Napojení Samba 4 AD DC na FreeIPA

Napojení Samba 4 AD DC na FreeIPA
« kdy: 20. 02. 2017, 12:39:12 »
Ahoj,
v jednom virtualu mam nainstalovany CentOS 7 a FreeIPA 4.4.0.

Nyni se snazim ve druhem virtualu (take CentOS 7) rozchodit Sambu 4 jako Active Directory Domain Controller.
Protoze samba v centosu neobsahuje program samba-tool, pouzil jsem SerNet samba repozitar z https://portal.enterprisesamba.com/

Pro pridani repozitare jsem zkousel postupovat nasledovne:
Kód: [Vybrat]
samba# yum install sernet-samba sernet-samba-ad
samba# yum install ipa-client sssd-libwbclient
samba# ipa-client-install
samba# samba-tool domain provision
ipa# ipa service-add cifs/samba.example.lan
samba# ipa-getkeytab -s samba.example.lan -p cifs/samba.example.lan -k /etc/samba/samba.keytab

Stale mam vsak problem s DNS a Kerberosem, ktere si chce Samba resit sama.

Kdyz pouziju navod http://www.freeipa.org/page/Howto/Integrating_a_Samba_File_Server_With_IPA tak sice propojeni samba-freeipa funguje, ale samba neni AD DC.

Provozujete nekdo neco podobneho?
Idealni by pro me bylo mit freeipa a samba na stejnem serveru, ale to mi uz vubec neslo.
Takze samba bude pouzivat db uzivatelu z freeipa, hlavne kvuli OTP.
« Poslední změna: 20. 02. 2017, 20:47:41 od Petr Krčmář »
"Kdo v zájmu bezpečí obětuje část své svobody, v konečném důsledku přijde o svobodu i svou bezpečnost."


MP

Re:Napojeni Samba 4 AD DC na FreeIPA
« Odpověď #1 kdy: 20. 02. 2017, 14:06:53 »
Cpat Samba AD a Freeipa-server na jeden stroj? To jako vazne? Vic problemu nez uzitku.
No a co se tyce DNS a kerberosu, samozrejme si samba musi spravovat kerberos sama. Akorat to DNS se da presunout na externi sluzbu, ale s rizikem problemu, ktere se s vnitrnim DNS nevyskytnou.

Re:Napojeni Samba 4 AD DC na FreeIPA
« Odpověď #2 kdy: 20. 02. 2017, 14:24:17 »
Cpat Samba AD a Freeipa-server na jeden stroj? To jako vazne? Vic problemu nez uzitku.
No a co se tyce DNS a kerberosu, samozrejme si samba musi spravovat kerberos sama. Akorat to DNS se da presunout na externi sluzbu, ale s rizikem problemu, ktere se s vnitrnim DNS nevyskytnou.

Ok, necham samostatne servery.

A jak bys propojil freeipa-samba?
Na tohle tema jsem nasel jenom http://www.freeipa.org/page/Active_Directory_trust_setup - je to funkcni/dobry zpusob?
"Kdo v zájmu bezpečí obětuje část své svobody, v konečném důsledku přijde o svobodu i svou bezpečnost."

hfhrt

Re:Napojeni Samba 4 AD DC na FreeIPA
« Odpověď #3 kdy: 20. 02. 2017, 22:24:10 »
Cpat Samba AD a Freeipa-server na jeden stroj? To jako vazne? Vic problemu nez uzitku.
Proč ne když to virtualizuje na samostatné vm?

MP

Re:Napojeni Samba 4 AD DC na FreeIPA
« Odpověď #4 kdy: 21. 02. 2017, 09:32:56 »
Cpat Samba AD a Freeipa-server na jeden stroj? To jako vazne? Vic problemu nez uzitku.
Proč ne když to virtualizuje na samostatné vm?

Jenze on to spise chtel mit ve stejne VM.

Jinak propoj freeipa-samba jsem jeste nedelal, tak k tomu info nemam (taky me to casem ceka). Ale za dotaz do vyhledavace rootu nic neda, cloveka, co to ma zprovoznene by tu nasel.


Re:Napojeni Samba 4 AD DC na FreeIPA
« Odpověď #5 kdy: 21. 02. 2017, 10:47:04 »
Jinak propoj freeipa-samba jsem jeste nedelal, tak k tomu info nemam (taky me to casem ceka). Ale za dotaz do vyhledavace rootu nic neda, cloveka, co to ma zprovoznene by tu nasel.

A jeste mam jednu otazku - FreeIPA umi pouzit OTP.
Jde ale (a kde) nastavit, abych pri pristupu treba z 192.168.0.0/16 nemusel zadavat OTP, ale jenom heslo? A vsude jinde aby bylo OTP povinne.
Nikde se mi to nepovedlo najit.
"Kdo v zájmu bezpečí obětuje část své svobody, v konečném důsledku přijde o svobodu i svou bezpečnost."