Samba PDC Ldap-pal

nem definialtad mi a rendes, ldap-account-manager rendes IMHO

"Megoldható, hogy dinamikusan a GUI-ról állítható legyen a Samba megosztásokhoz rendelt felhasználók listája? Vagy csak előre beégetett csoportokkal megy?"

nem teljesen ertem a problemat, a megosztashoz egy csoportnak adsz jogot, a csoport tagjai modosithatoak

ezen kivul ha acl-el csatolod fel a tarolot lehet jogokat osztani konyvtarakra is.

Eloszor is, mindenkeppen olvass el idevago howto-kat es leirasokat, hogy legalabb alapszinten ertsd, mirol van szo. Ertem itt a domainezest, az LDAP hasznalatat, a Samba eziranyu kepessegeit. Ne vagj bele csak howto-k alapjan, mert kesobb nagyon megszivhatod.

Az LDAP resze viszonylag egyszeru, felrakod, kialakitasz egy strukturat, meg egy hozzaferesi (ACL) rendszert, ami a te biztonsagi igenyednek megfelel. Egyvalamire ugyelj: ha a sambanak nem a rootdn-t adod meg, mint ldap admin dn, akkor nem csak a felhasznalokat, gepeket, idmapot, es csoportokat tarolo ou-kra kell irasi joganak lenni, hanem az ldap gyokerre is (dc=cegnev,dc=hu)!

A samba resze is egyszeru, majd a netes howtokbol latni fogod, mit hova kell irni, nem egy bonyolult. Erdemes a szerveren a PAM-ot is ravenni az LDAP authentikalasra, ugyanis igy rendkivul reszletes objektumok fognak lenni az LDAP adatbazisban, cserebe megszabadulsz a hibrid rendszer kettos konyvelesetol is. Elvben nem is kell a PAM-ot atloni, eleg csak az NSS-t beloni, hogy PAM-bol dolgozzon, de ha mar ott vagy, a PAM beallitasa gyerekjatek. Debian/Ubuntu eseten erosen ajanlott NEM a dialogusablakot hasznalni konfigolasra, illetve a libnss-ldap.conf eseten (hogy miert ez a kettos konyveles itt is...) mindenkeppen allitsd be a bind_policy-t soft-ra, ha nem akarsz nagyokat szivni.

Ami bonyi, az a csoportozas, foleg a standard NT csoportok letrehozasa (Domain Admins, Domain Users, etc), de a neten ezekrol is van par (bar joval kevesebb) leiras. Mindenkeppen hozd oket letre, sokszor jo ha keznel vannak.
Ha ram hallgatsz, nem hasznalod a root-ot Administrator usernek, hanem letrehozol valami dmnadm vagy admin vagy hasonlo usert, es ra bizod ezt a kenyes feladatot.

Amit nem ajanlok:
- printer telepites rpcclient-tel: szivatos, a PrintUIEntry nagyon szepen megoldja ezt
- smb-ldap: NE. Osdi, elavult szutyok, a samba _kepes_ kezelni az LDAP-ot maga alatt
- homes megosztas agyonkonfigolasa. path, comment, kesz. A tobbit a samba el tudja kezelni.
- ekezetes megosztas es fajlnevek hasznalata. Erre gyarts policy-t, akarmit, de tuzzel vassal irtsd.

Amit ajanlok:
- Eloszor az LDAP parancssori eszkozeivel ismerkedj ossze, mert ezek lesznek a legfontosabb barataid, ha valami nagyon felresiklana. LDIF fajl szintaxis konnyu, ismerkedj meg vele
- A Mandrivanak van egy MDS nevu webfelulete, ami nem csak Mandrivan, hanem mas rendszereken is elfut. Nagyon jo, es hasznos eszkoz.
- Integralj minel tobb mindent az LDAP-ba, legyen minel kozpontibb a rendszer.
- Mindenkepp csinalj egy aktiv backup LDAP szervert, es szinkronold ossze oket, a samba kepes terhelesosztani es failbackelni is a ketto kozt.

--

()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.

Én három különböző fájlszerver+felhasználó kezelő rendszert próbáltam ki idáig:

- http://www.openfiler.com/
- http://mds.mandriva.org/
- http://ebox-platform.com/

Ezek közül az openfiler-ben szerintem súlyos hibák vannak (pl. kitörli az összes felhasználót az LDAP-ból, ha utólag állítod be, hogy TLS-t is kérsz az LDAP-hoz...)
Az MDS-t használtam, de fapadosnak érzem.
És ami bejött, az az ebox. Ez sem tökéletes (pl. az új user ldap konfigjában alapból /bin/false a user shell-je, tehát linux alatt nem tud belépni, de samba-n keresztül igen). A könyvtár megosztás könnyen beállítható, és felhasználói csoportokhoz köthető.

M.