samba dc bullseye

Debian GNU/Linux

Sziasztok, a feladat a következő jelesül éppen egy iskolában. Van egy bullseye, amin van néhány felhasználó jó okkal (/etc/passwd). Héhányan szeretnénk w10-es gépről SMB-vel belé-vel is belépni és fájlt kezelni, én még nem dolgoztam ilyennek, de a következő egy hét során más feladatok mellett ezt fogom megcsinálni. Az elgondolásom az volt, hogy Samba DC legyen, de a jövő hét végéig mindenképpen kialakítom a véglegeset, a cél az, hogy a w10-es klienseken megjelenjenek a szerver által biztosított userek.

A kérdésem mindenkihez, aki naprakész, hogy ezt ma hogy érdemes megcsinálni? Valahol olvastam, hogy libpam-smbpass talán pont arra való, hogy ne kelljen külön smb usereket csinálnom és kezelnem, hanem az amúgy is rendszerszinten létező fiókokkal be lehessen lépni, de ez a módszer, mintha deprecated lenne, vagy nem lenne elegendően alkalmas erre a feladatra bulseye-on, ahol már nem is létezik ez a csomag.

Hogy érdemes akkor tehát szerintetek a fenti célt elérni?

  • 451 megtekintés

( SzBlackY | 2021. 06. 17., cs – 08:34 )

Három lehetőséged van:

  1. sima workgroup és reszeled a usereket kézzel mindenhol, öntökönlövés.
  2. legacy NT DOMAIN, itt a szerveren reszeled a usereket, a kliensek már a szerverre loginolnak, kis körbetaknyolással maradhatsz a sima Unixos user kezelésnél.
  3. Active Directory domain, ekkor a samba-ra kell bíznod a userek kezelését (samba-tool user paranccsal tudod őket mókolni), kliensek ugyanúgy a szerverrel loginolnak, cserébe az /etc/password-öd kuka (más jelszó tárolást használ, mint ami az összes handshake-hez kell Windows környezetben.

Ha ez utóbbi mellett döntesz (egyébként javaslom), írd le, hogy most használják a szervert (hogyan lépnek be, milyen szolgáltatások vannak rajta, mennyire bonyolultak a jelenlegi megosztások stb.), hány kliens eszközöd felhasználód van, akkor a legkisebb nyűggel járó migrálási eljárást is ki tudjuk találni.

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

regebben kellett a winbind es a hozza tartozo pam es nss csomagok

libnss-winbind - Samba nameservice integration plugins

libpam-winbind - Windows domain authentication integration plugin

winbind - service to resolve user and group information from Windows NT servers

de lehet hogy ez mar elmult

neked aztan fura humorod van...

Ezek továbbra is vannak, AD DC szerverre talán a mai napig a legegyszerűbb, de most már inkább az sssd és annak az AD pluginja vagy még inkább a realmd [ami gyakorlatilag ugyanúgy sssd-t húz be, de kényelmesen, egy paranccsal] a jobb kliensekre (szerveren is megy, de egyszer mindenki belefut, hogy egy hónapig minden szép és jó, aztán földbe áll az egész tartomány, amikor az sssd úgy dönt, hogy akkor machine pw csere és új keytab és felülírja a Samba által létrehozott rendszer keytab filet...)

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Director…

Valahol írja, hogy érdemes külön DC-t és fájlszervert telepíteni. Együtt is megoldható (csináltam már ilyent is), de nem ideális.

Az NT style domain nem valódi opció. A Win 10 valamelyik frissítése óta nem enged csatlakozni az ilyen tartományhoz. Persze lehet trükközni: egy régebbi telepítőt használsz, tartományba lépteted a gépet, és utána telepíted a frissítéseket. Nem érdemes ezzel kínlódni.

Ebből a doksiból kimaradt, de fontos lehet: a Bullseye-t passzolom, az eddigi Debianokban úgy volt csomagolva a samba, hogy nem dependelt a dnsutils csomagra, de anélkül AD DC módban nem tudta a saját rekordjait frissíteni, ami mindig vicces :) De kb. ennyi plusz, legyen acl/xattr támogatás a fájlrendszeren, amin a Samba könyvtárai vannak.

Szerk.: a lépéseket érdemes a fentiből nézni, a parancsokat már egy aktuális helpből érdemesebb... és ha rám hallgatsz egy másik gépen rakod össze a rendszert, ha az éles szerveren elkezded kiadogatni a doksiban levő parancsokat, a felhasználók nagyon fognak utálni :)

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

+1, annál is akartam írni, hogy öntökönlövés, de lemaradt :)

Szerintem is legyen Samba AD DC, nem egy nagy wasistdas, ha a hálózathoz van OP-nak hozzáférése (mondjuk DHCP szerveren tud másik DNS szervert kiajánlani vagy a kliensek által használt DNS szerverben az AD zónát a Samba felé irányítani).

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

Ezzel a mai napig be lehet léptetni Samba 3.5-ig lefelé biztosan mindet. (az a legrégebbi Sambám, ami valahol még megy)

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters]
; Enable NT-Domain compatibility mode
; Default:
; [value not present]
; "DomainCompatibilityMode"=-
"DomainCompatibilityMode"=dword:00000001

; Disable required DNS name resolution
; Default:
; [value not present]
; "DNSNameResolutionRequired"=-
"DNSNameResolutionRequired"=dword:00000000

; Disable Mutual authentication, no Kerberos, can fall back to NTLMv2
; Disable Integrity, SMB signing is not required
; Disable Privacy, no SMBv3 must be used
; Default:
; [value not present]
; "\\\\*\\netlogon"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkProvider\HardenedPaths]
"\\\\*\\netlogon"="RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0"

Ez így van, de ha ahhoz van szokva, hogy a szerveren bizgerálja a usereket, megteheti ott is (ill. Süsüék a Yastba [TUI/GUI menedzsment cucc] tettek hozzá ADUC-stílusú kezelőt, elvileg elérhető más rendszerekre is)

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

( akoscomp | 2021. 06. 17., cs – 10:02 )

Fájlszervernek/fájlkezelésre én elavultnak tartom a samba szerű megoldásokat. Tegyél fel inkább egy privát cloud-ot: seafile, nextcloud.

Bár abban igazad van, hogy egy dinoszaurusz, de túl sok minden támogatja és elég hatékony.

Windows alatt azért a hálózati meghajtó elég kényelmes (még ha nem is szeretjük).

Nextcloud tudtommal csak szinkronizálni tudja, tehát minden gépen kellene hogy legyen egy példány?

( jenkara | 2021. 06. 17., cs – 17:12 )

Ha most probalkozol eloszor akkor ajanlom ezt a leirast: https://www.tecmint.com/install-samba4-active-directory-ubuntu/ Ez ugyan ubutara szol de az aktualis debianon kicsi odafigyelessel adaptalhato.

Nekem mindig van egy virt win10-em amire felteszem az RSAT-ot (vagy minek hivjak most) es grafikus feluletrol heggesztheted a nyuzereket, DNS-t, Groupe-policy-t... Mukodik. De termeszetes a samba-tool azert mindent visz. ;-)

Siman be lehet leptetni a windows10-eket. Nem kell registryt reszelni. A mozgo profil is mukodik. Vagy pl a dokumentumok konyvtar atiranyitasa halozati meghajtora...

A SeaFile jo cucc, de tapasztalatom szerint a felhasznalok nem kepesek megemeszteni...

Nextcloud-ot tudod authentikaltatni Samba4 AD-bol. Be tudod csatolni a sambas teruleteket, ha valaki tavolrol szeretne latni a fajljait a fajlszerveren.

A nextcloud kliensenel ki lehet valasztani, mely konyvtarakat szinkronizalja. Ha csatolod a Samba meghajtokat a Nextcloud strukturajaba akor nagy szivas lehet. Ha valaki nem figyel oda, leszikronizalhatja a teljes fajlszervet a sajat gepere. :-D Ha nem csatolod be, akkor ez nem gond...

Miert is kell fizetni? Ezek mind free megoldasok.

igen, én is ezzel a doksival kezdem ma, délelőtt idáig jutottam: https://docs.google.com/document/d/1JLhb7XIHP0QAgrN_R3Bj6efi601BXjSB2g8…

ami ma történt délelőtt: w10 kliens: smb1 támogatás bekapcsolva: speciális programmal administratorként már be tudunk lépni, login és más alap hálózattallózásáon még nem látszik

https://commons.wikimedia.org/wiki/Libre art

( veresh | 2021. 06. 17., cs – 20:51 )

Szerkesztve: 2021. 06. 17., cs – 20:51

Hamarosan nekem is aktuális lesz Debian 11-en egy Samba AD DC telepítés. Hálás lennék, ha megosztanád a tapasztalatokat.