SaMBa domain

Linux-haladó

Hi!

Azt szeretném kérdezni, van-e valamelyikőtöknek tapasztalata, esetleg tudtok-e dokumentációt/esettanulmányt a következőhöz:
Tartományt szeretnék létrehozni ~150 XP kliens részére SaMBa-val (később tervezem a második telephely (~20 kliens) csatlakoztatását is). Szeretném, ha a PDC kiesése esetén is működne a hálózat: bejelentkeztetésen túl jelszómódosítás, esetleg felhasználók felvétele/törlése. Sajnos jelentősen eltérő hardver áll rendelkezésemre a PDC-hez és a BDC-hez, ezért nem gondolkodom High Availability megoldásban. Megengedhetőnek tartok annyi kiesést, amíg a BDC-t átállítom úgy, hogy az arra naponta rsync-elt adatokat osztom meg addig, amíg a PDC elérhetetlen. A samba.org-on lévő példákon már végigmentem (Distributed 2000 user network-ig), de maradtak kérdéseim, mert ahogyan megértettem, az a rendszer a PDC kiesése esetén csak a bejelentkezéseket tudná kiszolgálni, a jelszómódosítást, stb. nem.

Előre is kösz:Tamás.

  • 1933 megtekintés

( Husi | 2009. 05. 04., h – 15:08 )

ldap és az ő szinkronizálása körül olvasgatnék tovább.
Ha csinálsz egy master ldap szervert ami a pdc, akkor a slave ldap szerveren is ugyanaz a fa van, mint a masteren. ez mehet a bdc-re. ha nincs pdc akkor a bdc tud beléptetni és ha jelszó változik vissza szinkronizálja a pdc-n lévő ldapra ahogy elérhetővé vélik.

---------------------------------------------------------------------
„Az Univerzum már elég nagy és öreg ahhoz, hogy egy fél óráig vigyázzon magára.”

( borbelyimi | 2009. 05. 04., h – 15:17 )

Szia!

Nézd meg ezt a dokumentációt:
http://www.openldap.org/doc/admin24/replication.html

Neked a MirrorMode replication rész lehet érdekes. Ebben az esetben teljesen ugyanaz van mindkét szerveren (openldap szempontból).

Múlt héten raktam össze egy ilyet, ha kérdésed van szívesen segítek!

Üdv,
Imi

( pischta | 2009. 05. 05., k – 10:48 )

Köszönöm a válaszokat. A replikációkról szóló doksit már olvastam. A master-slave változattal (amit a SaMBa példák is alkalmaznak) az a gondom, hogy a slave nem szinkronizál vissza, mert az csak a master adatbázisának egy keresésben megadott részét "húzza le" magának. Ha rosszul gondolom, szóljatok!
A mirror móddal az a gondom, hogy annak egy harmadik gép kellene, amely vezérli, hogy éppen melyik legyen a master, hogy konzisztens legyen az adatbázis (MirrorMode can be termed as Active-Active Hot-Standby, therefore an external server (slapd in proxy mode) or device (hardware load balancer) is needed to manage which provider is currently active). Nem tervezek harmadik gépet, hardveres terheléselosztóra meg végképp nem lesz pénz:-(. Maradna a multi-master változat. Elolvastam megint ezt a részt a replikációkról szóló doksiban, és úgy tűnik, ez nem járható út, ha nem akarom összekuszálni az adataimat. Per pillanat úgy tűnik számomra, hogy a PDC kiesése esetén két géppel nem tudom megoldani a működést. Arról még valahogy le tudnék mondani, hogy a felhasználói adatokat szerkesszem, még arról is, hogy a felhasználók a jelszavukat változtassák ezen idő alatt, de van egy komolyabb gond is: a windowsos kliensek időről időre változtatják a Machine Trust Account jelszót. Erről gondolom nem lehet lebeszélni őket, viszont, ha ezt nem tudom ezen időszakban tárolni, az gáz.
Ötlet, észrevétel?

( pischta | 2009. 05. 07., cs – 12:52 )

Hi!

Sokat gondolkodtam az utóbbi napokban a felvetett kérdésemmel kapcsolatban, de még mindig nem tiszta előttem ez az egész. Az megerősödött bennem, hogy a Slave LDAP server csak árnyékmásolat, úgyhogy, ha a PDC kiesése esetére akarok valami biztonságos megoldást, akkor vagy Multi Master, vagy Mirror módban kell gondolkodnom. Biztonsági szempontból csak a Mirror mód tűnik használhatónak, de kérdéses számomra, hogy a SaMBa szempontjából ez korrekt megoldás-e.
Érdekelne, hogy Imi hogyan telepítette a MirrorMode-ot.

Ebbe a részébe nem nagyon merültem bele, de Samba Howto Collection azt írja, hogy "Samba's pdb_ldap code supports binding to a replica LDAP server and will also follow referrals and rebind to the master if it ever needs to make a modification to the database. (Normally BDCs are read-only, so this will not occur often)."

Lehet, hogy én értem félre, de szerintem azt írja, hogy nem kell bohóckodni saját sync-eléssel, hanem a samba megoldja.

Az idézet innen: http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/samba-bdc.ht…

Ez a doksi a TOSHARG (The Official Samba-3 HOWTO And Reference Guide). Ennek van egy újabb változata, a 2nd edition. Elérhető a http://www.phptr.com/perens címen (Nem közvetlen link, több minden is van itt. Ne tévesszen meg, ha rámész a könyvre, a downloads fülön letölthető az egész könyv, nem csak a minta fejezet érhető el).
A lényeg: a slave (consumer) LDAP read-only, de lehet az adatbázisba írni hivatkozáson keresztül. Ez a hivatkozás a master (provider) LDAP-ra mutat, ebben végzi el a változtatásokat. Nekem éppen ez a problémám: azon agyaltam, hogyan lehet megoldani, hogy a PDC kiesése esetén (amin a master LDAP is van) is mind teljesértékűbb legyen a SaMBa. Az idézett rész is írja, hogy a BDC normál esetben read-only: nem arra szolgál (jelenleg?), hogy teljesértékűen helyettesítse a PDC-t. Jelenleg ott tartok, hogy elfelejthetem a felhasználókezelést a PDC kiesése idejére. Ami még zavart az szintén a doksiban található infó:a kliensek időről-időre (30 naponként?) változtatják a Machine Account jelszavukat. Ez is az LDAP-ban tárolódik... Szép lenne azt mondani, hogy 30 napig el lehetek PDC nélkül, de az nem kiszámítható, melyik gépnek mikor jár éppen le a 30 nap. Arra jutottam, hogy letiltom ezt a "feature"-t. Biztonsági szempontból ellenjavallt, de egy másik biztonsági szempont meg mellette szól mégis :)
A http://www.tomshardware.co.uk/forum/page-138968_35_0.html linken találtam erre megoldást. Bár ott kérdésként teszik fel, de a kulcs létezik XP alatt is:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\DisableChangePassword ->1

Ez egy jó doksi, ezt is néztem már, de rögtön az elején van egy olyan kitétel, hogy "vegyünk két egyforma gépet". Sajnos, a két gép, amit felhasználhatok közel sem egyforma...
Azért jó, hogy előjönnek ezek a dolgok, hátha másoknak is hasznos lesz, akik ezt a topicot olvassák.
Ma akadtam rá egy nemrég felrakott doksira:
http://www.mithrandir.hu/doc/book/node5.html

( Cseresznye | 2009. 08. 19., sze – 15:13 )

Nem domain kérdés, de nem szeretnék egy új topic-ot nyitni ez miatt.

A 'bind interfaces only' bekapcsolása után csak ip címmel tudom elérni a samba-t, netbios névvel nem.
Miért lehet ez?