домен samba, давайте ещё раз обсудим.

[opt1k]

Что на сегодняшний день samba против АД?
Я думаю так:
1)нет нормальных групповых политик, хотя реализовать можно и не сложно.
2)не совсем тот уровень юзабилити что у mmc в АД, но это дело вкуса
3)kerberos, вот тут не всё ясно. Насколько я знаю керберос используется для авторизации пользователя в домене, т.е. когда пользователь видит окно с выбором домена, логина и пароля. Опять же насколько мне известно помимо кербероса есть ещё 2 метода авторизации:
а)NTLM
b)LDAP?
И как я понял из всех способов авторизации kerberos более безопасен а значит и более предпочтителен.

Поправьте меня, хочется разобраться уже в данном вопросе.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[hizel]

LDAP это из другой машонки

[princeps]

ntlm тоже . LDAP - это протокол доступа к глобальному каталогу, проще говоря, база данных, в которой хранятся учетные данные. Kerberos - это система безопасной аутентификации. А механизм ntlm позволяет производить сквозную авторизацию в винде, то есть, вбив один раз логин и пароль при загрузке винды, тебе не придется потом еще раз вбивать его в прикладных программах типа почты или интернет-браузера, если они поддерживают ntlm. Ты можешь одновременно использовать kerberos и LDAP вместе с самбой. Мало того, на мой личный взгляд, использование просто самбы без LDAP'а и кербероса на 2009 год можно считать морально устаревшим решением. Но это, конечно, спорное утверждение, поскольку если в конторе 10 компов и она точно в ближайшие лет пять не будет расширяться, то лдап ей нафик не нужен.
По другим пунктам:

1)нет нормальных групповых политик, хотя реализовать можно и не сложно.

В соседнем топике чувак реализовал групповые политики на самбе с помощью программы poledit.

2)не совсем тот уровень юзабилити что у mmc в АД, но это дело вкуса

Если самба с лдап, то для его управления есть МАССА софта, по юзабилити рвущего mmc на части.
А вообще тема холиварная, меня в свое время послали на йух с сисадминс.ру, когда я там пытался выяснить недостатки домена на *nix против виндового.

[opt1k]

не холиварить я не собираюсь, и не имел ввиду что ммс более юзабильная, скорее наоборот. Просто к сравниеию АД и самбы это относилось.
Спасибо за инфу, переварив её у меня родился новый вопрос, а как заставить самбу работать с керберосом? на сайте много полезных статей про самбу но нет ни одной где самба выступает в качестве контроллера с поддержкой kerberos. На samba.org в оф. документах по этому вопросу тоже тихо.

[princeps]

Вторая строка в яндексе по запросу "samba kerberos":
http://debian.telenet.ru/adjustmentsoft/samba_pdc
Собственно, не самбу, а лдап надо учить работать с кербеосом. Самба в таком случае выступает просто как прослойка, с целью наебать виндовые клиенты, которые в обычных условиях не работают с не-AD каталогами LDAP.

[opt1k]

спасибо, буду курить.
Правильно я понял, samba+ldap+kerberos=почти 100% АД только в другой обёртке?

[princeps]

Похоже, что да. По сути AD - это как раз и есть ldap каталог с аутентификацией керберос и с тесной интеграцией с ДНС, хотя последнее - сомнительное преимущество. Еще мелкомягкие очень гордятся поддержкой их AD лесов доменов и разных сложных схем репликации. Можно ли такое реализовать с помощью самбы и опенлдапа - я не знаю, но, с другой стороны, я нигде не встречал людей, которые бы юзали эти леса доменов

[Alex Keda]

Похоже, что да. По сути AD - это как раз и есть ldap каталог с аутентификацией керберос и с тесной интеграцией с ДНС, хотя последнее - сомнительное преимущество. Еще мелкомягкие очень гордятся поддержкой их AD лесов доменов и разных сложных схем репликации. Можно ли такое реализовать с помощью самбы и опенлдапа - я не знаю, но, с другой стороны, я нигде не встречал людей, которые бы юзали эти леса доменов

яя даже работал вживую - на таможне не лес, а целый лесищще....
Каждый пост - отдельный субдомен...
сотни, если не тысячи....

[princeps]

Вот, первый на моей памяти человек, который работал. На самом деле в гигантских конторах с тысячами компьютеров и сотнями филиалов это очень полезная фича, но там и подход к выбору платформы обычно другой.

[InventoR]

Вот как раз сегодня на глаза попалось, может кому будет интересно:
http://www.ibm.com/developerworks/ru/ed ... S_CMP=GR01

[Amadeus]

Можете кидать в меня камни, но я считаю что домен на samba, обсолютно не уступает по юзабельности продуктам майкросовта.

По пунктам от первого поста.

1) Групповые политики на самба контроллере реализуются процентов на 95, все зависит от того что в итоге хочет админ. Единственный гемор - под каждую сеть, если в ней необходимо жесткое разграничение прав пользователей, пишется определенный набор батников которые потом ставятся в автозагрузку. Сразу возникает вопрос с правами - runas administrator@domain и по крайней мере пока не один из тех, которые я написал не послал меня курить бамбук. Они затрагивают разграничение доступа по AСL автоматическое пропись прокси или сетевых шар и т.д. Ну и само сабой необходимо знание командной строки винды, ведь все эти окошки данной ОС это рюшечки, которые как то сделны. Не бывает такого что можно реализовать через строку в одной ОС и нельзя полностью в другой.

Самба по сути своей в режиме PDC это NT контроллер, а в большинстве контор шас стоит хп 2000 как рабочие станции, слава богу, кроме бухов в некоторых фирмах, у которых софт заточен под 98 винду т.е под линейку 9x, ну а ставить Me на офисные компы - это полный изврат:). Берем схемы из прекрасной утилитки полеэдит и в зависимости испорченности дорабатываем оболочку пользвательских машин под нужды конкретной сети.

В итоге у нас получается полная эмуляция MC по данному вопросу, для контор до 100 юзеров например идельное решение.

2) Юзабельность КД на самбе не реализуется только ей, это надо делать в комплексе. Т.Е идеальный вариант с базой LDAP дабы потом свести всю структуру 1 действию.

3) И наконец последнее. Из всех связок конкретно для работы юниксовой сети по крайней мере по моим тестам и уже введенным в стрйо серверам самая оптимальная - это SAMBA + Ldap
Да не спорю, в огромных корпорациях с разветвленными сетями на N тысяч человек, возможно MC пока выигрывает, но это обуславливается в первую очередь простой относительно FreeBSD оболочкой соответсвенно и возможностью не вкуривая много в суть работы системы поставить сервер или что либо еще.
Но если не через оснастки, а через cmd попробовать что либо сделть с AD мы увидим что? правильно:) те же dn и т.д и т.п) т.е такую же БД запиханную в графигу.
В никсах она в чистом виде.

Что мы видим в итоге. Забив пользователей в КД потом просто реплицируем базу например на проксю-почтовик на проксе настраиваем ldap аторизацию, при необходимости добавляя SSL то же самое делаем в почтовике. И для того что бы завести логин почтовый яшик аккаунт в инет необходимо просто залезть в одну из тучи прог которые есть в нете для администрирования ldap серверов и завести там юзера, либо двумя консольными командами ldapadduser и smbpasswd -a user. Не это ли позиционировалось мс как очень сильное преимущество Ад. Гиде оно тут?:)

Может просто я неправильный какой то но вот хоть убей НЕ ВЕРЮ что что сделано в одной ОС нельзя реализовать в другой. И пока все что я пробовал получалось. Главное просто это решение найти:)
ИМХО

[opt1k]

ещё меня терзают вопросы относительно версий софта, что выбрать лучше samba3 или 3.3? opeldap 2.3 или 2.4?

[princeps]

ещё меня терзают вопросы относительно версий софта, что выбрать лучше samba3 или 3.3? opeldap 2.3 или 2.4?

В случае с самбой - лучше брать 3.3, там реализованы кое-какие моменты, которых нет в 3. С опенлдапом вопрос неоднозначный - у меня с 2.4 были какие-то проблемы, не помню какие.

[Amadeus]

Единственный момент базу лдаповская ldbm уже лучше не использовать. там другая есть. С первой я стока словил глюков когда индексировал БД

[princeps]

да, по умолчанию идет и в большинстве статей в интернете lbdm, а надо использовать вместо нее bdb. У lbdm какие-то проблемы со стабильностью были.