{censtos,redhat,fedora}-ds

[70n0ff]

Установил centos-ds(в дальнейшем 389), настроил клиентскую машину так, чтобы на клиенте (по ssh) авторизация шла через 389.
Теперь у меня еще больший ступор чем был во время установки и настройки предыдущего.Я не представляю как выстраивают схемы и логику. То что пользователь есть в 389 (uid=testuser,dc=xxxmdc=yy) очень хорошо но как теперь одних пускать на этот сервак других нет. Я хотел бы завести пользователя всего лишь раз, а потом навешивать ему привилегии.
Подскажите пож, как всетаки работают с 389.
В планах сделать авторизацию 389 почти всех сервисов. А как их сделать елси не понимать.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Hrafn]

Почитать документацию на http://directory.fedoraproject.org/ ?

[70n0ff]

На http://directory.fedoraproject.org/ бан!!!
А если серьезно,я и по статьям могу настроить и экзим и жаббер, но при этом кроме механизма ни чего понимать не буду.
Я не прошу делать за меня мою работу. Я прошу дать литру или объяснить построение логики и структуры.
Скажу что понимаю как давать доступ к веткам, ACI. Я в целом не понимаю. В общем вам лень объяснять.
Вот создаем группу, в ней уид, уиду делаем cn с именем сервивса, и программа или сервис будет выбирать uid c поиском по праапметру cn. Как это сделать и где, в самом сервисе или в 389.На пальцах объясните плиз.

[70n0ff]

Как это часто у меня случается - рано радовался.

Поднят centos-ds - поднимал по (Поднялось без малейшего)
http://wiki.neddix.com/How_to_setup_the ... _Server%29

Поднял авторизацию в линухах через 389. Думаю что нет смысла пока в конфигах так как работает..
И пока я делал топик про то как же мне работать с лдапом, я не задумывался как буду поднимать PDC Samba с
авторизацией 389.
Чес слово сижу уже 3 рабочих дня...
Перечитал

http://directory.fedoraproject.org/wiki/Howto:Samba

http://ru.gentoo-wiki.com/wiki/Samba_%D ... D0%BC_LDAP

http://rrcomputerconsulting.com/view.php?article_id=2

В общем если настривать по первой ссыле, без smbldap-tools, то все что написано выполняется на ура. Не выполняется с шага когда мы запрашиваем pdbedit -U(...

В общем знатоки, прошу помощи..

[Burner]

Вот создаем группу, в ней уид, уиду делаем cn с именем сервивса, и программа или сервис будет выбирать uid c поиском по праапметру cn. Как это сделать и где, в самом сервисе или в 389.На пальцах объясните плиз.

в самом сервисе это делается. Проблема обычно заключается в том, что мало сервисов поддерживают вложенные группы

Как это часто у меня случается - рано радовался.

Поднят centos-ds - поднимал по (Поднялось без малейшего)
http://wiki.neddix.com/How_to_setup_the ... _Server%29

Поднял авторизацию в линухах через 389. Думаю что нет смысла пока в конфигах так как работает..
И пока я делал топик про то как же мне работать с лдапом, я не задумывался как буду поднимать PDC Samba с
авторизацией 389.
Чес слово сижу уже 3 рабочих дня...
Перечитал

http://directory.fedoraproject.org/wiki/Howto:Samba

http://ru.gentoo-wiki.com/wiki/Samba_%D ... D0%BC_LDAP

http://rrcomputerconsulting.com/view.php?article_id=2

В общем если настривать по первой ссыле, без smbldap-tools, то все что написано выполняется на ура. Не выполняется с шага когда мы запрашиваем pdbedit -U(...

В общем знатоки, прошу помощи..

даже не думайте делать по хауту с fedoraproject, там полная чушь. Все только через smbldap-tools, алгоритм не сильно отличается от самба+опенлдап. А вообще, если нужно интеграция с windows, я бы лучше в сторону ebox сейчас смотрел, или MDS. Пока ipa 2 не выйдет, не вижу особого преимущества в 389.

[70n0ff]

Спасибо за поддержку.
Компания в кторой работаю, базируется на линейках RHEL & Centos.
Виртуалки, шлюзы, почта. все сервисы все на RHEL.
Пользователи не полюбили Fedora 7 - на то время, полюбили windows,
Сейчас хотят фалопомойку что на вин 2003 перенсти на линуху, следовательно и домен.
В начале своего письма, скажу что мне позарез надо все настроить на 389/
Я качал epox сборку, но на виртуалке она не запустилась, причем epox собрана на UBUNTU 8.04 а это не православно. И все остальное так же.
Я настроил авторизацию на линуховых машинах в 389, осталось вендовозные тудаже..
Кто делал связку что я пытаюсь настроить помогите...

Вести с полей, венда не входила домен ругалась что имя полтьзщователя с паролем не совпадает или как то так.

Сейчас ругается что имени польщователя такова нет. Просто имея 389 заводить пользователей надо в ней, или через smbldap-useradd.

Помогите пож...

уже крыша едет...

[Hrafn]

посмотрите на ClearOS
она на базе CentOS

[Burner]

Спасибо за поддержку.
Компания в кторой работаю, базируется на линейках RHEL & Centos.
Виртуалки, шлюзы, почта. все сервисы все на RHEL.

RHEL это хорошо

Я качал epox сборку, но на виртуалке она не запустилась, причем epox собрана на UBUNTU 8.04 а это не православно. И все остальное так же.

а вот это ерунда. Инструменты нужно под задачу подбирать, а не наоборот.

Я настроил авторизацию на линуховых машинах в 389, осталось вендовозные тудаже..
Кто делал связку что я пытаюсь настроить помогите...

я делал

Сейчас ругается что имени польщователя такова нет. Просто имея 389 заводить пользователей надо в ней, или через smbldap-useradd.

через smbldap-tools только. Пользователи, заведенные через консоль 389, не будут иметь нужных для samba атрибутов

[70n0ff]

ClearOS - нам не подойдет..

Такак как я всего один раз видел (на видеоролике с сайта хакер), как заводят домен на линухах.
А собственного опыта нет не фигга.. Задам следующие вопросы.
1. За домен вендовый отвечает только самба сервер?
2. Лдап он использует только как базу для хранения паролей и подобной инфы
3. Для ввода в домен вендовой тачки достаточно прописать ей домен и ввести логин и пароль изверя который
находится в группе Domain Admins?
4. Нужно ли и для чего настраивать nsswich (я понимаю чтобы он авторизировал на хосте, но нужно ли это для вендо-домена)?
5. По дефолту в 389 3 ou {Groups,People,Computers} во всех статьях указывают Users вместо Peoples - имеет ли это значение?
6.

Код: Выделить всё

smbldap-adduser -a -m -M user1 -c "User1" user1
smbldap-passwd user1
smbldap-groupmod -m user1 "Domain Admnis"
smbldap-groupshow "Domain Admins" (и он там есть)

Хватит ли этого, чтобы правильно завести пользователя которому разрешено ввести вендовую тачилу в домен?
Почему в 389 он только в пиплах, или в группы он и не должен добавляться))) я вообще понятия об лдапе не имею.))

Ответьте пож. разъясните. Далее, опишу как я ставлю и конфиги все скину, посмотрим что не так делаю.

[Andy]

ClearOS - нам не подойдет..

Чем же не подойдет?

Такак как я всего один раз видел (на видеоролике с сайта хакер), как заводят домен на линухах.
А собственного опыта нет не фигга.. Задам следующие вопросы.

Думаю, что лучше будет документацию на самбу почитать, там расписано хорошо как
тачка в домен включается.

1. За домен вендовый отвечает только самба сервер?

За вендовый домен, отвечает контроллер домена. Если у Вас primary domain на самбе, то она отвечает.

2. Лдап он использует только как базу для хранения паролей и подобной инфы

Для хранения информации о пользователях.

3. Для ввода в домен вендовой тачки достаточно прописать ей домен и ввести логин и пароль изверя который
находится в группе Domain Admins?

Настроить kerberos еще, дабы билеты отдавать/получать (на сервере)

4. Нужно ли и для чего настраивать nsswich (я понимаю чтобы он авторизировал на хосте, но нужно ли это для вендо-домена)?

Файл определяет порядок поиска пользователей и групп и их местоположение.

Код: Выделить всё

#
# /etc/nsswitch.conf
#
# An example Name Service Switch config file. This file should be
# sorted with the most-used services at the beginning.
#
# The entry '[NOTFOUND=return]' means that the search for an
# entry should stop if the search in the previous entry turned
# up nothing. Note that if the search failed due to some other reason
# (like no NIS server responding) then the search continues with the
# next entry.
#
# Legal entries are:
#
#	nisplus or nis+		Use NIS+ (NIS version 3)
#	nis or yp		Use NIS (NIS version 2), also called YP
#	dns			Use DNS (Domain Name Service)
#	files			Use the local files
#	db			Use the local database (.db) files
#	compat			Use NIS on compat mode
#	hesiod			Use Hesiod for user lookups
#	[NOTFOUND=return]	Stop searching if not found so far
#

# To use db, put the "db" in front of "files" for entries you want to be
# looked up first in the databases
#
# Example:
#passwd:    db files nisplus nis
#shadow:    db files nisplus nis
#group:     db files nisplus nis

Хватит ли этого, чтобы правильно завести пользователя которому разрешено ввести вендовую тачилу в домен?
Почему в 389 он только в пиплах, или в группы он и не должен добавляться))) я вообще понятия об лдапе не имею.))

Для того, что бы иметь понятие об openldap (скорее всего, Вы этот пакет используете), почитайте документацию,
благо она довольно неплохо расписана.
http://www.openldap.org/doc/admin24/

[Burner]

Для того, что бы иметь понятие об openldap (скорее всего, Вы этот пакет используете), почитайте документацию,
благо она довольно неплохо расписана.
http://www.openldap.org/doc/admin24/

389 человек использует.

5. По дефолту в 389 3 ou {Groups,People,Computers} во всех статьях указывают Users вместо Peoples - имеет ли это значение?

нет

6.

Код: Выделить всё

smbldap-adduser -a -m -M user1 -c "User1" user1
smbldap-passwd user1
smbldap-groupmod -m user1 "Domain Admnis"
smbldap-groupshow "Domain Admins" (и он там есть)

Хватит ли этого, чтобы правильно завести пользователя которому разрешено ввести вендовую тачилу в домен?

До этого еще собственно надо админам права выдать:

Код: Выделить всё

net rpc rights grant "DOMAIN.LOCAL\Domain Admins" SeMachineAccountPrivilege SePrintOperatorPrivilege SeAddUsersPrivilege SeRemoteShutdownPrivilege SeDiskOperatorPrivilege SeTakeOwnershipPrivilege

Почему в 389 он только в пиплах, или в группы он и не должен добавляться))) я вообще понятия об лдапе не имею.))

а почему он должен быть где-то еще? Во лдапе вам придется разобраться

[70n0ff]

Andy,Burner
Спасибо еще раз.
В лдапе явно придется разобраться, скачал книгу Орейли LDAP Sys* чето там, на англицком.

Вести с полей
Перепотрошил весь сервак на ком была 389, уже все что можно перенастроил и по разным статьям сделал скрипты по ним же.
Были сомнения, что именно запущеная в Virtualbox венда, глюкавая, ибо не хочет домена как не давай.
Были сомнения, что домен на линухах миф.
Все равзевеялось.
Порадовал себя сборкой оси bsl-os http://www.bslos.com
Поднялся домен, виртуалка в домене, от счатья озаряю кабинет улыбкой)
А да почему не подойдет ClearOS, потому что мне нужна сертифицированная ось. Специфика работы компании такая.
Стала почемуто... да и пофигу.
Пытаюсь выдрать конфиги, самбы и всего остальнова, а не охуе. сказали разработчки, дистр собран на Линукс из царапин.
Думаю...

Следующим шагом проверю, Pgina для венды. и что мы с этого в итоге получим.
Да забыл уточнить 389 в голове и еще в N-om количестве филиалов, будут суб-суфиксы, и так далие.
В общем сделал бекап внутренней системы, пойду конфиги выуживать...
Что новое будет сообщу.

[70n0ff]

Вести с полей
Плагин и программа Pgina работают, авторизация при входе в систему берет учетку из 389. - это решение.
http://www.linuxjournal.com/article/9517?page=0,2
Но комп ессно не в домене...
Да для Xp качать нужно PGINA 1.8 и плагин ldap.

Я вот даже и не знаю что мне самому хотелось бы просто авторизацию или домен с профилями перемещаемыми ибо есть ситуации когда они нужны,
в общем ладно подведем итог.
389+PGINA - вендовая авторизация
389+PAM - линуха
Оргнизацию доступа и менеджмент мне еще учить, но нужно поднимать домен на самбе. Ибо этому делу я не доверяю.
Итак, полазив по форумам увидал что бывает проблема с конвертацией samba.scheme .
Может ктонить правильную выложит я делал по следующему http://directory.fedoraproject.org/wiki/Howto:Samba

Код: Выделить всё

perl ol-schema-migrate.pl -b /usr/share/doc/samba-*/LDAP/samba.schema > /etc/dirsrv/slapd-<server>/schema/61samba.ldif 

Так же замечу по этой же статье предлагают пиды групп - 2512 2513 и т.д. Хотя в статьях где ребята поднимал с
smbldap-tools в конфиге указывается 512 юз и 513 группа. Есть разница и в чем, понятно дело в uid gid имеется ли она для самбы. и вендо тачек.

Так как допустить радикальную ошибку в
/etc/pam.d/system-auth-ac
/etc/ldap.conf
/etc/nsswitch.conf
/etc/smbldap-tools/*
Сложно, то оставим их на потом.
Начнем с простова с конфига самбы. Самый правильны конфиг под 389 или как он думаете подойдет под 389 кто нить может, чтобы не думали что я ниче не делаю выкладываю оригинал по которому я свой делал.
Плюсы, минусы подводные камни...

Код: Выделить всё

[global]
	workgroup = amber
	netbios name = neptun
	realm = amber.global.com
	nt acl support = yes
	acl compatibility = win2k
	map acl inherit = yes
	server string = Samba Server %v
	interfaces = eth0
	bind interfaces only = yes
	hosts allow = 192.168.7. 127.
	log file = /var/log/samba/log.%m
	debug level = 9
	max log size = 500
	socket options = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192
	security = user
	os level = 250
	passdb backend = ldapsam:"ldap://127.0.0.1/"
	enable privileges = yes
	
	passwd program = /usr/sbin/smbldap-passwd "%u"
	passwd chat = *new*password* %n\n *new*password* %n\n *successfully*
	passdb expand explicit = no
	unix password sync = no
	ldap passwd sync = no
	
	ldap suffix = dc=amber,dc=global,dc=com
	ldap admin dn = cn=Manager,dc=amber,dc=global,dc=com
	ldap user suffix = ou=Users
	ldap group suffix = ou=Groups
# Т.к. для самбы компьютеры и пользователи - одно и то же,
# и искать она в дальнейшем записи компьютеров будет в пользователях,
# то для избежания дальнейших проблем при добавлении рабочих станций
# к домену мы вместо следующей строки
#
#	ldap machine suffix = ou=Computers
#
# напишем другую:
	ldap machine suffix = ou=Users
	ldap idmap suffix = ou=Idmap
	idmap backend = ldapsam:ldap://127.0.0.1/
	idmap uid = 10000-20000
	idmap gid = 10000-20000
	
	ldap delete dn = Yes
	ldap ssl = no
	
	
	add user script = /usr/sbin/smbldap-useradd -n -a "%u"
	delete user script = /usr/sbin/smbldap-userdel "%u"
	
	add group script = /usr/sbin/smbldap-groupadd -p "%g"
	delete group script = /usr/sbin/smbldap-userdel "%g"
	
	add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
	delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
	set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
	
	
	add machine script = /usr/sbin/smbldap-useradd -w "%u"
	
	#PDC
	domain master = yes
	preferred master = yes
	#BDC
#	domain master = no
#	preferred master = no
	domain logons = Yes
	

	logon script = 
# Если хотите, что бы профили всех пользователей были перемещаемыми
# и хранились на сервере (со всеми гигабайтами фильмов и личных фотографий)
# то укажите такое значение следующего параметра:
#
#	logon path = \\%L\Profiles\%a\%U
#
# Если вы не хотите гонять профили по сети, оставьте значение пустым, 
# (но ни в коем случае не комментируйте эту строку, она просто получит 
# значение по умолчанию), вот так:
	logon path =
	logon drive = U: 
	logon home = \\%L\users\%U
	
	
#============================ Share Definitions ==============================
[netlogon]
    comment = Network Logon Service
    path = /var/lib/samba/netlogon
    browseable = yes
    guest ok = yes
    writable = no
    share modes = no

[Profiles]
    admin users = admin
    create mode = 600
    directory mode = 700
    path = /var/lib/samba/profiles
    browseable = yes
    guest ok = yes
    writable = yes

[homes]
  comment = Home Directories
  browseable = no
  read only = no

[public]
  path = /pub
  guest ok = yes
  read only = no

[users]
  path = /home/users
  writable = yes
  printable = no

Думаю а может ли косячить сам smbldap-tools коли обычную схему приходилось конверить для 389...

[70n0ff]

Читаю это http://www.opennet.ru:8101/docs/RUS/fds/
Тут юзают керберос., Вопрос без него нельзя??? Помиом домена мне потом сервисы натсраивать.
Можно без него одним лдапом обойтись?