Samba + AD auth cachelve?

 ( pista_ | 2019. október 9., szerda - 23:30 )

Hi!

Egy samba-t kellene felállítanom az egyik telephelyre, melynek a 100km-re lévő AD-ből kellene a userek engedélyét lekérni/ellenőrizni. A problémás résznek a "távolsági kapcsolatot" érzem: mi történik akkor, ha nem elérhető az AD szerver? Ez esetben a samba mellett lévő cliensek nem tudják elérni a samba megosztásait, mert nem tudnak auth-olni?
Aki épp bent van a samba-n, az gondolom még egy ideig tudja használni....

Szóval a kérdésem, hogy van arra lehetőség, hogy az AD usereit a samba-n cache-ljem?

Illetve, mi a fenti problémára a megoldás? (stabil netkapcsolaton kívül ;-) )

Előre is köszönök minden ötletet, javaslatot linkelt leírást!

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Egy helyi AD replika Win Serverrel..?

Hi!

Gyanítom nem fog menni. :-(
Sajna az AD-t nem én üzemeltetem és jó esetben fogom "csak" authra használni. Több 1000-en használják és a mi "kis" 50 fős csapatunk nem sok vizet zavar.

Szóval, arra, hogy az AD tartalma lekerüljön helyi szintre elég kis esélyt látok. :-(

Szóval a cache-ben bíznék, ha van esetleg.....

vagy egyéb ötlet esetleg?

Nem kell az egész AD-t replikálnod, elég az autentikációt. Ha volna olyan szerencséd, hogy az AD ldap-ot használ (ami ekkora méretben nem is irreális) akkor helyi ldap replikát pik-pak összerakhatsz.

---
"A megoldásra kell koncentrálni nem a problémára."

Dupla internet betáp (két független szolgáltató) rajta IPSec VPN. Ezen felül Samba4 AD RODC + Samba kombó onsite.

+1

A samba (winbind) valamennyit (alapesetben 5 perc, lásd: winbind cache time) cache-lni fogja a user infókat (csoport tagságok, id mapping stb.), az auth infóval (jelszó) az a gond, hogy ha jól van beállítva a rendszer, akkor a szerver soha nem fogja megkapni (kap egy Kerberos ticketet oszt jónap, ha fallbackel LM-re/NTLM-re, akkor meg authorizációs orákulumnak fogja a DC-t használni). Told fel a cache time-ot, akkor legalább azoknál, akik a kiesés előtt elkezdtek dolgozni, nem lesz gond.

Van egy winbind offline logons, amivel elvileg csinál credential cache-t, de (egyrészt az NTLMv2 auth alapján, másrészt az itt-ott önmagának ellentmondó man pagek szerint) az csak arra fog működni, amikor a pam_winbind-dal "belépsz a szerverre", az SMB feldolgozásba nem szól bele.

Mekkora kiesésekre számítasz/akarsz felkészülni? (btw, egy-egy kieséskor szerintem első körben a DNS hiányát fogjátok észrevenni, amikor minden AD DNS-re irányuló lekérdezésnél timeout-ig várakoztok :( ) Ha gyakori és/vagy hosszú kiesések lehetnek, akkor tényleg kellene egy RODC a branch office-ba. Az viszont AD adminisztrátori kérdéskör, ráadásul ha egyébként Windows domainük van, akkor nálatok is Windows Server kellene (működik a samba-WinServer kevert rendszer, de érződik rajta, hogy a fejlesztők inkább a tiszta rendszerekre koncentrálnak, az RODC működés meg még itt-ott problémás).

BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)