.
Граждане, прекратите друг на друга орать - вы просто не следите за тем, что говорите. Есть понятие Microsoft Active Directory, основа -- LDAP+Kerberos v5. Есть понятие Windows NT Domain, основа -- Microsoft Remote Procedure Calls. Для того, чтобы Самба умела аутентикацию в AD, её нужно собирать с LDAP, Kerberos и AD Support. Для того, чтобы Самба умела аутентикацию в виндовом домене, ей ничего, кроме криптографии, не нужно.Есть факт, что для обеспечения обратной совместимости (рабочие станции могут быть и под Windows NT v4) внутрь Active Directory встроен Backward Compatibility Layer, представляющий сервисы AD, как сервисы домена (это можно сделать). И Самба, разумеется, как честный клиент домена, может этим лэйером пользоваться.
Но она не будет тогда членом AD. :) Она будет членом домена Windows. :)
>Для того, чтобы Самба умела аутентикацию в AD, её нужно собирать с LDAP, Kerberos и AD Support.100 раз вам уже говорил, скажу 101 раз. НЕ НУЖНО ЕЁ СОБИРАТЬ С LDAP. Даже без этой вашей галочеи на LDAP из портов АВТОМАТОМ установится LDAP КЛИЕНТ. Но никак не сервер.
Читайте доки, они rulez!
>> Кроме доков самбы читайте доки по Windows.
Если можно, ссылочку на доку по M$ где написано что клиент домена обязательно должен иметь LDAP.
Мда. Согласен. Фигню сморозил....
дайте лучше реальный совет кто нить как сделать чтобы 1с не тормозила?
:)
увеличить пропускную способность сети до 1Гб/с (винты всё равно не справятся с бОльшим потоком), соответственно оттюнинговав систему (пару месяцев назад пробегал хауту на эту тему.или, как вариант: запускать 1ц локально...
но под виндой по сетке нормально пашет :(
мдя, пособие для начинающих, ставьте UNIX CHARSET = koi8r, а потом лечите геморой со знаком номера, особенно если у юзеров с перемещаемым профилем в названиях директорий и файлов имеются эти символы, успехов :E E:
дружи, такая ошибка: utils/net_ads.c:ads_startup(281)
ads_connect: Operations error
где копать подскажите..... плиз
при присоединении к домену
>при присоединении к домену
Файрволл проверь и klist на неконченный билет...