Docela se tesim na nasledujici dil a doufam, ze bude LDAP podan i v ponekud jinych souvislostech, nez v nasich luzich doposud byva. O tomto bajecnem protokolu jsem psal diplomku, ale nedostal jsem se k vyzkouseni vsech moznych figlu s LDAPem, prave zminene Sambe, spojenim s digitalnimi certifikaty apod.
Zdravím, Sambu jsem zaváděl na serveru asi před půl rokem, nicméně jsme nepřecházeli z NT ale z Novella 4.11, neb nám serverové železo po osmi letech začalo pomalu odcházet. A proč ne NW services for Linux - pro našich 15 uživatelů se mi to zdá být příliš velké "dělo".
Narazil jsem na několik poměrně nepříjemných problémů, které jsem z větší části vyřešil a doufám, že se tady dozvím, že i správně.
- zařazení uživatelů do skupin (tady bych potřeboval prektické rady, jak je to s těmi built-in a domain skupinami a synchronizací)
- nastavení ovladačů tiskáren (naprosto pekelné jsou HP s jejich setup.exe), ještě jsem se nedostal k nastavení PDF generátoru
- login skripty s mapováním podle skupiny (to je poměrně zákeřné)
- volba zálohování (běží mi tam Arkeia, abych využil pásku DDS-4)
Od instalace všechno běží v pohodě, nicméně byly nějaké "potíže růstu" s už. právy na stanicích plus některé SW (např. Picture Manager z Office 2003) se začaly chovat divně, za což ale nemůže Samba (na webu si stěžují i "normální" správci NT sítí).
prechod na samba PDC som riesil zhruba pred rokom a pol, vtedy este s obmedzenou funkcionalitou na sambe 2.2.x, no natrapil som sa jak kon, ale odvtedy (hlavne po po upgradouch na verzie 3.0.x) mam konecne pokoj - a ako uz autor spominal, usetrene prachy za SW sa dali na vylepsenie HW, a server sluzi ako PDC, print server, mail server, intranet server a terminal server pre krafickych linuxovych klientov
Kdyz jsem byl na vojne na ministerstvu obrany, tak se mi podarilo nakonfigurovat sambu jako druhy PDC pro jejich interni domenu - byl jsem docela prekvapen jak rychle me odstrihli od site :-).
NT LM je fajn ale myslim ze je pomalu mimo misu. Dost by me potesil podobny clanek zamereny na AD, LDAP s overovanim pres Kerberos. To by bylo dost dobry.
Ondra
Ano, nastavoval jsem to oproti MS SBS 2003.
Do verze 3.0.5 mela Samba problemy s vyprsenim Kerberos ticketu. Musely se pak cca 1 denne restartovat sluzby nmb, smb a winbind.
Jakmile se spravne nastavi kerberos a vygeneruje se na Win2003 spravny klic pro Sambu, pak to chodi bezproblemu.
Mohl byste prosim uvest nejake blizsi informace ohledne nastavovani Kerbera (klidne na mail, vzhledem k tomu, ze je to tak trochu off topic)? Tim nemyslim veci tykajici se strany linuxu, ale zalezitosti tykajici se Win. Pred nejakou dobu jsem se snazil integrovat sambu do Win 2000 AD, a musel jsem to vyresit pouze pomoci winbindu (krb5 mi proste nejak nefungoval)... Mate nejake zkusenosti s poctem uzivatelu a skupin, jake je samba schopna z AD prijmout? Pri pokusu o integraci do site s cca 20.000 uzivateli a asi 50.000 prvky typu skupina, pc,organizacni jednotka apod. jsem u samby brutalne narazel na vykonnost (samotny winbind bez krb a ldap to uz asi nezvlada?)...
V sepsani neni problem, jen jsem ted mimo republiku a nemam pristup k tem serverum, abych si ten postup overil spravne.
Hmm, tak s takovymi pocty uzivatelu jsem nepracoval. Rozchazel jsem to oproti Small Businessu, ktery ma maximum 75 uzivatelu. :) Takze s vykonnosti pri takovych poctech uzivatelu nemohu slouzit.
U Win2003 tedy konkretne Small Business, je nutne na sambe pouzit krb5, bez toho to nechodi vubec. :(
No, já jsem winbind zkoušel taky, ale on prostě nechodí..je skutečně hrozně pomalý, zkuste si při winbindu dát getent passwd.<br>
Hlavním problémem winbindu je, že mapování mezi uživately a sambou provádí při každém volání getent passwd (tedy lépe řečeno GNU či jaké funkcí, co jsou pod tím). Takže skoro vždycky když chcete dát požadavek na passwd, stáhne se kompletní seznam uživatelů, přiřadí se jim dle ID mapování a pak se teprve třeba zjistí, že ID 1234 patří win uživateli f996235.<br>
Lepší řešení je integrace uživatelské DB přes LDAP, ta se dá v RedHatu naklikat, do Debiana dopsat, o čemž bude druhý díl.
Postup pro pridani samby do domeny s W2K3.
1) Vytvorit ucet pocitace a uzivatele v mmc Active Directory managementu.
2) pote se vygeneruje keytab pro Sambu pomoci ktpass.exe. Tento soubor je k nalezeni na Windows Server 2003 CD. Je soucasti Support tools. Syntaxe je nasledujici:
ktpass -princ host/hostname@NT-DNS-REALM-NAME -mapuser account -pass password -out UNIXmachine.keytab
3) po te se tento soubor prenese na Sambu a tam se naimportuje do kerbera:
mv UNIXmachine.keytab /etc/krb5.keytab
Snad to pomuze.
Zdravim,
Samba je skvela vec, ale podle mne v dnesni dobe jiz nestiha jako PDC, na sdileni souboru je naprosto super.
Technologie jako AD a NDS vysoce prevysuji moznosti Samby, ktera v nekterych oblastech dohani schopnosti NT4 PDC, jinde standardni PDC jiz prevysuje.
AD, nebo NDS neni jen o tom, ze se vyuziva LDAP. LDAP se v techto technologiich vyuziva jen jako uloziste. Jenze je tam obrovske mnozstvi veci navic. U AD jsou to napriklad GPO (Group Policy Objects).
Pokud spravcum staci moznosti, ktere poskytovaly NT4 PDC + nektere funkce navic, pak je Samba skvela vec.
Pokud styl NT4 PDC nevyhovuje, poohlednete se i po moznostech AD, ci propojeni Samba+NDS.
David Lukastik
Mate pravdu. Nicmene ze sveho okoli soudim, ze vetsina firem do nejakych cca 50 PC si s NT4/Sambou bohate vystaci a diky Sambe vyrazne usetri.
Pokud se ve firme misto NT4/Exchange/WinRoute nasadi Samba/Postfix+LDAP adresar (napr.)/IPTables/Squid, funkcnost zustava obdobna, cena vyrazne nizsi a (z mych osobnich zkusenosti) rychlost prace se sitovymi zdroji se zvysi.
Pokud se ExChange pouziva pouze jako mail, pak samozrejme. :)
Ja to take tak casto pouzivam, nekdy je tato kombinace (Samba Postfix, LDAP) pomerne tezce pouzitelna. :( A webove groupvary bohuzel nesplnuji nektere pozadavky, hlavne jako offline pristup.
Videl jsem nejaky opensource groupware, myslim vychazel ze Skyrixu, ale to uz jsme od PDC pekny kus cesty. :)
...ale doporucil bych autorovi pro priste se vyvarovat vylevu jako je "asi nikdy nebudete muset ztrácet nervy s panem Sponkou"
Zrovna sponku v kterekoliv verzi Office neni problem vypnout, jsou to jen 2 kliknuti a uz nikdy neotravuje. Zbytecne se tak autor zesmesnuje pred lidmi a stavi se do pozice fanatika, coz je jen a jen skoda, protoze tim muze zbytecne podkopat to, co jinak rika.
...a mna tiez nebavi robit 2 kliknutia pre kazdu office aplikaciu, pretoze toto si musi clovek zvolit separe vo Worde, Exceli, PowerPointe, Accesse, Outlooku. Takze autorovi sa vobec necudujem, ze danu sponku spomenul...
BTW: Je jedno pekne prislovie, ktore znie "Podla seba sudim teba", takze skor Vas prispevok mi pripominal vyrok fanatika
No ja nevim.
Ja to vypnul dvemi kliknutimi ve Wordu a ani Excel, ani Outlook, ani Powerpoint ani Acess mi toho pomocnika nezobrazuje. Jakto?
I kdyby to tak nebylo, tak 10 kliknuti pri prvnim nainstalovani jednou za x let mi opravdu nepripadne jako vazny duvod neustale to psat do vsech clanku; zvlaste do clanku ktere o problematice office softwaru nepojednavaji.
Chapu ze Linuxova komunita nema rada oznacovani za fanatiky; ale pokud budou takovehle nesmysly neustale psat do vseho, pak se nesmi divit ze ji tak lide vidi. Nebo snad Vam prijde normalni, abych do clanku napriklad o instalaci ActiveDirectory napsal treba to, ze zmena rozliseni Tucnaka je slozitejsi nez ve Windows? Neprislo by Vam to trosku demagogicke?
No, ja jsem tu zminku myslel ironicky..copak Vam chyby smysl pro humor?
Pan Sponka ma hold tu nevyhodu, ze se objevuje v mem pripade vzdy, kdyz ho nepotrebuji, radi me kraviny a jeste nevim, jak ho poradne vypnout, jelikoz na to je trik pres prave mystako, ktery jsem jeste neprohlidl.
Slo me o to srovnat vyhody a nevyhody zvoleneho reseni, v dalsim dilu (ci dilech) uz pujde jenom o funkcnost, takze veskere narazky na jakekoliv aplikace pujdou stranou..
Prechod z WinNT PDC na Sambu jsem resil v roce 2001, popis http://www.akira.cz/modules.php?name=News&file=article&sid=6
Od te doby to funguje bez problemu, bez BDC a s velkou vykonovou rezervou: 80 stanic, pevna pracovni doba, spicka rano a odpoledne 60% IDLE, jinak zatez pod 10%, server 930MHz, 512MB viz. http://www.abclinuxu.cz/hardware/show/1405
Na pokracovani LDAP se uz docela tesim.
No jo kamo, jenze za prve mas lehlou databazi na PHPNUKE (nejak casto ne? ;-) a za druhe - a to hlavne - SAMBA je v roce 2004 davno nekde jinde!!!
Tvuj navod jsem pouzil, kdyz jsem si zacal se SAMBOU hrat dukladneji asi pred dvema lety, nicmene uz v te dobe byl ponekud out. Dneska je pro SAMBU3 totalne mimo. Neda se nic delat, vyvoj nezastavis... :-)
Btw i tenhle navod na Rootu trpi par nepresnostmi a hlavne cely postup migrace NT4 PDC na SAMBU3+LDAP (nebo MySQL) lze udelat podstatne jednoduseji, rychleji a bez obchazeni stanic. Vyzkouseno prakticky na dvou LAN (22 a 65 stanic s NT4 a W2K). Cela operace hotova za sobotu vcetne kompletniho pretazeni 60GB dat. Loseri by v pondeli rano ani nepoznali, ze jedou na necem jinem, kdyby se jim dabelsky nezrychlily odezvy serveru :-))))
Ale i tak je tenhle navod pro mnohe urcite prinosem, kdybych nebyl linej jako ves, mohl jsem to sepsat taky. Ale znate to ze? :-\
Hehe nechci... Ale musim :-) Jelikoz jsem byl nekterymi stouravymi (widloidnimi) kolegy donucen sepsat dokumentaci k zalezitosti, ktera jim jaksi nejde na rozum, je pravdepodobne, ze poupraveny dokument zverejnim v duchu open/free information (coz samozrejme ctim ;-) ). Zajimave je, ze lidi, kteri odiraji zakazniky a tahaji z nich tezky prachy za sluzby, ktery je mozny plnohodnotne postavit na OSS, nejsou ochotni pochopit, ze widloserver s ikscendzi a deravym iis+asp/vb intranetem za cca ctvrt megakacek lze nahradit necim, co nestoji nic a investovany cas do implementace a naklady na spravu jsou zcela srovnatelne... No co se da delat, takovy je IT byznys a co je zadarmo, smrdi....
Takze je vysoce pravdepodobne, ze nejakej pokec k migraci bude.
Jinak diky za tenhle miniserial, pokud vim, jeste nikdo nepopsal zkusenosti s prechodem takhle podrobne a souhrnne...