Samba tool

 ( fajitas | 2018. november 14., szerda - 8:39 )

Üdv!
A samba-tool nevű eszközt szeretném használni, valami miatt hibát ír ki.
https://drive.google.com/file/d/1V_Cv-wm0I3AwkOvQJHVl4WY_s54q0NWG/view?usp=sharing

Ha kihagyom az ipaddress-t :

https://drive.google.com/file/d/1oKxo0P6_TpeSS72Jgr3YP0zDYohPjHom/view?usp=sharing

Ha az --use-xattrs -t is kihagyom akkor:
https://drive.google.com/file/d/16juGRuPXGUxofzhIjAtReOw5edETr_uD/view?usp=sharing
a --realm , az a tartomány amivel dolgozunk
a --domain -nak a gépnevet adtam.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

..esetleg egy "--interactive" kapcsolóval a végén nem mond többet.?
--
God bless you, Captain Hindsight..

Ezt írja ki:

https://drive.google.com/file/d/1xiKOCejvYvNCXc0Bd1FeLK1hIZ0ddsDW/view?usp=sharing

Az admin passwd megadása után az ERROR sorban mi baja van ?

Eddig az üzenetig a tegnapi topikban is eljutottál. Miért kellett új topik?

"Domain 'UBUNTU' must not be equal to short hostname 'UBUNTU'"
"a --domain -nak a gépnevet adtam."
De akkor miért?

Rájöttem, hogy ez a topic többet mond arról hogy mi a bajom!

Oké, és ha a hibaüzenetben írt változtatást megcsináltad, akkor mi történt?

(Amúgy biztos, hogy ez a képként feltöltés az igazi? Nem lenne egyszerűbb azt a néhány sort szövegesen másolni ide?)

Leírnád hogy melyik változtatásra gondoltál?

A hibaüzenet által mondottra, azaz erre: "Domain 'UBUNTU' must not be equal to short hostname 'UBUNTU'"
Erről írt moe is alább: "a domain nem egyezhet meg a hostnévvel".

Üdv!
Lenne egy kérdésem:
a realm az a gépnév+domain név?

Tehát ha a domain :localdomain
a gépnév ubuntu, akkor

a realm ubuntu.localdomain?

Nem, a realm a Kerberos realm-od lesz, ami a domain-nek a DNS nevével illik, hogy egyezzen.

Elsőként: kerüld az egy tagú domain neveket (localdomain), legyen helyette cégnév.localdomain vagy méginkább a cég _saját tulajdonú_ domainjén egy aldomain (pl. ha tied az example.org, akkor ad.example.org)

A gépnév nem része a realm-nek, az már a dc-d saját neve lesz. Ha rám hallgatsz, nem egy OS-ről nevezed el, hanem mondjuk a funkciójáról (dc.ad.example.org) és számozod, mert ha később [AD-ről beszélünk, úgyhogy illik a 0. pillanattól] skáláznod kell, jó, ha egységes a minta: dc1.ad.example.org

Ez az aktuális MS / Samba best practice ajánlás.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

így van konfigurálva az smb.conf:

https://drive.google.com/file/d/1fn9vfrXr5ZjtN-M346qTClVzVRDRAyws/view?usp=sharing

Ezeket a paramétereket adtam meg:

https://drive.google.com/file/d/1ByT0-1pgDBVkjXavAmf52waUCo72F4MC/view?usp=sharing

a domain -nak a szerver gép nevét adtam meg ( UBUNTU ), nem tudom ide is azt kellett volna adni mint a realm-nek?

Idézet:
a domain -nak a szerver gép nevét adtam meg ( UBUNTU )

NE! Nem ok nélkül mondja a script, hogy nem egyezhet meg, legacy névfeloldásnál problémát fog okozni, ha ugyanaz az egyik host neve, mint a domainé.
A domainnek valami olyan nevet adj meg, ami nem fogja megzavarni a usereid, _amikor_ találkoznak vele (pl.: CEGNEV), mert fognak vele találkozni.

Egyébként pedig az smb.conf-hoz ne piszkálj, azt a domain provision majd megcsinálja neked.

Ezt fusd át: https://wiki.samba.org/index.php/Active_Directory_Naming_FAQ

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Ha ez van megadva --domain cegnev.hu

Akkor a realm-nál mit kell megadni? --realm ?
Van kapcsolat a neveket illetően a domain és a realm között??

A domain egy tagú (CEGNEV), a realm áll több tagból, a DNS domain végig nagybetűvel (CEGNEV.HU), _de olvasd el a fent linkeltet_ és látod, hogy az ajánlás az, hogy AD.CEGNEV.HU legyen a realm és CEGNEV a domain.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

A kerberos telepítésénél amit magadtam azt itt felülbírálom?? Ha itt mást adok meg?

A kerberos csomag telepítésekor a kliens konfighoz kért be egy realm-ot, egy mozdulattal felül kell majd csapnod azt a konfigot (nem emlékszem, hogy a provision megcsinálja-e, ha nem, akkor a /var/lib/samba-ba betesz neked egy krb5.conf-ot)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Követve a szintaktikádat eljutottam ide...

https://drive.google.com/file/d/1xYHiefBnpOD8q6FAc93KFXc6xZBHPt-w/view?usp=sharing

Sokat hivatkozik ide:

usr/lib/python2.7dist-packges/samba

Tedd azt, amit javasol: töröld az smb.conf-ot (ill. a /var/lib/samba mappa tartalmát, mert lehetnek benne maradványok ebből a provision-ből; én provision hibakor mindig simán töröltem a virtuális gépet és újat csináltam), és utána futtasd újra ugyanazzal a paranccsal, ő majd legenerálja neked a jó verziót.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Köszönöm a segítséged, sikerült lefuttatni a provision-t, annyi a baj hogy mikor futott akkor a vmware-s belső hálókártya inaktív volt.Ez a 172.16.1.6 -os cím ez nem tudom befolyásol e valamiT? Futtassam le mégegyszer a provision-t?

Ha felvette a DNS rekordok közé, akkor tedd bele a végleges kártyát, add oda neki az új címet, futass egy samba_dnsupdate-t (samba_update_dns? Valami hasonló, nem az upgrade, amivel váltogathatsz a belső és a Bind DNS között), utána vedd ki a felesleges kártyát, majd még egy samba_dnsupdate (mondjuk egy DC-nél még nem vészes, de a címváltásnak ez a megfelelő sorrendje/módja)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

/etc/krb5.conf-ban engedve van neki a DNS alapú KDC keresés? /etc/resolv.conf -ban önmaga van megadva névszervernek? Fut a samba-ad-dc service? Nincs tűzfalazva? ...

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

krb5.conf:

dns_lookup_kdc = true
dns_lookup_realm = false

50-cloud-init-yaml-ban

nameservers:
addresses [127.0.0.1]

https://drive.google.com/file/d/1_RUdlWtrAfsv7XtfPZkwmYU8iPFO742B/view?usp=sharing

itt nem jól mutatja a search localdomain-t

elvileg ad.cegnev.hu -t kellene ide írnia

50-cloud-init-yaml-ban nincs search megadva
Tűzfalam nincs beállítva!

Azt hogy tudom megnézni fut e az ad dc service ?

Ez a tűzfalas dolog sokszor előkerül nálad, itt is, az ntp-nél is..nem az a baj véletlenül, hogy nat-olsz, és nem ennek megfelelően van beállítva a többi komponens?

Itt hoston belül sem megy... tippre egy systemctl start samba-ad-dc.service maradt ki (meg persze system enable samba-ad-dc.service), de Ubi régen volt a kezeim között.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Itt a provision nál megadott jelszót sem fogadja el...Milyen jelszót kér?

https://drive.google.com/file/d/1VEHnGJHWGU64uYDvQuiIyWYnsQLDWpwG/view?usp=sharing

Ott a saját usered jelszavát kéri (amivel be vagy jelentkezve), ha root-ként (mondjuk sudo-val) indítod, akkor kihagyja az egész PolicyKit-et és azonnal indítja a szolgáltatást.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Sikerült benne előrelépned?

Ne vedd magadra, amit most mondok, tök jó, hogy a Linux kezdőben csináltad ezt a topicot, meg minden, de ha ennyire kezdő vagy, akkor tényleg fogj pl. egy Zentyal-t, mert így csak magadat és a usereidet fogod szívatni.

Egyébként erre a kérdéskörre olvasd el a systemd doksiját (most speciel a unit masking kell neked ill. a systemctl megfelelő parancsa... [csak ne felejtsd el, hogy több másik Samba szolgáltatás is van, amiknek viszont nem szabadna most elindulnia...])

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Ne! Zentyalt ne! Komolyan. Jó tanácsként mondom. Sírva visszamentem sambara. Igazából csak a kíváncsiság meg a lustaság vitt rá. Ha valakit érdekel kommenteltem a zenytyal cikkeket, de nem én vagyok az első, aki rommá fikázta.

Akkor bármi más előre GUI-val felszerelt disztrót, ami tud AD DC-ként viselkedni (Nethserver?)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Nekem adsz egy linket is, hogy mire gondolsz? Én speciel pont Zentyal-t javasoltam olyan ismerősnek, akinek hasonló *házi* feladatot kellett megcsinálnia. Mellé javaslatként mondtam pár könyvcímet, és amennyire tudom, megoldotta a feladatot. (Ugyanis kattintgatós felületen véleményem szerint nem lehet megtanulni dolgokat, ha nem nézünk mögé. De a tömör doksi+kattintgatós felület már jó lehet elindulásnak.)

=====
tl;dr
Egy-két mondatban leírnátok, hogy lehet ellopni egy bitcoin-t?

Ok... akkor nézzük: a Samba négy szolgáltatást regisztrál be a systemd-be (samba-ad-dc.service, smbd.service, nmbd.service és winbindd.service). Ebből neked kettőre van szükséges (samba-ad-dc.service és winbindd.service), azokat unmaskolnod és engedélyezned kell, majd el kell indítanod.
A másik kettőre nincs szükséged, úgyhogy azokat maskold ki (biztos, ami biztos, előtte stoppold is őket).

Ha jól számolom ez 10 darab systemctl hívás lesz.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Itt írja hogy maskolva van de miért kell unmaskolni?

https://askubuntu.com/questions/754572/cannot-restart-samba-samba-service-is-masked

Mert a samba és az smbd démonok lábon lőnék egymást (a samba indítgatja a saját smbd processeit, ahogy kell) és a csomagolók hoztak egy döntést, hogy alapból melyik legyen tiltott (sima smbd-t több gépen találni, mint samba-t) - ezt a ritkább esetben (amikor tényleg AD DC-t akarsz csinálni) vissza kell vonnod.

(sysvinit-es időkben erre egy /etc/defaults-beli scriptet használtak, ahol megadhattad, hogy milyen módban induljon és a megfelelő init scriptek egy elegáns mozdulattal kiléptek, ha nem az ő módjuk szerepelt ott... na, ennek egy kicsit korrektebb megvalósítása a systemd-s maskolás [sima disable is elég _lehetne_, de akkor még másik szolgáltatás függőségként elindíthatná őket és jönne a lábon lövés, ezért kell kimaskolni, ami gyakorlatilag egy nem-nincs-az-az-isten-hogy-te-elinduljál-ott-rohadsz-meg-ahol-vagy erősségű disable :)]

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

így kell unmaskolni?

systemctl disable samba-ad-dc
Ezt írja erre:

is masked, ingnoring

Nem, ez a sima letiltás (ami gyakorlatilag annyi, hogy kiveszi az engedélyezésnél beállított függőségeket, ami többnyire a multi-user.target... de kézzel még elindíthatod bármikor ill. bármi más függőségként elindíthatja [pl. egy socket, timer stb.]). A maskolás/unmaskolás a mask és unmask-al megy, ez felülcsapja az adott unit definícióját, hogy a /dev/null legyen (a szó legszorosabb értelmében), úgyhogy semmilyen körülmények között nem tud elindulni.

(de tényleg olvasd el a systemd doksiját)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

https://drive.google.com/file/d/1l1-BWJrRvicFDtR3hDvELWhF27BF69iv/view?usp=sharing
Most elvileg sikerült.
De most hogyan lehet továbblépni?Mi van ha ezzel megvagyok?

Ha meg akarod érteni a használatát, biztos az a legjobb, ha minden egyes parancsot leírok? Komolyan mondom, hogy olvasd el a systemd doksiját (ha átugrod a konfigurációs direktívákat és mindenhol a bevezetőket elolvasod, már előrébb vagy), mert lassan egy hete próbálkozol azzal, hogy:

* unmaskold, engedélyezd és elindítsd a samba-ad-dc és a winbind szolgáltatást
* leállítsd, tiltsd le és maskold az smbd és az nmbd szolgáltatásokat

De egyébként:

sudo systemctl stop smbd nmbd
sudo systemctl disable smbd nmbd
sudo systemctl mask smbd nmbd
sudo systemctl unmask samba-ad-dc winbindd
sudo systemctl enable samba-ad-dc winbindd
sudo systemctl start samba-ad-dc winbindd

Ez a kívánt állapotot adja.

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Az unmasknál hibát ír ki:
unit samba-ad-dc.service does not exist

Egyébként igazad van nem forulhatok minden lépésben hozzád...majd összeszedem magam

https://szit.hu/doku.php?id=oktatas:linux:systemd ---->erre gondoltál??

Üdv!
Elnézést a zavarásért!
Olvasgattam doksikat, és nem jövök rá hogy mi baja a winbind-nek
startnál van csak baj.

https://drive.google.com/file/d/1Ayrx-iqJmyBkk9k_5VPsNOZg0UkUmb6S/view?usp=sharing

Mi lehet a baj ha a ping -c3 ad.cegnev.hu -re nem ad választ, ha odaírom a hostnevet akkor jó
ping -c3 ubuntu.ad.cegnev.hu

Elvileg ha a hosts fájlba beírom a 172.16.1.6 ad.cegnev.hu -t
akkor így már a ping -c3 ad.cegnev.hu müködik.

Idézet:
Elvileg ha a hosts fájlba beírom a 172.16.1.6 ad.cegnev.hu -t
akkor így már a ping -c3 ad.cegnev.hu müködik.

Oké, akkor azt vedd ki onnan (mert ezen az egy rekordon kívül egy teljes zóna kell neki kisebb raklapnyi pl. SRV rekorddal, amit a hosts-ba nem fogsz tudni betenni) és állítsd be dns server-nek saját magát (127.0.0.1) az /etc/resolv.conf-ban (vagy a hálózatkezelőben, ami előállítja neked az resolv.conf-ot).

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

Most ennyi maradt benne ezt is töröljem?

https://drive.google.com/file/d/1Mj-12dTxiPAMaPJxPEu751H0ukc3bq4c/view?usp=sharing

a resolv.conf -om:

namesever 127.0.0.53
search ad.ceg.hu localdomain

Igen, töröld.

A 127.0.0.53 a systemd-resolvd által használt cím, 127.0.0.1 legyen ott (vagy ha több DC-d van, akkor először a másik DC, aztán saját maga, akár a tényleges címével, akár a 127.0.0.1-el)

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)

a 50-cloud-init.yaml -ban hiába állítom be

nameserver
adresses [127.0.0.1]

Eddig a resolv.conf innen szedte a címet.
Ezek szerint változtattak ezen is. A network manager beállításai közé került ez.Így sokkal bonyolultabb...
A dns search -ot szeretném megadni neki!

https://drive.google.com/file/d/1WRywPL7tu6fUH6G-W4CxIM-HmuJRsYnz/view?usp=sharing

ens34 -et nem fogad el.

Bakker. Amikor én is megláttam, hogy a 18.04-es ubuntu hálózatkezelője yaml-t használ, majdnem falnak rohantam. Nagyon rossz tapasztalataim vannak. Én Gantry-nál találkoztam ezzel. Akinem van lövése a webezéshez, az tudja, hogy egy nagyon népszerű sablon keretrendszer, amit wordpressen és joomlán használnak.
Szóval a legnagyobb bajom az ezzel, hogy minden marhaságra érzékeny. Szóköz, tabulátor stb. Win alatt notepad kettővel kellett szerkeszteni, hogy ne romoljon el. Nem tudom ez linuxos környezetben hogy van, illetve Ubuntunál.

Lehet a topic nyitónak az a baja, hogy nem a neki való megfelelő disztrót választotta. Húztam már fel pár ADDC-t, de ubuntun ez eszembe se jutott volna.

Bevallom en meg nem hasznaltam par hetnel tovabb Ubuntu-t de valahogy mindig visszatertem Slackware-re.

Ellenben pont most huztam fel egy samba dc-t Alpine linux alapon tesztelesi cellal virtualboxban. Nem tudom mi itt a nagy problema, viszonylag egyszeruen meg lehetett csinalni. (es cserebe meg relative kis helyen is elfer)

Egyenlore a kovetkezo feladatokat latja el.
- phpSimpleSAML van idp-kent bekonfiguralva, annak back-end (LDAP module) ez single sing on-t biztosit nehany phps app-nak.
- illetve tesztelem vele ezt a csodat LDAP Account Manager (LAM)

---------------------------------------------
Support Slackware: https://paypal.me/volkerdi

.

nmcli dev status -ra:

DEVICE TYPE STATE CONNECTION
ens34 ethernet unmanaged --

nmcli con mod my-con-ens34 +ipv4.dns 8.8.8.8

Az ens34 a hálózati csatoló, mit csinálok rosszul?

ibenny!
Van NAT és Custom Vmnet0 a szerveren, a kliensen pedig Vmnet0

De egyébként a dhcp megy.

A search tagot átállítottam :
https://drive.google.com/file/d/1tMHJGwORJ48k34eSKfwXYNiqdYe4DG3I/view?usp=sharing

A resolv.conf-ba mégsem kerül be. Miért?

Már rég volt, de szerintem a domain nem egyezhet meg a hostnévvel. Próbáld így:

samba-tool domain provision --realm localdomain.lan --domain localdomain --satöbbi...

De talán a legegyszerűbb, ha csak ennyit mondasz neki:
samba-tool domain provision --interactive (esetleg --use-rfc2307)

Esetleg tudom ajánlani ezt a leírást:
https://hup.hu/node/128109

Elég régi, de szerintem a lényeg, amire most szükséged van, az ott lesz.

Szerintetek NTP szerver kell legyen a gépen ?

Kell.
És ha ez egy DC lesz, ehhez szinkronizáld a klienseket.

Ha telepítettem egy ntp -t akkor hogyan lehet tesztelni?

Idézet a fent linkelt leírásból:

"Indítsuk be a Windows-t és egy parancssorban adjuk ki a w32tm /resync parancsot; jó esetben tudnia kell frissítenie az időt."

Persze ez már feltételezi, hogy a windows tudja kitől kell lekérdeznie az időt.

w32tm /resync

Hiba történt a szolgáltatás nincs elindítva 0x80070426

Feltettem az ntp-t de biztos rosszul állítottam be valamit, mert a bejelentkezési idő sem jó!

Ha egy ntp-t nem tudsz beállítani, akkor nem biztos, hogy a sambával kéne kezdened (már bocs) :)

De hogy mondjak valami hasznosat is:
ntpq -p

A topicom azért van a kezdő Linuxusokhoz sorolva. Egyébként szükségem van Linux-os szerverre és AD-ra. Majd csak belejövök...

etc/cron.daily/ntpdate -ba írtam
https://drive.google.com/file/d/11aEICKnDcyJugx3c0TZHkZ_BbWeFAGaU/view?usp=sharing

Majd jogot adtam rá:

sudo chmod 755 /etc/cron.daily/ntpdate

és nem jó...

Ha most egy hálózatba összehozom egy win 7-el akkor ott az ubuntu idejét kell hogy mutassa a win7 nem?

ntpdate az nem egy ntp szerver, az csak lesynceli az ubuntu saját óráját valahonnan.

Elnézést, de nem tudok segíteni csak tanácsolni.

Az ilyen esetek elkerülésére javasolt egy OOB Samba AD használata. Zentyal, ClearOS, Netsh server.

Érdekel