Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: Перенос пользователей в Samba4 DC AD  (Прочитано 4462 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн ivul

  • Автор темы
  • Любитель
  • *
  • Сообщений: 83
    • Просмотр профиля
Перенос пользователей в Samba4 DC AD
« : 17 Января 2018, 14:52:09 »
Приветствую!

В настоящее время работает связка Samba3 + OpenLDAP (Ubuntu 12.04.5). Есть планы перевести её на Samba4 AD (Ubuntu 16.04), да ещё и домен переименовать.

С установкой нового сервера и поднятия Samba4 DC AD проблем не возникает. Встаёт, работает.
А вот как перенести пользователей со старого сервера на новый, пока не понятно.

Кто выполнял такую миграцию, поделитесь опытом. Каким способом её лучще осуществить?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: Перенос пользователей в Samba4 DC AD
« Ответ #1 : 17 Января 2018, 15:06:47 »
Хотите очень короткий, но дельный совет?
Не делайте этого. Даже не думайте об этом.
Особенно в свете "домен переименовать."
Просто создайте новый домен на Samba4 и один раз пройдите через эту боль.
Сэкономите себе очень, очень, очень большое количество нервных клеток.

P.S.
Подсказка - ПЕРЕИМЕНОВАТЬ домен просто нельзя. Вообще. Никак. Только создать новый, затрастить его и перекидать пользователей. Что само по себе проблематично.

P.P.S.
На контейнер с Samba4 обязательно ставить samba-dsdb-modules, без этого провизионинг домена не удастся.
А этот пакет почему-то только в рекомендуемых  стоит, вместо прямых зависимостей.
« Последнее редактирование: 17 Января 2018, 15:09:42 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ivul

  • Автор темы
  • Любитель
  • *
  • Сообщений: 83
    • Просмотр профиля
Re: Перенос пользователей в Samba4 DC AD
« Ответ #2 : 17 Января 2018, 15:17:04 »
Ну, а как перенести пользователей? Ручками? Из ldif? Ещё как-нибудь?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: Перенос пользователей в Samba4 DC AD
« Ответ #3 : 17 Января 2018, 15:32:42 »
Просто завести ручками со старыми логинами и флагом "сменить пароль при первом входе".
Не пытайтесь никак "импортировать". Просто поверьте на слово - такой секс не стоит никаких денег. Даже если пользоватей две сотни, проблем после такого "импорта" будет просто в 200 раз больше.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ivul

  • Автор темы
  • Любитель
  • *
  • Сообщений: 83
    • Просмотр профиля
Re: Перенос пользователей в Samba4 DC AD
« Ответ #4 : 25 Января 2018, 13:44:41 »
Хорошо.
Сервер свежеустановленный, контроллер AD поднят. Пользователей можно внести ручками, а можно выгрузить в текстовый файл, который засунуть в скрипт.

Но есть ещё одна закавыка.
Начальный домен создавался командой: "samba-tool domain provision --use-rfc2307 ..."
Параметр --use-rfc2307 требуется для того, что unix-атрибуты хранились в AD.
Собственно, после создания AD значения uid-ов и gid-ов начинаются от 3000000 (на моём старом сервере меньше). Величины генерируются автоматически, и как на них повлиять я не понял.

Здесь: https://wiki.samba.org/index.php/User_and_Group_management предлагается в файле samba/private/idmap.ldb изменить параметр xidNumber.
Здесь: https://wiki.samba.org/index.php/Adding_users_with_samba_tool предлагается в файле samba/private/sam.ldb добавить пользователю параметры uidNumber и gidNumber, которые и должны стать основными uid и gid. Этот же файл редактируется из-под Windows с помощью утилиты "Active Directory - пользователи и компьютеры", в которой в свойствах пользователя на вкладке "Unix Attributes" можно задать uid, gid и др. При этом на сервере в файле samba/private/sam.ldb у пользователя появляются атрибуты uid и gid, а не uidNumber и gidNumber.

Только эти манипуляции к желаемому результату не приводят. На сервере у пользователя, созданного в Samba, uid 3000017 и не меняется.

Как пользователям и группам, созданным в Samba 4 DC AD, присвоить нужные параметры uid и gid?
« Последнее редактирование: 26 Января 2018, 15:27:17 от ivul »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: Перенос пользователей в Samba4 DC AD
« Ответ #5 : 25 Января 2018, 16:00:44 »
Не надо на них никак влиять. Сказал же, не импортируете ничего, заводите новых пользователей.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ivul

  • Автор темы
  • Любитель
  • *
  • Сообщений: 83
    • Просмотр профиля
Re: Перенос пользователей в Samba4 DC AD
« Ответ #6 : 25 Января 2018, 17:09:13 »
А какова гарантия, что на BDC или другом файл-сервере uid-ы и gid-ы совпадут с PDC?
Помниться, Samba генерировала unix-идентификаторы по своему усмотрению и на разных машинах по-разному. Для того её и прикручивали к LDAP. Но теперь-то LDAP у неё свой.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: Перенос пользователей в Samba4 DC AD
« Ответ #7 : 25 Января 2018, 18:07:23 »
Если uid/gid раздаёт AD (а если вы нормально настраивали, то так и будет), то, естественно, гарантия 100%.

Пользователь добавил сообщение 25 Января 2018, 18:08:27:
Помниться, Samba генерировала unix-идентификаторы по своему усмотрению
Дело не в генерации, а в настройке AD во-первых и Самбы во-вторых.
Повторюсь ещё раз, чтобы в голове отложилось: как настроите, так и будет работать.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ivul

  • Автор темы
  • Любитель
  • *
  • Сообщений: 83
    • Просмотр профиля
Re: Перенос пользователей в Samba4 DC AD
« Ответ #8 : 26 Января 2018, 07:11:07 »
Нормально - это как? Можно конкретный пример?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: Перенос пользователей в Samba4 DC AD
« Ответ #9 : 26 Января 2018, 08:48:16 »
Конкретно - прописать uid/gid в AD и грузить их оттуда.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ivul

  • Автор темы
  • Любитель
  • *
  • Сообщений: 83
    • Просмотр профиля
Re: Перенос пользователей в Samba4 DC AD
« Ответ #10 : 26 Января 2018, 09:32:30 »
Понятно с вами. Нет желания отвечать, нах... было вообще встревать?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: Перенос пользователей в Samba4 DC AD
« Ответ #11 : 26 Января 2018, 11:13:05 »
Нет желания понимать ответы - не задавате вопросы.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ivul

  • Автор темы
  • Любитель
  • *
  • Сообщений: 83
    • Просмотр профиля
Re: Перенос пользователей в Samba4 DC AD
« Ответ #12 : 26 Января 2018, 12:16:46 »
Умничать я и сам умею.

Если uid/gid раздаёт AD (а если вы нормально настраивали, то так и будет), то, естественно, гарантия 100%.

Пользователь добавил сообщение 25 Января 2018, 18:08:27:
Помниться, Samba генерировала unix-идентификаторы по своему усмотрению
Дело не в генерации, а в настройке AD во-первых и Самбы во-вторых.
Повторюсь ещё раз, чтобы в голове отложилось: как настроите, так и будет работать.

Вывод команды #getent passwd | grep test1

На основном сервере:
COMPANY\test1:*:3000045:100:test1:/home/COMPANY/test1:/bin/false

На станции с аутентификацией winbind:
COMPANY\test1:*:4294967295:4294967295:test1:/home/COMPANY/test1:/bin/false

Вот я и спрашиваю, как "нормально настроить". Пример можете привести?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28469
    • Просмотр профиля
Re: Перенос пользователей в Samba4 DC AD
« Ответ #13 : 26 Января 2018, 14:19:48 »
RSAT - AD users - User properties - UNIX attributes - uid/gid/etc.
И, да, winbind. Как ни странно.

Пользователь добавил сообщение 26 Января 2018, 14:56:56:
Ну и просто чтобы вам стыдно стало, https://github.com/AnrDaemon/samba4-ads/tree/master/etc/samba
« Последнее редактирование: 26 Января 2018, 14:56:56 от AnrDaemon »
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ivul

  • Автор темы
  • Любитель
  • *
  • Сообщений: 83
    • Просмотр профиля
Re: Перенос пользователей в Samba4 DC AD
« Ответ #14 : 26 Января 2018, 15:26:31 »
RSAT - AD users - User properties - UNIX attributes - uid/gid/etc.
И, да, winbind. Как ни странно.
Так именно об этом я и спрашивал выше
https://forum.ubuntu.ru/index.php?topic=295496.msg2324104#msg2324104

Ну и просто чтобы вам стыдно стало, https://github.com/AnrDaemon/samba4-ads/tree/master/etc/samba
Пока ничего нового. Мои конфиги почти такие же. Знаете ли, тут: https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller про настройку сервера достаточно хорошо написано. Вот инфы о пользователях маловато будет.

 

Страница сгенерирована за 0.051 секунд. Запросов: 25.