Hi!
Egy samba-t kellene felállítanom az egyik telephelyre, melynek a 100km-re lévő AD-ből kellene a userek engedélyét lekérni/ellenőrizni. A problémás résznek a "távolsági kapcsolatot" érzem: mi történik akkor, ha nem elérhető az AD szerver? Ez esetben a samba mellett lévő cliensek nem tudják elérni a samba megosztásait, mert nem tudnak auth-olni?
Aki épp bent van a samba-n, az gondolom még egy ideig tudja használni....
Szóval a kérdésem, hogy van arra lehetőség, hogy az AD usereit a samba-n cache-ljem?
Illetve, mi a fenti problémára a megoldás? (stabil netkapcsolaton kívül ;-) )
Előre is köszönök minden ötletet, javaslatot linkelt leírást!
- 265 megtekintés
Hozzászólások
Egy helyi AD replika Win Serverrel..?
- A hozzászóláshoz be kell jelentkezni
Hi!
Gyanítom nem fog menni. :-(
Sajna az AD-t nem én üzemeltetem és jó esetben fogom "csak" authra használni. Több 1000-en használják és a mi "kis" 50 fős csapatunk nem sok vizet zavar.
Szóval, arra, hogy az AD tartalma lekerüljön helyi szintre elég kis esélyt látok. :-(
Szóval a cache-ben bíznék, ha van esetleg.....
vagy egyéb ötlet esetleg?
- A hozzászóláshoz be kell jelentkezni
Nem kell az egész AD-t replikálnod, elég az autentikációt. Ha volna olyan szerencséd, hogy az AD ldap-ot használ (ami ekkora méretben nem is irreális) akkor helyi ldap replikát pik-pak összerakhatsz.
---
"A megoldásra kell koncentrálni nem a problémára."
- A hozzászóláshoz be kell jelentkezni
Dupla internet betáp (két független szolgáltató) rajta IPSec VPN. Ezen felül Samba4 AD RODC + Samba kombó onsite.
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
A samba (winbind) valamennyit (alapesetben 5 perc, lásd: winbind cache time) cache-lni fogja a user infókat (csoport tagságok, id mapping stb.), az auth infóval (jelszó) az a gond, hogy ha jól van beállítva a rendszer, akkor a szerver soha nem fogja megkapni (kap egy Kerberos ticketet oszt jónap, ha fallbackel LM-re/NTLM-re, akkor meg authorizációs orákulumnak fogja a DC-t használni). Told fel a cache time-ot, akkor legalább azoknál, akik a kiesés előtt elkezdtek dolgozni, nem lesz gond.
Van egy winbind offline logons, amivel elvileg csinál credential cache-t, de (egyrészt az NTLMv2 auth alapján, másrészt az itt-ott önmagának ellentmondó man pagek szerint) az csak arra fog működni, amikor a pam_winbind-dal "belépsz a szerverre", az SMB feldolgozásba nem szól bele.
Mekkora kiesésekre számítasz/akarsz felkészülni? (btw, egy-egy kieséskor szerintem első körben a DNS hiányát fogjátok észrevenni, amikor minden AD DNS-re irányuló lekérdezésnél timeout-ig várakoztok :( ) Ha gyakori és/vagy hosszú kiesések lehetnek, akkor tényleg kellene egy RODC a branch office-ba. Az viszont AD adminisztrátori kérdéskör, ráadásul ha egyébként Windows domainük van, akkor nálatok is Windows Server kellene (működik a samba-WinServer kevert rendszer, de érződik rajta, hogy a fejlesztők inkább a tiszta rendszerekre koncentrálnak, az RODC működés meg még itt-ott problémás).
BlackY
--
"en is amikor bejovok dolgozni, nem egy pc-t [..] kapcsolok be, hanem a mainframe-et..." (sj)
- A hozzászóláshoz be kell jelentkezni