URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 42214
[ Назад ]

Исходное сообщение
"OpenNews: Настройка полноценного PDC на базе Samba, OpenLDAP, BIND и Kerberos"

Отправлено opennews , 05-Июн-08 20:13 
"Настройка Samba как полноценный PDC (OpenLDAP + BIND + acl + Kerberos) (http://debian.telenet.ru/adjustmentsoft/samba_pdc)"

URL: http://debian.telenet.ru/adjustmentsoft/samba_pdc
Новость: http://www.opennet.me/opennews/art.shtml?num=16318


Содержание

Сообщения в этом обсуждении
"Настройка полноценного PDC на базе Samba, OpenLDAP, BIND и Kerberos"
Отправлено Артемий Васюков , 05-Июн-08 20:13 
При всем моем уважении, я бы не назвал это полноценным PDC так как в моём (и я думаю многих других людей тоже) "полноценный PDC" - это что-то все-таки похожее на AD. Или я не прав?

"Настройка полноценного PDC на базе Samba, OpenLDAP, BIND и Kerberos"
Отправлено Vaso_Petrovich , 05-Июн-08 20:16 
а чем это не похоже на AD, только аргументировано, ато сдается мне что вы ваабще нефига не шарите в этом вАпросе...

"Настройка полноценного PDC на базе Samba, OpenLDAP, BIND и K..."
Отправлено toka , 06-Июн-08 07:34 
юзабельностью, отсутствием GP...

"Настройка полноценного PDC на базе Samba, OpenLDAP, BIND и K..."
Отправлено baradatiy , 06-Июн-08 10:25 
групповые политики прикрутить можно, а что с юзабельностью?

"Настройка полноценного PDC на базе Samba, OpenLDAP, BIND и K..."
Отправлено Testudo , 06-Июн-08 12:43 
Не похоже тем, что PDC (как и BDC) относится к домену Windows NT. Домен Windows NT и AD все-таки несколько разные вещи. Даже _не_ несколько.

Получить _полноценный_ (т.е. со _всеми_ фичами) контроллер домена AD на самбе пока нереально.
А вот создать на основе Samba домен Windows NT, с Primary и Backup контроллерами, с перемещаемыми профилями, с хранением доменных аккоунтов в LDAP - сколько угодно. Инфы и док навалом.

Еще раз повторюсь - домен Windows NT, а не AD.


"Настройка полноценного PDC на базе Samba, OpenLDAP, BIND и Kerberos"
Отправлено m_mans , 05-Июн-08 21:31 
Автору большое спасибо. Будет надобность настроить PDC - обязательно воспользуюсь статьей

"Настройка полноценного PDC на базе Samba, OpenLDAP, BIND и Kerberos"
Отправлено PavelR , 05-Июн-08 22:17 
Слегка не понятно, нафига шаманство с зонами и керберос, ИМХО ни на что не особо не повлияет. Ранее эта связка настраивалась без них, и успешно работала.

"Настройка полноценного PDC на базе Samba, OpenLDAP, BIND и Kerberos"
Отправлено Аноним , 06-Июн-08 09:38 
PDC - это первичный контроллер домена, и никакого отношения он к АД не имеет, по этому групповые политику тут не причем, тем более групповые политики добавляются к этой связке элементарно с помощью нескольких батников. И юзабельность у такой связки гораздо выше чем у нативной винды, все управление ведется через быстрый ссш с помощью нескольких простейших команд. А керберос необходим для работы переферийного софта с ПКД. Автору статьи большой респект. На мой взгляд это первая вменяемая статья по настройке полноценного ПКД. Спасибо

"Настройка полноценного PDC на базе Samba, OpenLDAP, BIND и K..."
Отправлено o.k. , 06-Июн-08 10:29 
>PDC - это первичный контроллер домена, и никакого отношения он к АД
>не имеет, по этому групповые политику тут не причем, тем более
>групповые политики добавляются к этой связке элементарно с помощью нескольких батников.
>И юзабельность у такой связки гораздо выше чем у нативной винды,
>все управление ведется через быстрый ссш с помощью нескольких простейших команд.
>А керберос необходим для работы переферийного софта с ПКД. Автору статьи
>большой респект. На мой взгляд это первая вменяемая статья по настройке
>полноценного ПКД. Спасибо

=) расскажите мне, плз, про массовую установку софта батниками.


"Настройка полноценного PDC на базе Samba, OpenLDAP, BIND и K..."
Отправлено Abu , 06-Июн-08 14:32 
>>PDC - это первичный контроллер домена, и никакого отношения он к АД
>>не имеет, по этому групповые политику тут не причем, тем более
>>групповые политики добавляются к этой связке элементарно с помощью нескольких батников.
>>И юзабельность у такой связки гораздо выше чем у нативной винды,
>>все управление ведется через быстрый ссш с помощью нескольких простейших команд.
>>А керберос необходим для работы переферийного софта с ПКД. Автору статьи
>>большой респект. На мой взгляд это первая вменяемая статья по настройке
>>полноценного ПКД. Спасибо
>
>=) расскажите мне, плз, про массовую установку софта батниками.

Ну, для массовой установки софта есть просто пара приблуд в линуксе, не помню названий, правда.

А вот как, например, сделать разный вход в систему для разных пользователей батниками с условием централизованного урпавления - это мне интересно было б узнать. Например, чтобы кто-то с логином входил, кто-то - без, кто-то брал профиль группы, к которой принадлежит и тп. Все это решаемо, но, насколько я понимаю, не просто через батники, а через костыли.

То есть NFS для профилей, слежение за правами групповых профилей, некий скрипт при логине в систему, ACL, которые юзаются тоже достаточно специфично, и тд и тп. Собственно - ключевое во всем этом слово - =некий скрипт=. Который у MS есть, а в линуксе - нет.  


"Настройка полноценного PDC на базе Samba, OpenLDAP, BIND и K..."
Отправлено Аноним , 06-Июн-08 16:42 
>=) расскажите мне, плз, про массовую установку софта батниками.

Я о том что все групповые политики в АД как раз и реализованы через батники которые запускают VB скрипты. в том числе и установку софта. команда gpudate просто заставляет систему скачать батник с шары контроллера и запустить его.


"Настройка полноценного PDC на базе Samba, OpenLDAP, BIND и K..."
Отправлено Andrew Kolchoogin , 06-Июн-08 10:43 
> А керберос необходим для работы переферийного софта с ПКД. Автору статьи
> большой респект. На мой взгляд это первая вменяемая статья по настройке
> полноценного ПКД. Спасибо

Хочется только добавить, что статья устарела на несколько версий Kerberos'а. Теперь хранить Kerberos'ную базу в Berkeley DB v2, как ее хранил Kerberos все предыдущие годы, не гламурно и не готично -- храните ее в том же LDAP, что настроили непосредственно перед Kerberos'ом. ;)

А что касается "зачем Kerberos" -- так это... Можно страстить Active Directory с Kerberos'ным доменом, например... Замапив пользователей... Впрочем, смотрите сами: http://technet.microsoft.com/en-us/library/bb742432(TechNet.10).aspx


"Настройка полноценного PDC на базе Samba, OpenLDAP, BIND и K..."
Отправлено csdoc , 06-Июн-08 22:21 
> Теперь хранить Kerberos'ную базу в Berkeley DB v2,
> как ее хранил Kerberos все предыдущие годы, не гламурно и не готично --
> храните ее в том же LDAP, что настроили непосредственно перед Kerberos'ом. ;)

но ведь LDAP сам по себе backend`ом имеет BDB, зачем эта лишняя прослойка для Kerberos`a
в виде LDAP-сервера, чтобы уменьшить уровень безопасности и скорость работы Kerberos`a ?
не вижу смысла в этом предложении.


"Настройка полноценного PDC на базе Samba, OpenLDAP, BIND и Kerberos"
Отправлено Аноним , 06-Июн-08 10:11 
Да кстати если не прописывать СРВ записи в днс зоны то машины с виндой из других подсетей попросту не увидят контроллер

Столкнулся с этим когда отбирал у АД виндовый ДНС сервер и менял на бинд.

вот какие записи у меня
$ORIGIN gdm.org.
*                       MX      10 mail
$ORIGIN _tcp.dc._msdcs.gdm.org.
_kerberos               SRV     0 100 88 cs.gdm.org.
_ldap                   SRV     0 100 389 cs.gdm.org.
$ORIGIN _msdcs.gdm.org.
gc                      SRV     0 100 3268 cs.gdm.org.
$ORIGIN _tcp.gdm.org.
_kerberos               SRV     0 100 88 cs.gdm.org.
_ldap    


"Настройка полноценного PDC на базе Samba, OpenLDAP, BIND и K..."
Отправлено Аноним , 20-Май-12 12:14 
так где же статья??? выложите, плизз, если у когото есть копия.

"Настройка полноценного PDC на базе Samba, OpenLDAP, BIND и K..."
Отправлено Аноним_Ещ , 04-Июн-12 20:00 
присоединяюсь к последнему анониму: было бы интересно взглянуть на статейку..