Samba 4: primární a sekundární doménový řadič

[David]

Dobry den,

jestli jsem dobre pochopil tak posledni vydani Samba 4 verze umi plne zastoupit domenovy radic a to diky nejakym pletkam kvuli EU a monopolnimu jednani.

Pokud dobre rozumim umi Samba 4 nasledujici fce (krome tech stezejnich)
- interni LDAP server (neni nutne tedy instalovat openldap)
- interni kerberos server
- interni server DynamicDNS (chapu spravne, ze se nemusi instalovat nic navic, tedy zadny
  bind apod?)

Mam predstavu:
- mam 2x fyzicky server s CentOS 6, rikejme jim S1 a S2, jde o plne cistou instalaci
- v siti kolem serveru mam ~ 40 PC s Windows XP a 20 PC s Windows 7

- nainstaloval bych identickou Sambu4 na oba servery, pomoci DHCP serveru bych
  rozdal PC domenu a hlavne DNS servery, ukazujici na S1(primarni) a S2(sekundar)

- S1 a S2 bych nakonfiguroval jako domenove radice (s1 - primarni, s2 - sekundarni)
- otazka1: lze rozbehnout  automatickou replikaci samby (uzivateleu) z S1 na S2?

- otazka2: muzu mit uzivatele pouze v interni LDAP a presto mapovat uzivatelum
  domovsky adresare, tedy bez nutnosti je mit fyzicky v systemu?

- otazka3: existuji uz nejake GUI nastroje pro spravu domeny (webmin napr.),
  nebo a to uplne nechapu, lze spravovat domenu na Samba 4 pomoci
  nastroju z windows?

- otazka4: muzete doporucit relevantni literaturu ke studiu

Moc dekuji David

[Reklama]

[Pavel 'TIGER' Růžička]

Já bych začal asi tady: http://www.samba.org/samba/docs/ a moc se mi nezdá, že by poslední vydání umělo vše, co píšeš bez závislostí ... ale můžeš mít pravdu. Zrovna samba je věc, kterou aktualizuji tak nějak opatrně.

[Mirek Prýmek]

Já bych k tomu s dovolením přidal ještě jednu otázku svoji: "A k čemu je to vlastně všechno dobré?"

I s prehistorickou verzí samby jde mít uživatele v ldapu (vs. AD), soft instalovat třeba pomocí wpkg (vs. windowsovské politiky), uživatele spravovat jak je libo (díky ldapu), mít normální DNS, provozovat doménu s cestovními profily, mít záložní DC.

Co obvykle nejde, je používat hypercool windowsové nástroje, ale to mi nějak žíly netrhá, sambu mám právě proto, abych win nástroje používat nemusel...

Co teda vlastně *praktického* ta nová samba má přinést tak revolučního, kromě toho, že se už vyvíjí roky a dá se očekávat, že bude plná nových, nyní ještě lepší bugů?

(otázku myslím fakt vážně, pokud se tady pohybuje někdo, kdo do samby pořádně vidí, byl bych mu za nějaké shrnutí zavázán

[Lol Phirae]

K čemu je to dobré? No, krom toho, že to je v podstatě plně funkční implementace Active Directory na úrovni Serveru 2008, tak k ničemu. Ještě takové detaily jako SMB 2.1 (plus experimentálně SMB3) a pár dalších. 

[M.]

Na otázky všechny odpověď ano. Jenom nepoužívám interní DNS, ale externí bind do kterého je to vloženo.
Co se týče nástrojů pro správu týče, tak se používá normální microsoftí na W7 stanici. Admin, co se o doménu stará, skoro nic netuší o linuxu/unixu a jen kliká v mmc a gpedit. Replikace mezi řadiči funguje.
To mapování domácího disku je myšleno co? Jeslti jako adresář do linuxu ze samby, tak to asi půjde, jen bude třea sambu aktivovat včetně SFU rozšíření.
Mám podobnnou konfiguraci. 2x Centos6, na něm Samba 4 na jednom PDC, další jako BDC, 3 lokality, 60 počítačů XP/W7. Vše v doméně s centrální správou v AD, k tomu několik připojených NAS polí po pobočkách a asi 10 linux serverů, které si berou data o uživatelích z AD, včetně síťových print severů s samba3.5/cups (někde přes winbind, většinou přes nslcd, sosání přes sssd se nejeví jako spolehlivé). Vše jede na mixu IPv4/IPv6 bez potíží. Je k tomu ještě napojen i freeradius server, který dle dat z domény ověřuje VPN přístupy (L2TP/IPsec na linux serveru), rozjíždí se ověřování wifi a 802.1x pro síť. Ověřování a autorizace uživatelů ke všemu je řešena přes Kerberos z PDC/BCD plus ověřování členstvá ve skupinách. Použito pro mapování disků, SSH/NX/Xwin přístupy, poštovní servery (sendmail+cyrus imap), proxy squid server, interní weby a PostgreSQL.
Jen ty samby 4 slouží pouze jako DC a nic jiného, neposkytují žádné složky (pokud nepočítám sysvol)! Složky se mapují z NAS polí pomocí politik/login scriptů (win klientům přes cifs, linuxy přes nfs3/4 - používáme QNAPy).
V doméně jako členové jsou i nějaké W2K, W2K8 servery pro účto, wsus a podobné blbosti.
Takto provozuji již delší dobu od dob RC verzí, před pár měsíci s vyjitím ostré 4.0.0 najeto do ostrého provozu jako náhrada za prehistorickou WindowsNT4 doménu.
Z tohodle pohledu se dá říci, že to je relativně slušná náhrada za AD v podání W2K3 a novější. Dokáže se o to starat windowsák bez unix znalostí. Unixák nastuopuje jen v případech, kdy jde o nějakou integraci s unix věcmi, kde to jde trošku do hloubky (zapotil jsem se hlavně u win7 stanic a síťového tisku skrz centrální print servery s centrální instalací tiskáren/driverů dle politik).
JEdiné mínus je, že není moc podporováno vytváření vlastních rozšíření LDAP schématu, takže mi třeba chybí schéma pro řízení distribuce emailů přes víc sendmail serverů, to se musí tošku ojebávat.

[Reklama]

[David]

Na otázky všechny odpověď ano. Jenom nepoužívám interní DNS, ale externí bind do kterého je to vloženo.
Co se týče nástrojů pro správu týče, tak se používá normální microsoftí na W7 stanici. Admin, co se o doménu stará, skoro nic netuší o linuxu/unixu a jen kliká v mmc a gpedit. Replikace mezi řadiči funguje.
To mapování domácího disku je myšleno co? Jeslti jako adresář do linuxu ze samby, tak to asi půjde, jen bude třea sambu aktivovat včetně SFU rozšíření.
Mám podobnnou konfiguraci. 2x Centos6, na něm Samba 4 na jednom PDC, další jako BDC, 3 lokality, 60 počítačů XP/W7. Vše v doméně s centrální správou v AD, k tomu několik připojených NAS polí po pobočkách a asi 10 linux serverů, které si berou data o uživatelích z AD, včetně síťových print severů s samba3.5/cups (někde přes winbind, většinou přes nslcd, sosání přes sssd se nejeví jako spolehlivé). Vše jede na mixu IPv4/IPv6 bez potíží. Je k tomu ještě napojen i freeradius server, který dle dat z domény ověřuje VPN přístupy (L2TP/IPsec na linux serveru), rozjíždí se ověřování wifi a 802.1x pro síť. Ověřování a autorizace uživatelů ke všemu je řešena přes Kerberos z PDC/BCD plus ověřování členstvá ve skupinách. Použito pro mapování disků, SSH/NX/Xwin přístupy, poštovní servery (sendmail+cyrus imap), proxy squid server, interní weby a PostgreSQL.
Jen ty samby 4 slouží pouze jako DC a nic jiného, neposkytují žádné složky (pokud nepočítám sysvol)! Složky se mapují z NAS polí pomocí politik/login scriptů (win klientům přes cifs, linuxy přes nfs3/4 - používáme QNAPy).
V doméně jako členové jsou i nějaké W2K, W2K8 servery pro účto, wsus a podobné blbosti.
Takto provozuji již delší dobu od dob RC verzí, před pár měsíci s vyjitím ostré 4.0.0 najeto do ostrého provozu jako náhrada za prehistorickou WindowsNT4 doménu.
Z tohodle pohledu se dá říci, že to je relativně slušná náhrada za AD v podání W2K3 a novější. Dokáže se o to starat windowsák bez unix znalostí. Unixák nastuopuje jen v případech, kdy jde o nějakou integraci s unix věcmi, kde to jde trošku do hloubky (zapotil jsem se hlavně u win7 stanic a síťového tisku skrz centrální print servery s centrální instalací tiskáren/driverů dle politik).
JEdiné mínus je, že není moc podporováno vytváření vlastních rozšíření LDAP schématu, takže mi třeba chybí schéma pro řízení distribuce emailů přes víc sendmail serverů, to se musí tošku ojebávat.

Toto je hodne zajimave co jste napsal

- externi bind asi neni problem, vygeneruji se klice a meli by to fungovat

- mapovani domovskych adresaru, jde mi o tom, aby mel uzivatel po zalogoavni
  dostupny automaticky svuj disk napr. h: a funguji na tomto disku kvoty? reknem ze
 bych chtel napr. 100MB/per user takove kvoty se nastavuji v sambe nebo na fs linuxu serveru
 a to po pripdani uzivatele musim rucne zalozit adresar nebo to samba zvladne po prvnim
 zalogovani uzivatele?

- moc neumim s LDAP, ale jestli pisete, ze uzivatele je mozno pridavat pres
  windows nastroje, tak to snad bude ok, moc nerozumim tem schematum,
  ale predpokladam,ze to bude ok, jde to nejak pripadne i z radky pridavat
  uzivatele do domeny a skupiny, abych to mohl automatizovat?

- jakou verzi te 4kove rady pouzivate ? primo ta co je v repositari centos
  samba4.x86_64 4.0.0-23.alpha11.el6 nebo nejaky externi repositar?
  zkousel jsem kompilovat 4.0.3 zde zdroje respektive rpmbuild a ten konci
  chybama (chtel jsem mit rpm balicek, ale v nejhorsim to sestavim klasicky)   

[Mirek Prýmek]

No, krom toho, že to je v podstatě plně funkční implementace Active Directory na úrovni Serveru 2008, tak k ničemu. Ještě takové detaily jako SMB 2.1 (plus experimentálně SMB3) a pár dalších. 

Já jsem (Bohu díky!) nikdy Windows Server nespravoval, takže právě nevím, co si pod tím mám představit. Na úrovni "co to konkrétně umí, co by nešlo udělat jinak se starší sambou". Chápu, že se to teda ven tváří jako win server, podporuje to všechny ty jejich RPCčka apod., ale to není odpověď na otázku.

Mám podobnnou konfiguraci. [...]

Jak to tak (mírně ještě rozespalej čtu, nevidím tam nic, co by se nedalo provozovat i se starší sambou. Má ta 4ka něco, co by s 3.x prostě nešlo? Měli jste nějaký konkrétní důvod, proč 4ku nasadit?

Díky moc za odpověď.

(pro jistotu dodávám, že mi opravdu nejde o žádný trolling, hádání se apod., jenomdo windows světa zas tak moc nevidím, takže potřebuju trochu nakopnout, o čem je vlastně řeč... díky)

[j]

2Michal Prymek: Prave ze s predchozi verzi spoustu veci delat neslo, a to co slo znamenalo samostatnou rucni konfiguraci hromady samostatnych aplikaci. Pokud me skleroza neklame, tak trebas domenovy politiky byly v nekterych pripadech prakticky nerealizovatelny.

2David: LDAP obecne umi zapsat cokoli kamkoli. AD = specificky schema se znamou strukturou => konkretni hodnoty se ocekavaji na konkretnich mistech.  Uzivatele samo z radky pridat lze, stejne jako pomoci win konzole.

[Mirek Prýmek]

Prave ze s predchozi verzi spoustu veci delat neslo, a to co slo znamenalo samostatnou rucni konfiguraci hromady samostatnych aplikaci. Pokud me skleroza neklame, tak trebas domenovy politiky byly v nekterych pripadech prakticky nerealizovatelny.

Já bych chtěl slyšet nějaké konkrétní příklady, co nešlo/nejde. Obecná konstatování, že "něco nešlo" mi nepomůžou se rozhodnout, jestli do samby4 jít nebo ne...

Doménové politiky AFAIK nedělají nic jiného než že nastaví nějaké věci v registrech. Čili nic, co by se nedalo řešit nějakým skriptem nebo třeba tím zmíněným wpkg.

[Zopper]

Mirek: Jistě že prakticky všechno šlo nějak ochcat přes skripty a podobně, ale standardizace a praktičnost takového řešení ve větších počtech je... no... dost mizerná. Navíc tohle umožňuje mít jednoho linuxáka co se stará o ty specifické věci, ale další lidi, co jsou naučení s windows a AD, můžou klidně dál s tou doménou pracovat, konfigurovat...

Hlavní přínos tu vidím v tom zjednodušení a automatizování.

[Mirek Prýmek]

Mirek: Jistě že prakticky všechno šlo nějak ochcat přes skripty a podobně, ale standardizace a praktičnost takového řešení ve větších počtech je... no... dost mizerná. Navíc tohle umožňuje mít jednoho linuxáka co se stará o ty specifické věci, ale další lidi, co jsou naučení s windows a AD, můžou klidně dál s tou doménou pracovat, konfigurovat...

Hlavní přínos tu vidím v tom zjednodušení a automatizování.

Já tam právě žádné zautomatizování moc nevidím. Pokud si unintended instalaci rozchodím přes wpkg, mám relativně dobrou záruku, že mi to bude fungovat nafurt. Pokud budu používat nějaké geniální Windowsácké RPC apod., můžu se jenom modlit, že bude fungovat i v nové verzi Windows...

Pokud někdo chce používat windowsácké nástroje a postupy, tak by asi nejrzumnější bylo koupit si rovnou W Server, ne? K čemu pak sambu?

[Lol Phirae]

Pokud nemáte žádné praktické zkušenosti s používáním MS nástrojů, tak vám jistě "řešení" typu "doménové politiky nastaví nějaké věci v registrech. Čili nic, co by se nedalo řešit nějakým skriptem" přijdou jako úžasná alternativa. No na takovýhle blbiny fakt nemá nikdo náladu ani čas, ono udržovat si repozitář tisíců REG souborů a hledat, co se kde nastavuje, to je akorát neuvěřitelná ztráta času. O tom, že jaksi chybí nějaké rozumný způsob zacílení těch nastavení, raději ani nemluvě. (Např. typu tato nastavení použít pouze pro stroje s W7 a novějšími v OU "uctarna")

[Mirek Prýmek]

Pokud nemáte žádné praktické zkušenosti s používáním MS nástrojů, tak vám jistě "řešení" typu "doménové politiky nastaví nějaké věci v registrech. Čili nic, co by se nedalo řešit nějakým skriptem" přijdou jako úžasná alternativa.

Nepřijde mi to jako úžasná alternativa. Přijde mi to jako alternativa, která mně osobně pro moje potřeby vyhovuje.

No na takovýhle blbiny fakt nemá nikdo náladu ani čas, ono udržovat si repozitář tisíců REG souborů a hledat, co se kde nastavuje, to je akorát neuvěřitelná ztráta času.

Tak to samozřejmě záleží, kolik kdo těch nastavení má. Pokud potřebuji v politikách nastavit pět věcí, tak to není žádný problém a není to důvod k tomu, abych používal nějaké windowsové nástroje, když windows desktop nemám a musím se kvůli tomu speciálně hlásit na stroj s Windows.

O tom, že jaksi chybí nějaké rozumný způsob zacílení těch nastavení, raději ani nemluvě. (Např. typu tato nastavení použít pouze pro stroje s W7 a novějšími v OU "uctarna")

Nechápu. Proč by měl chybět? Prostě některá nastavení budu aplikovat jenom na stroje, které mají W7. Kde je problém?

Čili když to shrnu, zatím teda jsme přišli na jedinou výhodu samby 4: nemusím zjišťovat, co které nastavení v politikách reálně dělá, ale prostě si to naklikám. Ok, beru. Nějaké další praktické výhody?

[Lol Phirae]

Nechápu. Proč by měl chybět? Prostě některá nastavení budu aplikovat jenom na stroje, které mají W7. Kde je problém?

Aha, a zjišťovat to budete jak? Nějakým dalším skriptem? Nebo si uděláte seznam počítačů? Nebo jak vlastně?

Čili když to shrnu, zatím teda jsme přišli na jedinou výhodu samby 4: nemusím zjišťovat, co které nastavení v politikách reálně dělá, ale prostě si to naklikám. Ok, beru. Nějaké další praktické výhody?

No, tohle opravdu není to, co jsem chtěl sdělit. Ono srovnávat Trabanta (v3) s Mercedesem (v4) holt nedává moc smyslu.

[Mirek Prýmek]

Aha, a zjišťovat to budete jak? Nějakým dalším skriptem? Nebo si uděláte seznam počítačů? Nebo jak vlastně?

At si to kazdy dela, jak chce. Ja pouzivam seznam pocitacu a k nim mam prirazene profily se seznamem softu, ktery na danem pocitaci ma byt nainstalovany. Jinak samozrejme jde verzi OS odlisit i v tom vlastnim instalacnim skriptu, to neni zadne raketove inzenyrstvi.

No, tohle opravdu není to, co jsem chtěl sdělit. Ono srovnávat Trabanta (v3) s Mercedesem (v4) holt nedává moc smyslu.

Sorry, ale fakt nemam potrebu se ucastnit nejakeho placani o mercedesu a trabantu. Pozadal jsem znalejsi kolegy, jestli mi dokazou rict, cim se z praktickeho hlediska ty dve verze lisi. Predpokladal jsem, ze neni problem rict zcela konkretne "Mercedes ma o stopadesat koni vic, je to ctyrtakt, ma kuzi potazene sedacky a palubni desku z 24karatoveho zlata".