Csináljak-e otthonra samba AD-t?

Két gépről van szó, a nyilvánvaló okok hogy miért ne:

- Minek?
- Lassú lesz a profilok szinkronizálása (vagy nem).
- Hirtelen nem tudom hogy milyen win-ek vannak otthon, az egyik az valami professional (vagy nagyobb), de a másik szerintem kb. a home valami.
- Egy user van, én. Néha kettő, esetleg három.
- Hogy fog menni vele a OpenELEC?
- Meg még biztos van.

Viszont kéne tesztkörnyezet. Van-e még valami ellenérv, hogy miért ne?

( SzBlackY | 2016. 03. 09., sze – 11:15 )

Subscribe, érdekelnek az érvek :)

Egy gépre/userre én azért masszív overkillnek gondolom, de ha amúgy is kell egy tesztkörnyezet, akkor igazából miért ne? Egy óra alatt kényelmesen fel lehet húzni az AD-t a kliens beléptetéséig, lebontani meg kb. a kiléptetés [bár a cached credentials miatt az se feltétlenül kell, nem zavarja különösebben a gépet, ha soha nem találkozik a DC-vel] és a szerver ablakon való kihajítása ideje alatt lebontható.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( cabal v | 2016. 03. 09., sze – 11:15 )

Csinálj és dokumentáld! Hátha ebből én is megtanulom. :)

A szó legszorosabb értelmében kb. ennyi (Debian wheezy, root-ként [fejből, úgyhogy felelősséget nem vállalok]): 


apt-get install samba ntp
samba-tool domain provision
cp {/var/lib/samba/private/,/etc/}krb5.conf
systemctl stop smbd nmbd winbind
systemctl disable smbd nmbd winbind # ez fontos, ha már fut bármelyik process, a samba nem fog tudni elindulni
systemctl stop ntpd
echo "ntpsigndsocket /var/lib/samba/ntp_signd" >> /etc/ntpd.conf
echo "nameserver 127.0.0.1" > /etc/resolv.conf
systemctl restart samba-ad-dc ntpd

DHCP-ben átütöd a DNS szerver címét ennek a gépnek a címére, és már léptetheted is be a klienst.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Az se sokkal több (különösen, ha a DLZ-vel használod), a kerberos-hoz hasonlóan arra is a kulcsrakész konfig részletet beteszi a /var/lib/samba/private-ba; egy jól irányzott pipe-olt cat és bind restart :)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

( Fisher v | 2016. 03. 09., sze – 12:32 )

Mi lesz az OpenELEC-cel? Jelenleg Workgroup van, történelmi okokból, két (néha három) Kodi használja ugyanazt a médiatárat. Lehet hogy át kell állnom NFS-re, ami amúgy nem feltétlen baj.

( Fisher v | 2016. 03. 13., v – 07:47 )

Aha, úgy néz ki, hogy a dlz backend nem küld notify-t a slave-eknek. Remek.

A slave is AD DC vagy az egy sima Bind lenne? Ha az is AD DC, akkor a DRS oldja meg közöttük a zónák (meg a teljes directory) frissítgetését, ha nem... akkor passz :) A BIND file back-endet még megnézheted, de ha jól rémlik elég jó okaik voltak arra, hogy behozták helyette a DLZ-t és végül a saját DNS szervert [ha jól rémlik, a Bind-DLZ nem is tudna notify-olni, ha csak nem pollozza folyamatosan a back-endet, úgy emlékszem sima look-upokkal dolgozik az interface]

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Nem, úgy akarom, hogy AD DC + bind backend hurcolja a AD zónáit (és csak azokat), és van egy (illetve mindjárt több lesz) slave bind, ami az AD és az összes többi zónát is viszi, egy külön konténerben. Igen, több megoldás van, de meg akarom tartani a bind-et mint DNS szervert (pláne ha tényleg olyan nyomorék az MS licencelése mint ahogy kinéz, mert akkor törlöm is az AD konténert, hehe).

Hosszú távon lehet hogy nem így lesz, de most van olyan dinamikus zónám, amit nem akarok (egyelőre) samba alá vinni. Sőt, nem is egy.