Sziasztok, a feladat a következő jelesül éppen egy iskolában. Van egy bullseye, amin van néhány felhasználó jó okkal (/etc/passwd). Héhányan szeretnénk w10-es gépről SMB-vel belé-vel is belépni és fájlt kezelni, én még nem dolgoztam ilyennek, de a következő egy hét során más feladatok mellett ezt fogom megcsinálni. Az elgondolásom az volt, hogy Samba DC legyen, de a jövő hét végéig mindenképpen kialakítom a véglegeset, a cél az, hogy a w10-es klienseken megjelenjenek a szerver által biztosított userek.
A kérdésem mindenkihez, aki naprakész, hogy ezt ma hogy érdemes megcsinálni? Valahol olvastam, hogy libpam-smbpass talán pont arra való, hogy ne kelljen külön smb usereket csinálnom és kezelnem, hanem az amúgy is rendszerszinten létező fiókokkal be lehessen lépni, de ez a módszer, mintha deprecated lenne, vagy nem lenne elegendően alkalmas erre a feladatra bulseye-on, ahol már nem is létezik ez a csomag.
Hogy érdemes akkor tehát szerintetek a fenti célt elérni?
Hozzászólások
Három lehetőséged van:
Ha ez utóbbi mellett döntesz (egyébként javaslom), írd le, hogy most használják a szervert (hogyan lépnek be, milyen szolgáltatások vannak rajta, mennyire bonyolultak a jelenlegi megosztások stb.), hány kliens eszközöd felhasználód van, akkor a legkisebb nyűggel járó migrálási eljárást is ki tudjuk találni.
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
Ha így van, akkor elfelejtem a pamos doglot, és megyek akkor az önálló samba irányába, nem zavar be másba :)
https://commons.wikimedia.org/wiki/Libre art
regebben kellett a winbind es a hozza tartozo pam es nss csomagok
libnss-winbind - Samba nameservice integration plugins
libpam-winbind - Windows domain authentication integration plugin
winbind - service to resolve user and group information from Windows NT servers
de lehet hogy ez mar elmult
neked aztan fura humorod van...
Ezek továbbra is vannak, AD DC szerverre talán a mai napig a legegyszerűbb, de most már inkább az sssd és annak az AD pluginja vagy még inkább a realmd [ami gyakorlatilag ugyanúgy sssd-t húz be, de kényelmesen, egy paranccsal] a jobb kliensekre (szerveren is megy, de egyszer mindenki belefut, hogy egy hónapig minden szép és jó, aztán földbe áll az egész tartomány, amikor az sssd úgy dönt, hogy akkor machine pw csere és új keytab és felülírja a Samba által létrehozott rendszer keytab filet...)
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
:-) https://hup.hu/node/155076
De kérdés, hogy ha akkor ezt a 3-as megoldást választom, akkor melyik a legjobb doksi, amit érdemes végignézni erre step by step?
https://commons.wikimedia.org/wiki/Libre art
https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Director…
Valahol írja, hogy érdemes külön DC-t és fájlszervert telepíteni. Együtt is megoldható (csináltam már ilyent is), de nem ideális.
Az NT style domain nem valódi opció. A Win 10 valamelyik frissítése óta nem enged csatlakozni az ilyen tartományhoz. Persze lehet trükközni: egy régebbi telepítőt használsz, tartományba lépteted a gépet, és utána telepíted a frissítéseket. Nem érdemes ezzel kínlódni.
Ebből a doksiból kimaradt, de fontos lehet: a Bullseye-t passzolom, az eddigi Debianokban úgy volt csomagolva a samba, hogy nem dependelt a dnsutils csomagra, de anélkül AD DC módban nem tudta a saját rekordjait frissíteni, ami mindig vicces :) De kb. ennyi plusz, legyen acl/xattr támogatás a fájlrendszeren, amin a Samba könyvtárai vannak.
Szerk.: a lépéseket érdemes a fentiből nézni, a parancsokat már egy aktuális helpből érdemesebb... és ha rám hallgatsz egy másik gépen rakod össze a rendszert, ha az éles szerveren elkezded kiadogatni a doksiban levő parancsokat, a felhasználók nagyon fognak utálni :)
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
A legacy NT domaint valamelyik W10 frissítés már teljesen ellehetetlenítette, ha benne volt, benne marad, de újba nem lehet beléptetni. Nem javasolnám.
Amikor kerestem, ezt már nem lehetett registry buherálással megkerülni.
+1, annál is akartam írni, hogy öntökönlövés, de lemaradt :)
Szerintem is legyen Samba AD DC, nem egy nagy wasistdas, ha a hálózathoz van OP-nak hozzáférése (mondjuk DHCP szerveren tud másik DNS szervert kiajánlani vagy a kliensek által használt DNS szerverben az AD zónát a Samba felé irányítani).
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
Én múlt héten léptettem be egy naprakészre frissített Win10-et egy Samba 3.6 doménbe, megy az még a regisztry hack-el.
Kernel Pánik csatorna
Kérdés, hogy milyen registry hackkel? Én akkor, amikor nekem ez gond volt, nem találtam rá megoldást. Akkor azt a megoldást választottam, hogy leváltottam az NT4 style tartományt AD style-ra.
Ezzel a mai napig be lehet léptetni Samba 3.5-ig lefelé biztosan mindet. (az a legrégebbi Sambám, ami valahol még megy)
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters]
; Enable NT-Domain compatibility mode
; Default:
; [value not present]
; "DomainCompatibilityMode"=-
"DomainCompatibilityMode"=dword:00000001
; Disable required DNS name resolution
; Default:
; [value not present]
; "DNSNameResolutionRequired"=-
"DNSNameResolutionRequired"=dword:00000000
; Disable Mutual authentication, no Kerberos, can fall back to NTLMv2
; Disable Integrity, SMB signing is not required
; Disable Privacy, no SMBv3 must be used
; Default:
; [value not present]
; "\\\\*\\netlogon"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths]
"\\\\*\\netlogon"="RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0"
Kernel Pánik csatorna
Ok, köszönöm. Ezekből egyet, vagy kettőt én is használtam, mert az(ok?) nélkül régebben sem lehetett Samba domainbe lépni.
Mi indokolja, hogy még mindig Samba 3.6 van használatban? Jön még hozzá frissítés?
3.5 is van. Ugyancsak NT style domain-el.
Mondjuk úgy, hogy nekifutottam már 2x, de nem volt elég valahogy sem a téli sem a nyári szabadság.
De szerintem arra célzott, hogy a 4-es is támogatja az NT domaint.
"samba-tool user paranccsal tudod őket mókolni"
nekem remlik hogy windows-bol is lehet, ha jol remlik az "active directory - felhasznalok es szamitogepek" de mar nem mernek megeskudni ra
neked aztan fura humorod van...
Ez így van, de ha ahhoz van szokva, hogy a szerveren bizgerálja a usereket, megteheti ott is (ill. Süsüék a Yastba [TUI/GUI menedzsment cucc] tettek hozzá ADUC-stílusú kezelőt, elvileg elérhető más rendszerekre is)
BlackY
"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)
Fájlszervernek/fájlkezelésre én elavultnak tartom a samba szerű megoldásokat. Tegyél fel inkább egy privát cloud-ot: seafile, nextcloud.
nem én döntöm el, én max. segítek kivitelezni, ez itt egy állami suli, ami dönt
https://commons.wikimedia.org/wiki/Libre art
Bár abban igazad van, hogy egy dinoszaurusz, de túl sok minden támogatja és elég hatékony.
Windows alatt azért a hálózati meghajtó elég kényelmes (még ha nem is szeretjük).
Nextcloud tudtommal csak szinkronizálni tudja, tehát minden gépen kellene hogy legyen egy példány?
az owncloud desktop kliensben mar van olyan hogy csak azt szinkronizalja amelyik fajlra szukseged van, hatranya hogy ha offline vagy nem fog mukodni
neked aztan fura humorod van...
Durva ára van mindkettőnek. Érdemes ennyit kiperkálni egyáltalán mikor jellemzően vagy nem kell semmi online s akkor ott van a samba normális mentéssel, snapshottal.
Vagy kifizeted az O365 árát.
Ha most probalkozol eloszor akkor ajanlom ezt a leirast: https://www.tecmint.com/install-samba4-active-directory-ubuntu/ Ez ugyan ubutara szol de az aktualis debianon kicsi odafigyelessel adaptalhato.
Nekem mindig van egy virt win10-em amire felteszem az RSAT-ot (vagy minek hivjak most) es grafikus feluletrol heggesztheted a nyuzereket, DNS-t, Groupe-policy-t... Mukodik. De termeszetes a samba-tool azert mindent visz. ;-)
Siman be lehet leptetni a windows10-eket. Nem kell registryt reszelni. A mozgo profil is mukodik. Vagy pl a dokumentumok konyvtar atiranyitasa halozati meghajtora...
A SeaFile jo cucc, de tapasztalatom szerint a felhasznalok nem kepesek megemeszteni...
Nextcloud-ot tudod authentikaltatni Samba4 AD-bol. Be tudod csatolni a sambas teruleteket, ha valaki tavolrol szeretne latni a fajljait a fajlszerveren.
A nextcloud kliensenel ki lehet valasztani, mely konyvtarakat szinkronizalja. Ha csatolod a Samba meghajtokat a Nextcloud strukturajaba akor nagy szivas lehet. Ha valaki nem figyel oda, leszikronizalhatja a teljes fajlszervet a sajat gepere. :-D Ha nem csatolod be, akkor ez nem gond...
Miert is kell fizetni? Ezek mind free megoldasok.
igen, én is ezzel a doksival kezdem ma, délelőtt idáig jutottam: https://docs.google.com/document/d/1JLhb7XIHP0QAgrN_R3Bj6efi601BXjSB2g8…
ami ma történt délelőtt: w10 kliens: smb1 támogatás bekapcsolva: speciális programmal administratorként már be tudunk lépni, login és más alap hálózattallózásáon még nem látszik
https://commons.wikimedia.org/wiki/Libre art
ma délelőtt folytatódik a sga
https://commons.wikimedia.org/wiki/Libre art
Hamarosan nekem is aktuális lesz Debian 11-en egy Samba AD DC telepítés. Hálás lennék, ha megosztanád a tapasztalatokat.