Samba, workgroup, domain, ads

 ( Fisher | 2018. szeptember 14., péntek - 9:59 )

Üdv mindenki,

Kissé már lehet hogy keverek dolgokat, ezért inkább leírom, legalább átgondolom én is, illetve aki tapasztaltabb, az nyugodtan oszthatja a tanácsokat :D

A jelenleg működő megoldás: LDAP-ból authentikál kb. minden(ki), van benne vagy öt domain (ez gyakorlatilag csak a levelezésnek érdekes), és van egy különálló samba, workgroupra konfigurálva.
Ezzel az a probléma, hogy két helyen kell matatni az usereket, jelszavakat, csoportjogosultságokat.

Nosza legyen helyette valami sokkal jobb, összeácsoltam egy sambás AD-t, hogy legyen valamerre az előre. Az lenne a cél, hogy ebből mehessen minden (is), azaz a levelezés meg mindenféle auth. A levelezéssel az a gond, hogy nem tudok felvenni belé több domaint, hogy az exim/dovecot tudja hová rendezgetni a levélkéket. Pedig ez elég jó lenne.

HA mindent jól értek, akkor viszont AD nélkül is lehet élni, NT4-es domainben is, ÉS ekkor viszont használhatunk ldapsam-ot. DE, hogy ne a múlt évezredi megoldásokat használjuk, jó lenne legalább group policykat ledobálni a gépekre, és nem érzem azt a végtelen meggyőződést, hogy az jól fog működni NT4-es domainben, win10-ekkel. Ha egyáltalán fog.

További cicoma - erről mindig megfeledkezem -, hogy van nekünk egy nagyon régi de nagyon jó plotterünk, amihez a legfrissebb driver XP-hez van. Win7-re még fel lehetett tenni egy hasonszőrű plotter driverét, amivel majdnem teljesen jól működik, de az XP-vel azért az tényleg működik még. Szóval az ideális megoldás az lenne, ha lenne AD, külső (open)ldappal(*), és az AD-ban lenne az XP masina is, ami így nekem lehetetlennek tűnik.

A kérdés az, hogy melyik az a konstelláció, ami még/már működik.

*) Talán ha a samba belső ldap szerverét meg lehetne patkolni pár plusz domainnel, bár nem tudom hogy ez mennyire támogatott, és hogy mennyire esélyes hogy mondjuk egy upgrade során "a" samba domain kivételével minden más eltűnik.

--
(Igen, vegyünk Windows szervert, cal-t meg miegyebet, és térjünk át MS megoldásokra. Tulajdonképpen ez sem lehetetlen, már vadásszuk azt az embert, aki hihetően meg tudja szakérteni, hogy a mi cégünknek ez kb. mennyibe kerülne, és mennyivel lenne jobb mint a mostani helyzet. De ezt az ágat egyelőre hanyagoljuk, most nem ez a kérdés.)

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

AD + 386DS (najó, FreeIPA :) ) működik, évek óta pofozgatja a Red Hat a Samba-ban a cross forest trustot, hogy menjen :) De szerintem ne szivasd magad ezzel.

A linkelt topic:

Idézet:
Elsősorban arra lenne szükség, hogy az exim ki tudja kotorni az adatokat (kb. annyi a lényeg, hogy az user létezik-e) az AD-ből. Létezik épeszű módszer arra, hogy LDAP-ban lévő, 3-4 domaint át lehessen szögelni samba AD alá?

Ha csak annyit szeretnél, hogy egy-egy userhez hozzá tudd rendelni mondjuk a

-ot és a

-t is, akkor simán, nem kell hozzá több AD domain.

Postfix+Dovecot párhoz kulcsrakész konfigot is tudnék adni, így csak ötleteket: keress egy barátságos attribútumot (pl. proxyAddresses, MS-stílusban

  • erre van, többértékű stb.), minden usernél töltsd fel bele az összes e-mail címét (domaintől függetlenül). Utána a beeső leveleknél a címzettet kikeresed a proxyAddresses-nél, és rámappeled valamelyik másik attribra (én a userPrincipalName-t használom, mert továbbra is közel e-mail cím alakú, viszont garantáltan domain szinten egyedi és egyértékű) és oda kézbesítsd (Dovecot-nál így már csak a userPrincipalName-ben kell keresned a címzettet).

    Ha igazán perverz vagy és nem akarod beégetni a konfig fájlba a "mail domaineket", akkor pl. bepakolhatod az összeset a domain objektum upnSuffixes attribjába és onnan húzhatod a domain listát.

    De semmiképp nem kell hozzá több AD domain.

    [*]: gyárilag a proxyAddresses mező (ha pl. Exchange-el használod) úgy néz ki, hogy minden értéke protokoll:cím formájú, ha a protokoll végig nagy betűs, akkor az adott protokollal az az elsődleges cím (a GUI-n ez fut Reply address néven), a végig kisbetűsök aliasok. Pl.:
    proxyAddresses = {{smtp:kis.jozska@example.com}, {smtp:kis.jozsef@example.com}, {SMTP:kis.jozsi@cegnev.hu}}
    -vel ebbe a mailboxba fog beesni a két example.com-os címre érkező levél is, viszont a kimenő levelek a

    -val mennek ki.

    BlackY
    --
    "en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

  • Hm, ez lesz az... leginkább ott keseredtem el, hogy be kell írni a konfigba a domaineket (egyszerűbb lesz), de az tulajdonképpen apróság.

    Kösz, ezzel így szerintem nem lesz gond.

    Ja igen, mire számítsak, az XP vajon boldog lesz az AD-ben? Legalább annyira, hogy printserverként működjön.

    Boldog, csak kövesd le, hogy Sambáék mikor tiltják az SMBv1-et default (egy ideje szó van róla, hogy lekövetik az MS-t), és akkor engedélyezd újra.

    BlackY
    --
    "en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)