Я планирую перенести несколько наших серверов Linux на использование аутентификации AD через SAMBA / Winbind. Операционная система будет openSUSE 11.3 x64. В нашей среде AD не установлены расширения UNIX.
Я настроил сервер с нуля, и, похоже, он отлично работает. Установщик openSUSE проделал большую работу по поиску AD и настройке всех необходимых файлов конфигурации. Однако я сам установил несколько параметров Winbind. Моя рабочая конфигурация:
[global]
workgroup = DOMAIN
passdb backend = tdbsam
map to guest = Bad User
include = /etc/samba/dhcp.conf
usershare allow guests = No
idmap gid = 10000-20000
idmap uid = 10000-20000
realm = DOMAIN.INST.ORG
security = ADS
template homedir = /home/%D/%U
template shell = /bin/bash
winbind offline logon = yes
winbind refresh tickets = yes
winbind use default domain = yes
wins support = No
Все работает. Я могу войти в систему через свою учетную запись AD либо с консоли, либо через SSH. Я также могу подключиться к моему домашнему каталогу через SAMBA, используя свои учетные данные AD (я оставил директиву [homes] вне).
У меня есть несколько вопросов:
Я хотел бы получить некоторый опыт из первых рук от системных администраторов, которые поддерживали или в настоящее время поддерживают аналогичные настройки. На что мне следует обратить внимание? Каким еще лучшим практикам мне следует следовать?
Кроме того, я оценил Аналогично и обнаружил, что, похоже, наша среда не очень нравится. У меня были большие задержки с входом в систему, и я не мог интегрировать его с SAMBA. Эта установка работает намного лучше.
Заранее спасибо...
На самом деле, на все, что вы спросили здесь и многое другое, можно ответить, прочитав Официальное руководство по Samba HOWTO и справочное руководство. Кажется, что большинство администраторов не знают о его существовании, но как только они овладеют им, большинство проблем / загадок / вопросов, касающихся установки Samba, будут просто решены. Если бы я мог дать мудрый совет команде Samba, я бы чаще продвигал HOWTO публично.
При этом я постараюсь передать вам то немногое, что у меня есть.
По умолчанию winbind и samba хранят свою конфигурацию в файлах TDB. Я заметил, что есть возможность использовать серверную часть LDAP. Насколько сложно настроить несколько серверов?
Определите несколько. Если под несколькими вы подразумеваете менее 5-7, то файлы TDB в порядке, но требуют немного TLC. Если вы управляете организацией с десятками или сотнями серверов, LDAP спасет ваше рассудок. ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: мне нужно было запускать всего 2-3 установки Samba за раз, поэтому я не пробовал настройку LDAP-сопоставления.
Каковы лучшие практики для резервного копирования и восстановления файлов TDB? Я заметил команду tdbbackup. Следует ли мне его cron? Используйте другой метод резервного копирования
Как уже упоминалось в другом месте, вы можете использовать tdbbackup при использовании внутренней базы данных TDB. Обратите внимание, что в будущих версиях Samba изменится, так как я считаю, что они рассматривают другой метод хранения в Samba 4. Использование задания cron один раз в день, вероятно, не повредит, хотя вы захотите тщательно написать сценарий, чтобы отключить и повторно -включить службы до и после запуска скрипта.
Я заметил, что UID / GID генерируются в порядке очереди. Я помню, как тестировал это около года назад, и мой UID был очень большим числом, например 1983745637. Почему разница?
Вернитесь и проверьте свои настройки для idmap gid
и idmap uid
на этой установке. В прошлом были некоторые файлы smb.conf, поставляемые поставщиками, которые имели странные сопоставления вроде этого.
Какие лучшие практики для управления этим типом назначения UID / GID?
Для автономного сервера это не имеет значения, потому что нет реальной проблемы с синхронизацией идентификаторов. При настройке Active Directory вы захотите придерживаться того, что отображается через AD. Я считаю, что для настройки LDAP есть способ указать идентификатор пользователя вручную.
Я не планирую использовать NFS, но было бы неплохо, если бы UID / GID были одинаковыми для разных систем на всякий случай, хотя это не помешает, если я не смогу.
Если вам это действительно нужно, я бы внимательно посмотрел на то, как вручную сопоставить пользователей, что вы можете сделать, добавляя их по одному, или взглянув на использование бэкэнда LDAP. См. HOWTO для получения дополнительной информации.