Samba + AD для филиала

[fren1]

Добрый день замечательные головы . Возникла небольшая задача которую бы хотелось решить средствами FreeBSD Samba и.т.д.

Задача такова.
Есть главный офис в котором есть AD где забиты все пользователи. Всё это работает на двух сервера, AD настроено как положено. Стоит + FreeBSD на которой установлен Samba, Squid, OpenFire вся авторизация завязана на AD, и всё работает прекрасно .

Но недавно стали открываться филиалы. Встал вопрос об централизованной базы пользователей. Сервер Microsoft Windows (для реплицируемого AD) покупать нет смысла для 10 человек. У меня получилось на одном филиале организовать FreeBSD Samba+AD запросы авторизации пользователей в филиале, поступали в главный офис по VPN, вся авторизация будь то виндовая тачка или Squid. Всё это хорошо работает когда есть нормальная хорошая связь .

Но во втором филиале есть проблемы такие как сбои с интернетом на длительный период . Возникает вопрос в такой организации сети, а именно можно ли сделать так что бы пользователи филиала обращались за аутентификационными данными к своему серверу (филиальному) а сервер бы имел всегда что то подобное кешу , или копии этих данных, что бы при обрыве интернета с главным офисом, филиал мог полноценно продолжать работать, что бы их пускало на шары и работала 1С.
Всё это средствами Samba Kerberos и.т.д. что там ещё есть.
Заранее благодарен всем.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[vadim64]

вы очень хорошо всё обрисовали
грабли конечно будут
начинайте делать, когда будут грабли - приходите за советами как их можно попробывать обойти
начните с того, может ли самба с какими нибудьб кастылями кэшировать данные ад

[frend]

Добрый день опять я? Поиски в интернете в google неделе две точно ничего не дали.
Нашёл единственное опцию winbind offline logon = Yes
Но вопрос в том что при выдачи Dhcp сервера в филиале мне приходиться указывать DNS сервера локального сервера в филиале (кеширующий) а тот в свою очередь смотрит на DNS контролера домена в главный офис. Таким образом при заводе клиентскую машину в домен она выходит на прямую в филиал (конечно по VPN) минуя SAMBA.
Samba получается такой же клиент как и все остальные, и авторизуется тоже на AD. И даже если она выполнит кеш паролей это поможет только еже авторизированным клиентам. Одним словом происходит всё без участия САМБЫ.

А что если утром сотрудники пришли на работу (интернет нет уже как два часа, к примеру) ему нужно войти в систему. У него не будет доступа к шарам точно (побывал). И не знаю проблема в кеше в САМБЕ или винда зашла без пароля просто в кеширующую учётку и не передаёт данные САМБЕ.

Хотя был опыт и когда я имитирую отключение интернета происходит следующее, тот клиент (виндовая тачка, который уже вошёл в систему когда была связь) продолжает работать с шарами всё хорошо (правда не замерял сколько времени так можно работать). А тот клиент который заходит при отключенной связи, долго думает при входе в систему, после заходит, а после когда я тыкаю по шаре, немного думает потом выскакивает окно для ввода пароля, на что я вожу те же учётные данные (логин и пароль на вход в систему) и мне винда говорит очень внятным текстом, что "неудачная попытка входа так как windows уже их испробовала и не смогла получить ответа".

Мой вывод такой, что винда отправила запрос к самбе а та кинулась искать их в AD и так как он отсутствует по техническим не неполадкам вернула фиг.
Или я что то не понимаю.
Можете кто поможет? Ведь это отличная конфигурация для компаний которые имеют филиалы. Минимум затрат полноценное использование AD единственный центр выдачи билетов (база пользователей) эх мечта админа.

[opt1k]

думаю что это не возможно, т.к. в данном случае самба работает лишь как файловый сервер. Клиент что бы подключиться к самбе сначала должен получить билет от сервера kerberos, который у вас может быть не доступен. Нет билета - самба не даст доступа и это верно.
Можно ли кешировать запросы керберос? не знаю, полагаясь на гугл, скорее всего нельзя. Можно задать вопрос разработчикам самбы. Но думаю что с выходом 4ой самбы данный вопрос будет разрешён.

[frend]

Эх я так и думал, а вопрос стоит остро придётся LDAP настраивать чего так не хочется делать.