alex786 Опубликовано 19 октября, 2009 Жалоба Опубликовано 19 октября, 2009 Задача: построить контроллер домена на вышеназванной ОС. В данный момент система выполняет роль фаерволла, файлсервера (SMB), и прокси-сервера (Squid, в планах стоит прикрутить авторизацию и обрезать нежелательные сайты). Подскажите, плз,примерный план действий, пару тройку толковых мануалов (лучше, если на русском), и в какую сторону прежде всего копать. Цитата
gogi Опубликовано 19 октября, 2009 Жалоба Опубликовано 19 октября, 2009 alex786 писал(а) Mon, 19 October 2009 10:15 Задача: построить контроллер домена на вышеназванной ОС. В данный момент система выполняет роль фаерволла, файлсервера (SMB), и прокси-сервера (Squid, в планах стоит прикрутить авторизацию и обрезать нежелательные сайты). Подскажите, плз,примерный план действий, пару тройку толковых мануалов (лучше, если на русском), и в какую сторону прежде всего копать. 1. Для того чтобы обрезать нежелательные сайты, у Вас и стоит squid. 2. Если "контроллер домена" Вы понимаете в буквальном смысле, т.е. сервер, где будут авторизовываться вендовые юзеры, то настраивайте самбу в роли PDC + базу юзеров желательно держать в ldap. Из новых пакетов в этом случае нужно установить openldap. 3. Есть масса других вариантов, такие как kerberos, или решения из коробки, предлагаемые redhat и suse. Всё зависит от того, что Вы в итоге хотите получить в плане функциональности, простоты, безопасности и т.д. У меня как юниксовые, так и вендовые клиенты (благо их мало) аутентифицируются в MIT kerberos, данные юзеров лежат в openldap, директории разделяю и по nfs4, и по самбе... Но это не самое популярное, и не всегда лучшее решение. Цитата
AccessD Опубликовано 19 октября, 2009 Жалоба Опубликовано 19 октября, 2009 про PDC: http://www.ibm.com/developerworks/ru/edu/au-samba/index.html ?ca=drs-ru-1016 Цитата
alex786 Опубликовано 20 октября, 2009 Автор Жалоба Опубликовано 20 октября, 2009 Сэнкс, пошёл вкуривать мануал. Цитата
alex786 Опубликовано 20 октября, 2009 Автор Жалоба Опубликовано 20 октября, 2009 gogi писал(а) Tue, 20 October 2009 00:19 1. Для того чтобы обрезать нежелательные сайты, у Вас и стоит squid. 2. Если "контроллер домена" Вы понимаете в буквальном смысле, т.е. сервер, где будут авторизовываться вендовые юзеры, то настраивайте самбу в роли PDC + базу юзеров желательно держать в ldap. Из новых пакетов в этом случае нужно установить openldap. 3. Есть масса других вариантов, такие как kerberos, или решения из коробки, предлагаемые redhat и suse. Всё зависит от того, что Вы в итоге хотите получить в плане функциональности, простоты, безопасности и т.д. У меня как юниксовые, так и вендовые клиенты (благо их мало) аутентифицируются в MIT kerberos, данные юзеров лежат в openldap, директории разделяю и по nfs4, и по самбе... Но это не самое популярное, и не всегда лучшее решение. 1. Ну это я знаю, писал только для инфы 2. Да, вы правильно поняли. 3. не дадите ссылку на мануал по связыванию вместе Samba +LDAP? Буду очень благодарен. UPD: к 3-му ещё +kerberos Цитата
AccessD Опубликовано 20 октября, 2009 Жалоба Опубликовано 20 октября, 2009 Вот, например: http://www.lissyara.su/?id=1329 http://ru.opensuse.org/Howto_setup_SUSE_as_SAMBA_PDC_with_Op enLDAP,_DYNDNS_and_CLAM Цитата
gogi Опубликовано 20 октября, 2009 Жалоба Опубликовано 20 октября, 2009 alex786 писал(а) Tue, 20 October 2009 05:06 2. Да, вы правильно поняли. 3. не дадите ссылку на мануал по связыванию вместе Samba +LDAP? Буду очень благодарен. UPD: к 3-му ещё +kerberos Лучшим руководством является официальный howto самбы http://samba.org/samba/docs/man/Samba-HOWTO-Collection/ и там же конфигурирование в примерах, где рассказывается как конфигурировать самба в различной сетевой инфраструктуре, в том числе и с ldap. http://samba.org/samba/docs/man/Samba-Guide/ Я встречал в сети переводы этих руководств на русский язык. Можете поискать в гугле. Позволю несколько советов от себя. 1. Сначала настройте PDC на самбе без LDAP, passdb backend = tdbsamи если это Вас устроит, можете остановиться. 2. Оцените, нужен ли для чего именно нужен Вам каталог LDAP. Минусы - немного потеряете в производительности и в простоте системы. Плюсы - разные сетевые службы могут держать свои данные в одном централизованном каталоге. Это может быть полезно, если Вы, например, хотите настроить через pam сетевую авторизацию юниксовых пользователей, или хотитете, чтобы программы доставки почты (напр. imap сервер), хранили учетные записи в том же каталоге и т.п. 3. Керберос нужен будет в том случае, если Вас не устраивает текущая безопасноть сетевой аутентификации и сетевого доступа (в первую очередь, если вы будете раздавать /home по nfs). Кроме этого в теории kerberos при правильной настройке и при поддержке другими программами позволит держать единый пароль для всех служб (преславутый Single Sign On). Замечу, что kerberos не очень популярен среди "наших" админов, считающих его неоправданно сложным. Цитата
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.