Fórum Root.cz
Hlavní témata => Server => Téma založeno: David 26. 02. 2013, 21:04:11
-
Dobry den,
jestli jsem dobre pochopil tak posledni vydani Samba 4 verze umi plne zastoupit domenovy radic a to diky nejakym pletkam kvuli EU a monopolnimu jednani.
Pokud dobre rozumim umi Samba 4 nasledujici fce (krome tech stezejnich)
- interni LDAP server (neni nutne tedy instalovat openldap)
- interni kerberos server
- interni server DynamicDNS (chapu spravne, ze se nemusi instalovat nic navic, tedy zadny
bind apod?)
Mam predstavu:
- mam 2x fyzicky server s CentOS 6, rikejme jim S1 a S2, jde o plne cistou instalaci
- v siti kolem serveru mam ~ 40 PC s Windows XP a 20 PC s Windows 7
- nainstaloval bych identickou Sambu4 na oba servery, pomoci DHCP serveru bych
rozdal PC domenu a hlavne DNS servery, ukazujici na S1(primarni) a S2(sekundar)
- S1 a S2 bych nakonfiguroval jako domenove radice (s1 - primarni, s2 - sekundarni)
- otazka1: lze rozbehnout automatickou replikaci samby (uzivateleu) z S1 na S2?
- otazka2: muzu mit uzivatele pouze v interni LDAP a presto mapovat uzivatelum
domovsky adresare, tedy bez nutnosti je mit fyzicky v systemu?
- otazka3: existuji uz nejake GUI nastroje pro spravu domeny (webmin napr.),
nebo a to uplne nechapu, lze spravovat domenu na Samba 4 pomoci
nastroju z windows?
- otazka4: muzete doporucit relevantni literaturu ke studiu
Moc dekuji David
-
Já bych začal asi tady: http://www.samba.org/samba/docs/ (http://www.samba.org/samba/docs/) a moc se mi nezdá, že by poslední vydání umělo vše, co píšeš bez závislostí ... ale můžeš mít pravdu. Zrovna samba je věc, kterou aktualizuji tak nějak opatrně.
-
Já bych k tomu s dovolením přidal ještě jednu otázku svoji: "A k čemu je to vlastně všechno dobré?"
I s prehistorickou verzí samby jde mít uživatele v ldapu (vs. AD), soft instalovat třeba pomocí wpkg (vs. windowsovské politiky), uživatele spravovat jak je libo (díky ldapu), mít normální DNS, provozovat doménu s cestovními profily, mít záložní DC.
Co obvykle nejde, je používat hypercool windowsové nástroje, ale to mi nějak žíly netrhá, sambu mám právě proto, abych win nástroje používat nemusel...
Co teda vlastně *praktického* ta nová samba má přinést tak revolučního, kromě toho, že se už vyvíjí roky a dá se očekávat, že bude plná nových, nyní ještě lepší bugů?
(otázku myslím fakt vážně, pokud se tady pohybuje někdo, kdo do samby pořádně vidí, byl bych mu za nějaké shrnutí zavázán :)
-
K čemu je to dobré? No, krom toho, že to je v podstatě plně funkční implementace Active Directory na úrovni Serveru 2008, tak k ničemu. Ještě takové detaily jako SMB 2.1 (plus experimentálně SMB3) a pár dalších. ::)
-
Na otázky všechny odpověď ano. Jenom nepoužívám interní DNS, ale externí bind do kterého je to vloženo.
Co se týče nástrojů pro správu týče, tak se používá normální microsoftí na W7 stanici. Admin, co se o doménu stará, skoro nic netuší o linuxu/unixu a jen kliká v mmc a gpedit. Replikace mezi řadiči funguje.
To mapování domácího disku je myšleno co? Jeslti jako adresář do linuxu ze samby, tak to asi půjde, jen bude třea sambu aktivovat včetně SFU rozšíření.
Mám podobnnou konfiguraci. 2x Centos6, na něm Samba 4 na jednom PDC, další jako BDC, 3 lokality, 60 počítačů XP/W7. Vše v doméně s centrální správou v AD, k tomu několik připojených NAS polí po pobočkách a asi 10 linux serverů, které si berou data o uživatelích z AD, včetně síťových print severů s samba3.5/cups (někde přes winbind, většinou přes nslcd, sosání přes sssd se nejeví jako spolehlivé). Vše jede na mixu IPv4/IPv6 bez potíží. Je k tomu ještě napojen i freeradius server, který dle dat z domény ověřuje VPN přístupy (L2TP/IPsec na linux serveru), rozjíždí se ověřování wifi a 802.1x pro síť. Ověřování a autorizace uživatelů ke všemu je řešena přes Kerberos z PDC/BCD plus ověřování členstvá ve skupinách. Použito pro mapování disků, SSH/NX/Xwin přístupy, poštovní servery (sendmail+cyrus imap), proxy squid server, interní weby a PostgreSQL.
Jen ty samby 4 slouží pouze jako DC a nic jiného, neposkytují žádné složky (pokud nepočítám sysvol)! Složky se mapují z NAS polí pomocí politik/login scriptů (win klientům přes cifs, linuxy přes nfs3/4 - používáme QNAPy).
V doméně jako členové jsou i nějaké W2K, W2K8 servery pro účto, wsus a podobné blbosti.
Takto provozuji již delší dobu od dob RC verzí, před pár měsíci s vyjitím ostré 4.0.0 najeto do ostrého provozu jako náhrada za prehistorickou WindowsNT4 doménu.
Z tohodle pohledu se dá říci, že to je relativně slušná náhrada za AD v podání W2K3 a novější. Dokáže se o to starat windowsák bez unix znalostí. Unixák nastuopuje jen v případech, kdy jde o nějakou integraci s unix věcmi, kde to jde trošku do hloubky (zapotil jsem se hlavně u win7 stanic a síťového tisku skrz centrální print servery s centrální instalací tiskáren/driverů dle politik).
JEdiné mínus je, že není moc podporováno vytváření vlastních rozšíření LDAP schématu, takže mi třeba chybí schéma pro řízení distribuce emailů přes víc sendmail serverů, to se musí tošku ojebávat.
-
Na otázky všechny odpověď ano. Jenom nepoužívám interní DNS, ale externí bind do kterého je to vloženo.
Co se týče nástrojů pro správu týče, tak se používá normální microsoftí na W7 stanici. Admin, co se o doménu stará, skoro nic netuší o linuxu/unixu a jen kliká v mmc a gpedit. Replikace mezi řadiči funguje.
To mapování domácího disku je myšleno co? Jeslti jako adresář do linuxu ze samby, tak to asi půjde, jen bude třea sambu aktivovat včetně SFU rozšíření.
Mám podobnnou konfiguraci. 2x Centos6, na něm Samba 4 na jednom PDC, další jako BDC, 3 lokality, 60 počítačů XP/W7. Vše v doméně s centrální správou v AD, k tomu několik připojených NAS polí po pobočkách a asi 10 linux serverů, které si berou data o uživatelích z AD, včetně síťových print severů s samba3.5/cups (někde přes winbind, většinou přes nslcd, sosání přes sssd se nejeví jako spolehlivé). Vše jede na mixu IPv4/IPv6 bez potíží. Je k tomu ještě napojen i freeradius server, který dle dat z domény ověřuje VPN přístupy (L2TP/IPsec na linux serveru), rozjíždí se ověřování wifi a 802.1x pro síť. Ověřování a autorizace uživatelů ke všemu je řešena přes Kerberos z PDC/BCD plus ověřování členstvá ve skupinách. Použito pro mapování disků, SSH/NX/Xwin přístupy, poštovní servery (sendmail+cyrus imap), proxy squid server, interní weby a PostgreSQL.
Jen ty samby 4 slouží pouze jako DC a nic jiného, neposkytují žádné složky (pokud nepočítám sysvol)! Složky se mapují z NAS polí pomocí politik/login scriptů (win klientům přes cifs, linuxy přes nfs3/4 - používáme QNAPy).
V doméně jako členové jsou i nějaké W2K, W2K8 servery pro účto, wsus a podobné blbosti.
Takto provozuji již delší dobu od dob RC verzí, před pár měsíci s vyjitím ostré 4.0.0 najeto do ostrého provozu jako náhrada za prehistorickou WindowsNT4 doménu.
Z tohodle pohledu se dá říci, že to je relativně slušná náhrada za AD v podání W2K3 a novější. Dokáže se o to starat windowsák bez unix znalostí. Unixák nastuopuje jen v případech, kdy jde o nějakou integraci s unix věcmi, kde to jde trošku do hloubky (zapotil jsem se hlavně u win7 stanic a síťového tisku skrz centrální print servery s centrální instalací tiskáren/driverů dle politik).
JEdiné mínus je, že není moc podporováno vytváření vlastních rozšíření LDAP schématu, takže mi třeba chybí schéma pro řízení distribuce emailů přes víc sendmail serverů, to se musí tošku ojebávat.
Toto je hodne zajimave co jste napsal
- externi bind asi neni problem, vygeneruji se klice a meli by to fungovat
- mapovani domovskych adresaru, jde mi o tom, aby mel uzivatel po zalogoavni
dostupny automaticky svuj disk napr. h: a funguji na tomto disku kvoty? reknem ze
bych chtel napr. 100MB/per user takove kvoty se nastavuji v sambe nebo na fs linuxu serveru
a to po pripdani uzivatele musim rucne zalozit adresar nebo to samba zvladne po prvnim
zalogovani uzivatele?
- moc neumim s LDAP, ale jestli pisete, ze uzivatele je mozno pridavat pres
windows nastroje, tak to snad bude ok, moc nerozumim tem schematum,
ale predpokladam,ze to bude ok, jde to nejak pripadne i z radky pridavat
uzivatele do domeny a skupiny, abych to mohl automatizovat?
- jakou verzi te 4kove rady pouzivate ? primo ta co je v repositari centos
samba4.x86_64 4.0.0-23.alpha11.el6 nebo nejaky externi repositar?
zkousel jsem kompilovat 4.0.3 zde zdroje respektive rpmbuild a ten konci
chybama (chtel jsem mit rpm balicek, ale v nejhorsim to sestavim klasicky)
-
No, krom toho, že to je v podstatě plně funkční implementace Active Directory na úrovni Serveru 2008, tak k ničemu. Ještě takové detaily jako SMB 2.1 (plus experimentálně SMB3) a pár dalších. ::)
Já jsem (Bohu díky!) nikdy Windows Server nespravoval, takže právě nevím, co si pod tím mám představit. Na úrovni "co to konkrétně umí, co by nešlo udělat jinak se starší sambou". Chápu, že se to teda ven tváří jako win server, podporuje to všechny ty jejich RPCčka apod., ale to není odpověď na otázku.
Mám podobnnou konfiguraci. [...]
Jak to tak (mírně ještě rozespalej ;) čtu, nevidím tam nic, co by se nedalo provozovat i se starší sambou. Má ta 4ka něco, co by s 3.x prostě nešlo? Měli jste nějaký konkrétní důvod, proč 4ku nasadit?
Díky moc za odpověď.
(pro jistotu dodávám, že mi opravdu nejde o žádný trolling, hádání se apod., jenomdo windows světa zas tak moc nevidím, takže potřebuju trochu nakopnout, o čem je vlastně řeč... díky)
-
2Michal Prymek: Prave ze s predchozi verzi spoustu veci delat neslo, a to co slo znamenalo samostatnou rucni konfiguraci hromady samostatnych aplikaci. Pokud me skleroza neklame, tak trebas domenovy politiky byly v nekterych pripadech prakticky nerealizovatelny.
2David: LDAP obecne umi zapsat cokoli kamkoli. AD = specificky schema se znamou strukturou => konkretni hodnoty se ocekavaji na konkretnich mistech. Uzivatele samo z radky pridat lze, stejne jako pomoci win konzole.
-
Prave ze s predchozi verzi spoustu veci delat neslo, a to co slo znamenalo samostatnou rucni konfiguraci hromady samostatnych aplikaci. Pokud me skleroza neklame, tak trebas domenovy politiky byly v nekterych pripadech prakticky nerealizovatelny.
Já bych chtěl slyšet nějaké konkrétní příklady, co nešlo/nejde. Obecná konstatování, že "něco nešlo" mi nepomůžou se rozhodnout, jestli do samby4 jít nebo ne...
Doménové politiky AFAIK nedělají nic jiného než že nastaví nějaké věci v registrech. Čili nic, co by se nedalo řešit nějakým skriptem nebo třeba tím zmíněným wpkg.
-
Mirek: Jistě že prakticky všechno šlo nějak ochcat přes skripty a podobně, ale standardizace a praktičnost takového řešení ve větších počtech je... no... dost mizerná. Navíc tohle umožňuje mít jednoho linuxáka co se stará o ty specifické věci, ale další lidi, co jsou naučení s windows a AD, můžou klidně dál s tou doménou pracovat, konfigurovat...
Hlavní přínos tu vidím v tom zjednodušení a automatizování.
-
Mirek: Jistě že prakticky všechno šlo nějak ochcat přes skripty a podobně, ale standardizace a praktičnost takového řešení ve větších počtech je... no... dost mizerná. Navíc tohle umožňuje mít jednoho linuxáka co se stará o ty specifické věci, ale další lidi, co jsou naučení s windows a AD, můžou klidně dál s tou doménou pracovat, konfigurovat...
Hlavní přínos tu vidím v tom zjednodušení a automatizování.
Já tam právě žádné zautomatizování moc nevidím. Pokud si unintended instalaci rozchodím přes wpkg, mám relativně dobrou záruku, že mi to bude fungovat nafurt. Pokud budu používat nějaké geniální Windowsácké RPC apod., můžu se jenom modlit, že bude fungovat i v nové verzi Windows...
Pokud někdo chce používat windowsácké nástroje a postupy, tak by asi nejrzumnější bylo koupit si rovnou W Server, ne? K čemu pak sambu?
-
Pokud nemáte žádné praktické zkušenosti s používáním MS nástrojů, tak vám jistě "řešení" typu "doménové politiky nastaví nějaké věci v registrech. Čili nic, co by se nedalo řešit nějakým skriptem" přijdou jako úžasná alternativa. No na takovýhle blbiny fakt nemá nikdo náladu ani čas, ono udržovat si repozitář tisíců REG souborů a hledat, co se kde nastavuje, to je akorát neuvěřitelná ztráta času. O tom, že jaksi chybí nějaké rozumný způsob zacílení těch nastavení, raději ani nemluvě. (Např. typu tato nastavení použít pouze pro stroje s W7 a novějšími v OU "uctarna")
-
Pokud nemáte žádné praktické zkušenosti s používáním MS nástrojů, tak vám jistě "řešení" typu "doménové politiky nastaví nějaké věci v registrech. Čili nic, co by se nedalo řešit nějakým skriptem" přijdou jako úžasná alternativa.
Nepřijde mi to jako úžasná alternativa. Přijde mi to jako alternativa, která mně osobně pro moje potřeby vyhovuje.
No na takovýhle blbiny fakt nemá nikdo náladu ani čas, ono udržovat si repozitář tisíců REG souborů a hledat, co se kde nastavuje, to je akorát neuvěřitelná ztráta času.
Tak to samozřejmě záleží, kolik kdo těch nastavení má. Pokud potřebuji v politikách nastavit pět věcí, tak to není žádný problém a není to důvod k tomu, abych používal nějaké windowsové nástroje, když windows desktop nemám a musím se kvůli tomu speciálně hlásit na stroj s Windows.
O tom, že jaksi chybí nějaké rozumný způsob zacílení těch nastavení, raději ani nemluvě. (Např. typu tato nastavení použít pouze pro stroje s W7 a novějšími v OU "uctarna")
Nechápu. Proč by měl chybět? Prostě některá nastavení budu aplikovat jenom na stroje, které mají W7. Kde je problém?
Čili když to shrnu, zatím teda jsme přišli na jedinou výhodu samby 4: nemusím zjišťovat, co které nastavení v politikách reálně dělá, ale prostě si to naklikám. Ok, beru. Nějaké další praktické výhody?
-
Nechápu. Proč by měl chybět? Prostě některá nastavení budu aplikovat jenom na stroje, které mají W7. Kde je problém?
Aha, a zjišťovat to budete jak? Nějakým dalším skriptem? Nebo si uděláte seznam počítačů? Nebo jak vlastně?
Čili když to shrnu, zatím teda jsme přišli na jedinou výhodu samby 4: nemusím zjišťovat, co které nastavení v politikách reálně dělá, ale prostě si to naklikám. Ok, beru. Nějaké další praktické výhody?
No, tohle opravdu není to, co jsem chtěl sdělit. Ono srovnávat Trabanta (v3) s Mercedesem (v4) holt nedává moc smyslu.
-
Aha, a zjišťovat to budete jak? Nějakým dalším skriptem? Nebo si uděláte seznam počítačů? Nebo jak vlastně?
At si to kazdy dela, jak chce. Ja pouzivam seznam pocitacu a k nim mam prirazene profily se seznamem softu, ktery na danem pocitaci ma byt nainstalovany. Jinak samozrejme jde verzi OS odlisit i v tom vlastnim instalacnim skriptu, to neni zadne raketove inzenyrstvi.
No, tohle opravdu není to, co jsem chtěl sdělit. Ono srovnávat Trabanta (v3) s Mercedesem (v4) holt nedává moc smyslu.
Sorry, ale fakt nemam potrebu se ucastnit nejakeho placani o mercedesu a trabantu. Pozadal jsem znalejsi kolegy, jestli mi dokazou rict, cim se z praktickeho hlediska ty dve verze lisi. Predpokladal jsem, ze neni problem rict zcela konkretne "Mercedes ma o stopadesat koni vic, je to ctyrtakt, ma kuzi potazene sedacky a palubni desku z 24karatoveho zlata".
-
At si to kazdy dela, jak chce.
Hmmm, tomu říkám supr systémové řešení. ;D
-
Hmmm, tomu říkám supr systémové řešení. ;D
Jedine opravdu systemove reseni je pouzit Windows Server.
-
Jedine opravdu systemove reseni je pouzit Windows Server.
Pane Prýmku, ale s tímhle se dá (narozdíl od toho Trabanta alias Samba v3) opravdu pracovat jako s Windows DC. S nativními konfiguračními nástroji pod Windows. Jako bonus to je open-source a zadarmo. Ono by to možná chtělo místo podobných "chytrých" dotazů si to nainstalovat a vyzkoušet. Hmmmm.
-
Pane Prýmku, ale s tímhle se dá (narozdíl od toho Trabanta alias Samba v3) opravdu pracovat jako s Windows DC. S nativními konfiguračními nástroji pod Windows. Jako bonus to je open-source a zadarmo. Ono by to možná chtělo místo podobných "chytrých" dotazů si to nainstalovat a vyzkoušet. Hmmmm.
Nevim, pane Phirae, jestli pisu cinsky, nebo kde je problem. Pozadal jsem slusne odborniky na dane tema, jestli mi muzou rict, co bych zhruba nainstalovanim samby4 mohl ziskat. Ptam se prave proto, abych vedel, jestli ma smysl to instalovat a testovat. Pokud jedinym efektem (pro me osobne v me situaci) je ziskani moznosti pouzivat windowsovske konfiguracni nastroje, tak mi to za to instalovani a testovani proste nestoji. Mj. proto, ze aspon trochu radne otestovat radic Windows domeny je projekt na mesic. Minimalne.
-
Ne, to opravdu není jediným efektem. Ale jestli fakt nechápete mezi ADS a prehistorickou NT 4.0 doménou, tak je pro vás ta Samba opravdu zbytečná.
-
Ne, to opravdu není jediným efektem. Ale jestli fakt nechápete mezi ADS a prehistorickou NT 4.0 doménou, tak je pro vás ta Samba opravdu zbytečná.
Zkuste mi to vysvetlit jako triletymu diteti.
-
Nechápu, kam to jako povede. Pokud jsi admin, tak rozdíl znáš a pokud ne, tak tě to nemusí zajímat. Pokud tě to přesto zajímá, tak si to můžeš najít. Adminovi stačí říct, že už to umí dělat Windows server a je mu jasné, že je to bomba. To tady ještě nebylo a asi i dlouho nebude, ale je to obrovský krok kupředu.
-
Nechápu, kam to jako povede. Pokud jsi admin, tak rozdíl znáš a pokud ne, tak tě to nemusí zajímat. Pokud tě to přesto zajímá, tak si to můžeš najít.
Ale ja jsem si to nasel a kratce prosel. Nevidel jsem tam zadnou funkcionalitu, kterou bych bral a nemel bych ji uz vyresenou jinak, proto se na to ptam. Proste jsem AD nikdy nespravoval, tak me zabte no :)
Mam sambu 3 s LDAP backendem a cestovnimi profily. Oproti LDAPu je autentizovane vsechno, co jde: snmp, imap, web, prihlasovani do windows, apod. Krome toho mam DHCP a DNS. Unintended instalaci vyresenou pomoci profilu zapsanych v YAML souboru (integrovat do do LDAPu by slo, ale nechtel jsem to).
Prihlasovani uzivatelu napric domenami: resi LDAP+replikace.
Autentizace jinych sluzeb: resi LDAP
Politiky: resi wpkg (ano, neni to asi tolik pohodlne a klikaci, ale mne to vyhovuje kvuli integraci - napr. s event managementem)
Eskalace privilegii: potrebuju vyjimecne, resi Sudowin (s tim nejsem uplne spokojenej, ale vzhledem k tomu, jak malo to potrebuju, je to ok)
Vytvareni uzivatelu, joinovani domeny, inicializace profilu: resi zapisy do LDAPu + /etc/skel + \\netlogon\Default user - opet mi to vyhovuje kvuli integraci. Uzivatele si muzu vytvaret klidne z jednoducheho weboveho rozhrani nebo treba zaslanim specialne formatovaneho mailu na urcenou adresu, kdyz to z nejakyho uchylnyho duvodu budu chtit
Jediny, o cem vim, ze to s timhle resenim delat nemuzu, a s AD by to slo:
* pouzivat windowsove klikaci nastroje pro spravu AD (nepotrebuji a nechci)
* pouzivat AD-kompatibilni nastroje tretich stran (zatim jsem nemel duvod)
* vyuzivat poradne SSO (mam sice autentizaci oproti LDAPu, ale heslo se musi vsude zadavat nebo ulozit) - to neni idealni a kerberos by to resil, zatim to ale neni tak palcive, abych se tim zabyval
Takze se ptam: jestlize to mam vsechno takhle rozchozene, odladene, roky funkcni a jsem s tim spokojeny, prinese mi AD neco, o co bych nemel prijit? Neco, co by stalo za to, abych dosavadni funkcni reseni zahodil a snazil se rozjet AD-kompatibilni DC?
Ja myslim, ze to je legitimni otazka, na ktere neni nic spatneho.
-
Ahoj,
zacina to vypadat na boj a to nicemu neprospeje.
Ale ja jsem si to nasel a kratce prosel. Nevidel jsem tam zadnou funkcionalitu, kterou bych bral a nemel bych ji uz vyresenou jinak, proto se na to ptam. Proste jsem AD nikdy nespravoval, tak me zabte no :)
To je asi spis dotaz na win adminy (coz na rootu asi neni prave mist), ale urcite ma MS vychytane ruzne replikace, trusty, ...
Nektere softy jedou prave proti AD (LDAP+Kerberos). Pokud to clovek nespravuje ciste jen sam (coz vas nezajima), tak na windows klikaci nastroje je lepsi dokumentace a bohuzel jsou pro spoustu lidi jednodussi.
Politiky: resi wpkg (ano, neni to asi tolik pohodlne a klikaci, ale mne to vyhovuje kvuli integraci - napr. s event managementem)
Nj, ale najit + zakliknout v GPO to zvladne skoro kazdy. Kdezto najit to v registrech uz neni tak trivialni. Sam WPKG pouzivam, takze vim, o cem mluvim.
Navic si myslim, ze GPO je rozsirenejsi jak WPKG, takze pro to clovek najde uz predpripraveny balik snadneji (ano pro wpkg existuji, ale kvalita je z meho pohledu mizerna). A ono ani samo WPKG napr. na noteboocich neni idealni a obcas trpi podivnymi problemy, ktere se spatne hledaji.
Uzivatele si muzu vytvaret klidne z jednoducheho weboveho rozhrani nebo treba zaslanim specialne formatovaneho mailu na urcenou adresu, kdyz to z nejakyho uchylnyho duvodu budu chtit
Nevidim duvod, proc by toto neslo udelat i nad samba4 tooly.
Jediny, o cem vim, ze to s timhle resenim delat nemuzu, a s AD by to slo:
* vyuzivat poradne SSO (mam sice autentizaci oproti LDAPu, ale heslo se musi vsude zadavat nebo ulozit) - to neni idealni a kerberos by to resil, zatim to ale neni tak palcive, abych se tim zabyval
Kerberos to resi a neresi. Ja to udelane mel, ale ve win je s tim vice potizi, protoze win se vuci kerberovi non-AD moc hezky nechovaji.
A bohuzel i mnohe aplikace stale maji s kerberem potize (zvlast kdyz clovek roubuje MIT krb do win). Na druhou stranu takovy TortoiseSVN
ma problemy i s kerberem v ramci AD. Zalezi to holt na vyvojarich.
Kazdopadne SSO s AD je jednodussi a jaksi temer zadarmo. Ale zase, kdyz uz to clovek ma rozchozene a odladene, tak je tam jen maly plus.
Takze se ptam: jestlize to mam vsechno takhle rozchozene, odladene, roky funkcni a jsem s tim spokojeny, prinese mi AD neco, o co bych nemel prijit? Neco, co by stalo za to, abych dosavadni funkcni reseni zahodil a snazil se rozjet AD-kompatibilni DC?
Ja myslim, ze to je legitimni otazka, na ktere neni nic spatneho.
Nerozumim proc se ptate (a proto mi to neprijde jako legitimni otazka), kdyz si zaroven sam odpovidate. Mate to odladene a funkcni a nechcete po tom vic, nez co to umi. Takze prechod je pro vas jen prace navic.
Timto odpovite na jakkykoli argument (bud uz to mate nebo to nechcete).
Jinak zkusim dat do placu bezpecnost, ktera hovori ve prospech AD - pokud odriznete ukladani starych hashu hesel pro podporu starych windows.
A zase na druhou stranu pridam, ze mi samba 4.0 jeste neprijde natolik odladena, aby na ni prechazel nekdo, kdo chce minimum problemu (staci sledovat mail list samby).
-
zacina to vypadat na boj a to nicemu neprospeje.
Bohuzel ano. Omlouvam se za svuj podil viny, trochu me vyprudilo, kdyz na otazku "co to umi noveho?" dostanu odpoved "jestli nevis, co to umi noveho, tak to nepotrebujes"... Ale nechme OT, tisicere diky tobe za kvalitni odpoved.
To je asi spis dotaz na win adminy (coz na rootu asi neni prave mist)
Predpokladam, ze kdyz nekdo chce udelat tak radikalni krok, jakym imho nasazeni uplne nove samby je, ma to trochu osefovane a vi dost dobre, proc to dela...
Navic si myslim, ze GPO je rozsirenejsi jak WPKG, takze pro to clovek najde uz predpripraveny balik snadneji (ano pro wpkg existuji, ale kvalita je z meho pohledu mizerna). A ono ani samo WPKG napr. na noteboocich neni idealni a obcas trpi podivnymi problemy, ktere se spatne hledaji.
GPO neznam, takze nevim, jake baliky pro nej jsou nebo nejsou, ja to mam spojene s msi baliky a ty pomoci wpkg nainstaluju taky. Kvalita potom zalezi na baliku...
Pokud jde o softy, ktere se pomoci wpkg instaluji jinak nez z msi, tak to vrele souhlasim s mizernou kvalitou (myslim, ze by wpkg.org udelalo dobre, kdyby stanovila nejake prisne guidlines, kterych by se autori navodu museli drzet. Nebo rovnou nejaky repozitar jako treba macports...
No a posledni vec: nastavovani politik v registrech misto jejich naklikani v gpedit.msc, to je opruz. S tim souhlasim. Ale je to pro me spis okrajova zalezitost, kterou se mi zatim vyplati vedome zkousnout...
Nevidim duvod, proc by toto neslo udelat i nad samba4 tooly.
Jasne, koneckoncu je to LDAP (i kdyz se trochu obavam preplacanosti tech schemat a ruznych typicky Microsoftich komplikaci...). Otazka zni ale opacne ("co samba 4 prinasi"), takze tohle je irelevantni.
Kerberos to resi a neresi. Ja to udelane mel, ale ve win je s tim vice potizi, protoze win se vuci kerberovi non-AD moc hezky nechovaji.
A bohuzel i mnohe aplikace stale maji s kerberem potize (zvlast kdyz clovek roubuje MIT krb do win).
Asi jsem se vyjadril trochu nesikovne. Chtel jsem rict "ok, tohle by AD-krb vyresil". Problemy s neAD-krb tak nejak predpokladam, mj. proto jsem se do implementace zatim nepoustel. Zas tak moc to nepotrebuju, abych se s tim paral a nakonec zjistil, ze to kvuli nejakym windowsoidnim priblblostem ciste udelat nejde...
Nerozumim proc se ptate (a proto mi to neprijde jako legitimni otazka), kdyz si zaroven sam odpovidate. Mate to odladene a funkcni a nechcete po tom vic, nez co to umi. Takze prechod je pro vas jen prace navic.
Timto odpovite na jakkykoli argument (bud uz to mate nebo to nechcete).
Nee :) Ptam se proto, ze by mi treba nekdo, kdo se v tom vyzna, mohl sdelit sladkou novinu, ze AD ma taky tu vlastnost, ze samo bere telefony a ze vsech serveru, kde je nainstalovano, padaji v petiminutovych intervalech tisicovky (cili by prisel s necim, o cem nevim, v tom seznamu jsem to neuvedl, a zaroven je to pro me zajimavy).
Jinak zkusim dat do placu bezpecnost, ktera hovori ve prospech AD - pokud odriznete ukladani starych hashu hesel pro podporu starych windows.
A zase na druhou stranu pridam, ze mi samba 4.0 jeste neprijde natolik odladena, aby na ni prechazel nekdo, kdo chce minimum problemu (staci sledovat mail list samby).
Ten prvni argument docela beru. I kdyz pokud je LDAP spravne nakonfigurovany, tak dostat se k hashum je priblizne stejne tezke jako kompromitovat cely server, takze konkretni cena tehle bezpecnosti navic zavisi na okolnostech... U me je tak mala, ze prevazuje nad tou druhou nevyhodou - upgradu samby se desne bojim, protoze je to uzivateli-nejblizsi hyperkriticka komponenta, ktera se zaroven desive blbe ladi. Po nekdejsich experimentech s oplocky uz se na to bojim sahnout a jsem rad za kazde nove rano, kdy to jede v odladene konfiguraci ;)
----
Jeste jednou velky dik za konstruktivni odpoved.
-
Jeste teda kdyz uz jsme u toho vyctu vyhod, bych doplnil dve prinejmensim hypoteticke vyhody:
* vyvojari samby se az v posledni dobe dostali k poradne specifikaci MS protokolu, nevim, jestli by tam nemohlo byt neco, co by odhalilo, ze nejaka vec je v trojce implementovana blbe a nikomu by se nechtelo to ze ctverky backportovat...
* MS by teoreticky mohl NT domeny zariznout, ale to zas nebude tak rychle, takze bych se toho az tak nebat - a na softy tretich stran to zas takovy vliv nema (vzhledem k tomu ze tak jako tak je tam z jejich pohledu nestandardni samba...)
-
MS by teoreticky mohl NT domeny zariznout, ale to zas nebude tak rychle, takze bych se toho az tak nebat - a na softy tretich stran to zas takovy vliv nema (vzhledem k tomu ze tak jako tak je tam z jejich pohledu nestandardni samba...)
Čistě NT4 domény jsou zaříznuty už od W7. Viz (http://technet.microsoft.com/en-us/library/ee681706(v=ws.10).aspx).
-
Nejak se diskuze zvrhla v osobni konfrontace, dokazal by nekdo zkusenejsi zodpovedet tyto podle me trivialni dotazy?
- mapovani domovskych adresaru, jde mi o tom, aby mel uzivatel po zalogoavni
dostupny automaticky svuj disk napr. h: a funguji na tomto disku kvoty? reknem ze
bych chtel napr. 100MB/per user takove kvoty se nastavuji v sambe nebo na fs linuxu serveru
a to po pripdani uzivatele musim rucne zalozit adresar nebo to samba zvladne po prvnim
zalogovani uzivatele?
- jakou verzi te 4kove radite pouzit ? primo ta co je v repositari centos
samba4.x86_64 4.0.0-23.alpha11.el6 nebo nejaky externi repositar
v EPEL jsem ji snad vubec nenasel?
zkousel jsem kompilovat 4.0.3 zde zdroje respektive rpmbuild a ten konci
chybama (chtel jsem mit rpm balicek, ale v nejhorsim to sestavim klasicky)
Dekuji David.
-
Ahoj Davide, k té první otázce.. Tohle jde udělat i se starší Sambou v3.x
Slouží k tomu sekce [homes], kde použiješ proměnné viz. http://www.linuxtopia.org/online_books/network_administration_guides/using_samba_book/ch04_01_07.html (http://www.linuxtopia.org/online_books/network_administration_guides/using_samba_book/ch04_01_07.html).
Takže máš například path = /smb/home/%S
Kvóty už si řešíš na úrovni filesystému v linuxu. Na automatické vytváření složek při prvním přihlášení existuje tušim PAM modul, nebo jedině napsat skript..
-
Čistě NT4 domény jsou zaříznuty už od W7. Viz (http://technet.microsoft.com/en-us/library/ee681706(v=ws.10).aspx).
Je možný, že mám zmatek v pojmech, do Windows fakt moc nevidím, klidně se mi smějte :) ale W7 normálně v doméně se sambou 3 mám, takže to pro mě problém není. Problém by to začal být až ve chvíli, kdy by Windows X začaly vyžadovat AD. Což zatím nenastalo (AFAIK). Jakej je rozdíl mezi NT4 doménou, ne-AD doménou (samba3) a AD doménou fakt nehodlám řešit, dokud jsem schopnej počítač s W7 přidat do domény s PDC samba3, uživatel se přihlásí a má k dispozici všechno, co má uživatel Win XP.
Ahoj Davide, k té první otázce.. Tohle jde udělat i se starší Sambou v3.x [...] Kvóty už si řešíš na úrovni filesystému v linuxu. Na automatické vytváření složek při prvním přihlášení existuje tušim PAM modul, nebo jedině napsat skript..
No to je právě otázka toho, o co vlastně Davidovi jde. Pokud chce primárně rozchodit takovéhle věci, tak si bohatě vystačí se starou sambou a běžnými unixovými postupy. Pokud si to ale chce někde naklikat, nebo chce, aby se to chovalo přesně jako Win Server, tak to už jsme trochu někde jinde...
* aby měl každý uživatel svůj H:, to je prehistorická záležitost, která funguje x let.
* pokud má backend fs kvóty, tak tam víc uživatel prostě nezapíše, to je taky jasný a taky to funguje x let. Otázka je, jakou infrastrukturu chci k tomu, aby se to uživatel nějak korektně dozvěděl (že mu selže zápis asi není ideální). Takže otázka je spíš, jestli si chci kolem toho psát nějaké skripty, které uživatele včas informují (třeba mailem), nebo jestli to nová samba umí uživateli sdělit přes nějaké krásné windowsovské okýnko...
* vytvoření home/profilu je to samý: nejjednodušší je ho vytvořit zároveň s vytvářením uživetele. Nevidím důvod, proč ho vytvářet online, ale pokud to David chce, jde to samozřejmě přes PAM (home) + \\netlogon\Default user (win profil)
* jakou verzi 4kove samby pouzit, to uz je vylozene filosofická debata... Buď preferuju to, co mi dává distribuce, nebo preferuju poslední bugfixy a musím to do toho OS nějak dostat a spravovat si to sám - úplně off topic věc...
-
MS by teoreticky mohl NT domeny zariznout, ale to zas nebude tak rychle, takze bych se toho az tak nebat - a na softy tretich stran to zas takovy vliv nema (vzhledem k tomu ze tak jako tak je tam z jejich pohledu nestandardni samba...)
Čistě NT4 domény jsou zaříznuty už od W7. Viz (http://technet.microsoft.com/en-us/library/ee681706(v=ws.10).aspx).
ne nejsou, stačí drobná změna v registru a jede to, ozkoušeno v produkci
-
* vyvojari samby se az v posledni dobe dostali k poradne specifikaci MS protokolu, nevim, jestli by tam nemohlo byt neco, co by odhalilo, ze nejaka vec je v trojce implementovana blbe a nikomu by se nechtelo to ze ctverky backportovat...
Bojim se, ze samba4 dost precenujes :) Samba4 opravdu dela vicemene jen AD. Ma sice i nejaky ntvfs, ale to se nedoporucuje pouzivat jako vytizeny file server.
Momentalne to stale vypada, ze samba4 neumi tisk, rozumne file sharing, nmb (ano neuvidite okolni pocitace), ...
Na druhou stranu je samba4 mix samba4 + samba3 (je to ofic. s oznacenim s3fs). Takze na tisk, file sharing, nmb pouzit starou dobrou trojku (soucasti samba4 baliku).
On vlastne porad jede soubezne vyvoj jak samba3, tak samba4 a vyvojari se snazi, aby se to priblizilo natolik, ze to spoji (doufam, ze to neni prilis stara informace, uplne detailne to nesleduji).
* MS by teoreticky mohl NT domeny zariznout, ale to zas nebude tak rychle, takze bych se toho az tak nebat - a na softy tretich stran to zas takovy vliv nema (vzhledem k tomu ze tak jako tak je tam z jejich pohledu nestandardni samba...)
Tomu bych neveril. I kdyz samba lidem se zivot snazi ztrpcovat uz dlouho :o)
A ja zase pridam nevyhodu, kterou vidim ja:
samba4 se stava druhymi windows. Misto aby vyvojari samby spolupracovali se standardnimi komponentami z linuxu, tak vse implementuji sami znovu a vse do jedne binarky samba. Mrzi me, ze to neni postavene treba nad OpenLDAPem, s Heimdal krb (ci MIT). Posledni vec, co me dostala je vlastni implementace interniho name serveru.
Takze misto abych pokracoval v pouzivani veci, s kterymi jiz umim a mam nad nimi infrastruktutu je nutne vetsinu veci zahodit a zacit pouzivat samba4 s omezenimi. Nastesti lze stale pouzivat bind misto interniho name serveru.
-
Díky, Lufe, za cenné reakce. Přesně tenhle typ informací jsem potřeboval.
Subjektivně to teda uzavírám s tím, že se mi potvrdilo, co jsem předpokládal: čtverka pro mě nemám význam a bude dobré držet trojku dokud to půjde.
Dík moc.
Davide, umlouvám se za zneužití tématu. Snad to nebyly cenné informace jenom pro mě.
-
Co se Samba 4 týče, tak umožňuje normálně používat externí DNS. Používám bin na jiném serveru a jen importuji texťák, co Samba generuje (když jsme to rozjížděl, interní DNS ještě neexsitovalo). Taktéž je možno použít OpenLDAP backend, aspoň v betách to šlo, poku to úplně nezahodili, ale mělo to některé omezení a nebyla to doporučovaná varianta.
Jinak Samba4 obsahuj 2 file servery, původná ntvfs, který odpovídá tomu, co je v Samba 3.6 s podporou SMB2 protokolu (tohle bylo z Samba4 backportováno do Samba 3.6, je podporován plně SMB2 protokol, vyjma nastavování a reportování stavu quot na FS) a pak nový s3fs s podporou SMB3, který se postupně vyvíjí.
Jinak na Samba4 jsme přešel proto, že se mi nepovedlo rozumně uchodit SSO, zkrátka AD v kombinaci s Kerberosem, jednotným nastavováním hesel a politikou, to v té Sambě4 funguje, kdežto uchodit to na kombinaci Samba3, OpenLDAP, Kerberos server je těžká pakárna ne zcela košer fungující.
Ale beru to i z pohledu, že u nás obvykle se systém uživá 10-15 let, než je měněn, takže původní snaha o dosažení vcíle na Samba3.x byla nahraena nza Samba4 s lepší vyhlídkou do budoucna.
Samba4 je používán jen jako řadič domény (je to pár virtuálů), služby file serverů, tisků atd řeší NAS bedny nebo linuxy na Samba3.6.
-
Jinak na Samba4 jsme přešel proto, že se mi nepovedlo rozumně uchodit SSO
Tomu rozumim. Pokud je potreba SSO, dava to smysl.