"Настройка Samba как полноценный PDC (OpenLDAP + BIND + acl + Kerberos) (http://debian.telenet.ru/adjustmentsoft/samba_pdc)"URL: http://debian.telenet.ru/adjustmentsoft/samba_pdc
Новость: http://www.opennet.me/opennews/art.shtml?num=16318
При всем моем уважении, я бы не назвал это полноценным PDC так как в моём (и я думаю многих других людей тоже) "полноценный PDC" - это что-то все-таки похожее на AD. Или я не прав?
а чем это не похоже на AD, только аргументировано, ато сдается мне что вы ваабще нефига не шарите в этом вАпросе...
юзабельностью, отсутствием GP...
групповые политики прикрутить можно, а что с юзабельностью?
Не похоже тем, что PDC (как и BDC) относится к домену Windows NT. Домен Windows NT и AD все-таки несколько разные вещи. Даже _не_ несколько.Получить _полноценный_ (т.е. со _всеми_ фичами) контроллер домена AD на самбе пока нереально.
А вот создать на основе Samba домен Windows NT, с Primary и Backup контроллерами, с перемещаемыми профилями, с хранением доменных аккоунтов в LDAP - сколько угодно. Инфы и док навалом.Еще раз повторюсь - домен Windows NT, а не AD.
Автору большое спасибо. Будет надобность настроить PDC - обязательно воспользуюсь статьей
Слегка не понятно, нафига шаманство с зонами и керберос, ИМХО ни на что не особо не повлияет. Ранее эта связка настраивалась без них, и успешно работала.
PDC - это первичный контроллер домена, и никакого отношения он к АД не имеет, по этому групповые политику тут не причем, тем более групповые политики добавляются к этой связке элементарно с помощью нескольких батников. И юзабельность у такой связки гораздо выше чем у нативной винды, все управление ведется через быстрый ссш с помощью нескольких простейших команд. А керберос необходим для работы переферийного софта с ПКД. Автору статьи большой респект. На мой взгляд это первая вменяемая статья по настройке полноценного ПКД. Спасибо
>PDC - это первичный контроллер домена, и никакого отношения он к АД
>не имеет, по этому групповые политику тут не причем, тем более
>групповые политики добавляются к этой связке элементарно с помощью нескольких батников.
>И юзабельность у такой связки гораздо выше чем у нативной винды,
>все управление ведется через быстрый ссш с помощью нескольких простейших команд.
>А керберос необходим для работы переферийного софта с ПКД. Автору статьи
>большой респект. На мой взгляд это первая вменяемая статья по настройке
>полноценного ПКД. Спасибо=) расскажите мне, плз, про массовую установку софта батниками.
>>PDC - это первичный контроллер домена, и никакого отношения он к АД
>>не имеет, по этому групповые политику тут не причем, тем более
>>групповые политики добавляются к этой связке элементарно с помощью нескольких батников.
>>И юзабельность у такой связки гораздо выше чем у нативной винды,
>>все управление ведется через быстрый ссш с помощью нескольких простейших команд.
>>А керберос необходим для работы переферийного софта с ПКД. Автору статьи
>>большой респект. На мой взгляд это первая вменяемая статья по настройке
>>полноценного ПКД. Спасибо
>
>=) расскажите мне, плз, про массовую установку софта батниками.Ну, для массовой установки софта есть просто пара приблуд в линуксе, не помню названий, правда.
А вот как, например, сделать разный вход в систему для разных пользователей батниками с условием централизованного урпавления - это мне интересно было б узнать. Например, чтобы кто-то с логином входил, кто-то - без, кто-то брал профиль группы, к которой принадлежит и тп. Все это решаемо, но, насколько я понимаю, не просто через батники, а через костыли.
То есть NFS для профилей, слежение за правами групповых профилей, некий скрипт при логине в систему, ACL, которые юзаются тоже достаточно специфично, и тд и тп. Собственно - ключевое во всем этом слово - =некий скрипт=. Который у MS есть, а в линуксе - нет.
>=) расскажите мне, плз, про массовую установку софта батниками.Я о том что все групповые политики в АД как раз и реализованы через батники которые запускают VB скрипты. в том числе и установку софта. команда gpudate просто заставляет систему скачать батник с шары контроллера и запустить его.
> А керберос необходим для работы переферийного софта с ПКД. Автору статьи
> большой респект. На мой взгляд это первая вменяемая статья по настройке
> полноценного ПКД. СпасибоХочется только добавить, что статья устарела на несколько версий Kerberos'а. Теперь хранить Kerberos'ную базу в Berkeley DB v2, как ее хранил Kerberos все предыдущие годы, не гламурно и не готично -- храните ее в том же LDAP, что настроили непосредственно перед Kerberos'ом. ;)
А что касается "зачем Kerberos" -- так это... Можно страстить Active Directory с Kerberos'ным доменом, например... Замапив пользователей... Впрочем, смотрите сами: http://technet.microsoft.com/en-us/library/bb742432(TechNet.10).aspx
> Теперь хранить Kerberos'ную базу в Berkeley DB v2,
> как ее хранил Kerberos все предыдущие годы, не гламурно и не готично --
> храните ее в том же LDAP, что настроили непосредственно перед Kerberos'ом. ;)но ведь LDAP сам по себе backend`ом имеет BDB, зачем эта лишняя прослойка для Kerberos`a
в виде LDAP-сервера, чтобы уменьшить уровень безопасности и скорость работы Kerberos`a ?
не вижу смысла в этом предложении.
Да кстати если не прописывать СРВ записи в днс зоны то машины с виндой из других подсетей попросту не увидят контроллерСтолкнулся с этим когда отбирал у АД виндовый ДНС сервер и менял на бинд.
вот какие записи у меня
$ORIGIN gdm.org.
* MX 10 mail
$ORIGIN _tcp.dc._msdcs.gdm.org.
_kerberos SRV 0 100 88 cs.gdm.org.
_ldap SRV 0 100 389 cs.gdm.org.
$ORIGIN _msdcs.gdm.org.
gc SRV 0 100 3268 cs.gdm.org.
$ORIGIN _tcp.gdm.org.
_kerberos SRV 0 100 88 cs.gdm.org.
_ldap
так где же статья??? выложите, плизз, если у когото есть копия.
присоединяюсь к последнему анониму: было бы интересно взглянуть на статейку..