Samba4 as Active Directory - делимся опытом

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.

Ответить


Этот вопрос предназначен для предотвращения автоматической отправки форм спам-ботами.
Смайлики
:smile: :( ;-) :roll: :pardon: 8) :x :oops: :shock: :cz2: :-D :ROFL: :Yahoo!: :cry: :Search: :Bravo: :good: :bad: :sorry: :no: :unknown: :evil: :crazy: :"": :fool: :-o :drinks: :st: :bn:
Ещё смайлики…

BBCode ВКЛЮЧЁН
[img] ВКЛЮЧЁН
[flash] ОТКЛЮЧЕН
[url] ВКЛЮЧЁН
Смайлики ВКЛЮЧЕНЫ

Обзор темы
   

Если вы не хотите добавлять вложения, оставьте поля пустыми.

Развернуть Обзор темы: Samba4 as Active Directory - делимся опытом

Samba4 as Active Directory - делимся опытом

Сообщение larchik » 2017-09-29 8:55:27

ну, собственно, так и сделал. поставил из пакетов 45, провёл первоначальную настройку домена, потом обновился пакетом же до 4.6.6. Теперь проэкспериментирую с обновлением до 4.6.8 (в портах уже она). Хорошо иметь виртуальные среды.

Samba4 as Active Directory - делимся опытом

Сообщение larchik » 2017-09-28 11:25:49

ясно, сейчас pkg install samba46 сделал. provision вылетел с той же ошибкой. просто беда какая-то. хоть 44 ставь и потом обновляйся..

Samba4 as Active Directory - делимся опытом

Сообщение beraleevg » 2017-09-28 11:01:47

с внутренним dns

Samba4 as Active Directory - делимся опытом

Сообщение larchik » 2017-09-28 9:28:44

в том то и дело, что samba46 собирается нормально, ненормально работает samba-tool domain provosion --use-rfc2307 вылетает по вышеуказанной ошибке. без патча не фунциклирует.

Отправлено спустя 43 минуты 31 секунду:
да, такой вопрос, а в пакаджах самба с внутренним dns собрана или с поддержкой внешнего?

Samba4 as Active Directory - делимся опытом

Сообщение beraleevg » 2017-09-27 20:04:27

Я сделал следующим образом. Поставил виртуалке freebsd 11 на UFS обновил freebsd-upgrade fetch install
Поставил самбу из репозитория pkg install samba44 после чего настроил домен. Создал виртуальный диск на 2 ТБ и там розметил zfs. Настроил на sambe шары которые на zfs расположил. И написал скрипт для того чтобы снимки ФС делать каждый час, а старые снимки удалять после нескольких дней. После нескольких дней вышло исправление порта net/samba44 и заодно вышла samba46 которая нормальна собиралась из портов.
К тому времени домен уже работал. И что либо другое предпринимать было лень. И так всё работает. В дальнейшим обновлял всё из репозиторя. Работает по настоящий момент. Сбоев не было.
За двоение в сетевой шаре чинится http://at-hacker.in/?go=all/samba-zfs-acl/

Samba4 as Active Directory - делимся опытом

Сообщение larchik » 2017-09-27 17:03:43

вот и я дошёл до ручки, в смысле, надо поднимать домен на Самбе4.
условия идеальные - нет ничего :-)
поставил 11-ю Freebsd, установил самбу 4.6.6, вляпался в

Код: Выделить всё

set_nt_acl_no_snum: fset_nt_acl returned NT_STATUS_INVALID_PARAMETER

при первоначальной настройке самбы как DC. на багзилле нашёл https://bugzilla.samba.org/show_bug.cgi?id=12912. Пропатчил xattr.c, поставил, заработало. Но что-то пошло не так, samba_dnsupdate ругалась, динамически зона не обновлялась. решил экспериментировать.
поставил свежую виртуалку, ставлю самбу, а там версия уже 4.6.8. Ну, думаю, может исправили и патчить не надо, а фиг. Беру патч, а тут облом, патч не патчит. выдаёт ошибки. При всём при том, что xattr.c до байта совпадают в обеих версиях. пришлось подменять ручками.
Продолжение следует.

Samba4 as Active Directory - делимся опытом

Сообщение beraleevg » 2017-01-23 8:28:22

В общем Я на centos 7 скомпилировал samba-4.5.4 xfs вроде как snapshot поддерживает. Собственно мне это критично для задачи. Чтобы не писать скрипты для инкрементного резервного копирования. Как на freebsd сделал.

Код: Выделить всё

#!/usr/local/bin/bash
date=`date +%Y-%m-%e_%H-%M` # date gggg-mm-dd
pool='zroot'
zfs snapshot -r $pool@$date
mass1=`for  (( i=0; i<=4 ; i++ )) ; do date -v-${i}d +%Y-%m-%d ; done`
mass2=`echo ${mass1} | sed 's![ \t]!\\\|!g'`
del_snapshot=`zfs list -t snapshot | grep -v ${mass2} | grep -v NAME | awk '{print$1}'`
for j in ${del_snapshot[@]}; do zfs destroy $j; done

Samba4 as Active Directory - делимся опытом

Сообщение snorlov » 2017-01-20 18:13:55

когда выбирал, что юзать, пришел к выводу , что 4.4 вся какая-то кривая, у меня в ней на ровном месте баги вылезали..., 4.3 в этом плане гораздо лучше и надежнее

Samba4 as Active Directory - делимся опытом

Сообщение Neus » 2017-01-20 18:05:28

Наблюдается аномалия типа за двоение файлов.

В солярке на zfs такое наблюдается если забыть отключить регистрозависимость на датасете.

Samba4 as Active Directory - делимся опытом

Сообщение Electronik » 2017-01-20 17:19:03

Выбирал между samba и win2k8. Выбрал последний ибо на тот момент smb4.0 работала ужасно, постоянно что то менялось и крашилось. на 4,1 тоже особой стабильности не заметил, только заходишь в gpo и всё валится. Можно было бы и запилить домен на самбе, но тут нужны костыли для синхронизации sysvol. Так что ждём 4.8-4.9 может что нибудь придумают.

Samba4 as Active Directory - делимся опытом

Сообщение beraleevg » 2017-01-20 8:27:57

Провёл эксперименты. Могу сказать следующее. Из портов собирается нормально

Код: Выделить всё

net/samba42
То есть домен создаётся.
А вот

Код: Выделить всё

net/samba43 net/samba44
не в какую, то есть устанавливается нормально, при создании домена

Код: Выделить всё

samba-tool domain provision --use-rfc2307 --use-ntvfs --interactive
опция

Код: Выделить всё

--use-ntvfs
отсутствует. Замечено ещё следующее: Если ставить из портов которые идут с дистрибутивом, то самба

Код: Выделить всё

net/samba43
ставится нормально и опция

Код: Выделить всё

--use-ntvfs
присутствует. Домен создаётся.
Если ставить из исходников samba-4.4.8 и указать

Код: Выделить всё

configure --with-ntvfs-fileserver
То samba ставится в

Код: Выделить всё

/usr/local/samba/
Домен создаётся работает. Но при заходе на сетевую шару. Наблюдается аномалия типа за двоение файлов. То есть создаём 1 тестовый файл из windows обновляем окно. И видим два одинаковых файла. Удалям один. удаляется два.
В общем какие-то проблемы со с Makefike в

Код: Выделить всё

net/samba44


Отправлено спустя 10 минут 39 секунд:
При добавлении в Makefile порта net/samba44
--with-ntvfs-fileserver
устанавливается.
Пробую создать домен

Код: Выделить всё

samba-tool domain provision --use-rfc2307 --use-ntvfs --interactive
Realm [TEST.LOCAL]:
 Domain [TEST]:
 Server Role (dc, member, standalone) [dc]:
 DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:
 DNS forwarder IP address (write 'none' to disable forwarding) [192.168.1.55]:
Administrator password:
Retype password:
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
Adding DomainDN: DC=test,DC=local
Adding configuration container
Setting up sam.ldb schema
Setting up sam.ldb configuration data
Setting up display specifiers
Modifying display specifiers
Adding users container
Modifying users container
Adding computers container
Modifying computers container
Setting up sam.ldb data
Setting up well known security principals
Setting up sam.ldb users and groups
Setting up self join
Segmentation fault (core dumped)

Samba4 as Active Directory - делимся опытом

Сообщение Dorlas » 2016-12-31 13:09:27

Я в таких случаях проверяю все варианты на виртуальных машинах... с ZFS/UFS, Samba 4.3/4.4, готовые pkg/сборка из портов.

Анализ результатов покажет где беда...

Samba4 as Active Directory - делимся опытом

Сообщение beraleevg » 2016-12-31 12:50:42

Код: Выделить всё

zfs set aclmode=passthrough zroot
zfs set aclinherit=passthrough zroot

делал по http://at-hacker.in/?go=all/samba-zfs-acl/
И смотрел тут http://docs.oracle.com/cd/E19120-01/open.solaris/817-2271/gbaaz/index.html
Всё равно ошибка в новой версии samba44-4.4.8
Может руки кривые.

Samba4 as Active Directory - делимся опытом

Сообщение Dorlas » 2016-12-30 18:31:50

Написано жеЖ

Код: Выделить всё

Your filesystem or build does not support posix ACLs, which s3fs requires.  Try the mounting the filesystem with the 'acl' option.


Для UFS включаем ACL:

Код: Выделить всё

init 1
tunefs -a enable /
init 6


Для ZFS:

Код: Выделить всё

zfs set aclmode=passthrough tank
zfs set aclinherit=passtrhough tank

Samba4 as Active Directory - делимся опытом

Сообщение beraleevg » 2016-12-30 12:10:19

Как то тут тихо.
Пробую настроить samba44-4.4.8 на zfs.
Не получается.

Код: Выделить всё

root@server:/usr/home/aleksey # samba-tool domain provision --use-rfc2307 --interactive
Realm: test.local
 Domain [test]:
 Server Role (dc, member, standalone) [dc]:
 DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]:
 DNS forwarder IP address (write 'none' to disable forwarding) [192.168.1.69]:
Administrator password:
Retype password:
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
Adding DomainDN: DC=atm72,DC=ru
Adding configuration container
Setting up sam.ldb schema
Setting up sam.ldb configuration data
Setting up display specifiers
Modifying display specifiers
Adding users container
Modifying users container
Adding computers container
Modifying computers container
Setting up sam.ldb data
Setting up well known security principals
Setting up sam.ldb users and groups
Setting up self join
ERROR(<class 'samba.provision.ProvisioningError'>): Provision failed - ProvisioningError: Your filesystem or build does not support posix ACLs, which s3fs requires.  Try the mounting the filesystem with the 'acl' option.
  File "/usr/local/lib/python2.7/site-packages/samba/netcmd/domain.py", line 461, in run
    nosync=ldap_backend_nosync, ldap_dryrun_mode=ldap_dryrun_mode)
  File "/usr/local/lib/python2.7/site-packages/samba/provision/__init__.py", line 2171, in provision
    skip_sysvolacl=skip_sysvolacl)
  File "/usr/local/lib/python2.7/site-packages/samba/provision/__init__.py", line 1805, in provision_fill
    names.domaindn, lp, use_ntvfs)
  File "/usr/local/lib/python2.7/site-packages/samba/provision/__init__.py", line 1557, in setsysvolacl
    raise ProvisioningError("Your filesystem or build does not support posix ACLs, which s3fs requires.  "


zfs настроена
Ситуация как
https://forums.freebsd.org/threads/56749/
на samba42 при настройке домена есть параметр --use-ntvfs. С указание samba-tool domain provision --use-rfc2307 --use-ntvfs=yes --interactive которого нет в новой. Настройка проходит без ошибок. C --use-xattrs= пробовал все варианты. Не помогло.
Я в питоне не знаю.
Может кто знает из-за чего такая ошибка и как её обойти.

Samba4 as Active Directory - делимся опытом

Сообщение Dorlas » 2016-11-12 18:43:23

Всем привет!
Изучаю возможности Samba 4-й - в частности возможность полностью заменить Active Directory.
Прошу поделиться, у кого какой опыт успешный/неуспешный есть?
Точнее интересуют подводные камни, на которые натыкаешься уже в реальной эксплуатации...

Сейчас у меня есть развернутый полигон с виртуальными машинами:
1) FreeBSD 11 + samba43-4.3.11_1 (ставил стандартный с помощью pkg за 5 минут без компиляции и портов). Вначале пробовал поставить 4.4 - но при samba-tool domain provision python уходит в SegFault, поэтому сейчас стоит 4.3).
2) Три чистые виртуалки с WinXP/Win7/Win10

Домен разворачивал по wiki с default параметрами (интегрированный DNS). DHCP нет пока что.

Что уже протестировал и что работает:
1) Включение в домен, видимость шар SYSVOL/NETLOGON.
2) Аутентификация, возможность работы с только что созданными пользователями.
3) Применение групповых политик (ну там шары через bat, шары через Preferences и т.д.).

Что сходу не заработало:
1) Не создаются и не обновляются DNS-записи (при вводе машин в домен, при входе, при выполнении ipconfig /registerdns). параметр allow dns updates стоит в secure only. Через RSAT на зоне параметр тоже стоит Secure Only и не изменяется.
2) При переименовании машины и последующей перезагрузки объект в каталоге AD переименовывается не полностью. Часть атрибутов переименовывается, а вот cn например нет. И еще парочка. На работу правда не влияет - но не кошерно как то )))

Прошу, поделитесь реальным опытом...

Заранее большое спасибо!

Вернуться к началу