Назад | Перейти на главную страницу

Лучшие методы управления для использования Winbind?

Я планирую перенести несколько наших серверов Linux на использование аутентификации AD через SAMBA / Winbind. Операционная система будет openSUSE 11.3 x64. В нашей среде AD не установлены расширения UNIX.

Я настроил сервер с нуля, и, похоже, он отлично работает. Установщик openSUSE проделал большую работу по поиску AD и настройке всех необходимых файлов конфигурации. Однако я сам установил несколько параметров Winbind. Моя рабочая конфигурация:

[global]
        workgroup = DOMAIN
        passdb backend = tdbsam
        map to guest = Bad User
        include = /etc/samba/dhcp.conf
        usershare allow guests = No
        idmap gid = 10000-20000
        idmap uid = 10000-20000
        realm = DOMAIN.INST.ORG
        security = ADS
        template homedir = /home/%D/%U
        template shell = /bin/bash
        winbind offline logon = yes
        winbind refresh tickets = yes
        winbind use default domain = yes
        wins support = No

Все работает. Я могу войти в систему через свою учетную запись AD либо с консоли, либо через SSH. Я также могу подключиться к моему домашнему каталогу через SAMBA, используя свои учетные данные AD (я оставил директиву [homes] вне).

У меня есть несколько вопросов:

  1. По умолчанию winbind и samba хранят свою конфигурацию в файлах TDB. Я заметил, что есть возможность использовать серверную часть LDAP. Неужели сложно настроить несколько серверов?
  2. Каковы лучшие практики для резервного копирования и восстановления файлов TDB? Я заметил команду tdbbackup. Следует ли мне его cron? Использовать другой метод резервного копирования?
  3. Я заметил, что UID / GID генерируются в порядке очереди. Я помню, как тестировал это около года назад, и мой UID был очень большим числом, например 1983745637. Почему разница? Какие лучшие практики для управления этим типом назначения UID / GID? Я не планирую использовать NFS, но было бы неплохо, если бы UID / GID были одинаковыми для всех систем на всякий случай, хотя это не помешает, если я не смогу.

Я хотел бы получить некоторый опыт из первых рук от системных администраторов, которые поддерживали или в настоящее время поддерживают аналогичные настройки. На что мне следует обратить внимание? Каким еще лучшим практикам мне следует следовать?

Кроме того, я оценил Аналогично и обнаружил, что, похоже, наша среда не очень нравится. У меня были большие задержки с входом в систему, и я не мог интегрировать его с SAMBA. Эта установка работает намного лучше.

Заранее спасибо...

На самом деле, на все, что вы спросили здесь и многое другое, можно ответить, прочитав Официальное руководство по Samba HOWTO и справочное руководство. Кажется, что большинство администраторов не знают о его существовании, но как только они овладеют им, большинство проблем / загадок / вопросов, касающихся установки Samba, будут просто решены. Если бы я мог дать мудрый совет команде Samba, я бы чаще продвигал HOWTO публично.

При этом я постараюсь передать вам то немногое, что у меня есть.

По умолчанию winbind и samba хранят свою конфигурацию в файлах TDB. Я заметил, что есть возможность использовать серверную часть LDAP. Насколько сложно настроить несколько серверов?

Определите несколько. Если под несколькими вы подразумеваете менее 5-7, то файлы TDB в порядке, но требуют немного TLC. Если вы управляете организацией с десятками или сотнями серверов, LDAP спасет ваше рассудок. ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: мне нужно было запускать всего 2-3 установки Samba за раз, поэтому я не пробовал настройку LDAP-сопоставления.

Каковы лучшие практики для резервного копирования и восстановления файлов TDB? Я заметил команду tdbbackup. Следует ли мне его cron? Используйте другой метод резервного копирования

Как уже упоминалось в другом месте, вы можете использовать tdbbackup при использовании внутренней базы данных TDB. Обратите внимание, что в будущих версиях Samba изменится, так как я считаю, что они рассматривают другой метод хранения в Samba 4. Использование задания cron один раз в день, вероятно, не повредит, хотя вы захотите тщательно написать сценарий, чтобы отключить и повторно -включить службы до и после запуска скрипта.

Я заметил, что UID / GID генерируются в порядке очереди. Я помню, как тестировал это около года назад, и мой UID был очень большим числом, например 1983745637. Почему разница?

Вернитесь и проверьте свои настройки для idmap gid и idmap uid на этой установке. В прошлом были некоторые файлы smb.conf, поставляемые поставщиками, которые имели странные сопоставления вроде этого.

Какие лучшие практики для управления этим типом назначения UID / GID?

Для автономного сервера это не имеет значения, потому что нет реальной проблемы с синхронизацией идентификаторов. При настройке Active Directory вы захотите придерживаться того, что отображается через AD. Я считаю, что для настройки LDAP есть способ указать идентификатор пользователя вручную.

Я не планирую использовать NFS, но было бы неплохо, если бы UID / GID были одинаковыми для разных систем на всякий случай, хотя это не помешает, если я не смогу.

Если вам это действительно нужно, я бы внимательно посмотрел на то, как вручную сопоставить пользователей, что вы можете сделать, добавляя их по одному, или взглянув на использование бэкэнда LDAP. См. HOWTO для получения дополнительной информации.