SAMBA + Контроллеры Домена

[fox]

Добрый вечер!
Вот такой вопрос, у меня не большой опыт работы с Контроллерами Домена, в моей практике 3 контроллера, по этому пожалуйста не пинайте ногами и не говорите гугл в помощь, я там гуглил, но вот не нашёл объяснений вразумительных! И так, есть необходимость настроить контроллер домена например mydomain.local и ещё два домена ну к примеру office1.mydomain.local и office2.mydomain.local, реально ли это настроить на самбе или лучше даже в связке самба с ldap ибо самба c ldap сервером мне очень понравилась! Если кто то думал на эту тему или сталкивался выскажите пожалуйста свои мысли, буду очень признателен!

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[snorlov]

Тебе что надо то, Samba - это домен NT4, не AD. Ldap в ней используется как backend( база пользователей), в ее качестве можно использовать любой SQL-сервер к примеру ну и т.д.

[fox]

Мне надо поднять контроллер на самбе для домена и и ещё двух суб доменов я же написал...

[Amadeus]

Тут вопрос не в этом.
Вам конктроллер домена нужен только для авторизации пользователей? Либо нужны полноценные ГП?
какое взаимодействие планируете для КД? PDC + BDC + BDC либо три разных КД?

Опишите немного поподробнее назначения их.

Если просто контроллер домена на LDAP c хранением базы пользователей, то берем
http://www.lissyara.su/?id=1487 вот эту статью и без лишней спешки подымаем КД.

Главное все понять что ты делаешь, а не копи паст конфигов.

Если делать связку то,
берем http://www.lissyara.su/?id=1713 вот это к дополнению первой статьи выбираем из нее основные принципы репликации баз, далее находим напильник и рихтуем под себя.

[fox]

Что бы одна машина, одна самба обслуживала 3 разных контроллера которые взаимодействуют между сабой!
Например:
mydonain.local
office.mydomain.local
home.mydomain.local
Три разных офиса между которыми была бы междоменная политика и всё это на одном серевере, как у видов!

[opt1k]

стандартными средствами нельзя.

[fox]

а как можно многоуважаемый?

[Jolly]

w2k3 w2k8 --- вот ответ!

[fox]

Виндузятину в роли контроллера в топку! По отказа устойчевости!

[goshanecr]

Товарищ, если правильно настроишь (понимая что и зачем) делаешь, то уж функции контроллера домена винда будет выполнять с не меньшей отказоустойчивостью, но с большей функциональностью чем то же решение на FreeBSD.

[opt1k]

для контроллера домена в котором используются виндовс клиенты нужно ставить только windows server.
SAMBA как DC применима:
если нет денег на виндовый контроллер
дома для дом.сети
если у админа нету девушки и пока ещё нет геморроя, поэтому времени у него много и он таким образом развлекает себя.

В остальных случаях только винда. В будущем, возможно, такое положение вещей изменится.

[Amadeus]

если у админа нету девушки

Ну тут несогласен:))))) у админов еще и жены бывают, а ничего работает PDC+BDC и PDC на самбе, которые еще около года назад подымал, кушать не просят:).

А касательно вопроса автора, дерево доменов самба строить пока не умеет, подождем полноценного релиза а не беты четвертой, и посмотрим с чем ее можно употребить в дело) но это не скоро.
Так что пока только винда.

Физически то что автор написал, осуществимо, но связано с таааааааааааким временем, и гемороем, что даже заядлые противники МС не будут этого делать.

[opt1k]

я не спорю что PDC+BDC на самбе работают, но функциональность не покрывает и 5% от микрософтовского АД.
Остальные 95% админ должен либо реализовать сам, либо забыть про них. Раньше я был мнения что АД можно легко заменить связкой из самбы и кучи другого софта. Но с опытом пришло и реальное осознание ситуации.
То что автору нужно решается на АД лёгким нажатием левой кнопки мыши.

[fox]

Я лучше подажду четвёрки, девушка есть и не одна даже есть любовница просто делая PDC на FreeBSD это тоже что и заниматься сексом получаеш одинаково удовольствие и удовлетворение потом как оно чудно работает а вод на мелкомягких потом ловишку кучю трабл такое ощущение как буд то тебе не дали! А только возбудили!)))) Плюс появиться какой небудь КИДо новый и пару недель пока анти вирусы в базы добавят его ДНС к примеру на виндовом серевере будет курить бамбук или ещё что то в этом роде, например в начале 2009 года вышел КИДо и офисы отгрибали, а у меня на Фри сервнты и мне было поравну))) Только у юзверов были проблемы так как там винды ну и фиг это же пол беды!

[Jolly]

Я сам большой почитатель Фряхи и честно не обижаюсь, когда меня зовут бздуном на каком-нибдуь вонючем лоре, но в качестве ДЦ и БДЦ у меня везде венды.
Уж лучше совсем без ДЦ, если позволяют задачи, чем с ДЦ на базе САМБЫ. Ведь дело не в Фре, а в САМБЕ, когда всё вдруг валится и не хочет работать. Авторам САМБЫ под фрю я не доверяю, честно говоря сильно.

[fox]

Да ну самба может и валиться, хотя в моей практики был обвал самбы по моей вине, и я очень быстро за 20 минут всё поправил как было не кто даже не заметил, но если самба под ЛДАП привязана вобще можно не чего не бояться пусть валиться база с ЛДАПА с пол пенка подыматься!

[snorlov]

я не спорю что PDC+BDC на самбе работают, но функциональность не покрывает и 5% от микрософтовского АД.
Остальные 95% админ должен либо реализовать сам, либо забыть про них. Раньше я был мнения что АД можно легко заменить связкой из самбы и кучи другого софта. Но с опытом пришло и реальное осознание ситуации.
То что автору нужно решается на АД лёгким нажатием левой кнопки мыши.

А вот мне интересно, что такого нет в самбе и есть в AD , но что активно используется. Политики безопасности не берем в рассмотрение, поскольку, на мой взгляд, в AD по сравнению с NT4 просто более удобный инструмент приделали, кстати наконец-то...

[fox]

Я тоже не вижу острой надобности винды, если даже закрыть глаза на то, что виндовый сервер уязвим с точки зрения вирусов и надёжности!
То всёравно под самбой так же гибко можно рулить даже мне кажеться вариант с Ldap самый идеальный, а что касаеться локального упровления на виндовых тачках так это садишся за любой виндавоз заходиш под правами глобального админа и через упровление рули сколько влезит локальными политиками других виндов!

[opt1k]

А вот мне интересно, что такого нет в самбе и есть в AD , но что активно используется. Политики безопасности не берем в рассмотрение, поскольку, на мой взгляд, в AD по сравнению с NT4 просто более удобный инструмент приделали, кстати наконец-то...

нету kerberos, поэтому все старания с самбой - пустота, если вы не живёте на луне и про интернеты там совсем не слышали...

[Alex Keda]

А вот мне интересно, что такого нет в самбе и есть в AD , но что активно используется. Политики безопасности не берем в рассмотрение, поскольку, на мой взгляд, в AD по сравнению с NT4 просто более удобный инструмент приделали, кстати наконец-то...

нету kerberos, поэтому все старания с самбой - пустота, если вы не живёте на луне и про интернеты там совсем не слышали...

нука, расскажите мне для чего используют в 99% контор керберос в составе АД?
или может в жопу засовывают и забывают? )
=======
маленьким конторам - нах не надо всего функциоанала - им достаточного 1 места хранения учёток.
средним - надо смотреть на ситуацию.
большим - нужно.
вот и всё. а разговор ваш - кривороукого с фанатом M$ забавен тока...

[fox]

Потдержуб Лиса!

[snorlov]

А вот мне интересно, что такого нет в самбе и есть в AD , но что активно используется. Политики безопасности не берем в рассмотрение, поскольку, на мой взгляд, в AD по сравнению с NT4 просто более удобный инструмент приделали, кстати наконец-то...

нету kerberos, поэтому все старания с самбой - пустота, если вы не живёте на луне и про интернеты там совсем не слышали...

Насколько я помню, но самба может использовать kerberos в качестве backend, вот только никто этого не делает, интересно почему... Может нафиг надо...

[opt1k]

А вот мне интересно, что такого нет в самбе и есть в AD , но что активно используется. Политики безопасности не берем в рассмотрение, поскольку, на мой взгляд, в AD по сравнению с NT4 просто более удобный инструмент приделали, кстати наконец-то...

нету kerberos, поэтому все старания с самбой - пустота, если вы не живёте на луне и про интернеты там совсем не слышали...

нука, расскажите мне для чего используют в 99% контор керберос в составе АД?
или может в жопу засовывают и забывают? )
=======
маленьким конторам - нах не надо всего функциоанала - им достаточного 1 места хранения учёток.
средним - надо смотреть на ситуацию.
большим - нужно.
вот и всё. а разговор ваш - кривороукого с фанатом M$ забавен тока...

kerberos это лучший безопасный протокол аутентификации в отрасли, в сети с АД доступ к любому ресурсу производится с помощью кербероса, а ещё оно позволяет sso.
и я не фанат М$, я фанат рабочих решений.
В маленьком офисе можно прожить и без кербероса на самбе, но мой выбо всё равно пал бы на АД в таком случае.
Так уж случилось что с АД я познакомился достаточно плотно уже после того как посидел на самбе, могу для себя сделать вывод - АД мой выбор
а самба 4, ждём её, регулярно хожу на офсайт и читаю маил листы.

А вот мне интересно, что такого нет в самбе и есть в AD , но что активно используется. Политики безопасности не берем в рассмотрение, поскольку, на мой взгляд, в AD по сравнению с NT4 просто более удобный инструмент приделали, кстати наконец-то...

нету kerberos, поэтому все старания с самбой - пустота, если вы не живёте на луне и про интернеты там совсем не слышали...

Насколько я помню, но самба может использовать kerberos в качестве backend, вот только никто этого не делает, интересно почему... Может нафиг надо...

может, может.
В винде есть msgina которая позволяет sso, так вот, эта джина работает только с МСовским керберосом. Нету джины - нету sso, нету sso - нету удобства и гибкости

[snorlov]

Насколько я помню, но самба может использовать kerberos в качестве backend, вот только никто этого не делает, интересно почему... Может нафиг надо...

может, может.
В винде есть msgina которая позволяет sso, так вот, эта джина работает только с МСовским керберосом. Нету джины - нету sso, нету sso - нету удобства и гибкости

А это как раз и говорит, что нету kerberos'а у M$, есть только своя поделка на нем основанная...

[opt1k]

керберос у МС вполне обычный и стандартный, проблема в других проприетарных протоколах с которыми он взаимодействует.