Контролёр домена

Автор: st_linux Дата: 02.07.2003 17:43 Прошу помочь мне поставить контролер домена под Линухой. Точнее с помощью чего и как... Слышал можна ставить с помощью пакета САМБА. Если кто-нить знает - подскажите пожалуйста.
Заранее благодарен.
Re: Контролёр домена 02.07.2003 18:03koka А что Вы подразумеваете под контроллером домена? Вернее какие задачи Вы хотите возложить на него?

Это ж не только дисковые share (samba).

Наверное я бы провел аналогию с LDAP'ом.
Re: Контролёр домена 02.07.2003 18:14Light Спроси у гугла SAMBA-PDC-HOWTO
Re: Контролёр домена 02.07.2003 18:35Woodoo st_linux писал(а):

> Прошу помочь мне поставить контролер домена под Линухой.
> Точнее с помощью чего и как... Слышал можна ставить с помощью
> пакета САМБА. Если кто-нить знает - подскажите пожалуйста.

[opennet.ru]
[opennet.ru]
Re: Контролёр домена 03.07.2003 07:50Vladimir Dyakov st_linux, посмотрите [ru.samba.org], быть может вам нужна третья самба
Re: Контролёр домена 03.07.2003 09:45МихаилZ для конроллера домена третья самба не нужна
Вот вам мои настройки контроллера домена (кусок из них)
---

# Samba config file created using SWAT
# from 0.0.0.0 (0.0.0.0)
# Date: 2002/08/15 10:07:32

# Global parameters
[global]
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
client code page = 866
workgroup = WORKGROUP
netbios name = HOST
preferred master = yes
domain master = yes
local master = yes
domain logons = yes
server string = Linux Samba Server
encrypt passwords = Yes
username map = /etc/samba/smbusers
log file = /var/log/samba/%m.log
max log size = 1024
load printers = No
character set = KOI8-R
dns proxy = No
wins support = Yes
printing = cups
printcap name = cups
printer admin = @lan_ivc
# logon path = \\%N\profiles\%u
logon drive = Z:
logon home = \\host\%u
logon script = users.bat\%U.bat
winbind separator = +
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
# host allow = 192.168.
interfaces = eth*
log level = 0

[HOMES]
comment = Homes directories
path = /home/public/homes/%S
valid users = %S,@lan_ivc
read only = No
create mask = 0666
directory mask = 0777
browseable = No
vfs object = /usr/lib/samba/vfs/recycle.so
vfs options = /etc/samba/recycle.conf

[NETLOGON]
path = /home/public/netlogon
writeable = no

[profiles]
path = /home/public/ntprofile/%m
writeable = yes
create mask = 0600
directory mask = 0700

[PUBLIC]
comment = Public resourse
path = /home/public/public
valid users = @lanusers
locking = no
# writeable = no
write list = mike
create mask = 0666
directory mask = 0777
# vfs object = /opt/drweb/smb_spider.so.4



[PRNIVC]
comment = Printer
valid users = @lan_ivc
path = /var/spool/samba
printer = prnivc
public = no
writable = no
printable = yes
printer admin = @lan_ivc

[PRNIVCM]
copy = prnivc
printer = prnivcm

---
Re: Контролёр домена 04.07.2003 13:13st_linux Ну вот контролер домена уже стоит, но есть вопрос : что значит сообщение с клиентской машины при попытке подключении к домену:
Обнаружен конфликт между указаными и существуещими учетными данными???
Re: Контролёр домена 04.07.2003 13:58МихаилZ st_linux писал(а):

> Ну вот контролер домена уже стоит, но есть вопрос : что
> значит сообщение с клиентской машины при попытке подключении к
> домену:
> Обнаружен конфликт между указаными и существуещими учетными
> данными???
>

Я такого ни разу не видел из чего делаю вывод что увас клиент -2000? (у меня 9x)

Копайте насчет logon - лучше попробовать
---
logon path = \\%N\profiles\%m
---
(по машинам а не по пользователям)
папки должны быть для пользователя доступны на запись
попробуйте для эксперимента
---
[profiles]
path = /home/public/ntprofile/%m
writeable = yes
create mask = 0666
directory mask = 0777
---
Либо в винде насчет учетных записей
Re: Контролёр домена 04.07.2003 14:13st_linux Благодарю вас, МихаилZ но все уже выше описаное вами я сделал. А клиент да- w2k без сервис паков.
Re: Контролёр домена 04.07.2003 14:26yumi попробуйте спросить гугль, я видел ответ на Ваш вопрос, но не помню где - помню лишь, что это была большая статья на русском языке
Re: Контролёр домена 07.07.2003 15:56st_linux Всем спасибо. Но вроде трабл в версии самба Я вот ща рыщу в поисках нужного версии 2.2.6 Может кто нить знает какие пакеты нужны???
Re: Контролёр домена 07.07.2003 17:02Woodoo st_linux писал(а):

> А клиент да- w2k без сервис паков.

Попробуй в опциях сетевого окружения снять чекбокс "автоматически апдейтить запись в службе dns". Это единственное отличие win2k, которое сразу "на виду".
Re: Контролёр домена 08.07.2003 09:08МихаилZ st_linux писал(а):

> Всем спасибо. Но вроде трабл в версии самба Я вот ща рыщу в
> поисках нужного версии 2.2.6 Может кто нить знает какие пакеты
> нужны???
>
2.2.6 -дырявая !!! нужна 2.2.8 или 2.2.7а от Аспов

www.rpmfind.net

Для аспа есть такие пакеты

samba-common-2.2.7a-8.9.0asp
samba-client-2.2.7a-8.9.0asp
samba-2.2.7a-8.9.0asp
samba-swat-2.2.7a-8.9.0asp
Re: Контролёр домена 08.07.2003 10:49st_linux МихаилZ писал(а):


> 2.2.6 -дырявая !!! нужна 2.2.8 или 2.2.7а от Аспов
>
> www.rpmfind.net
>
> Для аспа есть такие пакеты
>
> samba-common-2.2.7a-8.9.0asp
> samba-client-2.2.7a-8.9.0asp
> samba-2.2.7a-8.9.0asp
> samba-swat-2.2.7a-8.9.0asp

Благодарю за исчерпующую информацию о самых пакетах дистр самба. Но вопрос похоже не правильно поставил я. Имею ввиду о библиотеках, может о версии кернела или что-то в том роде. Я вот пытался ставить 2.2.6: не поставил. Требует libcups.so.2 и LinNeighborhood-0.6.2-4, и у меня потому и возник вопрос, господа, о потребностях онной. А что за libcups.so.2 мне не известно... Буду рыскать может найду что-то... но все равно всем благодарность за участие. Сегодня вот по совету Михаил`аZ скачаю 2.2.7а. Попробуем, увидим... Пологаю продолжение следует
;-)|-<
Re: Контролёр домена 08.07.2003 11:33yumi а че тут рыскать???
[rpmfind.net] - вот у него и спроси Улыбка)) - много интересного увидишь Улыбка
Re: Контролёр домена 08.07.2003 13:02st_linux yumi писал(а):

> а че тут рыскать???
> [rpmfind.net] - вот у него и спроси Улыбка)) - много
> интересного увидишь Улыбка
>
Ну спасибо... Вопрос вот в чем мне надо все абслютно апдейтить ---времо то скккколльькооо!!!
Re: Контролёр домена 08.07.2003 13:03st_linux yumi писал(а):

> а че тут рыскать???
> [rpmfind.net] - вот у него и спроси Улыбка)) - много
> интересного увидишь Улыбка
>
Ну спасибо... Вопрос вот в чем мне надо все абслютно апдейтить ---времо то скккколльькооо!!!
Re: Контролёр домена 08.07.2003 13:30yumi 1) Вашу библиотеку rpmfind.net нашел в считанные секунды
2) если нужно все апдейтить - поставить yum и не морочить голову (в ASP)
Re: Контролёр домена 08.07.2003 14:49st_linux Что за yum? Чесно говоря контролер домена работает уже нормально! УРА! Всем благодарности за помощь. Но не так то все просто... У меня есть машинки с именем типа 123-99 иль шото в роде. Пока я не знаю как автоматически добавлять машинку в shadow и smbpasswd с знаком $. Потому ввожу вручную. А мой то adduser матерится то как!!! Invalid user name '123-99' и все... Что делать то мне? Подскажите пожалуйста.
Re: Контролёр домена 08.07.2003 15:04Vladimir Dyakov вам, _одназначно_, нужна третья самба; она даже импортировать записи с существующего виндового контроллера домена может
Re: Контролёр домена 08.07.2003 16:37Vinni Может я ошибаюсь, но вроде имя пользователя не может начинаться с цифры? Думаю, аналогично и для имени хоста. Так ведь?
Re: Контролёр домена 08.07.2003 17:16st_linux Vladimir Dyakov писал(а):

> вам, _одназначно_, нужна третья самба; она даже импортировать
> записи с существующего виндового контроллера домена может

Ну спасибо... А может еще что-то? Зачем мне 3-я? Все возможно и в 2.2.0... Зачем навороты то? Записи импортировать можна путем копирования -- я думаю об ентом вы знаете. Не ужели нет ни одного админа кто встречался с подобной проблемой????
Re: Контролёр домена 09.07.2003 07:47Vladimir Dyakov > Не ужели нет ни одного админа кто встречался с подобной
> проблемой????

Я встречался и долго пытался её решить. Третья самба - это, имхо, единственное корректное решение, если вы хотите нормальный домен. Записи импортировать _копированием_ из _Windows_ невозможно. На счёт всё возможно - это вы опрометчиво, от недостатка опыта ;-) Михаил дал вам _реальную_ настройку второй самбы, но выше головы не прыгнешь.
См. [ru.samba.org]
вот небольшая выдержка:
---
10) Support for migrating from a Windows NT 4.0 domain to a Samba
domain and maintaining user, group and domain SIDs.

11) Support for establishing trust relationships with Windows NT 4.0
domain controllers.
---
Re: Контролёр домена 09.07.2003 10:09st_linux Vladimir Dyakov писал(а):


> Я встречался и долго пытался её решить. Третья самба - это,
> имхо, единственное корректное решение, если вы хотите
> нормальный домен.

А по вашему какой домен есть нормальный?

> Записи импортировать _копированием_ из
> _Windows_ невозможно.

Изв меня, но вы чутку о мне плохо подумали! У меня есть настроеный сервак под линуху можна так сказать спецом /!/. Но он тормозит как @запор@, почти нет никакой защиты... Потому я решил сам начать с нуля. Уч записи там есть. Потому я считаю что и от туда их можно просто скопировать.

> На счёт всё возможно - это вы
> опрометчиво, от недостатка опыта ;-)

На счет опыта то да я с вами согласен--нет еще много его у меня. Но я учусь.
Опрометчиво - у каждого свои потребности. Что нужно 3-й самбе? Мне опять надо все обновлять. А меня уже енто достало. Если есть в src то да, но если в rpm - лишний гемор... ;-)

> Михаил дал вам _реальную_
> настройку второй самбы, но выше головы не прыгнешь.

Я с вами согласен на все сто/*на счет головы*/! Но настройки самбы сам произвел. Если просто взять и скопировать чужие настройки, то я опыт не буду иметь типа того что сам бы сделал.

Если лзя поинтересоватся какой опыт у вас администрирования юникс подобных? Какая самба стоит? Дистрибутив? И не скромно: сколько вам лет?
Я пока простой студент 2-го курса... Потому учусь...

;-)|-<
Re: Контролёр домена 09.07.2003 10:19МихаилZ st_linux писал(а):

> adduser матерится то как!!! Invalid user name '123-99' и все...
> Что делать то мне? Подскажите пожалуйста.

в самбе есть такой файлик /etc/samba/smbuser
Может сделать так
---
abnormal = 123-99
---
В линукс добавить пользователя abnormal а в самбе будет 123-99
Re: Контролёр домена 09.07.2003 10:49Vladimir Dyakov Виталий, корявые ответы на 90% происходят из-за корявых вопросов ;-) Ситуацию более или менее понятно вы описали только сейчас.
Опыт есть. Дистры - асп 7.3 до 9. Все мы учимся, и всегда будем учиться. Возраст - не показатель. Вообще, форум - для обсуждения проблем, личному здесь места нет ;-)
Re: Контролёр домена 09.07.2003 10:59st_linux Vladimir Dyakov писал(а):

> Виталий, корявые ответы на 90% происходят из-за корявых
> вопросов ;-) Ситуацию более или менее понятно вы описали только
> сейчас.

Может быть. Тогда прошу извинения за @корявие вопросы@.

> Опыт есть. Дистры - асп 7.3 до 9. Все мы учимся, и всегда
> будем учиться. Возраст - не показатель. Вообще, форум - для
> обсуждения проблем, личному здесь места нет ;-)

Есть такой показатель как возраст. Прошу не возражать. В наше время монстры администрирования в основном уже чуть постарше, хотя и есть "молодые" монстры.

Так вроде отошли от темы. Теперь вопрос:

Где взять документацию о настройке стойкого сервера под самба, коррекно сказать защищенного от атак. Как со стороны Нета, так и со сторони лок сети?
Re: Контролёр домена 09.07.2003 11:06Vladimir Dyakov спросите у гугла и на [opennet.ru]
Re: Контролёр домена 09.07.2003 11:17st_linux Благодарствую! Посмотрим!
Re: Контролёр домена 09.07.2003 11:26МихаилZ st_linux писал(а):

> Где взять документацию о настройке стойкого сервера под
> самба, коррекно сказать защищенного от атак. Как со стороны
> Нета, так и со сторони лок сети?

Стойкий сервер - это когда самба без дыр последняя но не бета
Защищенный от атак - когда все службы ненужные вырублены и используется хорошо настроенный iptables (см. этот форум)
Со стороны инета сервер самбы вообще не должен быть виден - настройте шлюз чтобы он закрывал порты самбы

А насчет /etc/samba/smbuser - помогло или нет?
Re: Контролёр домена 09.07.2003 12:25st_linux МихаилZ писал(а):

> st_linux писал(а):
>
> А насчет /etc/samba/smbuser - помогло или нет?

Извините, но как поступать то если туча таких компов? Скрипт писать - но все равно пароли то должен знать я...вывод значит такой: каждую машину таким макаром делать... но я думаю есть ответ попроще... как на счет ДНС?
Re: Контролёр домена 09.07.2003 13:00yumi st_linux писал(а):
> Извините, но как поступать то если туча таких компов? Скрипт
> писать - но все равно пароли то должен знать я...вывод значит
> такой: каждую машину таким макаром делать... но я думаю есть
молодой человек Вы это о чем??????
Пароли как раз и должен раздавать Ваш PDC!!! а остальные машины пускать ваших пользователей с этими паролями!
> ответ попроще... как на счет ДНС?
а при чем тут сервер имен, который резолвит имена машин в IP адреса к раздаче паролей????
Re: Контролёр домена 09.07.2003 13:52st_linux Суть вот в чем. Вы форум то читали? Я говорю об акаунтах машин к конртролёру! А не о самих юзарех. В данном случае нужно переводить имена машин с цифрами в имена без цифр... или заставить пассвд работать с именами начинающ и имеющ цифры! Вот в чем вопрос
Re: Контролёр домена 09.07.2003 14:07Woodoo st_linux писал(а):

> Суть вот в чем. Вы форум то читали? Я говорю об акаунтах
> машин к конртролёру! А не о самих юзарех. В данном случае нужно
> переводить имена машин с цифрами в имена без цифр... или
> заставить пассвд работать с именами начинающ и имеющ цифры! Вот
> в чем вопрос

Я бы рекомендовал изначально привести аккаунты в соответствие с требованиями linux. Тем более, что Вы все равно собираетесь их заводить - ибо настраиваете *Primary* DC. Сейчас трудно спрогнозировать, какие еще сервисы потребуются от linux-машины, но переопределение аккаунтов в уже настроенной и запущенной системе - значительно более трудоемкая задача.
Как решить соответствие только для samba - Вам уже подсказали. Но это - *частное* решение. Стоит, например, заговорить о почтовой или биллинговой системе учета - и появится уйма сложностей.
Re: Контролёр домена 10.07.2003 12:23st_linux Господа! Мне вот некоторые люди говорят что учетную запись на машину самба можеь добавлять автоматически при попытке подключению к домену. Нужно только имя админа домена и пасворд. Насколько я понял енто надо писать в опции: add new user script = ... или же опция ента исполз только добавления юзеров? Я вообще заплутался! Может аккаунты подругому можна установить. Я конечно не брезгую выше указанной помощью мне, но все же считаю что можно и попроще все сделать (Душа пря чуствует! ;-) ) Да и вот еще вопрос насколько мне изв ДНС только преобразов айпи в нетбиос имя или нетбиос имя в нет биос имя2 тоже может? Прошу разьяснить неученому...
Re: Контролёр домена 10.07.2003 12:28Vladimir Dyakov > Господа! Мне вот некоторые люди говорят что учетную запись на
господ тут нет ;-)
> машину самба можеь добавлять автоматически при попытке
> подключению к домену. Нужно только имя админа домена и пасворд.
Да может. Третья самба ;-) Вторая - нет.

> вот еще вопрос насколько мне изв ДНС только преобразов айпи в
> нетбиос имя или нетбиос имя в нет биос имя2 тоже может? Прошу
> разьяснить неученому...
>
dns преобразует _имя_ (не нетбиос, а domain name) в ип или наоборот (тогда это реверсный днс). Имя в имя не преобразует.
Re: Контролёр домена 10.07.2003 12:34st_linux Уважаемый Vladimir Dyakov! Подскажите мне тогда где есть самба 3 -я в тарах в сорсах, или бинарник... У меня просто (стыдно сказать) надо всю сис чутку обновлять для 3-й самбы что в ерпеемах... Опять гемор! А вы уже ее ставили? И как на счет дыр?
Re: Контролёр домена 10.07.2003 12:43Vladimir Dyakov У меня самба 2.2.7, поскольку мне домен не нужен. Домен есть у товарища в вузе, он с выходом третьей самбы перевёл его на неё с виннт-4, не мучаясь, взял просто и все про-импотр-экспортировал ;-)
Дыры... наверняка есть ещё какие-то недоработки, но, опять же, товарищь использует её с альфа-версии и не жалуется.
Зачем всё обновлять. Надо обновить только сервер.
[ru.samba.org] (в тарах, в сорцах и в бинарниках)
Re: Контролёр домена 10.07.2003 15:19st_linux Ну вот поставил я себе 2.2.8а... И оказалось что smbadduser тама нету! Прописал swat на 901 порт - ну как всегда --- тоже не запускается
пишет: The connection was refused when attempting to contact 127.0.0.1:901.
Может че не так сделал? Ставил с сорцов - откомпилилось без проблем.
Подскажите в чем баг плз...
Re: Контролёр домена 10.07.2003 17:43Woodoo st_linux писал(а):

> тама нету! Прописал swat на 901 порт - ну как всегда --- тоже
> не запускается

Где прописал? В xinetd?

> пишет: The connection was refused when attempting to contact
> 127.0.0.1:901.
Re: Контролёр домена 11.07.2003 10:04st_linux Да в xinetd. Неужели серйозно в 228а нет smbadduser??? Изв...за тупость smbpasswd -a <UNAME>...

xinet.d: swat:

# default: off
# description: SWAT is the Samba Web Admin Tool. Use swat \
# to configure your Samba server. To use SWAT, \
# connect to port 901 with your favorite web browser.
service swat
{
disable = no
port = 901
socket_type = stream
wait = no
only_from = 127.0.0.1
user = root
server = /usr/local/bin/swat
log_on_failure += USERID
}

Прописал в сервайсах swat 901/tcp...
Re: Контролёр домена 11.07.2003 14:55st_linux Ура! Домен поставил со всеми наворотами!

Особое благодарство Владимиру Дякову(за совет samba-3.0.0).
Re: Контролёр домена 11.07.2003 15:00Vladimir Dyakov шлите благодарственные пожертвования на dyakov@intersyst.ru
Re: Контролёр домена 14.07.2003 10:36Serega Maykov >> машину самба можеь добавлять автоматически при попытке
>> подключению к домену. Нужно только имя админа домена и >пасворд.
>Да может. Третья самба ;-) Вторая - нет.

Ребяты, да вы чего?!
У меня самба аж с 2.0? (не помню какой древности) сама при регистрации В2К в домене нормально добавляет аккаунт машины. Со всякими там $. NT4 да, надо было самому добавлять. Но все равно, через smbadduser, а не ковырянием smbpasswd.
Есть, правда, одна тонкость. Надо passwd и useradd из ASP7.1 лОжить вместо новых, сами бинарники. Начиная с 7.2 они не понимают имен со знаком доллара.
А в smb.conf:
add user script = /usr/sbin/useradd -n -g ntmachines -c NTbox -d /dev/null -s /dev/null %m$

ЗЫ. Если я конечно правильно понял причину спора, а то тред такой длинный, что забыл, с чего все начиналось.
Re: Контролёр домена 15.07.2003 14:17st_linux Здесь все же, вы немного позабыли, Серега. Суть вопроса колебалась от одного трабла к другому. Сейчас же вроде бы все в прошлом. Я аккаунты машин добавлял хитростью, точнее редактированием passwd. Так как добавлять аккаунты с цифрой нельзя "законом", то я его не нарушая обошел. Прим:
adduser w199-233. Потом passwd -d w199-233. Редактирую passwd и shadow
изменяя w199-233:*:.... на 199-233$:*:... а потом уж smbpasswd -a 199-233 --- вот и все вопросики!!! Хотя ентот вариант не самый-самый, но пока работает нормально и без траблов...

зы :: время лучший лекарь ;-)
RSS-материал