Samba4 as Active Directory - делимся опытом

Dorlas · Непрочитанное сообщение **Dorlas** » 2016-11-12 18:43:23

Всем привет!
Изучаю возможности Samba 4-й - в частности возможность полностью заменить Active Directory.
Прошу поделиться, у кого какой опыт успешный/неуспешный есть?
Точнее интересуют подводные камни, на которые натыкаешься уже в реальной эксплуатации...

Сейчас у меня есть развернутый полигон с виртуальными машинами:
1) FreeBSD 11 + samba43-4.3.11_1 (ставил стандартный с помощью pkg за 5 минут без компиляции и портов). Вначале пробовал поставить 4.4 - но при samba-tool domain provision python уходит в SegFault, поэтому сейчас стоит 4.3).
2) Три чистые виртуалки с WinXP/Win7/Win10

Домен разворачивал по wiki с default параметрами (интегрированный DNS). DHCP нет пока что.

Что уже протестировал и что работает:
1) Включение в домен, видимость шар SYSVOL/NETLOGON.
2) Аутентификация, возможность работы с только что созданными пользователями.
3) Применение групповых политик (ну там шары через bat, шары через Preferences и т.д.).

Что сходу не заработало:
1) Не создаются и не обновляются DNS-записи (при вводе машин в домен, при входе, при выполнении ipconfig /registerdns). параметр allow dns updates стоит в secure only. Через RSAT на зоне параметр тоже стоит Secure Only и не изменяется.
2) При переименовании машины и последующей перезагрузки объект в каталоге AD переименовывается не полностью. Часть атрибутов переименовывается, а вот cn например нет. И еще парочка. На работу правда не влияет - но не кошерно как то )))

Прошу, поделитесь реальным опытом...

Заранее большое спасибо!

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

beraleevg

Как то тут тихо.
Пробую настроить samba44-4.4.8 на zfs.
Не получается.

Код: Выделить всё

root@server:/usr/home/aleksey # samba-tool domain provision --use-rfc2307 --interactive
Realm: test.local
 Domain [test]: 
 Server Role (dc, member, standalone) [dc]: 
 DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: 
 DNS forwarder IP address (write 'none' to disable forwarding) [192.168.1.69]: 
Administrator password: 
Retype password: 
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
Adding DomainDN: DC=atm72,DC=ru
Adding configuration container
Setting up sam.ldb schema
Setting up sam.ldb configuration data
Setting up display specifiers
Modifying display specifiers
Adding users container
Modifying users container
Adding computers container
Modifying computers container
Setting up sam.ldb data
Setting up well known security principals
Setting up sam.ldb users and groups
Setting up self join
ERROR(<class 'samba.provision.ProvisioningError'>): Provision failed - ProvisioningError: Your filesystem or build does not support posix ACLs, which s3fs requires.  Try the mounting the filesystem with the 'acl' option.
  File "/usr/local/lib/python2.7/site-packages/samba/netcmd/domain.py", line 461, in run
    nosync=ldap_backend_nosync, ldap_dryrun_mode=ldap_dryrun_mode)
  File "/usr/local/lib/python2.7/site-packages/samba/provision/__init__.py", line 2171, in provision
    skip_sysvolacl=skip_sysvolacl)
  File "/usr/local/lib/python2.7/site-packages/samba/provision/__init__.py", line 1805, in provision_fill
    names.domaindn, lp, use_ntvfs)
  File "/usr/local/lib/python2.7/site-packages/samba/provision/__init__.py", line 1557, in setsysvolacl
    raise ProvisioningError("Your filesystem or build does not support posix ACLs, which s3fs requires.  "

zfs настроена
Ситуация как
https://forums.freebsd.org/threads/56749/
на samba42 при настройке домена есть параметр --use-ntvfs. С указание samba-tool domain provision --use-rfc2307 --use-ntvfs=yes --interactive которого нет в новой. Настройка проходит без ошибок. C --use-xattrs= пробовал все варианты. Не помогло.
Я в питоне не знаю.
Может кто знает из-за чего такая ошибка и как её обойти.

Dorlas · Непрочитанное сообщение **Dorlas** » 2016-12-30 18:31:50

Написано жеЖ

Код: Выделить всё

Your filesystem or build does not support posix ACLs, which s3fs requires.  Try the mounting the filesystem with the 'acl' option.

Для UFS включаем ACL:

Код: Выделить всё

init 1
tunefs -a enable /
init 6

Для ZFS:

Код: Выделить всё

zfs set aclmode=passthrough tank
zfs set aclinherit=passtrhough tank

beraleevg

Код: Выделить всё

zfs set aclmode=passthrough zroot
zfs set aclinherit=passthrough zroot

делал по http://at-hacker.in/?go=all/samba-zfs-acl/
И смотрел тут http://docs.oracle.com/cd/E19120-01/ope ... index.html
Всё равно ошибка в новой версии samba44-4.4.8
Может руки кривые.

Dorlas · Непрочитанное сообщение **Dorlas** » 2016-12-31 13:09:27

Я в таких случаях проверяю все варианты на виртуальных машинах... с ZFS/UFS, Samba 4.3/4.4, готовые pkg/сборка из портов.

Анализ результатов покажет где беда...

beraleevg

Провёл эксперименты. Могу сказать следующее. Из портов собирается нормально

Код: Выделить всё

net/samba42

То есть домен создаётся.
А вот

Код: Выделить всё

net/samba43 net/samba44

не в какую, то есть устанавливается нормально, при создании домена

Код: Выделить всё

samba-tool domain provision --use-rfc2307 --use-ntvfs --interactive

опция

Код: Выделить всё

--use-ntvfs

отсутствует. Замечено ещё следующее: Если ставить из портов которые идут с дистрибутивом, то самба

Код: Выделить всё

net/samba43

ставится нормально и опция

Код: Выделить всё

--use-ntvfs

присутствует. Домен создаётся.
Если ставить из исходников samba-4.4.8 и указать

Код: Выделить всё

configure --with-ntvfs-fileserver

То samba ставится в

Код: Выделить всё

/usr/local/samba/

Домен создаётся работает. Но при заходе на сетевую шару. Наблюдается аномалия типа за двоение файлов. То есть создаём 1 тестовый файл из windows обновляем окно. И видим два одинаковых файла. Удалям один. удаляется два.
В общем какие-то проблемы со с Makefike в

Код: Выделить всё

net/samba44

Отправлено спустя 10 минут 39 секунд:
При добавлении в Makefile порта net/samba44
--with-ntvfs-fileserver
устанавливается.
Пробую создать домен

Код: Выделить всё

samba-tool domain provision --use-rfc2307 --use-ntvfs --interactive
Realm [TEST.LOCAL]: 
 Domain [TEST]: 
 Server Role (dc, member, standalone) [dc]: 
 DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) [SAMBA_INTERNAL]: 
 DNS forwarder IP address (write 'none' to disable forwarding) [192.168.1.55]: 
Administrator password: 
Retype password: 
Looking up IPv4 addresses
Looking up IPv6 addresses
No IPv6 address will be assigned
Setting up share.ldb
Setting up secrets.ldb
Setting up the registry
Setting up the privileges database
Setting up idmap db
Setting up SAM db
Setting up sam.ldb partitions and settings
Setting up sam.ldb rootDSE
Pre-loading the Samba 4 and AD schema
Adding DomainDN: DC=test,DC=local
Adding configuration container
Setting up sam.ldb schema
Setting up sam.ldb configuration data
Setting up display specifiers
Modifying display specifiers
Adding users container
Modifying users container
Adding computers container
Modifying computers container
Setting up sam.ldb data
Setting up well known security principals
Setting up sam.ldb users and groups
Setting up self join
Segmentation fault (core dumped)

Electronik

Выбирал между samba и win2k8. Выбрал последний ибо на тот момент smb4.0 работала ужасно, постоянно что то менялось и крашилось. на 4,1 тоже особой стабильности не заметил, только заходишь в gpo и всё валится. Можно было бы и запилить домен на самбе, но тут нужны костыли для синхронизации sysvol. Так что ждём 4.8-4.9 может что нибудь придумают.

Neus · Непрочитанное сообщение **Neus** » 2017-01-20 18:05:28

Наблюдается аномалия типа за двоение файлов.

В солярке на zfs такое наблюдается если забыть отключить регистрозависимость на датасете.

snorlov · Непрочитанное сообщение **snorlov** » 2017-01-20 18:13:55

когда выбирал, что юзать, пришел к выводу , что 4.4 вся какая-то кривая, у меня в ней на ровном месте баги вылезали..., 4.3 в этом плане гораздо лучше и надежнее

beraleevg

В общем Я на centos 7 скомпилировал samba-4.5.4 xfs вроде как snapshot поддерживает. Собственно мне это критично для задачи. Чтобы не писать скрипты для инкрементного резервного копирования. Как на freebsd сделал.

Код: Выделить всё

#!/usr/local/bin/bash
date=`date +%Y-%m-%e_%H-%M` # date gggg-mm-dd
pool='zroot'
zfs snapshot -r $pool@$date
mass1=`for  (( i=0; i<=4 ; i++ )) ; do date -v-${i}d +%Y-%m-%d ; done`
mass2=`echo ${mass1} | sed 's![ \t]!\\\|!g'`
del_snapshot=`zfs list -t snapshot | grep -v ${mass2} | grep -v NAME | awk '{print$1}'`
for j in ${del_snapshot[@]}; do zfs destroy $j; done

larchik · Непрочитанное сообщение **larchik** » 2017-09-27 17:03:43

вот и я дошёл до ручки, в смысле, надо поднимать домен на Самбе4.
условия идеальные - нет ничего :-)
поставил 11-ю Freebsd, установил самбу 4.6.6, вляпался в

Код: Выделить всё

set_nt_acl_no_snum: fset_nt_acl returned NT_STATUS_INVALID_PARAMETER

при первоначальной настройке самбы как DC. на багзилле нашёл https://bugzilla.samba.org/show_bug.cgi?id=12912. Пропатчил xattr.c, поставил, заработало. Но что-то пошло не так, samba_dnsupdate ругалась, динамически зона не обновлялась. решил экспериментировать.
поставил свежую виртуалку, ставлю самбу, а там версия уже 4.6.8. Ну, думаю, может исправили и патчить не надо, а фиг. Беру патч, а тут облом, патч не патчит. выдаёт ошибки. При всём при том, что xattr.c до байта совпадают в обеих версиях. пришлось подменять ручками.
Продолжение следует.

beraleevg

Я сделал следующим образом. Поставил виртуалке freebsd 11 на UFS обновил freebsd-upgrade fetch install
Поставил самбу из репозитория pkg install samba44 после чего настроил домен. Создал виртуальный диск на 2 ТБ и там розметил zfs. Настроил на sambe шары которые на zfs расположил. И написал скрипт для того чтобы снимки ФС делать каждый час, а старые снимки удалять после нескольких дней. После нескольких дней вышло исправление порта net/samba44 и заодно вышла samba46 которая нормальна собиралась из портов.
К тому времени домен уже работал. И что либо другое предпринимать было лень. И так всё работает. В дальнейшим обновлял всё из репозиторя. Работает по настоящий момент. Сбоев не было.
За двоение в сетевой шаре чинится http://at-hacker.in/?go=all/samba-zfs-acl/

larchik · Непрочитанное сообщение **larchik** » 2017-09-28 9:28:44

в том то и дело, что samba46 собирается нормально, ненормально работает samba-tool domain provosion --use-rfc2307 вылетает по вышеуказанной ошибке. без патча не фунциклирует.

Отправлено спустя 43 минуты 31 секунду:
да, такой вопрос, а в пакаджах самба с внутренним dns собрана или с поддержкой внешнего?

beraleevg

с внутренним dns

larchik · Непрочитанное сообщение **larchik** » 2017-09-28 11:25:49

ясно, сейчас pkg install samba46 сделал. provision вылетел с той же ошибкой. просто беда какая-то. хоть 44 ставь и потом обновляйся..

larchik · Непрочитанное сообщение **larchik** » 2017-09-29 8:55:27

ну, собственно, так и сделал. поставил из пакетов 45, провёл первоначальную настройку домена, потом обновился пакетом же до 4.6.6. Теперь проэкспериментирую с обновлением до 4.6.8 (в портах уже она). Хорошо иметь виртуальные среды.

forum.lissyara.su