Jump to content

DC на Mandriva Linux 2008


Recommended Posts

Задача: построить контроллер домена на вышеназванной ОС. В данный момент система выполняет роль фаерволла, файлсервера (SMB), и прокси-сервера (Squid, в планах стоит прикрутить авторизацию и обрезать нежелательные сайты). Подскажите, плз,примерный план действий, пару тройку толковых мануалов (лучше, если на русском), и в какую сторону прежде всего копать.

Link to comment
Share on other sites

alex786 писал(а) Mon, 19 October 2009 10:15

Задача: построить контроллер домена на вышеназванной ОС. В данный момент система выполняет роль фаерволла, файлсервера (SMB), и прокси-сервера (Squid, в планах стоит прикрутить авторизацию и обрезать нежелательные сайты). Подскажите, плз,примерный план действий, пару тройку толковых мануалов (лучше, если на русском), и в какую сторону прежде всего копать.

1. Для того чтобы обрезать нежелательные сайты, у Вас и стоит squid.

2. Если "контроллер домена" Вы понимаете в буквальном смысле, т.е. сервер, где будут авторизовываться вендовые юзеры, то настраивайте самбу в роли PDC + базу юзеров желательно держать в ldap. Из новых пакетов в этом случае нужно установить openldap.

3. Есть масса других вариантов, такие как kerberos, или решения из коробки, предлагаемые redhat и suse. Всё зависит от того, что Вы в итоге хотите получить в плане функциональности, простоты, безопасности и т.д.

У меня как юниксовые, так и вендовые клиенты (благо их мало) аутентифицируются в MIT kerberos, данные юзеров лежат в openldap, директории разделяю и по nfs4, и по самбе...

Но это не самое популярное, и не всегда лучшее решение.

Link to comment
Share on other sites

gogi писал(а) Tue, 20 October 2009 00:19

1. Для того чтобы обрезать нежелательные сайты, у Вас и стоит squid.

2. Если "контроллер домена" Вы понимаете в буквальном смысле, т.е. сервер, где будут авторизовываться вендовые юзеры, то настраивайте самбу в роли PDC + базу юзеров желательно держать в ldap. Из новых пакетов в этом случае нужно установить openldap.

3. Есть масса других вариантов, такие как kerberos, или решения из коробки, предлагаемые redhat и suse. Всё зависит от того, что Вы в итоге хотите получить в плане функциональности, простоты, безопасности и т.д.

У меня как юниксовые, так и вендовые клиенты (благо их мало) аутентифицируются в MIT kerberos, данные юзеров лежат в openldap, директории разделяю и по nfs4, и по самбе...

Но это не самое популярное, и не всегда лучшее решение.

1. Ну это я знаю, писал только для инфы

2. Да, вы правильно поняли.

3. не дадите ссылку на мануал по связыванию вместе Samba +LDAP? Буду очень благодарен.

UPD: к 3-му ещё +kerberos

Link to comment
Share on other sites

alex786 писал(а) Tue, 20 October 2009 05:06

2. Да, вы правильно поняли.

3. не дадите ссылку на мануал по связыванию вместе Samba +LDAP? Буду очень благодарен.

UPD: к 3-му ещё +kerberos

Лучшим руководством является официальный howto самбы

http://samba.org/samba/docs/man/Samba-HOWTO-Collection/

и там же конфигурирование в примерах, где рассказывается как конфигурировать самба в различной сетевой инфраструктуре, в том числе и с ldap.

http://samba.org/samba/docs/man/Samba-Guide/

Я встречал в сети переводы этих руководств на русский язык. Можете поискать в гугле.

Позволю несколько советов от себя.

1. Сначала настройте PDC на самбе без LDAP,

passdb backend = tdbsamи

если это Вас устроит, можете остановиться.

2. Оцените, нужен ли для чего именно нужен Вам каталог LDAP. Минусы - немного потеряете в производительности и в простоте системы. Плюсы - разные сетевые службы могут держать свои данные в одном централизованном каталоге. Это может быть полезно, если Вы, например, хотите настроить через pam сетевую авторизацию юниксовых пользователей, или хотитете, чтобы программы доставки почты (напр. imap сервер), хранили учетные записи в том же каталоге и т.п.

3. Керберос нужен будет в том случае, если Вас не устраивает текущая безопасноть сетевой аутентификации и сетевого доступа (в первую очередь, если вы будете раздавать /home по nfs).

Кроме этого в теории kerberos при правильной настройке и при поддержке другими программами позволит держать единый пароль для всех служб (преславутый Single Sign On).

Замечу, что kerberos не очень популярен среди "наших" админов, считающих его неоправданно сложным.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
 Share

×
×
  • Create New...