Перейти к содержанию

DC на Mandriva Linux 2008


Рекомендуемые сообщения

Задача: построить контроллер домена на вышеназванной ОС. В данный момент система выполняет роль фаерволла, файлсервера (SMB), и прокси-сервера (Squid, в планах стоит прикрутить авторизацию и обрезать нежелательные сайты). Подскажите, плз,примерный план действий, пару тройку толковых мануалов (лучше, если на русском), и в какую сторону прежде всего копать.

Ссылка на комментарий
Поделиться на другие сайты

alex786 писал(а) Mon, 19 October 2009 10:15

Задача: построить контроллер домена на вышеназванной ОС. В данный момент система выполняет роль фаерволла, файлсервера (SMB), и прокси-сервера (Squid, в планах стоит прикрутить авторизацию и обрезать нежелательные сайты). Подскажите, плз,примерный план действий, пару тройку толковых мануалов (лучше, если на русском), и в какую сторону прежде всего копать.

1. Для того чтобы обрезать нежелательные сайты, у Вас и стоит squid.

2. Если "контроллер домена" Вы понимаете в буквальном смысле, т.е. сервер, где будут авторизовываться вендовые юзеры, то настраивайте самбу в роли PDC + базу юзеров желательно держать в ldap. Из новых пакетов в этом случае нужно установить openldap.

3. Есть масса других вариантов, такие как kerberos, или решения из коробки, предлагаемые redhat и suse. Всё зависит от того, что Вы в итоге хотите получить в плане функциональности, простоты, безопасности и т.д.

У меня как юниксовые, так и вендовые клиенты (благо их мало) аутентифицируются в MIT kerberos, данные юзеров лежат в openldap, директории разделяю и по nfs4, и по самбе...

Но это не самое популярное, и не всегда лучшее решение.

Ссылка на комментарий
Поделиться на другие сайты

gogi писал(а) Tue, 20 October 2009 00:19

1. Для того чтобы обрезать нежелательные сайты, у Вас и стоит squid.

2. Если "контроллер домена" Вы понимаете в буквальном смысле, т.е. сервер, где будут авторизовываться вендовые юзеры, то настраивайте самбу в роли PDC + базу юзеров желательно держать в ldap. Из новых пакетов в этом случае нужно установить openldap.

3. Есть масса других вариантов, такие как kerberos, или решения из коробки, предлагаемые redhat и suse. Всё зависит от того, что Вы в итоге хотите получить в плане функциональности, простоты, безопасности и т.д.

У меня как юниксовые, так и вендовые клиенты (благо их мало) аутентифицируются в MIT kerberos, данные юзеров лежат в openldap, директории разделяю и по nfs4, и по самбе...

Но это не самое популярное, и не всегда лучшее решение.

1. Ну это я знаю, писал только для инфы

2. Да, вы правильно поняли.

3. не дадите ссылку на мануал по связыванию вместе Samba +LDAP? Буду очень благодарен.

UPD: к 3-му ещё +kerberos

Ссылка на комментарий
Поделиться на другие сайты

alex786 писал(а) Tue, 20 October 2009 05:06

2. Да, вы правильно поняли.

3. не дадите ссылку на мануал по связыванию вместе Samba +LDAP? Буду очень благодарен.

UPD: к 3-му ещё +kerberos

Лучшим руководством является официальный howto самбы

http://samba.org/samba/docs/man/Samba-HOWTO-Collection/

и там же конфигурирование в примерах, где рассказывается как конфигурировать самба в различной сетевой инфраструктуре, в том числе и с ldap.

http://samba.org/samba/docs/man/Samba-Guide/

Я встречал в сети переводы этих руководств на русский язык. Можете поискать в гугле.

Позволю несколько советов от себя.

1. Сначала настройте PDC на самбе без LDAP,

passdb backend = tdbsamи

если это Вас устроит, можете остановиться.

2. Оцените, нужен ли для чего именно нужен Вам каталог LDAP. Минусы - немного потеряете в производительности и в простоте системы. Плюсы - разные сетевые службы могут держать свои данные в одном централизованном каталоге. Это может быть полезно, если Вы, например, хотите настроить через pam сетевую авторизацию юниксовых пользователей, или хотитете, чтобы программы доставки почты (напр. imap сервер), хранили учетные записи в том же каталоге и т.п.

3. Керберос нужен будет в том случае, если Вас не устраивает текущая безопасноть сетевой аутентификации и сетевого доступа (в первую очередь, если вы будете раздавать /home по nfs).

Кроме этого в теории kerberos при правильной настройке и при поддержке другими программами позволит держать единый пароль для всех служб (преславутый Single Sign On).

Замечу, что kerberos не очень популярен среди "наших" админов, считающих его неоправданно сложным.

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...
×
×
  • Создать...