Поднять домен на базе Gentoo.
bober2000 22 сентября, 2008 - 14:48
Доброго времени суток!
Стоит задача поднять домен.
Клиенты WinXP позднее Linux
Почитав кое что понял что нужна связка OpenLDAP+Samba+bind(или другой DNS)
Сейчас в сети статические адреса - хочеться еще поднять DHCP
Кроме того должна быть сквида и почта - можно ли брать данные о пользователях оттуда же?
В общем жду предложений что читать где гуглить
»
- Для комментирования войдите или зарегистрируйтесь
Ну народ вообще обнаглел!
А может за тебя еще и все настроить?
bober2000 пишет: В
Форум не годится? :)
--
Live free or die
гуглить в гугле
гуглить в гугле и читать то что нагуглил
Такие советы может давать каждый
А конкретику нельзя ли? А настроить я и сам могу мне пример нужен - для того к комьюнити и обратился
"Если тебе нечего сказать - лучше промолчи"
Рекомендации
Рекомендации могут помочь http://www.lissyara.su/?id=1487
Такой вопрос Submitted by
Такой вопрос
Submitted by bober2000 on 26 November, 2008 - 15:57.
Делаю по http://www.gentoo-wiki.info/HOWTO_LDAP_SAMBA_PDC_Basic_Setup
по рекомендации выбрал
database bdb
После говорят надо создать БД - дела с ними не имел ранее - мои действия - а то демон при старте кричит что нету файлов
id2entry.bdb
dn2id.bdb
Что в них вносить?
Почитать меня любимого:
1. http://www.nixp.ru/articles/freebsd_install_openldap_server
2. http://www.nixp.ru/articles/freebsd_ldap_auth_server
(системная специфика принципиальной роли не играет, я старался писать что и зачем делается).
:wq
--
Live free or die
Посмотрел - все нравиться но
Посмотрел - все нравиться но при пуске slapd кричит что не может найти сервер OpenLDAP
Я так понял - смотреть надо в сторону DNS либо hosts ?
.
??? (здесь можно было бы попробовать призвать evadim'а)
slapd == Standalone LDAP daemon, он и есть сервер OpenLDAP!
Степень настройки системы, на базе которой ты пытаешь строить "Контроллер домена" (термин - чистой воды самодеятельность тов. Шурупова)?
Что пишется в логах?
Версия OpenLDAP (у меня описана [пока] 2.3, в Gentoo, правда, 2.4-ветка почему-то замаскирована, надо будет почитать)?
:wq
--
Live free or die
Отбой - странно но он все
Отбой - странно но он все такие запустился
Человек, ты
Человек, ты похоже сам ответил на свой вопрос.
Чем тебе не нравится ссылка http://www.google.ru/search?q=Samba%2BOpenLDAP%2BAD&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:ru:official&client=firefox-a
Если появятся более конкретные вопросы, тогда спрашивай у комьюнити.
samba4.. но
samba4.. но наверное сыро очень.
Если с инглишем порядок, то
Если с инглишем порядок, то первоисточник:
http://us1.samba.org/samba/docs/man/Samba-Guide/happy.html
Вообще эта книжка - покрывает все аспекты администрирования Samba. Нашел бы в бумажном варианте - обязательно купил бы.
Не грусти, товарищ! Всё хорошо, beautiful good!
???
Давайте пофлеймим? ;)
Первоисточником это руководство можно назвать с заметной натяжкой. Особенно с учётом обозначенной предметной области.
Воспроизведение мира виндавс считаю безусловным злом.
А книги на бумаге нужно покупать не только хорошие, но и качественно изданные! :)
ЗЫ: Не подскажете ли мне насколько реально не засоряя локальный
/etc/passwdвывести свою рабочую станцию в виндовс сеть (один файловый Samba-сервер, завязанный на OpenLDAP сервер авторизации в сети уже есть)?:wq
--
Live free or die
Как я понял, контроллер
Как я понял, контроллер домена - на linux. Просто - pam_ldap/nss_ldap с прописываением в конфиге самбы роли "член домена". Ну и net join тоже не забыть.
Не грусти, товарищ! Всё хорошо, beautiful good!
.
Вы не совсем правильно поняли.
Домена в понимании виндовс нет.
Сервер авторизации - OpenLDAP 2.3.не_помню (кстати, интересно почему ветка 2.4 в Gentoo всё ещё замаскирована) с перспективой перехода на 2.4 на FreeBSD 6.3.
Проблема в том, что особого желания переводить механизм авторизации своей рабочей станции на тот же OpenLDAP-сервер у меня нет.
Пока в раздумьях (ибо оно мне не шибко сильно нужно)...
:wq
--
Live free or die
Тогда проще -
Тогда проще - pam_ldap/nss_ldap с ролью "член рабочей группы". Без LDAP никак.
Сейчас 2.4 в маскед, так как еще не отработаны способы включения лдаповских оверлеев. И людей в команде не хватает тоже.
Не грусти, товарищ! Всё хорошо, beautiful good!
.
В смысле: без переноса системной авторизации на OpenLDAP - вариантов нет?
Хорошо. Буду думать...
:wq
--
Live free or die
В общем постановка задачи
В общем постановка задачи такова:
есть домен main.priv
в него надо ввести домен ktp - тоесть будет ktp.main.priv
есть 3 подсети
192.168.3.0/24
192.168.2.0/24
192.168.7.0/24
для которых я должен выступать контроллером домена
Поставил bind вроде настроил - пока не понял как сделать разделение на преобразование имен внутри сети а инет адреса форвардить + хочется еще и dhcp прикрутить для 3ей подсети
читаю доку - установил OpenLDAP сервер для хранения аутентификационных данных
Завел базу вроде все ок
Теперь надо самбу отстроить
и OpenLDAP что бы вместе работали - доки на вики старые очень - и не очень то внятные - везде разные настройки
Ну хотелось бы и прочих радостей жизни типа НТП - но это уже после и думаю проблем не будет
Уррра!!!
Наконец-то пришли к тому, с чего надо было начинать :))) с внятной формулировки постановки задачи (Вы не беспокойтесь, многие самопровозглашённые гуру не способны постичь сего).
Уточняющий вопрос: домен, насколько я понял, имеется в виду DNS, третьего уровня?
???
В смысле "преобразование имён внутри сети"?
Насколько я помню RFC, адреса из 192.168. вовне светить низзя.
Внешние адреса есть? Какие сервисы, предполагающие доступ вовне, предполагается предоставлять?
Честно скажу: с DHCP не работал.
Но в любом случае: прежде чем прикручивать надо [хотя бы для себя] ответить на вопрос относительно назначения/области применимости DHCP (и соответственно - "насколько он реально нужен").
Мои вроде посвежее.
Сопряжение зависит от конфигурации OpenLDAP-сервера авторизации.
Например (для не локального OpenLDAP-сервера, без SSL):
smb.conf:
Помни, что Samba user <> Posix user.
Рекомендую всё же сначала составить список реализуемых функций.
:wq
--
Live free or die
Я почти чайник - но очень
Я почти чайник - но очень стараюсь :)
Почитав доки по bind - пришел к выводу - он работает как кеширющий ДНС сервер и как серер преобразования имен - для домена(тоесть что бы преобразовало машину wks-2505-2 к примеру в 192.168.3.100 и наоборот + насколько я понял он может еще и дописывать суффикс домена тоесть получиться wks-2505-2.ktp.main.priv - поправьте если не прав)
По поводу DHCP - хочеться что бы адреса в 3ей сетке раздавались автоматом - где-то читал что BIND и DHCPD можно настроить на совместную работу
Вовне светить ничего не будем пока
Quote :Уточняющий вопрос: домен, насколько я понял, имеется в виду DNS, третьего уровня?
не понял вопроса тупой наверное :)
Список сервисов:
Шлюз в инет + прокси
Почта
Сервер времени - поставил сам уже разобрался
Ну и все что связанно с авторизацией в домене
.
Кэширующий DNS - да. Ещё он может держать зону (преобразование IP-адрес - имя и обратное).
Насколько я помню, этот момент прописывается на рабочей станции (
/etc/resolv.conf).Может отдаваться DHCP-сервером.
Это-то понятно.
Я про другой вопрос: "что этим выигрывается"?
Логично. Сам не пробовал. Ибо - озвученный выше вопрос.
gentoo.ru - домен второго уровня.
calculator.gentoo.ru - домен третьего уровня.
Так понятнее?
Не достаточно ли просто прокси?
Есть мнение, что формулировку желательно дополнить/уточнить.
В расчёте на локальных почтовых клиентов или не только?..
Ты хочешь завязываться именно на видовс-домен (Samba и прочие прелести)?
Впрочем, централизованного клиента аналогичной функциональности для фрюниксов я не знаю.
:wq
--
Live free or die
По поводу домена - понятно да
По поводу домена - понятно
да домен третьего уровня
Почта - внутренняя + внешняя для определенной группы пользователей
для внешней хочеться спам фильтр + антивир
Прокси будет достаточно
По авторизации я так понял мне хватит OPenLDAP для хранения записей о польз группах и машинах
по поводу отношений между моим доменом и доменом второго уровня надо еще будет проуточнять...
.
Disclaimer: я рассматриваю данную задачу вне контекста "домена windows".
Кстати, рекомендую не забыть про централизованную адресную книгу в OpenLDAP.
Мне тут уже делали справедливые замечания про дисциплину мышления.
Передаю по цепочку :)
Насколько я понял: почта - через клиента на рабочей станции.
Две группы пользователей: которым разрешено посылать (и+или получать --- ???) почту вовне/извне и те, которым низзя.
Так?
Для Window$-клиентов антивирус я бы рекомендовал всегда.
Выбор почтового сервера - в первую очередь определяется воспроизводимой функциональностью.
Спам-фильтр - песня.
Корректного решения для общего случая у меня пока нет.
Критерий: не валить всё на админа, минимизация ошибок типа определение полезных писем в качестве спама.
Первый уровень: контроль/ограничение нагрузки (в первую очередь для обеспечения работоспособности почтового сервера: рассылка спама может выглядеть как DDoS). На нём же - отсев наиболее тупых спаммеров. Рекомендую посмотреть на assp
Второй уровень - рабочая станция. Клиент - Thunderbird. При использовани адресной книги (и запрете классификации в качестве спама писем от адресатов, занесённых в неё) обученный спам-фильтр в рабочем режиме (постоянное коррекционное обучение, перерыв не более 3-4 суток) ловит больше 95% спама при фактически нулевом проценте недопустимых ошибок.
Добавь централизованную адресную книгу.
ИМХО твой список избыточен.
Почта извне будет приходить на адреса типа
?
IP-адрес внешнего интерфейса зарегистрирован в домене второго уровня?
:wq
--
Live free or die
Изменение постановки
Изменение постановки задачи:
Есть 3 сети как я говорил ранее
192.168.3.0/24
192.168.7.0/24
192.168.2.0/24
Есть сервер виден из всех сетей server_ktp с выходом в инет
нужно создать домен - KTP никак не зависящий ни от кого - сугубо внутренний
Организовать авторизацию пользователей
Доступ на внутренний HTTP,FTP сервера
Раздачу Инета для определенной группы
Почту для определенной группы
DHCP для 3й сети
Тоесть задача упростилась в принципе
Сейчас завис на настройке bind- кеширующий сервер работает - форвардит запросы на вышестоящий все хорошо - для внутренней надо прописать зоны пока не разобрался что к чему - я так понял что без разрешения имен внутри сети - OpenLDAP сервер просто никто не увидит - соотв и авторизации не будет - посоветуйте мои дальнейшие действия
.
Замечательная формулировка :)))
В таком виде Samba на... (здесь временно опущено заклинание вызова evadim'а) не нужна.
Внешний IP-адрес есть?
Disclaimer: вкусовщина. Два порта на Cisco выделить можешь (и есть ли возможность воткнуть в сервер две сетевые карты)?
Я бы один физический интерфейс выделил на связь с внешним миром, к второму через vlan подключить внутренние сетки.
С учётом вышесказанного скажу: хватит ругаться непотребными словами.
"Домены" оставим виндузятникам.
В рамках твоей задачи лично я (disclaimer на этот счёт уже приводился) в "домене" (в понимании виндовс) смысла не вижу.
Не берите пример с убогих.
Это - лишь средство, но никак не задача!
Т.е. HTTP только внутренний? Какая функциональность необходима?
FTP: опять же - какой/куда доступ? И ещё один вопрос: почему не рассматривается вариант с использованием NFS?
Реализуется посредством авторизованного доступа - база пользователей (реальных ли, виртуальных ли) в OpenLDAP и/или элементарно по IP (здесь авторизация не нужна).
Базу пользователей можно хранить на том же OpenLDAP-сервере. Тип пользователей (реальный/виртуальный) по вкусу.
Зачем тебе нужен DHCP (и чего ты выигрываешь этим относительно статического распределения IP-адресов) ты знаешь?
Почему?
Ведь в pam/nss_ldap можно прописать IP-адрес сервера...
Да, в рамках твоей задачи для изящества я бы рекомендовал подумать над структурой дерева LDAP (грубо говоря: сколько категорий пользователей с различными правами доступа к ресурсам у тебя будет), или как ты предполагаешь разруливать права посредством атрибутов...
bind у меня не установлен (и на Gentoo я его не видел).
Поэтому краткий общетеоретический экскурс:
В
named.confпрописываешь объявления зонlocal1.mydomain.ruиlocal2.mydomain.ru(не забыв про обратные).После чего расписываешь содержимое этих зон (ссылка на принципы написания уже приводилась, не претендующие на абсолютную истинность примеры заполнения могу привести)
:wq
--
Live free or die
Цитата:bind у меня не
Вы хотите сказать что bind для Gentoo не существует?
А что такое net-dns/bind ?
Подозреваю, что связка DHCP+BIND лишней не будет.
-----------------------------------------»
если хочешь послать в MAN, лучше промолчи.
BIND был побежден
BIND был побежден прописыванием правильных зон но захотелось добавить DDNS
И вот тут после прописывания всех опций как в http://www.lissyara.su/?id=1256
в логах кричит что не знает опции key в named.conf :(
Никто не знает что делать?
Вроде опцию победил но теперь
Вроде опцию победил но теперь при старте демона в chroot режиме ставит знаки восклицания и молчит
смотрел в /var/log/everything раньше там ругался теперь нет
При установке было сказанно настроить metalog на просмотр /var/chroot/dhcp/dev/ что то там - как это сделать нигде не нашел :(
Ссылочку не подскажете?
.
Я бы начала с анализа вывода
$eix bindЛично у меня интерес вызвал следующий пакет:
net-dns/bind-dns-keygen.:wq
--
Live free or die
DHCP+BIND заработал как надо
DHCP+BIND заработал как надо - описание выложу позже на вики
Вопрос следующего характера - какие структуры надо в БД прописать для организации авторизации?
Я так понимаю мне нужно добавить записи для компьютеров, груп и пользователей?
Предложения?
.
Нет конечно.
Это просто такой disclaimer, на предмет того, что я могу не знать некоторого количества gentoo-специфичных моментов в администрировании BIND'а.
Может быть в таком случае Вы поясните мне смысл DHCP (в чём и какой выигрыш он даёт)?
:wq
--
Live free or die