сервер - PDC и шлюз
некоторое время назад я озаботился созданием сервера (в дальнейшем - серверов) для небольшой организации, поднимал здесь соответствующие вопросы и получил массу полезных советов.. Логично подумав, что слона надо есть по частям, рашил начать с организации PDC (погуглив, понял, что этот термин употребляется в очень широком значении), я имею в виду что в моем случае PDC - это сервер, хранящий и управляющий БД пользователей и паролей, которая используется для организации доступа к разнообразным ресурсам )
Что я пытаюсь сделать на данном этапе - это всего лишь настроить openldap для (пока) изолированного домена (не ругайте за это слово), DNS и DHCP, чтобы ко всему этому могли подключаться win клиенты. Начал с чтения документации и понял, что я совершенно не понимаю того, как все это надо делать (возможно, я пытаюсь подогнать свой опыт в администрировании windows server к данной задаче), но тем не менее, дочитав несколько мануалов до середины, я понял, что без практики я уже забыл, что было в начале ))) и еще я понял, что не получится как в виндах, сначала хоть что-то сляпать а потом по ходу дела разбираться и правильно настраивать... куча прочитанных статей меня окончательно запутали...
Установил openldap как написано в Gentoo Guide to OpenLDAP Authentication, добавил в базу минимальную структуру - users, groups, computers. а что дальше нужно делать - не знаю ))
кто и как будет хранить/аутентифицировать пользователей (nss_ldap?), какой DNS и DHCP сервер выбрать, как это все вместе связать...
Посоветуйте плз, куда тыкаться, что почитать ))
- Для комментирования войдите или зарегистрируйтесь
к сожалению, для опенлдапа я
к сожалению, для опенлдапа я не советчик - тут и без меня есть кому.
Так вот эти товарищи, которые есть, утверждали, что данная дока старее кое чего от мамонта и не шибко прогодна
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
я, конечно, сумбурно все
я, конечно, сумбурно все изложил, ну тут конечно, же не моя вина - это все микрософт мне мешал головой думать, подсовывал готовые интегрированные решения..))) а как пришла пора самому все строить - понял, что я в основном изучал, как что-то сделать, а не "что это такое" и "как это работает". Общей концепции я толком не знаю, оказывается ))
Но тем не менее, если вспомнятся какие-либо факты либо советы по моему вопросу - будет очень замечательно
Beelzebubbie написал(а): я,
Завтра часам к 10-11 я должен окончательно проснуться.
Стучись в джаббер, завернём в чятик и всё обсудим :)
:wq
--
Live free or die
а на GMT+сколько
а на GMT+сколько ориентироваться? )
Beelzebubbie написал(а): а на
MSD (GMT+4)
:wq
--
Live free or die
стучусь... не открывают )
стучусь... не открывают )
Beelzebubbie
Откуда и куда? :
Beelzebubbie@gentoo.ru не в сети.
А в комнату
ldap_auth@conference.gentoo.ruможно зайти и без авторизации :):wq
--
Live free or die
это все микрософт мне мешал
да ладно, 70-29* вполне вменяемы .
Просто у тебя неистребимое желание сделать точно как там. Это контрпродуктивно.
По теме -я уже оговорил о бумагах ?
Очень трудно что то сделать, если не знать что именно должно получится в результате :)
П.С товаришши с самбой как ntlm аутентификатором могут строить свои велосипеды дальше
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
ntlm
ну это ясно не дело - Kerberos as the preferred authentication protocol for Windows 2000 and subsequent Active Directory domains
- вот, вот! Как иначе-то как раз и вопрос )
- что должно получиться, я знаю, а что именно - пока нет..
ну это ясно не дело -
Отмечаю значительное сближение позиций по этому поводу :)
тогда можешь начинать с NTP - ибо без него Кербероса не бывает, а рассказать толком xp про твой сервак ntp моно только через gpo/lp.
П.С в Линухе, к сожалению, народ любит самбовские велосипеды в стиле NT4,т.к считает винды страшным, непонятным и глючным черным ящиком.
( я так только глючным :) )
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
при NTP - действительно, пес
при NTP - действительно, пес меня за это кусал уже когда-то давно )
тут плз поясни - NTP это Network Time Protocol в данном случае или что-то чего я не знаю? ) вроде как по смыслу да, поскольку керберос требует расхождения по времени не больше заданного...
тогда при чем тут MS политики?? адрес NTP сервера через DHCP раздаецца.. ниче не понял, но здорово )
дрес NTP сервера через DHCP
Ну да. ну да :)
Ты сначала расскажи ей про версию протокола от твоего сервера ( ми видел целых 3), про время и частоту синхры и прочие подобные вещи
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
ну не знаю, есть ли тут
ну не знаю, есть ли тут проблема... в любом случае есть всякие обходные варианты.
завтра попробую
--------------
уже попробовал, дождался стратума 2, в окошечке датавремя указал сервер и пожалуйста: на машине с хр "время было удачно синхронизировано с msrv.local на 06.08.2010 в 2:21"
проверим по-другому:
w32tm /config /manualpeerlist:msrv.local /syncfromflags:MANUAL /update
w32tm /resync /nowait /rediscover
о5 работает...
так что проблемы нет
про время и частоту синхры
Или запустил ntp сервер встроенный ?
Что делать при уходе более получаса ? :)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
запустил на генте ntp сервер
запустил на генте ntp сервер и настроил winxp клиента на синхру с ним.. не совсем понял, в чем вопрос? без разница какая разница (уход) между по крайней мере win клиентом и сервером - есть стратум сервера больше, то не обновится, но тут win реализация не причем ведь? в конце концов при запуске win клиент пусть делает грязное обновление времени с хостом сервера (на случай проблемы с инетом) - здесь даже ntp сервер не нужен. керберосу хватит )
slepnoga написал(а): П.С в
Ничего...
Стоит тебе закопаться достаточно глубоко, он станет и непонятным, и даже страшным... :)
:wq
--
Live free or die
slepnoga написал(а): Так вот
Дока где-то устарела, где-то упрощена.
Хотя местами всё ещё зело хороша. Но, увы, только местами...
Причём, ЕМНИП, отдельные рекомендации там... несколько не соответствуют действительности (не ведут к получению работоспособной системы).
:wq
--
Live free or die
Хотя местами всё ещё зело
Ну да, на разворот сервака надо убить день, читаяя логи прочуюю фигню
Я тут засек - известная тебе штукенця отдает залитую лдифом инфу ( в силент режиме) через 8 минут после запуска __pkg_setup()__
P.S мдя, и благодаря qnikst я таки думаю, что к 1-му октября я поимею 389 как сторадж сертов с ЦА и прочими поэтессами
П.С.С Ну а благодаря maksbotan'у ( yes,сюрпрайз) - sssd
так что если ты все так же будеш обходить рион стороной - то это может пройти мимо тебя :)
Compute:
Bosch M2.8.1 -> custom Bosch M2.8.3 clone from Russia.
Speed about 260 km,Ram 2 pers.,HDD - 70 kg,210 FLOPS ;)
.
Серверная сторона --- это конечно хорошо...
А что у нас с клиентской? :)
И чему ты так удивляешься? :)
:wq
--
Live free or die
Хранить пользователей, в
Хранить пользователей, в любом случае, будет лдап-сервер. Аутентифицировать в зависимости от нужд:
1. Линукс клиенты - nss_ldap
2. Виндоус( м.б. мак) клиенты - надо поднимать аналог домен-контролера виндоус(как вариант Samba + OpenLDAP). Этот(Самба) вариант поможет перенести пользователей из виндоус домена.
DNS, DHCP(мои предпочтения): bind, dhcp.
С уважением.
В свое время на курасх мы
В свое время на курасх мы делали контроллер домена на ubuntu server под самбой если надо магу кинуть ссылку на то как это происходило...
и там-же делали аутентификацию и авторизацию linux клиентов в виндовом домене(AD)
ок, однако ntlm/ntlm2 -
ок, однако ntlm/ntlm2 - изрядно устаревшая технология со времен появления win2k. Есть ли какие-либо наработки в связке ldap+kerberos, как нативной аутентификации?