The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Инструкция по настройке samba на freebsd 6.0

18.09.2006 16:45

Инструкция по настройке samba на freebsd 6.0 в качестве файлсервера.

  1. Главная ссылка к новости (http://sysadmin.su/index.php?o...)
Автор новости: ak.m
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/8357-samba
Ключевые слова: samba, freebsd
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (53) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, grayich (ok), 23:00, 18/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    http://sysadmin.su/ не работает, только http://www.sysadmin.su/
     
  • 1.2, demon (??), 23:05, 18/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ни че так статья. читается легко, описано достаточно развернуто мне понравилась.
    p.s А у меня отработало http://sysadmin.su
     
  • 1.3, Чюваг (?), 00:08, 19/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А кто-нибудь пробовал ставить so_sndbuf=XXXX на 3.0.X (А64 6.1p6)? А то у меня виснет все наглухо с этим параметром, вернее максимум один поток, остальные нервно курят.
     
     
  • 2.4, scorp21 (??), 05:56, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    я ставил, обычно нормально вроде работает (пока правда 5.4-RELEASE-p18)
            socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8760 SO_RCVBUF=8760
    но виснет, когда начинаешь слушать один большой файл с .cue разметкой и плеел начинает перескакивать с одной композиции на другую. Я то слушаю, а остальные скрипят зубами.
     

  • 1.5, PavelR (??), 06:09, 19/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/

    А вот про работу nssiwtch.conf информация в статье несколько неверная.
    Проверка паролей происходит без участия nsswitch.conf.
     
     
  • 2.16, Andrew Kolchoogin (?), 11:58, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Да?-) Даже если PAM выключить?-) Очень странно, и зачем это в nss_ldap.conf указывается, где внутри LDAP-схемы пароль пользователя лежит, прямо даже и не знаю... ;)
     

  • 1.6, MoHaX (??), 06:35, 19/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    "kinit: NOTICE: ticket renewable lifetime is 1 week"
    Народ просветите, а чего будет через неделю когда срок билета истечёт? Самба перестанет работать в домене или чего?
     
     
  • 2.7, Abigor (??), 09:01, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Все будет путем, билет сам продлится без твоего учатия
     
     
  • 3.17, Andrew Kolchoogin (?), 11:59, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Не надо торопитсо. :) Это как Керберос откалибруешь, так и будет. :)
    По умолчанию Керберос просит non-renewable ticket, но это можно изменить через krb5.conf.
     
     
  • 4.23, MoHaX (??), 12:48, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    А можно по подроней? Как это изменить?
     
     
  • 5.25, Andrew Kolchoogin (?), 13:44, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Нет, это не надо менять, это мне надо спать подольше. :) Я перепутал "forwardable" с "renewable". :)

    Хотя это принципиально ничего не меняет. krb5.conf(5) от MIT Kerberos v1.4.3 говорит:

    ===
           renew_lifetime
                  The value of this tag is the default renewable lifetime for ini-
                  tial tickets.  The default value for the tag is 0.


           forwardable
                  If this flag is set, initial tickets by default will be forward-
                  able.  The default value for this flag is false.
    ===

    По умолчанию renew_lifetime==0, то есть, тикет вечен. :) И нефорвардабелен. :)

     

  • 1.8, psj (??), 09:01, 19/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Опять таки остается проблема с русскими логонами. Т.е. если в домене логоны русские, а у меня исторически сложилось именно так, то аутентификация на самба-сервере не работает и войти в распределенную папку нельзя. Хотя всех пользователей с русскими именами видно в команде - wbinfo -u. (Во всяком случае весной 2006 года аутентификация не работала)
    Или уже все нормально работает?
     
     
  • 2.9, CrazyF (?), 09:23, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Иногда традиции НАДО ломать. У меня начались вопросы насчёт "русских" имён. На что было сказано, что в Windows 3 кодировки и если не дай бог хоть что то пойдёт не так, то восстановить всё будет крайне сложно, т.к. все внутренности всё равно на аглицком, у некоторых были случаи BSOD на синие экранчики с "кракозябрами" все посмотрели. Вопросов больше не было.
     
     
  • 3.12, psj (??), 10:40, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Ну иногда это не так просто как кажется. Я уже пытался, но слишком много завязано имено на русские логоны. В т.ч. и корпоративная система которая ведется уже более 5 лет. А объяснить женщине 54 лет что теперь надо набирать логон по английски - практически не возможно :)
     
     
  • 4.32, Sergey (??), 19:38, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Если переход на латиницу уменьшает стоимость поддержки и время простоя (что нужно аргументированно доказать руководству) то с тетеньками 54 все происходит крайне просто - в рамках проекта модернизации системы проводятся курсы переквалификации, где КАЖДЫЙ сотрудник подписывается в том, что необходимую порцию сокровенных знаний он получил в полном обьеме. Вопрос их усвоения - это проблема уже сотрудника и его дальнейшего прибывания в компании..
     
     
  • 5.50, kam (ok), 06:15, 21/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Если переход на латиницу уменьшает стоимость поддержки и время простоя (что нужно
    >аргументированно доказать руководству) то с тетеньками 54 все происходит крайне просто
    >- в рамках проекта модернизации системы проводятся курсы переквалификации, где КАЖДЫЙ
    >сотрудник подписывается в том, что необходимую порцию сокровенных знаний он получил
    >в полном обьеме. Вопрос их усвоения - это проблема уже сотрудника
    >и его дальнейшего прибывания в компании..

    Sergey, какой вы право слово, оптимист :) В моей компании что 54 года, что 24 - заставить кого либо делать так как нужно невозможно. Полнейшая "безнадёга точка ру" :) Аргумент один: "Я не понимаю". И всё. А по поводу "пребывания сотрудника в компании" так никто никого не уволит за неумение набрать логин и пароль, вы уж мне поверьте.

     
     
  • 6.51, psj (??), 08:00, 21/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Sergey, какой вы право слово, оптимист :) В моей компании что 54
    >года, что 24 - заставить кого либо делать так как нужно
    >невозможно. Полнейшая "безнадёга точка ру" :) Аргумент один: "Я не понимаю".
    >И всё. А по поводу "пребывания сотрудника в компании" так никто
    >никого не уволит за неумение набрать логин и пароль, вы уж
    >мне поверьте.

    БРАВО!!! Все правильно и более того меня-же, после согласия директора, директор и заставит по утрам ходить и вводить всем логины и пароли. Т.к. английской клавиатуры НИКТО не знает и что самое главное, и я считаю правильное, никто ее не будет учить. У людей другая работа. А компьютер должен помогать сотрудникам работать, а не создавать проблемы в работе. :(

     
  • 3.19, Andrew Kolchoogin (?), 12:02, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Пользователей больше тысячи в директории? Если да — то ты маньяк, менять тыщщу логинов с русских на английские. ;)
     
     
  • 4.33, Sergey (??), 19:42, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    по хорошему нужно подвесить за выступающие части тех менеджеров, что приняли решение о вводи в эксплуотацию именно такой системы. Опять жешь в АД есть средства миграции и автоматизации сего процесса. И вообще если уж используют всякие виндовые "фишки" то нефиг после морочиться с самбой, поднять файл-сервер на Win2k3/R2 и не иметь геморроя. В конечном счете ТСО для крупных предприятий файл-сервера на винде или самбе сравнима, клиентские машины-то наверняка под WinXP...
     
  • 2.18, Andrew Kolchoogin (?), 12:00, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Пробовали класть болт на связку winbindd/nss_winbindd, и ходить в директорию напрямую, через nss_ldap?
     
     
  • 3.24, psj (??), 12:53, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Пробовали класть болт на связку winbindd/nss_winbindd, и ходить в директорию напрямую, через
    >nss_ldap?

    А вот тут можно поподробнее? Такого я не делал.

     
     
  • 4.26, Andrew Kolchoogin (?), 13:48, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Можно. Так как Active Directory есть не что иное, как LDAP с некоторыми добавленными типами данных и аутентикацией через GSS-SPNEGO, GSSAPI или DIGEST-MD5, то ничто не мешает ходить туда непосредственно через LDAP.
    Пути описаны в Интернете, находятся Гуглом, однако, общая идея такова: в директории заводятся два пользователя, один - администратор директории, другой - совершенно без прав, но так как AD не поддерживает Anonymous Bind, он необходим для того, чтобы сделать Initial Bind и проверить, есть ли пользователь. Далее они (эти пользователи) прописываются в nss_ldap.conf, там же раскомментируются настройки для AD, и вперёд...
     

  • 1.10, CrazyF (?), 09:44, 19/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Инструкция (http://sysadmin.su/index.php?option=com_content&task=view&id=1347&Itemid=78) по настройке samba на freebsd 6.0 в качестве файлсервера.
    >
    >URL: http://sysadmin.su/index.php?option=com_content&task=view&id=1347&Itemid=78
    >Новость: http://www.opennet.me/opennews/art.shtml?num=8357
    Кстати, было бы неплохо знать автору, что LDAP служит как backend для хранения учёток и паролей, т.е. если мы хотим чтобы он был DC (Domain Controller основной или добавочный) то тогда LDAP нужен, а если просто как участник сети, тогда LDAP абсолютно лишний!

     
     
  • 2.15, Andrew Kolchoogin (?), 11:56, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Ну да, ну да, конечно-конечно. Для поддержки Active Directory (_не_ в режиме совместимости с доменом pre-Windows 2000) LDAP необходим _обязательно_: Самба к контроллерам через него за проверками групп, etc. ходит. Можно, конечно, это оторвать и зацепить Самбу к AD через RPC, но это неспортивно. :)
     
     
  • 3.20, CrazyF (?), 12:18, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну да, ну да, конечно-конечно. Для поддержки Active Directory
    Неправильно. Для простого участника домена LDAP НЕ НУЖЕН!!!!!
     
  • 3.21, CrazyF (?), 12:23, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >LDAP необходим _обязательно_: Самба к контроллерам через него за проверками групп, etc. ходит.
    Кто Вам подобное сказал?! Не верьте Вас жестоко обманули! Не ходит samba за проверками через LDAP!!!! НЕ ХОДИТ!!!! Ещё раз повторюсь для простого участника домена LDAP ЛИШНЕЕ. Или вы считаете что AD должен устанавливаться на любой клиентской машине?
     
     
  • 4.22, Andrew Kolchoogin (?), 12:28, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Соберите Самбу без LDAP и попробуйте сказать "net ads join". Вы сильно удивитесь результату. :) А данную операцию надо делать _на каждой клиент ской машине_, вне зависимости от того, что на ней стоит - Windows или Самба. :)
     
     
  • 5.27, newby (?), 14:07, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Легко, только писать надо net join

    Для члена домена LDAP не нужен.

     
     
  • 6.43, Andrew Kolchoogin (?), 15:15, 20/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Похоже, кто-то не умеет читать thread целиком. Я же сказал, что если собрать Самбу без LDAP, то её можно подцепить к директории через RPC (как домен pre-Windows 2000), но это не спортивно. В директорию, как в директорию Самбу без LDAP затащить нельзя.
     
  • 5.28, CrazyF (?), 15:28, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Соберите Самбу без LDAP и попробуйте сказать "net ads join". Вы сильно удивитесь результату. :) А данную операцию надо делать _на каждой клиент ской машине_, вне зависимости от того, что на ней стоит - Windows или Самба. :)
    Да без проблем собирал с поддержкой ADS и ВСЁ!!!! Не нужен LDAP!!! Вот если захочу чтобы Samba стала добавочным DC в домене, тогда да без LDAP не обойтись.
    Кстати, неужто вы считаете что где то в недрах XP или 2000 есть LDAP то вы глубоко заблуждаетесь! Kerberos ЕСТЬ! А LDAP (AD) ТОЛЬКО НА СЕРВЕРЕ ;)
     
     
  • 6.44, Andrew Kolchoogin (?), 15:19, 20/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    1) Нет, Вы просто не понимаете, что Вы делаете. Собрать Самбу с поддержкой ADS и без поддержки LDAP нельзя -- попробуйте указать эти ключи в командной строке "./configure" и посмотрите на получаемый config.h.
    2) Самба не умеет быть добавочным DC в директории, это FAQ. Она может быть только Directory Member'ом. Читайте smb.conf(5).
    3) LDAP есть везде в Windows 2000 и Windows XP. В противном случае в Address Book нельзя было бы добавлять LDAP-источники.

    Короче говоря, перед тем, как кричать на OpenNet'е, сделайте так, как советуют Великие Гуру -- "Use the Force, read the source!"

     
     
  • 7.46, CrazyF (?), 15:32, 20/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    > 1) Нет, Вы просто не понимаете, что Вы делаете. Собрать Самбу с поддержкой ADS и без поддержки LDAP нельзя -- попробуйте указать эти ключи в командной строке "./configure" и
    посмотрите на получаемый config.h.

    Больше похоже на то, что не понимаете то как раз Вы
    > 2) Самба не умеет быть добавочным DC в директории, это FAQ. Она может быть только Directory Member'ом. Читайте smb.conf(5).
    Согласен, ошибся. Но она может быть DC с LDAP backend-ом.

    >3) LDAP есть везде в Windows 2000 и Windows XP. В противном случае в Address Book нельзя было бы добавлять LDAP-источники.
    Чушь! LDAP клиент есть и он то как раз и позволяет "добавлять LDAP-источники".

    Вы путаете LDAP бакэнд и клиент!!! Так что!!! "перед тем, как кричать на OpenNet'е, сделайте так, как советуют Великие Гуру".
    И не ленитесь читать официальные HOW-TO.

     

  • 1.29, Rakshas (?), 17:44, 19/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Интересно. Вот про это хоть кто-нибудь напишет. Как правельно оформить тикет кербероса для UNIX систем  Microsoft Q324144. А тикет сам нихера не обновляется.
    А по умолчанию в виндовс он не валиден через 7 дней и должен обновиться.

    Знатока вопящем про то что LDAP не нужен.
    отличие net ads join от net join  в том что net join это аналогично вводу в домент Windows NT 4.0 и использует NTLM в этом случае никакой вам керберос нафиг не нужен. А вот если 2003 работает в native mode и отключен NTLM то нужен и LDAP и все остальные навороты.

     
     
  • 2.30, maximus (??), 18:19, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    У меня работает в нативе собрал без ldap все пашет как танк читаем спецификацию AD если тикет имеется и он обновляется или без срочен то двфз нах не нужен он winbind свободно авторизирует по sid
     
     
  • 3.35, rakshas (??), 21:36, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    А в логах контроллера домена ничего нет про тикет самба сервера?
     
     
  • 4.36, maximus (??), 21:39, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    да все чисто ;) да и мом не говнится :) так что все ок
     
     
  • 5.37, rakshas (??), 21:41, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    А как версия самбы если не секрет?
     
     
  • 6.40, maximus (??), 22:21, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    3.0.21c если мне память не изменяет.
    но я так понял что вы признали что вы неправы ;)
     
     
  • 7.41, rakshas (??), 22:39, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    По поводу керберос у меня например проблема есть.  Ругается регулярно и иногда ни стого ни ссего когда начинает ругаться не пускает зверей.   Хотя у меня самба намного меньше.  Наверное пришло время обновить. :-)
     
  • 7.42, rakshas (??), 22:43, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >3.0.21c если мне память не изменяет.
    >но я так понял что вы признали что вы неправы ;)
    Точнее ругалась. По как Microsoft пишет не сделал.

     
  • 2.31, CrazyF (?), 18:35, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Знатока вопящем про то что LDAP не нужен.
    Перестаньте брызгать слюной, это не эстетично.....
    И запомни, ads=active directory service, проще для такого "знатока" как Вы объясню, LDAP ТОЛЬКО НА СТОРОНЕ СЕРВЕРА!!!!!
    Читайте доки  http://us5.samba.org/samba/docs/man/Samba-HOWTO-Collection/domain-member.html
    и не порите чушь на форумах!
     
     
  • 3.34, rakshas (??), 21:31, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    У меня со слюноотделением все в порядке.  А у вас помоему нет. Кроме доков самбы читайте доки по Windows.
     
  • 3.45, Andrew Kolchoogin (?), 15:25, 20/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Граждане, прекратите друг на друга орать - вы просто не следите за тем, что говорите. Есть понятие Microsoft Active Directory, основа -- LDAP+Kerberos v5. Есть понятие Windows NT Domain, основа -- Microsoft Remote Procedure Calls. Для того, чтобы Самба умела аутентикацию в AD, её нужно собирать с LDAP, Kerberos и AD Support. Для того, чтобы Самба умела аутентикацию в виндовом домене, ей ничего, кроме криптографии, не нужно.

    Есть факт, что для обеспечения обратной совместимости (рабочие станции могут быть и под Windows NT v4) внутрь Active Directory встроен Backward Compatibility Layer, представляющий сервисы AD, как сервисы домена (это можно сделать). И Самба, разумеется, как честный клиент домена, может этим лэйером пользоваться.

    Но она не будет тогда членом AD. :) Она будет членом домена Windows. :)

     
     
  • 4.47, CrazyF (?), 16:47, 20/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >Для того, чтобы Самба умела аутентикацию в AD, её нужно собирать с LDAP, Kerberos и AD Support.

    100 раз вам уже говорил, скажу 101 раз. НЕ НУЖНО ЕЁ СОБИРАТЬ С LDAP. Даже без этой вашей галочеи на LDAP из портов АВТОМАТОМ установится LDAP КЛИЕНТ. Но никак не сервер.
    Читайте доки, они rulez!

     

  • 1.38, thealexis (?), 21:59, 19/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >> Кроме доков самбы читайте доки по Windows.
    Если можно, ссылочку на доку по M$ где написано что клиент домена обязательно должен иметь LDAP.
     
     
  • 2.39, rakshas (??), 22:10, 19/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    Мда. Согласен. Фигню сморозил....
     

  • 1.48, skif (??), 17:07, 20/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    дайте лучше реальный совет кто нить как сделать чтобы 1с не тормозила?
    :)
     
     
  • 2.49, GateKeeper (??), 18:12, 20/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    увеличить пропускную способность сети до 1Гб/с (винты всё равно не справятся с бОльшим потоком), соответственно оттюнинговав систему (пару месяцев назад пробегал хауту на эту тему.

    или, как вариант: запускать 1ц локально...

     

  • 1.52, skif (??), 08:42, 21/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    но под виндой по сетке нормально пашет :(
     
     
  • 2.53, blendamed (?), 12:19, 21/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    мдя, пособие для начинающих, ставьте  UNIX CHARSET = koi8r, а потом лечите геморой со знаком номера, особенно если у юзеров с перемещаемым профилем в названиях директорий и файлов имеются эти символы, успехов :E E:
     

  • 1.54, sardigital (??), 14:15, 21/09/2006 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    дружи, такая ошибка: utils/net_ads.c:ads_startup(281)
        ads_connect: Operations error
    где копать подскажите..... плиз
     
     
  • 2.55, sardigital (??), 14:16, 21/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    при присоединении к домену
     
     
  • 3.56, MoHaX (??), 11:32, 23/09/2006 [^] [^^] [^^^] [ответить]  
  • +/
    >при присоединении к домену
    Файрволл проверь и klist на неконченный билет...


     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру