forum.lissyara.su

вы очень хорошо всё обрисовали
грабли конечно будут
начинайте делать, когда будут грабли - приходите за советами как их можно попробывать обойти
начните с того, может ли самба с какими нибудьб кастылями кэшировать данные ад

Добрый день опять я? Поиски в интернете в google неделе две точно ничего не дали.
Нашёл единственное опцию winbind offline logon = Yes
Но вопрос в том что при выдачи Dhcp сервера в филиале мне приходиться указывать DNS сервера локального сервера в филиале (кеширующий) а тот в свою очередь смотрит на DNS контролера домена в главный офис. Таким образом при заводе клиентскую машину в домен она выходит на прямую в филиал (конечно по VPN) минуя SAMBA.
Samba получается такой же клиент как и все остальные, и авторизуется тоже на AD. И даже если она выполнит кеш паролей это поможет только еже авторизированным клиентам. Одним словом происходит всё без участия САМБЫ.

А что если утром сотрудники пришли на работу (интернет нет уже как два часа, к примеру) ему нужно войти в систему. У него не будет доступа к шарам точно (побывал). И не знаю проблема в кеше в САМБЕ или винда зашла без пароля просто в кеширующую учётку и не передаёт данные САМБЕ.

Хотя был опыт и когда я имитирую отключение интернета происходит следующее, тот клиент (виндовая тачка, который уже вошёл в систему когда была связь) продолжает работать с шарами всё хорошо (правда не замерял сколько времени так можно работать). А тот клиент который заходит при отключенной связи, долго думает при входе в систему, после заходит, а после когда я тыкаю по шаре, немного думает потом выскакивает окно для ввода пароля, на что я вожу те же учётные данные (логин и пароль на вход в систему) и мне винда говорит очень внятным текстом, что "неудачная попытка входа так как windows уже их испробовала и не смогла получить ответа".

Мой вывод такой, что винда отправила запрос к самбе а та кинулась искать их в AD и так как он отсутствует по техническим не неполадкам вернула фиг.
Или я что то не понимаю.
Можете кто поможет? Ведь это отличная конфигурация для компаний которые имеют филиалы. Минимум затрат полноценное использование AD единственный центр выдачи билетов (база пользователей) эх мечта админа.

думаю что это не возможно, т.к. в данном случае самба работает лишь как файловый сервер. Клиент что бы подключиться к самбе сначала должен получить билет от сервера kerberos, который у вас может быть не доступен. Нет билета - самба не даст доступа и это верно.
Можно ли кешировать запросы керберос? не знаю, полагаясь на гугл, скорее всего нельзя. Можно задать вопрос разработчикам самбы. Но думаю что с выходом 4ой самбы данный вопрос будет разрешён.

Эх я так и думал, а вопрос стоит остро придётся LDAP настраивать чего так не хочется делать.