Linux+Windos+LDAP

Fórumok

Linux+Windos+LDAP

Hozzászólások

Üdvözlök minden HUP fórumozót!

Egy kis, vagy lehet, hogy nagy bajban vagyok. Kaptam egy feladatot, mégpedig egy iskolai rendszer teljes Server-szisztéma megtervezése és kialakítása. A felállás a következő:

Négy darab Server:

1. Windows Server 2003 – P-IV-es gép, asztali
a. Tartományvezérlő
b. DHCP
c. DNS

A maradék három Linux Server (Debian) feladatai:

Web, FTP, E-mail, Proxy, Adat

A felhasználókat a Win2003-ba tárolnám, LDAP-kéréssel szeretném a címlistát lekérdezni, a Linux-os Serverek számára, de sajnos én még LDAP-ot nem használtam. A működési funkcióját ismerem, de a konfigurálását, és a tulajdonságait nem, és szeretnék egy kis segítséget kérni, hogy hogyan, konfigolható és hogyan működik. Konkrét kérdésem az volna, hogy milyen csomagot kell hozzá felraknom, hogy működjön maga az LDAP lekérdezés a Linux-os gépeken, és hogyan konfigolható. Mivel van egy csomó szolgáltatás, amihez kell egy könyvtár nekik (adat, ftp, mail – squirrelmail, és ezt legjobban, leggyorsabban a HOME könyvtárral tudnám megoldani-szerinetm) és ha az LDAP lekérdezi a Windows server címlistáját, akkor a címlista alapján, csinál nekik HOME könyvtárat, illetve teljes jogú Linux felhasználók lesznek? És közben ezeket folyamatosan kvótázni akarom. Ez azért probléma számomra, mert kb. 700 állandó felhasználó és évente 50-100 felhasználómozgás. Az utolsó kérdésem az volna, hogy hogyan frissül a Linux-ba az felhasználói adatbázis, ha megváltoztatok valamit a Windows-ba akkor egyből a Linux-on is változik, vagy ezt valami scripttel tudom megcsinálni?

Én a Servereket a következő szisztéma szerint képzeletem el, ha esetleg hülyeséget akarok csinálni ordibáljatok rám!

1. Linux Server: Web, FTP, E-mail – Ez egy P-IV-es gép, asztali
2. Proxy – P-II-es HP Server
3. Adtat Server – P-III-as Hp Server,

A válaszokat, és a figyelmet előre is köszönöm!!!

Nézd:

Ha linuxon menne az LDAP + tartományvezérlő a wines usereknek, akkor mindjárt könnyebb lenne..
Ehhez könnyen találsz infót! Tudod a windowsnak nincs lelkes közössége, mely egymást segíti... Ez sok fejfájást fog okozni.

Amúgy meg linux alatt, ha LDAP-ból szeretnéd a usereket, akkor:
/etc/nsswitch.conf fájlt kell editálnod
files helyett files ldap

Meg ez kell, de biztos van csomag is debian alatt...
http://www.padl.com/OSS/pam_ldap.html

Kell még az LDAP kliens cuccok, és be kell állítani az ldap.conf -ot, hogy hol van az LDAP szerver!
Aztán már csak fel kell tölteni userekkel... Márha a kettő kompatibilis...

Amit ajánlok:
http://ldapadmin.sourceforge.net/index.html
Win alatt ezzel csatlakozz az LDAP-hoz és ezzel hozd össze a usereket!

Sajna Win2003 LDAP, hogy hogyan megy, hogyan kapcsolódik a Linux hozzá(titkosítás meg ...)?

[quote:2070618930="supageo"]Ha linuxon menne az LDAP + tartományvezérlő a wines usereknek, akkor mindjárt könnyebb lenne..

egyetértek, csak a Windows nehezen illeszkedik ebbe a rendszerbe, mert ott egy készre tervezett LDAP címtárat kapsz (Active Directory), ezt össze kell lőni Linuxszal, illetve ha nem natívan LDAP-ból használod (hanem pl. SMB próbálkozással, akkor gányolni kell :) )

[quote:2070618930="supageo"]Tudod a windowsnak nincs lelkes közössége, mely egymást segíti... Ez sok fejfájást fog okozni.

ez hatalmas tévedés.

véleményem szerint ha címtárból dolgozol, akkor a problémák elkerülése végett próbálj homogén környezetet létrehozni.

Ha windowsos tartomanyt csinalsz, akkor mindenkepp 2 darab tartomanyvezerlod legyen!!! Gondlj csak bele valami kis gond van az egyikkel, es egyetlen ember sem tud bejelentkezni az egesz suliban...

A masodik tartomanyvezerlo lehet sokkal gyengebb gep is!

Ha mar van egy redundans ldap cimtarad, akkor en erre felraknam az ingyenes Microsoft Services for Unix termeket, ami fel tudja boviteni a semat olyanra, hogy tamogassa a posixaccount osztalyokat is. Igy a felhasznalokat teljes mertekben az Active Directoryban tudod tartolni.

Az AD-ban ugyanugy lehet semat boviteni mint az openldapban... (Mondjuk joval tobbet kell tervezni, de lehet.)

http://www.metaconsultancy.com/whitepapers/ldap-linux.htm
Linux alatt pam_ldap vagy pam_krb5 modullal tudsz autentikalni, az nss_ldap-pal pedig az egyeb infokat szedni.

Regebben tartottam ezekrol egy eloadast is, itt vannak a slideok:
http://sztk.sch.bme.hu/files/tanfolyamok/32/2004.12.08.msinterop.ppt

Szerintem ez sokat segithet. Ha barmi nem vilagos, szolj!

A samba-s tartomanyvezerlot en ellenjavalnam, mivel rengeteg funkciot nem tud ami szamodra hasznos lenne (pl. group policy)

[quote:990dedef45="orkenyi"]Üdvözlök minden HUP fórumozót!

Mivel van egy csomó szolgáltatás, amihez kell egy könyvtár nekik (adat, ftp, mail – squirrelmail, és ezt legjobban, leggyorsabban a HOME könyvtárral tudnám megoldani-szerinetm) és ha az LDAP lekérdezi a Windows server címlistáját, akkor a címlista alapján, csinál nekik HOME könyvtárat, illetve teljes jogú Linux felhasználók lesznek?

A home konyvtarakat senki nem hozza letre helyetted.

[quote:990dedef45="orkenyi"]
És közben ezeket folyamatosan kvótázni akarom. Ez azért probléma számomra, mert kb. 700 állandó felhasználó és évente 50-100 felhasználómozgás. Az utolsó kérdésem az volna, hogy hogyan frissül a Linux-ba az felhasználói adatbázis, ha megváltoztatok valamit a Windows-ba akkor egyből a Linux-on is változik, vagy ezt valami scripttel tudom megcsinálni?

Ha a felhasznalokat az Active Directoryban tarolod, akkor nem kell sehonnan se frissiteni, mivel onnan szedi oket.

Szerintem most kezdj el izombol doksikat olvasni, es szanj ra egy legalabb egy hetet! , hogy kialakuljon benned a kep. Aztan allits fel a tesztrendszert (akar vmware-ben), es kiserletezz!

[quote:990dedef45="supageo"]
Tudod a windowsnak nincs lelkes közössége, mely egymást segíti... Ez sok fejfájást fog okozni.

Sot lehet hogy ez meglep, de meg itt a hup-on is van jopar ember aki ert hozza, es szivesen segit is!

[quote:2f0861d7d1="supageo"]Nézd:

Ha linuxon menne az LDAP + tartományvezérlő a wines usereknek, akkor mindjárt könnyebb lenne..
Ehhez könnyen találsz infót! Tudod a windowsnak nincs lelkes közössége, mely egymást segíti... Ez sok fejfájást fog okozni.

ugy hivjak hogy support tudod a fizetos szoftverekhez jar

Jólvan na visszavonom azt a Flame-t, megbántam..
(Na jó, csak az ilyen wines közösségek általában full lámák... és igaz a leghozzáértőbbek sokszor fórumoznak a hupon!)

[quote:15f47b1c66="supageo"]Jólvan na visszavonom azt a Flame-t, megbántam..

OK.

[quote:15f47b1c66="supageo"]
(Na jó, csak az ilyen wines közösségek általában full lámák... és igaz a leghozzáértőbbek sokszor fórumoznak a hupon!)

:)

A magyarorszagi majer csavok itt vannak asszem:
http://www.netacademia.net/
http://listmanager.technetklub.hu/read/all_forums/

A legnagyobb prob az, hogy komolyabban itt nem nagyon tudnak segiteni, ha mar linux is van a kepben.

1. OpenLDAP szerver konfiguralasakor a kovetkezore figyelj. Ha majd a slapd.conf fajlban
bekonfiguralod a szervert, nem irhatsz bele olyan sort, amely space-szel vagy szokozzel
kezdodik. Ellenkezo esetben a hatas olyan, mintha kikommentezted volna a bejegyzest. Sokat
szivtam vele mig rajottem. Ez abban az esetben mar nem igaz, ha tordeled a sorokat, mert
attekintheto konfig fajl akarsz letrehozni. A lenyeg, hogy a legelso kakarter ne space vagy tab
legyen.

2. Hibasan vannak megtervezve egyes objektum osztalyok, de szerencse a
szerencsetlensegben, hogy ettol meg jol mukodik a szerver. Nem emlekszem pontosan, hogy
melyek ezek az osztalyok (objectClass), de azt hiszem a posixAccount es a sambaAccount
az. Ha jol remlik, mindkettoben szerepel egy azonos nevu attributum (talan az _uid_ az, vagy
nem), ami elvileg nem fordulhatna elo. Ez olyan, mintha egy adatbazis tablazataban kulonbozo
sorra, rekordra stb. ugyanazzal a kulcssal hivatkoznal. Egyszeru tervezesi hibarol van szo,
amit nem is fognak kijavitani. Na most konnyen lehet, hogy nem ezek azok az objektum
osztalyok es az attributum sem az uid, de ha esetleg abba a jelensegbe utkozol, hogy egy
masik objektum osztaly szamara mar megadtad azt az attributumot, amit egy ujabbnak kellene,
es igy ketszer adnad meg, akkor nem kell meglepodni, hagy ki ezt a lepest. A szerver csak azt nezi, hogy az adott attributum szerepel-e vagy sem.

Az uid meglete nem kene, hogy baj legyen, ha mindket objectclass Auxillary.
Ez csak egy semaleiras, hogy az objektumnak milyen mezoi lehetnek, nem relacios adatbazis...

Szoval, ha jól értelmezem akkor csak úgy fog működni a dolog hogy LDAP-ból tudom a mail servert használni, de amihez könyvtár kell ahoz nem?

[quote:6727729b1d="_Joel"]Az uid meglete nem kene, hogy baj legyen, ha mindket objectclass Auxillary.

Igazabol nem is baj, csak nagyon hulyen nez ki. Egyebkent Lehet, hogy megis az uid az. Ha nagyon raerek, akkor megkeresem, mert mar engem is kezd piszkalni a dolog.

[quote:6727729b1d="_Joel"]Ez csak egy semaleiras, hogy az objektumnak milyen mezoi lehetnek, nem relacios adatbazis...

Szerencsere pont ezert mukodik a dolog.