Samba 4: primární a sekundární doménový řadič

[Lol Phirae]

At si to kazdy dela, jak chce.

Hmmm, tomu říkám supr systémové řešení.

[Reklama]

[Mirek Prýmek]

Hmmm, tomu říkám supr systémové řešení.

Jedine opravdu systemove reseni je pouzit Windows Server.

[Lol Phirae]

Jedine opravdu systemove reseni je pouzit Windows Server.

Pane Prýmku, ale s tímhle se dá (narozdíl od toho Trabanta alias Samba v3) opravdu pracovat jako s Windows DC. S nativními konfiguračními nástroji pod Windows. Jako bonus to je open-source a zadarmo. Ono by to možná chtělo místo podobných "chytrých" dotazů si to nainstalovat a vyzkoušet. Hmmmm.

[Mirek Prýmek]

Pane Prýmku, ale s tímhle se dá (narozdíl od toho Trabanta alias Samba v3) opravdu pracovat jako s Windows DC. S nativními konfiguračními nástroji pod Windows. Jako bonus to je open-source a zadarmo. Ono by to možná chtělo místo podobných "chytrých" dotazů si to nainstalovat a vyzkoušet. Hmmmm.

Nevim, pane Phirae, jestli pisu cinsky, nebo kde je problem. Pozadal jsem slusne odborniky na dane tema, jestli mi muzou rict, co bych zhruba nainstalovanim samby4 mohl ziskat. Ptam se prave proto, abych vedel, jestli ma smysl to instalovat a testovat. Pokud jedinym efektem (pro me osobne v me situaci) je ziskani moznosti pouzivat windowsovske konfiguracni nastroje, tak mi to za to instalovani a testovani proste nestoji. Mj. proto, ze aspon trochu radne otestovat radic Windows domeny je projekt na mesic. Minimalne.

[Lol Phirae]

Ne, to opravdu není jediným efektem. Ale jestli fakt nechápete mezi ADS a prehistorickou NT 4.0 doménou, tak je pro vás ta Samba opravdu zbytečná.

[Reklama]

[Mirek Prýmek]

Ne, to opravdu není jediným efektem. Ale jestli fakt nechápete mezi ADS a prehistorickou NT 4.0 doménou, tak je pro vás ta Samba opravdu zbytečná.

Zkuste mi to vysvetlit jako triletymu diteti.

[nevímnevím]

Nechápu, kam to jako povede. Pokud jsi admin, tak rozdíl znáš a pokud ne, tak tě to nemusí zajímat. Pokud tě to přesto zajímá, tak si to můžeš najít. Adminovi stačí říct, že už to umí dělat Windows server a je mu jasné, že je to bomba. To tady ještě nebylo a asi i dlouho nebude, ale je to obrovský krok kupředu.

[Mirek Prýmek]

Nechápu, kam to jako povede. Pokud jsi admin, tak rozdíl znáš a pokud ne, tak tě to nemusí zajímat. Pokud tě to přesto zajímá, tak si to můžeš najít.

Ale ja jsem si to nasel a kratce prosel. Nevidel jsem tam zadnou funkcionalitu, kterou bych bral a nemel bych ji uz vyresenou jinak, proto se na to ptam. Proste jsem AD nikdy nespravoval, tak me zabte no

Mam sambu 3 s LDAP backendem a cestovnimi profily. Oproti LDAPu je autentizovane vsechno, co jde: snmp, imap, web, prihlasovani do windows, apod. Krome toho mam DHCP a DNS. Unintended instalaci vyresenou pomoci profilu zapsanych v YAML souboru (integrovat do do LDAPu by slo, ale nechtel jsem to).

Prihlasovani uzivatelu napric domenami: resi LDAP+replikace.
Autentizace jinych sluzeb: resi LDAP
Politiky: resi wpkg (ano, neni to asi tolik pohodlne a klikaci, ale mne to vyhovuje kvuli integraci - napr. s event managementem)
Eskalace privilegii: potrebuju vyjimecne, resi Sudowin (s tim nejsem uplne spokojenej, ale vzhledem k tomu, jak malo to potrebuju, je to ok)
Vytvareni uzivatelu, joinovani domeny, inicializace profilu: resi zapisy do LDAPu + /etc/skel + \\netlogon\Default user - opet mi to vyhovuje kvuli integraci. Uzivatele si muzu vytvaret klidne z jednoducheho weboveho rozhrani nebo treba zaslanim specialne formatovaneho mailu na urcenou adresu, kdyz to z nejakyho uchylnyho duvodu budu chtit

Jediny, o cem vim, ze to s timhle resenim delat nemuzu, a s AD by to slo:
* pouzivat windowsove klikaci nastroje pro spravu AD (nepotrebuji a nechci)
* pouzivat AD-kompatibilni nastroje tretich stran (zatim jsem nemel duvod)
* vyuzivat poradne SSO (mam sice autentizaci oproti LDAPu, ale heslo se musi vsude zadavat nebo ulozit) - to neni idealni a kerberos by to resil, zatim to ale neni tak palcive, abych se tim zabyval

Takze se ptam: jestlize to mam vsechno takhle rozchozene, odladene, roky funkcni a jsem s tim spokojeny, prinese mi AD neco, o co bych nemel prijit? Neco, co by stalo za to, abych dosavadni funkcni reseni zahodil a snazil se rozjet AD-kompatibilni DC?

Ja myslim, ze to je legitimni otazka, na ktere neni nic spatneho.

[Luf]

Ahoj,

  zacina to vypadat na boj a to nicemu neprospeje.

Ale ja jsem si to nasel a kratce prosel. Nevidel jsem tam zadnou funkcionalitu, kterou bych bral a nemel bych ji uz vyresenou jinak, proto se na to ptam. Proste jsem AD nikdy nespravoval, tak me zabte no

To je asi spis dotaz na win adminy (coz na rootu asi neni prave mist), ale urcite ma MS vychytane ruzne replikace, trusty, ...
Nektere softy jedou prave proti AD (LDAP+Kerberos). Pokud to clovek nespravuje ciste jen sam (coz vas nezajima), tak na windows klikaci nastroje je lepsi dokumentace a bohuzel jsou pro spoustu lidi jednodussi.

Politiky: resi wpkg (ano, neni to asi tolik pohodlne a klikaci, ale mne to vyhovuje kvuli integraci - napr. s event managementem)

Nj, ale najit + zakliknout v GPO to zvladne skoro kazdy. Kdezto najit to v registrech uz neni tak trivialni. Sam WPKG pouzivam, takze vim, o cem mluvim.
Navic si myslim, ze GPO je rozsirenejsi jak WPKG, takze pro to clovek najde uz predpripraveny balik snadneji (ano pro wpkg existuji, ale kvalita je z meho pohledu mizerna). A ono ani samo WPKG napr. na noteboocich neni idealni a obcas trpi podivnymi problemy, ktere se spatne hledaji.

Uzivatele si muzu vytvaret klidne z jednoducheho weboveho rozhrani nebo treba zaslanim specialne formatovaneho mailu na urcenou adresu, kdyz to z nejakyho uchylnyho duvodu budu chtit

Nevidim duvod, proc by toto neslo udelat i nad samba4 tooly.

Jediny, o cem vim, ze to s timhle resenim delat nemuzu, a s AD by to slo:
* vyuzivat poradne SSO (mam sice autentizaci oproti LDAPu, ale heslo se musi vsude zadavat nebo ulozit) - to neni idealni a kerberos by to resil, zatim to ale neni tak palcive, abych se tim zabyval

Kerberos to resi a neresi. Ja to udelane mel, ale ve win je s tim vice potizi, protoze win se vuci kerberovi non-AD moc hezky nechovaji.
A bohuzel i mnohe aplikace stale maji s kerberem potize (zvlast kdyz clovek roubuje MIT krb do win). Na druhou stranu takovy TortoiseSVN
ma problemy i s kerberem v ramci AD. Zalezi to holt na vyvojarich.

Kazdopadne SSO s AD je jednodussi a jaksi temer zadarmo. Ale zase, kdyz uz to clovek ma rozchozene a odladene, tak je tam jen maly plus.

Takze se ptam: jestlize to mam vsechno takhle rozchozene, odladene, roky funkcni a jsem s tim spokojeny, prinese mi AD neco, o co bych nemel prijit? Neco, co by stalo za to, abych dosavadni funkcni reseni zahodil a snazil se rozjet AD-kompatibilni DC?

Ja myslim, ze to je legitimni otazka, na ktere neni nic spatneho.

Nerozumim proc se ptate (a proto mi to neprijde jako legitimni otazka), kdyz si zaroven sam odpovidate. Mate to odladene a funkcni a nechcete po tom vic, nez co to umi. Takze prechod je pro vas jen prace navic.
Timto odpovite na jakkykoli argument (bud uz to mate nebo to nechcete).

Jinak zkusim dat do placu bezpecnost, ktera hovori ve prospech AD - pokud odriznete ukladani starych hashu hesel pro podporu starych windows.
A zase na druhou stranu pridam, ze mi samba 4.0 jeste neprijde natolik odladena, aby na ni prechazel nekdo, kdo chce minimum problemu (staci sledovat mail list samby).

[Mirek Prýmek]

  zacina to vypadat na boj a to nicemu neprospeje.

Bohuzel ano. Omlouvam se za svuj podil viny, trochu me vyprudilo, kdyz na otazku "co to umi noveho?" dostanu odpoved "jestli nevis, co to umi noveho, tak to nepotrebujes"... Ale nechme OT, tisicere diky tobe za kvalitni odpoved.

To je asi spis dotaz na win adminy (coz na rootu asi neni prave mist)

Predpokladam, ze kdyz nekdo chce udelat tak radikalni krok, jakym imho nasazeni uplne nove samby je, ma to trochu osefovane a vi dost dobre, proc to dela...

Navic si myslim, ze GPO je rozsirenejsi jak WPKG, takze pro to clovek najde uz predpripraveny balik snadneji (ano pro wpkg existuji, ale kvalita je z meho pohledu mizerna). A ono ani samo WPKG napr. na noteboocich neni idealni a obcas trpi podivnymi problemy, ktere se spatne hledaji.

GPO neznam, takze nevim, jake baliky pro nej jsou nebo nejsou, ja to mam spojene s msi baliky a ty pomoci wpkg nainstaluju taky. Kvalita potom zalezi na baliku...
Pokud jde o softy, ktere se pomoci wpkg instaluji jinak nez z msi, tak to vrele souhlasim s mizernou kvalitou (myslim, ze by wpkg.org udelalo dobre, kdyby stanovila nejake prisne guidlines, kterych by se autori navodu museli drzet. Nebo rovnou nejaky repozitar jako treba macports...
No a posledni vec: nastavovani politik v registrech misto jejich naklikani v gpedit.msc, to je opruz. S tim souhlasim. Ale je to pro me spis okrajova zalezitost, kterou se mi zatim vyplati vedome zkousnout...

Nevidim duvod, proc by toto neslo udelat i nad samba4 tooly.

Jasne, koneckoncu je to LDAP (i kdyz se trochu obavam preplacanosti tech schemat a ruznych typicky Microsoftich komplikaci...). Otazka zni ale opacne ("co samba 4 prinasi"), takze tohle je irelevantni.

Kerberos to resi a neresi. Ja to udelane mel, ale ve win je s tim vice potizi, protoze win se vuci kerberovi non-AD moc hezky nechovaji.
A bohuzel i mnohe aplikace stale maji s kerberem potize (zvlast kdyz clovek roubuje MIT krb do win).

Asi jsem se vyjadril trochu nesikovne. Chtel jsem rict "ok, tohle by AD-krb vyresil". Problemy s neAD-krb tak nejak predpokladam, mj. proto jsem se do implementace zatim nepoustel. Zas tak moc to nepotrebuju, abych se s tim paral a nakonec zjistil, ze to kvuli nejakym windowsoidnim priblblostem ciste udelat nejde...

Nerozumim proc se ptate (a proto mi to neprijde jako legitimni otazka), kdyz si zaroven sam odpovidate. Mate to odladene a funkcni a nechcete po tom vic, nez co to umi. Takze prechod je pro vas jen prace navic.
Timto odpovite na jakkykoli argument (bud uz to mate nebo to nechcete).

Nee Ptam se proto, ze by mi treba nekdo, kdo se v tom vyzna, mohl sdelit sladkou novinu, ze AD ma taky tu vlastnost, ze samo bere telefony a ze vsech serveru, kde je nainstalovano, padaji v petiminutovych intervalech tisicovky (cili by prisel s necim, o cem nevim, v tom seznamu jsem to neuvedl, a zaroven je to pro me zajimavy).

Jinak zkusim dat do placu bezpecnost, ktera hovori ve prospech AD - pokud odriznete ukladani starych hashu hesel pro podporu starych windows.
A zase na druhou stranu pridam, ze mi samba 4.0 jeste neprijde natolik odladena, aby na ni prechazel nekdo, kdo chce minimum problemu (staci sledovat mail list samby).

Ten prvni argument docela beru. I kdyz pokud je LDAP spravne nakonfigurovany, tak dostat se k hashum je priblizne stejne tezke jako kompromitovat cely server, takze konkretni cena tehle bezpecnosti navic zavisi na okolnostech... U me je tak mala, ze prevazuje nad tou druhou nevyhodou - upgradu samby se desne bojim, protoze je to uzivateli-nejblizsi hyperkriticka komponenta, ktera se zaroven desive blbe ladi. Po nekdejsich experimentech s oplocky uz se na to bojim sahnout a jsem rad za kazde nove rano, kdy to jede v odladene konfiguraci

----
Jeste jednou velky dik za konstruktivni odpoved.

[Mirek Prýmek]

Jeste teda kdyz uz jsme u toho vyctu vyhod, bych doplnil dve prinejmensim hypoteticke vyhody:
 
 * vyvojari samby se az v posledni dobe dostali k poradne specifikaci MS protokolu, nevim, jestli by tam nemohlo byt neco, co by odhalilo, ze nejaka vec je v trojce implementovana blbe a nikomu by se nechtelo to ze ctverky backportovat...

 *  MS by teoreticky mohl NT domeny zariznout, ale to zas nebude tak rychle, takze bych se toho az tak nebat - a na softy tretich stran to zas takovy vliv nema (vzhledem k tomu ze tak jako tak je tam z jejich pohledu nestandardni samba...)

[Lol Phirae]

MS by teoreticky mohl NT domeny zariznout, ale to zas nebude tak rychle, takze bych se toho az tak nebat - a na softy tretich stran to zas takovy vliv nema (vzhledem k tomu ze tak jako tak je tam z jejich pohledu nestandardni samba...)

Čistě NT4 domény jsou zaříznuty už od W7. Viz.

[David]

Nejak se diskuze zvrhla v osobni konfrontace, dokazal by nekdo zkusenejsi zodpovedet tyto podle me trivialni dotazy?

- mapovani domovskych adresaru, jde mi o tom, aby mel uzivatel po zalogoavni
  dostupny automaticky svuj disk napr. h: a funguji na tomto disku kvoty? reknem ze
 bych chtel napr. 100MB/per user takove kvoty se nastavuji v sambe nebo na fs linuxu serveru
 a to po pripdani uzivatele musim rucne zalozit adresar nebo to samba zvladne po prvnim
 zalogovani uzivatele?

- jakou verzi te 4kove radite pouzit ? primo ta co je v repositari centos
  samba4.x86_64 4.0.0-23.alpha11.el6 nebo nejaky externi repositar
  v EPEL jsem ji snad vubec nenasel?
  zkousel jsem kompilovat 4.0.3 zde zdroje respektive rpmbuild a ten konci
  chybama (chtel jsem mit rpm balicek, ale v nejhorsim to sestavim klasicky)   

Dekuji David.

[James_Scott]

Ahoj Davide, k té první otázce.. Tohle jde udělat i se starší Sambou v3.x
Slouží k tomu sekce [homes], kde použiješ proměnné viz.  http://www.linuxtopia.org/online_books/network_administration_guides/using_samba_book/ch04_01_07.html.
Takže máš například path = /smb/home/%S
Kvóty už si řešíš na úrovni filesystému v linuxu. Na automatické vytváření složek při prvním přihlášení  existuje tušim PAM modul, nebo jedině napsat skript..

[Mirek Prýmek]

Čistě NT4 domény jsou zaříznuty už od W7. Viz.

Je možný, že mám zmatek v pojmech, do Windows fakt moc nevidím, klidně se mi smějte ale W7 normálně v doméně se sambou 3 mám, takže to pro mě problém není. Problém by to začal být až ve chvíli, kdy by Windows X začaly vyžadovat AD. Což zatím nenastalo (AFAIK). Jakej je rozdíl mezi NT4 doménou, ne-AD doménou (samba3) a AD doménou fakt nehodlám řešit, dokud jsem schopnej počítač s W7 přidat do domény s PDC samba3, uživatel se přihlásí a má k dispozici všechno, co má uživatel Win XP.

Ahoj Davide, k té první otázce.. Tohle jde udělat i se starší Sambou v3.x [...] Kvóty už si řešíš na úrovni filesystému v linuxu. Na automatické vytváření složek při prvním přihlášení  existuje tušim PAM modul, nebo jedině napsat skript..

No to je právě otázka toho, o co vlastně Davidovi jde. Pokud chce primárně rozchodit takovéhle věci, tak si bohatě vystačí se starou sambou a běžnými unixovými postupy. Pokud si to ale chce někde naklikat, nebo chce, aby se to chovalo přesně jako Win Server, tak to už jsme trochu někde jinde...

* aby měl každý uživatel svůj H:, to je prehistorická záležitost, která funguje x let.
* pokud má backend fs kvóty, tak tam víc uživatel prostě nezapíše, to je taky jasný a taky to funguje x let. Otázka je, jakou infrastrukturu chci k tomu, aby se to uživatel nějak korektně dozvěděl (že mu selže zápis asi není ideální). Takže otázka je spíš, jestli si chci kolem toho psát nějaké skripty, které uživatele včas informují (třeba mailem), nebo jestli to nová samba umí uživateli sdělit přes nějaké krásné windowsovské okýnko...
* vytvoření home/profilu je to samý: nejjednodušší je ho vytvořit zároveň s vytvářením uživetele. Nevidím důvod, proč ho vytvářet online, ale pokud to David chce, jde to samozřejmě přes PAM (home) + \\netlogon\Default user (win profil)
* jakou verzi 4kove samby pouzit, to uz je vylozene filosofická debata... Buď preferuju to, co mi dává distribuce, nebo preferuju poslední bugfixy a musím to do toho OS nějak dostat a spravovat si to sám - úplně off topic věc...