AD плавный переход на никсы и куча вопросов

[qstatix]

Вот уж не думал, что так получится но на новой работе пришлось админить, Господи прости, виндовые сервера. Которые старые кривые и глючные. Уже пришлось переустанавливать контроллер домена и перезаводить всех юзеров и много всего прочего, после чего начальство сказало слово "ЛИНУКС"(ну услышали где то).
Теперь вопросы.


1. Можно ли вытащить логины, пароли или хрен с ним, хотя бы пользователей, АДа. Точнее чем и как это сделать?
2. Нашел пару готовых контроллера доменов на линуксе и либы под фряху от федоры кажется. Пока выбираю. Может кто что посоветует с чем имел дело?
3. Самый главный вопрос! Есть ли под винду некие клиенты для AD/LDAP и вообще возможно ли такое, что бы не вводя саму систему в домен, просто авторизоваться с клиента(ну как по впн) и подрубаться к домену или лдап-серверу получая соответсвующие права и возможности. на никсах такого добра валом. А вот с виндой хз.

4. Можно ли как то синхронизировать линуксовксий самба-лдап и виндовый АД контроллер, подобно тому, как синхронизуются вторичный контроллер домена и основной без костыльного перетаскивания учеток?

да... я не пионер, не надо флуда и рассказов о том, как я все неправильно придумал... я все прекрасно осознаю, поверьте

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Burner]

http://forum.lissyara.su/viewtopic.php?f=47&t=21309
http://forum.sysadmins.su/index.php?showtopic=40242263

1) пароли нет, остальное можно. Хотя бы тупо через ldap
2) 389 + samba я ставил, работает. Но для больших инсталляций не советую.
3) для тупой аутентификации есть pGina. Права и возможности - где?
4) у 389 есть система синхронизации, но я ее не использовал.

Лучше поговорите с начальством, пусть подумают еще раз.

[qstatix]

хороший ответ!
спасибо большое

тут ситуация не сложная
мне достаточно что бы по авторизации пользователь получал привычный доступ к своим папкам, которые у них монтируются как диски. ФТП они не признают, резких переходов я тоже не хочу.
ну еще со временем интернет тоже пущу по этим же учеткам, а не по айпи авторизации на юзергейте

сейчас их кручу на нормальную систему документооборота и постановки задач. Что бы не шарились для этого.
Но это уже отдельный вопрос...

[princeps]

если юзеров много, то лучше не умничать и юзать винду, оно будет проще, чем миграция.
По третьему пункту - в mit kerberos есть клиент под винду.
По второму - я юзал samba+openldap

[qstatix]

Юзеров 100. так что не пугает даже полная потеря домена. перевобью за пару часов всю тусовку со всеми правами. Это мне не страшно. Другое дело, что наступил день и скажут переползать на линуксы(кто помнит программу правительства для госучреждений) А вот тогда впопыхах я не хочу искать решения и придумывать и изощряться. А так просто в кайф поиграться. Получится - так супер. А нет так нет.

попробовал 389.
да штука мощная. Но перезамороченная. Я не могу ставить софт в котором самому то разбираться приходится.
Нашел интересный проект smeserver. Ставится и заводится с полпинка. Простая удобная вебморда. Но надо допиливать DNS. Его там вроде как нет. Точнее бинд есть не не тащит.
Теперь возникает вопрос номер два. Существует ли готовое решение для BIND. Некий скрипт который будет создавать _msdcs зону и остальные под АД при создании моей зоны. Собственно там и самому не долго в вебморде прикрутить такое. Просто если оно уже готовое есть...

У меня эта тема уже спортивный интерес вызывает

[ADRE]

экспорт пользователей из АД можно из консоли делать читайте сайт мелкософта... и пароли и пр. лубуду можно в лдап засунуть... експортные данные из АД... вот... исшо с 2000 можно было оказывается..

[princeps]

экспорт пользователей из АД можно из консоли делать читайте сайт мелкософта... и пароли и пр. лубуду можно в лдап засунуть... експортные данные из АД... вот... исшо с 2000 можно было оказывается..

это в теории. А на практике у меня ни разу не получилось .ldiff из AD загрузить куда бы то ни было. И я на форумах читал, что редко у кого получается.

Юзеров 100. так что не пугает даже полная потеря домена. перевобью за пару часов всю тусовку со всеми правами.

Перевбить-то перевобьёшь, а компы заново переввести в новый домен?

[ADRE]

нууу... странно... попробую эту хрень на 15 хомяках сделать давно пора.... =/ по теории чисто пк подменю и всё...

[LHC]

экспорт пользователей из АД можно из консоли делать читайте сайт мелкософта... и пароли и пр. лубуду можно в лдап засунуть... експортные данные из АД... вот... исшо с 2000 можно было оказывается..

это в теории. А на практике у меня ни разу не получилось .ldiff из AD загрузить куда бы то ни было. И я на форумах читал, что редко у кого получается.

Юзеров 100. так что не пугает даже полная потеря домена. перевобью за пару часов всю тусовку со всеми правами.

Перевбить-то перевобьёшь, а компы заново переввести в новый домен?

На практике, используя вот эту доку:
http://support.microsoft.com/kb/237677/ru
самолично три раза делал экспорт импорт в боевых условиях, так что камрад ANDRE прав.
А еще есть такая приблуда: http://www.microsoft.com/downloads/deta ... laylang=en, но она Windows-only, для других целей в общем.

[ADRE]

главно sid не поломайте АДешный при переносе, а то всё бесполезно ))) гыгыггы... слетаеть всесь реесттр (настройки) у пользователя и создается ноавая учётка соответственно.

[qstatix]

Так-с
прошло пару дней экспериментов и изучения темы.
Решил отписаться и может услышать еще. что нить интересное.
И так, как помните задачу для себя я ставил сделать все поуютнее, с вебмордой и т.д.
перекопал 389, sme-server, clarkconnect(или как там его) и еще что-то там..
перечитал кучу всего и нашел проект который меня просто поразил своей мощностью.
Все остальные тоже рабочие, за исключением одного маааленького НО. Ни в одном из них нет готового днс сервера. Я было начал ставить его сам и прикручивать интерфейс, как нашел Mandriva Enterprise Server. Он умеет все, ( только обновить надо сначала, что бы 7-я винда цеплялась) Все управление через браузер. Все продумано и все работает. Поддерживаются группы(!). То есть винда видит группы созданые в линуксовом контроллере, что на других не работало. В ДНС не нужно самому добавлять кучу записей с _msdcs _ldap и пр.

В общем меня все это более чем утроило. И даже понравилось. Пришлось пару часов разбираться в тонкостях настроек, но результат что надо.
Сейчас я решаю вопрос по переносу домена. Собственно, последнее что осталось для большого эксперимента
в 389-м действительно есть какой то механизм. посмотрим.
Специально под это дело поставил на отдельный винт 2008-й сервак, поднял на нем контроллер и слил на него как на дополнительный актив директори с рабочего контроллера. Теперь есть с чем играться, без вреда для конторы

В общем отпишусь если получится.

А насчет перевведения компов в домен ... да это не приятно конечно, спорить не стану...

[Burner]

enterprise вроде как денег стоит. Просто MDS халявный, его и на 389 можно поставить. Только пароли все равно не перетащить.

[ADRE]

раскрою секрет AD 2003 и 2008 тоже умеет всё. но оно денег стоит как обычно.

[qstatix]

enterprise сам по себе бесплатен. Денег стоит поддержка и доступ к серверу обновлений более чем на месяц. Месяц дается бесплатно. Стоит аккаунт баксов 300.

Про винду.. повторюсь еще раз. Речь идет об эксперименте. То есть возможно такое на никсах или нет. Пока о полноценном переходе речь не идет. Хотя от винды конечно воротит. И исходя из моего жизненного опыта , воротит далеко ни по идеологическим соображениям.
Хотя меня более чем устроила бы сеть в сердце которой стоял бы такой никсовый контроллер, а в качестве маршрутизатора Интернет Контроль Сервер, на хорошем железе(он на прошлом месте работы сеть на 400 компов тянул без вопросов). Поставили вместо циски и не пожалели... Софтовый маршрутизатор он по любому более гибок. Да и "железный" ИМХО сейчас это одно название. В любой современной железке внутри ОСь своя, со всеми вытекающими... Просто оно узкозаточено.

С паролями вот проблемка... завтра доберусь до работы буду думать дальше. Если два виндовых контроллера синхронизируются, значит и с линуксовым теоретически можно.

[ADRE]

enterprise сам по себе бесплатен. Денег стоит поддержка и доступ к серверу обновлений более чем на месяц. Месяц дается бесплатно. Стоит аккаунт баксов 300.

Про винду.. повторюсь еще раз. Речь идет об эксперименте. То есть возможно такое на никсах или нет. Пока о полноценном переходе речь не идет. Хотя от винды конечно воротит. И исходя из моего жизненного опыта , воротит далеко ни по идеологическим соображениям.
Хотя меня более чем устроила бы сеть в сердце которой стоял бы такой никсовый контроллер, а в качестве маршрутизатора Интернет Контроль Сервер, на хорошем железе(он на прошлом месте работы сеть на 400 компов тянул без вопросов). Поставили вместо циски и не пожалели... Софтовый маршрутизатор он по любому более гибок. Да и "железный" ИМХО сейчас это одно название. В любой современной железке внутри ОСь своя, со всеми вытекающими... Просто оно узкозаточено.

С паролями вот проблемка... завтра доберусь до работы буду думать дальше. Если два виндовых контроллера синхронизируются, значит и с линуксовым теоретически можно.

http://linux.mkrovlya.ru/book/export/html/33

что мешает это допилить?