Samba tool

Linux-kezdő

Üdv!
A samba-tool nevű eszközt szeretném használni, valami miatt hibát ír ki.
https://drive.google.com/file/d/1V_Cv-wm0I3AwkOvQJHVl4WY_s54q0NWG/view?…

Ha kihagyom az ipaddress-t :

https://drive.google.com/file/d/1oKxo0P6_TpeSS72Jgr3YP0zDYohPjHom/view?…

Ha az --use-xattrs -t is kihagyom akkor:
https://drive.google.com/file/d/16juGRuPXGUxofzhIjAtReOw5edETr_uD/view?…
a --realm , az a tartomány amivel dolgozunk
a --domain -nak a gépnevet adtam.

  • 3964 megtekintés

( uid_20269 | 2018. 11. 14., sze – 08:41 )

..esetleg egy "--interactive" kapcsolóval a végén nem mond többet.?
--
God bless you, Captain Hindsight..

Nem, a realm a Kerberos realm-od lesz, ami a domain-nek a DNS nevével illik, hogy egyezzen.

Elsőként: kerüld az egy tagú domain neveket (localdomain), legyen helyette cégnév.localdomain vagy méginkább a cég _saját tulajdonú_ domainjén egy aldomain (pl. ha tied az example.org, akkor ad.example.org)

A gépnév nem része a realm-nek, az már a dc-d saját neve lesz. Ha rám hallgatsz, nem egy OS-ről nevezed el, hanem mondjuk a funkciójáról (dc.ad.example.org) és számozod, mert ha később [AD-ről beszélünk, úgyhogy illik a 0. pillanattól] skáláznod kell, jó, ha egységes a minta: dc1.ad.example.org

Ez az aktuális MS / Samba best practice ajánlás.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

így van konfigurálva az smb.conf:

https://drive.google.com/file/d/1fn9vfrXr5ZjtN-M346qTClVzVRDRAyws/view?…

Ezeket a paramétereket adtam meg:

https://drive.google.com/file/d/1ByT0-1pgDBVkjXavAmf52waUCo72F4MC/view?…

a domain -nak a szerver gép nevét adtam meg ( UBUNTU ), nem tudom ide is azt kellett volna adni mint a realm-nek?

a domain -nak a szerver gép nevét adtam meg ( UBUNTU )

NE! Nem ok nélkül mondja a script, hogy nem egyezhet meg, legacy névfeloldásnál problémát fog okozni, ha ugyanaz az egyik host neve, mint a domainé.
A domainnek valami olyan nevet adj meg, ami nem fogja megzavarni a usereid, _amikor_ találkoznak vele (pl.: CEGNEV), mert fognak vele találkozni.

Egyébként pedig az smb.conf-hoz ne piszkálj, azt a domain provision majd megcsinálja neked.

Ezt fusd át: https://wiki.samba.org/index.php/Active_Directory_Naming_FAQ

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

A domain egy tagú (CEGNEV), a realm áll több tagból, a DNS domain végig nagybetűvel (CEGNEV.HU), _de olvasd el a fent linkeltet_ és látod, hogy az ajánlás az, hogy AD.CEGNEV.HU legyen a realm és CEGNEV a domain.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

A kerberos csomag telepítésekor a kliens konfighoz kért be egy realm-ot, egy mozdulattal felül kell majd csapnod azt a konfigot (nem emlékszem, hogy a provision megcsinálja-e, ha nem, akkor a /var/lib/samba-ba betesz neked egy krb5.conf-ot)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Tedd azt, amit javasol: töröld az smb.conf-ot (ill. a /var/lib/samba mappa tartalmát, mert lehetnek benne maradványok ebből a provision-ből; én provision hibakor mindig simán töröltem a virtuális gépet és újat csináltam), és utána futtasd újra ugyanazzal a paranccsal, ő majd legenerálja neked a jó verziót.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Ha felvette a DNS rekordok közé, akkor tedd bele a végleges kártyát, add oda neki az új címet, futass egy samba_dnsupdate-t (samba_update_dns? Valami hasonló, nem az upgrade, amivel váltogathatsz a belső és a Bind DNS között), utána vedd ki a felesleges kártyát, majd még egy samba_dnsupdate (mondjuk egy DC-nél még nem vészes, de a címváltásnak ez a megfelelő sorrendje/módja)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

krb5.conf:

dns_lookup_kdc = true
dns_lookup_realm = false

50-cloud-init-yaml-ban

nameservers:
addresses [127.0.0.1]

https://drive.google.com/file/d/1_RUdlWtrAfsv7XtfPZkwmYU8iPFO742B/view?…

itt nem jól mutatja a search localdomain-t

elvileg ad.cegnev.hu -t kellene ide írnia

50-cloud-init-yaml-ban nincs search megadva
Tűzfalam nincs beállítva!

Azt hogy tudom megnézni fut e az ad dc service ?

Ott a saját usered jelszavát kéri (amivel be vagy jelentkezve), ha root-ként (mondjuk sudo-val) indítod, akkor kihagyja az egész PolicyKit-et és azonnal indítja a szolgáltatást.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Sikerült benne előrelépned?

Ne vedd magadra, amit most mondok, tök jó, hogy a Linux kezdőben csináltad ezt a topicot, meg minden, de ha ennyire kezdő vagy, akkor tényleg fogj pl. egy Zentyal-t, mert így csak magadat és a usereidet fogod szívatni.

Egyébként erre a kérdéskörre olvasd el a systemd doksiját (most speciel a unit masking kell neked ill. a systemctl megfelelő parancsa... [csak ne felejtsd el, hogy több másik Samba szolgáltatás is van, amiknek viszont nem szabadna most elindulnia...])

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Nekem adsz egy linket is, hogy mire gondolsz? Én speciel pont Zentyal-t javasoltam olyan ismerősnek, akinek hasonló *házi* feladatot kellett megcsinálnia. Mellé javaslatként mondtam pár könyvcímet, és amennyire tudom, megoldotta a feladatot. (Ugyanis kattintgatós felületen véleményem szerint nem lehet megtanulni dolgokat, ha nem nézünk mögé. De a tömör doksi+kattintgatós felület már jó lehet elindulásnak.)

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Ok... akkor nézzük: a Samba négy szolgáltatást regisztrál be a systemd-be (samba-ad-dc.service, smbd.service, nmbd.service és winbindd.service). Ebből neked kettőre van szükséges (samba-ad-dc.service és winbindd.service), azokat unmaskolnod és engedélyezned kell, majd el kell indítanod.
A másik kettőre nincs szükséged, úgyhogy azokat maskold ki (biztos, ami biztos, előtte stoppold is őket).

Ha jól számolom ez 10 darab systemctl hívás lesz.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Mert a samba és az smbd démonok lábon lőnék egymást (a samba indítgatja a saját smbd processeit, ahogy kell) és a csomagolók hoztak egy döntést, hogy alapból melyik legyen tiltott (sima smbd-t több gépen találni, mint samba-t) - ezt a ritkább esetben (amikor tényleg AD DC-t akarsz csinálni) vissza kell vonnod.

(sysvinit-es időkben erre egy /etc/defaults-beli scriptet használtak, ahol megadhattad, hogy milyen módban induljon és a megfelelő init scriptek egy elegáns mozdulattal kiléptek, ha nem az ő módjuk szerepelt ott... na, ennek egy kicsit korrektebb megvalósítása a systemd-s maskolás [sima disable is elég _lehetne_, de akkor még másik szolgáltatás függőségként elindíthatná őket és jönne a lábon lövés, ezért kell kimaskolni, ami gyakorlatilag egy nem-nincs-az-az-isten-hogy-te-elinduljál-ott-rohadsz-meg-ahol-vagy erősségű disable :)]

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Nem, ez a sima letiltás (ami gyakorlatilag annyi, hogy kiveszi az engedélyezésnél beállított függőségeket, ami többnyire a multi-user.target... de kézzel még elindíthatod bármikor ill. bármi más függőségként elindíthatja [pl. egy socket, timer stb.]). A maskolás/unmaskolás a mask és unmask-al megy, ez felülcsapja az adott unit definícióját, hogy a /dev/null legyen (a szó legszorosabb értelmében), úgyhogy semmilyen körülmények között nem tud elindulni.

(de tényleg olvasd el a systemd doksiját)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Ha meg akarod érteni a használatát, biztos az a legjobb, ha minden egyes parancsot leírok? Komolyan mondom, hogy olvasd el a systemd doksiját (ha átugrod a konfigurációs direktívákat és mindenhol a bevezetőket elolvasod, már előrébb vagy), mert lassan egy hete próbálkozol azzal, hogy:

* unmaskold, engedélyezd és elindítsd a samba-ad-dc és a winbind szolgáltatást
* leállítsd, tiltsd le és maskold az smbd és az nmbd szolgáltatásokat

De egyébként: 


sudo systemctl stop smbd nmbd
sudo systemctl disable smbd nmbd
sudo systemctl mask smbd nmbd
sudo systemctl unmask samba-ad-dc winbindd
sudo systemctl enable samba-ad-dc winbindd
sudo systemctl start samba-ad-dc winbindd

Ez a kívánt állapotot adja.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Elvileg ha a hosts fájlba beírom a 172.16.1.6 ad.cegnev.hu -t
akkor így már a ping -c3 ad.cegnev.hu müködik.

Oké, akkor azt vedd ki onnan (mert ezen az egy rekordon kívül egy teljes zóna kell neki kisebb raklapnyi pl. SRV rekorddal, amit a hosts-ba nem fogsz tudni betenni) és állítsd be dns server-nek saját magát (127.0.0.1) az /etc/resolv.conf-ban (vagy a hálózatkezelőben, ami előállítja neked az resolv.conf-ot).

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Igen, töröld.

A 127.0.0.53 a systemd-resolvd által használt cím, 127.0.0.1 legyen ott (vagy ha több DC-d van, akkor először a másik DC, aztán saját maga, akár a tényleges címével, akár a 127.0.0.1-el)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

a 50-cloud-init.yaml -ban hiába állítom be

nameserver
adresses [127.0.0.1]

Eddig a resolv.conf innen szedte a címet.
Ezek szerint változtattak ezen is. A network manager beállításai közé került ez.Így sokkal bonyolultabb...
A dns search -ot szeretném megadni neki!

https://drive.google.com/file/d/1WRywPL7tu6fUH6G-W4CxIM-HmuJRsYnz/view?…

ens34 -et nem fogad el.

Bakker. Amikor én is megláttam, hogy a 18.04-es ubuntu hálózatkezelője yaml-t használ, majdnem falnak rohantam. Nagyon rossz tapasztalataim vannak. Én Gantry-nál találkoztam ezzel. Akinem van lövése a webezéshez, az tudja, hogy egy nagyon népszerű sablon keretrendszer, amit wordpressen és joomlán használnak.
Szóval a legnagyobb bajom az ezzel, hogy minden marhaságra érzékeny. Szóköz, tabulátor stb. Win alatt notepad kettővel kellett szerkeszteni, hogy ne romoljon el. Nem tudom ez linuxos környezetben hogy van, illetve Ubuntunál.

Lehet a topic nyitónak az a baja, hogy nem a neki való megfelelő disztrót választotta. Húztam már fel pár ADDC-t, de ubuntun ez eszembe se jutott volna.

Bevallom en meg nem hasznaltam par hetnel tovabb Ubuntu-t de valahogy mindig visszatertem Slackware-re.

Ellenben pont most huztam fel egy samba dc-t Alpine linux alapon tesztelesi cellal virtualboxban. Nem tudom mi itt a nagy problema, viszonylag egyszeruen meg lehetett csinalni. (es cserebe meg relative kis helyen is elfer)

Egyenlore a kovetkezo feladatokat latja el.
- phpSimpleSAML van idp-kent bekonfiguralva, annak back-end (LDAP module) ez single sing on-t biztosit nehany phps app-nak.
- illetve tesztelem vele ezt a csodat LDAP Account Manager (LAM)

---------------------------------------------
Support Slackware: https://paypal.me/volkerdi

( moe | 2018. 11. 14., sze – 09:44 )

Már rég volt, de szerintem a domain nem egyezhet meg a hostnévvel. Próbáld így:

samba-tool domain provision --realm localdomain.lan --domain localdomain --satöbbi...

De talán a legegyszerűbb, ha csak ennyit mondasz neki:
samba-tool domain provision --interactive (esetleg --use-rfc2307)

Esetleg tudom ajánlani ezt a leírást:
https://hup.hu/node/128109

Elég régi, de szerintem a lényeg, amire most szükséged van, az ott lesz.

A topicom azért van a kezdő Linuxusokhoz sorolva. Egyébként szükségem van Linux-os szerverre és AD-ra. Majd csak belejövök...

etc/cron.daily/ntpdate -ba írtam
https://drive.google.com/file/d/11aEICKnDcyJugx3c0TZHkZ_BbWeFAGaU/view?…

Majd jogot adtam rá:

sudo chmod 755 /etc/cron.daily/ntpdate

és nem jó...

Ha most egy hálózatba összehozom egy win 7-el akkor ott az ubuntu idejét kell hogy mutassa a win7 nem?

( freeoli v | 2018. 11. 28., sze – 11:19 )

Elnézést, de nem tudok segíteni csak tanácsolni.

Az ilyen esetek elkerülésére javasolt egy OOB Samba AD használata. Zentyal, ClearOS, Netsh server.