домен samba, давайте ещё раз обсудим.

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

домен samba, давайте ещё раз обсудим.

Непрочитанное сообщение opt1k » 2009-02-04 18:09:36

Что на сегодняшний день samba против АД?
Я думаю так:
1)нет нормальных групповых политик, хотя реализовать можно и не сложно.
2)не совсем тот уровень юзабилити что у mmc в АД, но это дело вкуса
3)kerberos, вот тут не всё ясно. Насколько я знаю керберос используется для авторизации пользователя в домене, т.е. когда пользователь видит окно с выбором домена, логина и пароля. Опять же насколько мне известно помимо кербероса есть ещё 2 метода авторизации:
а)NTLM
b)LDAP?
И как я понял из всех способов авторизации kerberos более безопасен а значит и более предпочтителен.

Поправьте меня, хочется разобраться уже в данном вопросе.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
hizel
дядя поня
Сообщения: 9031
Зарегистрирован: 2007-06-29 10:05:02
Откуда: Выборг

Re: домен samba, давайте ещё раз обсудим.

Непрочитанное сообщение hizel » 2009-02-04 18:41:36

LDAP это из другой машонки ;)
В дурацкие игры он не играет. Он просто жуткий, чу-чу, паровозик, и зовут его Блейн. Блейн --- это Боль.

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: домен samba, давайте ещё раз обсудим.

Непрочитанное сообщение princeps » 2009-02-04 18:43:11

ntlm тоже :). LDAP - это протокол доступа к глобальному каталогу, проще говоря, база данных, в которой хранятся учетные данные. Kerberos - это система безопасной аутентификации. А механизм ntlm позволяет производить сквозную авторизацию в винде, то есть, вбив один раз логин и пароль при загрузке винды, тебе не придется потом еще раз вбивать его в прикладных программах типа почты или интернет-браузера, если они поддерживают ntlm. Ты можешь одновременно использовать kerberos и LDAP вместе с самбой. Мало того, на мой личный взгляд, использование просто самбы без LDAP'а и кербероса на 2009 год можно считать морально устаревшим решением. Но это, конечно, спорное утверждение, поскольку если в конторе 10 компов и она точно в ближайшие лет пять не будет расширяться, то лдап ей нафик не нужен.
По другим пунктам:
opt1k писал(а):1)нет нормальных групповых политик, хотя реализовать можно и не сложно.
В соседнем топике чувак реализовал групповые политики на самбе с помощью программы poledit.
opt1k писал(а):2)не совсем тот уровень юзабилити что у mmc в АД, но это дело вкуса
Если самба с лдап, то для его управления есть МАССА софта, по юзабилити рвущего mmc на части.
А вообще тема холиварная, меня в свое время послали на йух с сисадминс.ру, когда я там пытался выяснить недостатки домена на *nix против виндового.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: домен samba, давайте ещё раз обсудим.

Непрочитанное сообщение opt1k » 2009-02-04 18:48:46

не холиварить я не собираюсь, и не имел ввиду что ммс более юзабильная, скорее наоборот. Просто к сравниеию АД и самбы это относилось.
Спасибо за инфу, переварив её у меня родился новый вопрос, а как заставить самбу работать с керберосом? на сайте много полезных статей про самбу но нет ни одной где самба выступает в качестве контроллера с поддержкой kerberos. На samba.org в оф. документах по этому вопросу тоже тихо.

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: домен samba, давайте ещё раз обсудим.

Непрочитанное сообщение princeps » 2009-02-04 19:21:41

Вторая строка в яндексе по запросу "samba kerberos":
http://debian.telenet.ru/adjustmentsoft/samba_pdc
Собственно, не самбу, а лдап надо учить работать с кербеосом. Самба в таком случае выступает просто как прослойка, с целью наебать виндовые клиенты, которые в обычных условиях не работают с не-AD каталогами LDAP.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: домен samba, давайте ещё раз обсудим.

Непрочитанное сообщение opt1k » 2009-02-04 19:35:15

спасибо, буду курить.
Правильно я понял, samba+ldap+kerberos=почти 100% АД только в другой обёртке?

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: домен samba, давайте ещё раз обсудим.

Непрочитанное сообщение princeps » 2009-02-04 23:27:25

Похоже, что да. По сути AD - это как раз и есть ldap каталог с аутентификацией керберос и с тесной интеграцией с ДНС, хотя последнее - сомнительное преимущество. Еще мелкомягкие очень гордятся поддержкой их AD лесов доменов и разных сложных схем репликации. Можно ли такое реализовать с помощью самбы и опенлдапа - я не знаю, но, с другой стороны, я нигде не встречал людей, которые бы юзали эти леса доменов :)
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: домен samba, давайте ещё раз обсудим.

Непрочитанное сообщение Alex Keda » 2009-02-04 23:34:35

princeps писал(а):Похоже, что да. По сути AD - это как раз и есть ldap каталог с аутентификацией керберос и с тесной интеграцией с ДНС, хотя последнее - сомнительное преимущество. Еще мелкомягкие очень гордятся поддержкой их AD лесов доменов и разных сложных схем репликации. Можно ли такое реализовать с помощью самбы и опенлдапа - я не знаю, но, с другой стороны, я нигде не встречал людей, которые бы юзали эти леса доменов :)
яя даже работал вживую - на таможне не лес, а целый лесищще....
Каждый пост - отдельный субдомен...
сотни, если не тысячи....
Убей их всех! Бог потом рассортирует...

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: домен samba, давайте ещё раз обсудим.

Непрочитанное сообщение princeps » 2009-02-04 23:37:29

Вот, первый на моей памяти человек, который работал. На самом деле в гигантских конторах с тысячами компьютеров и сотнями филиалов это очень полезная фича, но там и подход к выбору платформы обычно другой.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
InventoR
ст. лейтенант
Сообщения: 1344
Зарегистрирован: 2006-12-10 19:43:25
Контактная информация:

Re: домен samba, давайте ещё раз обсудим.

Непрочитанное сообщение InventoR » 2009-02-04 23:39:41

Вот как раз сегодня на глаза попалось, может кому будет интересно:
http://www.ibm.com/developerworks/ru/ed ... S_CMP=GR01
ну вот и сказочке конец, кто слушал, тот молодец.

Аватара пользователя
Amadeus
ст. сержант
Сообщения: 331
Зарегистрирован: 2008-10-05 12:42:44
Откуда: Kiev

Re: домен samba, давайте ещё раз обсудим.

Непрочитанное сообщение Amadeus » 2009-02-05 0:50:00

Можете кидать в меня камни, но я считаю что домен на samba, обсолютно не уступает по юзабельности продуктам майкросовта. :roll:

По пунктам от первого поста.

1) Групповые политики на самба контроллере реализуются процентов на 95, все зависит от того что в итоге хочет админ. Единственный гемор - под каждую сеть, если в ней необходимо жесткое разграничение прав пользователей, пишется определенный набор батников которые потом ставятся в автозагрузку. Сразу возникает вопрос с правами - runas administrator@domain и по крайней мере пока не один из тех, которые я написал не послал меня курить бамбук. Они затрагивают разграничение доступа по AСL автоматическое пропись прокси или сетевых шар и т.д. Ну и само сабой необходимо знание командной строки винды, :roll: ведь все эти окошки данной ОС это рюшечки, которые как то сделны. Не бывает такого что можно реализовать через строку в одной ОС и нельзя полностью в другой.

Самба по сути своей в режиме PDC это NT контроллер, а в большинстве контор шас стоит хп 2000 как рабочие станции, слава богу, кроме бухов в некоторых фирмах, у которых софт заточен под 98 винду т.е под линейку 9x, ну а ставить Me на офисные компы - это полный изврат:). Берем схемы из прекрасной утилитки полеэдит и в зависимости испорченности дорабатываем оболочку пользвательских машин под нужды конкретной сети.

В итоге у нас получается полная эмуляция MC по данному вопросу, для контор до 100 юзеров например идельное решение.

2) Юзабельность КД на самбе не реализуется только ей, это надо делать в комплексе. Т.Е идеальный вариант с базой LDAP дабы потом свести всю структуру 1 действию.:)

3) И наконец последнее. Из всех связок конкретно для работы юниксовой сети по крайней мере по моим тестам и уже введенным в стрйо серверам самая оптимальная - это SAMBA + Ldap
Да не спорю, в огромных корпорациях с разветвленными сетями на N тысяч человек, возможно MC пока выигрывает, но это обуславливается в первую очередь простой относительно FreeBSD оболочкой соответсвенно и возможностью не вкуривая много в суть работы системы поставить сервер или что либо еще.
Но если не через оснастки, а через cmd попробовать что либо сделть с AD мы увидим что? правильно:) те же dn и т.д и т.п) т.е такую же БД запиханную в графигу.
В никсах она в чистом виде.

Что мы видим в итоге. Забив пользователей в КД потом просто реплицируем базу например на проксю-почтовик на проксе настраиваем ldap аторизацию, при необходимости добавляя SSL то же самое делаем в почтовике. И для того что бы завести логин почтовый яшик аккаунт в инет необходимо просто залезть в одну из тучи прог которые есть в нете для администрирования ldap серверов и завести там юзера, либо двумя консольными командами ldapadduser и smbpasswd -a user. Не это ли позиционировалось мс как очень сильное преимущество Ад. Гиде оно тут?:)

Может просто я неправильный какой то но вот хоть убей НЕ ВЕРЮ что что сделано в одной ОС нельзя реализовать в другой. И пока все что я пробовал получалось. Главное просто это решение найти:)
ИМХО
Нет ничего невозможного

opt1k
лейтенант
Сообщения: 966
Зарегистрирован: 2007-12-05 9:45:18
Откуда: Mytischi

Re: домен samba, давайте ещё раз обсудим.

Непрочитанное сообщение opt1k » 2009-02-05 3:35:20

ещё меня терзают вопросы относительно версий софта, что выбрать лучше samba3 или 3.3? opeldap 2.3 или 2.4?

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: домен samba, давайте ещё раз обсудим.

Непрочитанное сообщение princeps » 2009-02-05 7:33:36

opt1k писал(а):ещё меня терзают вопросы относительно версий софта, что выбрать лучше samba3 или 3.3? opeldap 2.3 или 2.4?
В случае с самбой - лучше брать 3.3, там реализованы кое-какие моменты, которых нет в 3. С опенлдапом вопрос неоднозначный - у меня с 2.4 были какие-то проблемы, не помню какие.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru

Аватара пользователя
Amadeus
ст. сержант
Сообщения: 331
Зарегистрирован: 2008-10-05 12:42:44
Откуда: Kiev

Re: домен samba, давайте ещё раз обсудим.

Непрочитанное сообщение Amadeus » 2009-02-05 13:13:13

Единственный момент базу лдаповская ldbm уже лучше не использовать. там другая есть. С первой я стока словил глюков когда индексировал БД
Нет ничего невозможного

princeps
майор
Сообщения: 2684
Зарегистрирован: 2007-09-25 10:20:59
Откуда: Сочи, Москва
Контактная информация:

Re: домен samba, давайте ещё раз обсудим.

Непрочитанное сообщение princeps » 2009-02-05 13:32:35

да, по умолчанию идет и в большинстве статей в интернете lbdm, а надо использовать вместо нее bdb. У lbdm какие-то проблемы со стабильностью были.
Deus quos vult perdere dementat prius
http://www.itforum-sochi.ru