Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Samba+AD  (Прочитано 818 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн andr0n

  • Автор темы
  • Новичок
  • *
  • Сообщений: 1
    • Просмотр профиля
Samba+AD
« : 25 Сентября 2015, 10:56:57 »
Вопрос по Самбе

1. Имеется лес в AD LAB.LOCAL из 1000 рабочих мест  в каждом OU (01, 02, ... 10) по 100 машин. 
2. Настроена доменная авторизация пользователей AD + прокси AD+NTLM+squid+sams
Сейчас samba настроена так что в ней виден весь лес AD wbinfo -u но мне поставлена задача так чтобы ограничить доступ к другим и видеть только одну OU т.к наше подразделение отвечает только за одну OU а видеть других не дано.

Вопрос 1: как это реализовать?
У меня есть предположения что можно или в smb.conf или параметрами команды ввода в домен net ads join LAB.LOCAL -U user_ad

Вопрос 2: какова нагрузка на контроллер домена AD при имеющейся настройке когда прокся цепляется ко всему лесу AD?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Samba+AD
« Ответ #1 : 26 Сентября 2015, 18:55:58 »
1. В этом нет смысла. Теоретически ограничить можно, но геморроя это добавит изрядно.
2. Нулевая. Практически.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн n2011all

  • Новичок
  • *
  • Сообщений: 27
    • Просмотр профиля
Re: Samba+AD
« Ответ #2 : 08 Октября 2015, 03:28:05 »
Если я правильно понял Вашу задачу, то
1- Задача распределенного просмотра (browse_master) по юнитам (OU) решается со стороны домена AD применением политик а не наоборот со стороны юнита. Исключение может быть если у Вас есть права на установление политик в Вашем юните и то только начиная с 2008R1
2- Насчет самой самбы, есть интересный вариант в связке с Ldap (поднимаете Ldap, в нем ограничиваете базу юсеров только Вашим юнитом)
Такая же схема возможна и со стороны домена АD (особенно на 2012-м - службы федерации и лдап в нем встроены изначально) Подробно поищите на technet (ad+ldap+samba)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Samba+AD
« Ответ #3 : 08 Октября 2015, 14:58:41 »
n2011all, а ничего, что АД изначально работает на LDAP?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Elvis14015

  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Re: Samba+AD
« Ответ #4 : 11 Декабря 2015, 15:43:33 »
Здравствуйте, помогите советом и делом. Имеется сервер с AD  под управлением Win server 2003  и порядка 20-ти рабочих станций с Windows xp. Поставлена задача перевести часть рабочих станций на линукс, в качестве дистрибутива был выбран Ubuntu 12.04 лтс. Сказано-сделано , установил, добавил самбу, керберос и вингбинд...настроил...и тут приехали. Компьютеры сети он видит,но при входе на ресурс требует пароль. При печати по сети та же ситуация...авторизуемся по каждому принтеру отдельно...естественно бухгалтер это делать не будет, тем более в терминале... При попытке входа через окно входа не авторизуется... Пробовал настроить через линквайз (удаляя вингбинд) та же история... пишет что все хорошо и мы в домене, а по факту нет...

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Samba+AD
« Ответ #5 : 11 Декабря 2015, 23:50:57 »
А теперь то же самое, но минус лирика и плюс конкретика.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Elvis14015

  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Re: Samba+AD
« Ответ #6 : 14 Декабря 2015, 09:39:28 »
Итак по порядку:
работа велась согласно вот этой инструкции
http://jtprog.ru/ubuntu-in-domen-windows/
вот содержание файла krb5.conf

(Нажмите, чтобы показать/скрыть)

на введение команды  klist выдает следующее:
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_1000)

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Samba+AD
« Ответ #7 : 14 Декабря 2015, 14:30:22 »
net ads testjoin
?

wbinfo -t
?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Elvis14015

  • Новичок
  • *
  • Сообщений: 3
    • Просмотр профиля
Re: Samba+AD
« Ответ #8 : 14 Декабря 2015, 15:15:58 »
(Нажмите, чтобы показать/скрыть)

вингбинд был удален так как он не совместим с likewise

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Re: Samba+AD
« Ответ #9 : 14 Декабря 2015, 15:34:59 »
Ясно.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.063 секунд. Запросов: 23.