Kirjoittaja Aihe: 9.04 server ja Samba  (Luettu 11857 kertaa)

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11481
    • Profiili
    • Tomin kotisivut
Vs: 9.04 server ja Samba
« Vastaus #20 : 20.11.09 - klo:16.25 »
Itse lisäsin vuoden alkupuolella Ubuntu-palvelimen domainiimme tällä ohjeella.
En tiedä AD:stä mitään ja muutenkaan en sitä aikonut tässä kommentoida vaan tuo sivu ihmetyttää. Miksihän automaattinen tapa on aivan viimeisenä? https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto#Automated Methods
Lainaus
Automated Methods
The SADMS package allows for automated joining to Active Directory through a GUI interface. http://sadms.sourceforge.net/

SADMS on hyvästä syystä viimeisenä, koska se on GUI. Ainakaan 9.04 ja 9.10 servereissä ei tullut X:ää mukana (luojan kiitos !)
Jonkun pitäisi kieltää Nörttejä hölmöilemästä. Perus asennusohjelmien pitäisi toimia tekstipäätteellä. Joko koneen omalla ruudulla tai SSH:lla. GUI:t eivät kuulu serverihin.

Aa..aivan. Kiitos hyvästä selityksestä. :)
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

Asmo Koskinen

  • Käyttäjä
  • Viestejä: 4443
    • Profiili
Vs: 9.04 server ja Samba
« Vastaus #21 : 20.11.09 - klo:16.35 »
Tämä AD autentikointi alkaa tympäistä.

Miten ihmeessä WinXP osaa muodostaa yhteyden, mutta Linuxin ympärillä koko homma on tössitty näin täydellisesti.

Kerron tarkemmin "real world" esimerkin jatkon, kun päästään sinne.

Jep, tämä vaatii, (1) että AD on oikein rakennettu, että (2) autentikointi on ruuvattu oikein ja tarpeeksi kireäksi, että (3) resurssit jaetaan oikein käyttäjälle riippumatta siitä, mikä kone/käyttöjärjestelmä niitä hakee, että (4) AD-pääkäyttäjä tekee yhteistyötä Linux-pääkäyttäjän kanssa ja (5) että Likewise on iskussa.

Ensimmäisen testauksen perusteella olen toiveikas. Mutta jos Linux ei tosiaan taivu yhteistyöhön AD:n kanssa niillä vaatimuksilla, jotka on asetettu KIRKKO-verkolle, joka on viranomaisverkko, niin joudun luopumaan LTSP-palvelimista työpaikalla. Se on varmaa, että käännän jokaisen kiven, ennen kuin luovun LTSP-palvelimista.

Äläkä syytä Linuxia, M$ tämän ihan oikeasti sössii.

Yet Another Howto...

http://technet.microsoft.com/en-us/magazine/2008.12.linux.aspx

Ystävällisin terveisin Asmo Koskinen.

Mistofelees

  • Käyttäjä
  • Viestejä: 661
    • Profiili
Vs: 9.04 server ja Samba
« Vastaus #22 : 24.11.09 - klo:14.11 »
Tämä AD autentikointi alkaa tympäistä.

Miten ihmeessä WinXP osaa muodostaa yhteyden, mutta Linuxin ympärillä koko homma on tössitty näin täydellisesti.

Kerron tarkemmin "real world" esimerkin jatkon, kun päästään sinne.

Jep, tämä vaatii, (1) että AD on oikein rakennettu, että (2) autentikointi on ruuvattu oikein ja tarpeeksi kireäksi, että (3) resurssit jaetaan oikein käyttäjälle riippumatta siitä, mikä kone/käyttöjärjestelmä niitä hakee, että (4) AD-pääkäyttäjä tekee yhteistyötä Linux-pääkäyttäjän kanssa ja (5) että Likewise on iskussa.

Ensimmäisen testauksen perusteella olen toiveikas. Mutta jos Linux ei tosiaan taivu yhteistyöhön AD:n kanssa niillä vaatimuksilla, jotka on asetettu KIRKKO-verkolle, joka on viranomaisverkko, niin joudun luopumaan LTSP-palvelimista työpaikalla. Se on varmaa, että käännän jokaisen kiven, ennen kuin luovun LTSP-palvelimista.

Äläkä syytä Linuxia, M$ tämän ihan oikeasti sössii.

Itsekin aion taistella tämän kanssa kunnes asia selviää.
Minusta ongelma on edelleenkin Samban dokumentoinnissa.
Moni asia selviää lukemalla, mutta Samban kohdalla tuntuu, etä mistään ei pääse punaiseen lankaan kiinni. Jokainen esimerkkitapaus on erilainen. Jopa winbindd:n man sivullakin olevat esimerkit ovat mitä sattuu. Samaten Samban omat sivut ovat yhtä sekamelskaa.

Eikä tässä pääsyyllinen ole Samba tai M$. Tutustupa tarkemmin werkkoon. Jo pelkästään DHCP ja DNS ovat yhtä suurta sekamelskaa, jossa virheitä on paikattu ja uuusia ominaisuuksia lisätty mitä ihmeellisimmin menetelmin.
Kuten kaverini asiasta totesi: lahoilla savijaloilla seisova joka puolelta teipattu ja pönikitetty kermakakku.

Mistofelees

  • Käyttäjä
  • Viestejä: 661
    • Profiili
Vs: 9.04 server ja Samba
« Vastaus #23 : 24.11.09 - klo:15.02 »
Pieni pala tietoa. Testattu ja tarkistettu:
Winbind ja samban käynnistysjärjestys pitää olla oikea:

/etc/init.d/samba stop
/etc/init.d/winbind stop
/etc/init.d/winbind start
/etc/init.d/samba start 

-----------------------------------------------
Itsellä on 9.10 srv, jonka levyjakoja yritän tarjota Windos-koneille siten, että kättäjät autentikoidaan AD:n salasanoilla.
Tällöin riittää, että käyttäjä antaa salasanansa kirjautuessaan AD:ssä olevalle Windows-koneelleen.

Mistofelees

  • Käyttäjä
  • Viestejä: 661
    • Profiili
Vs: 9.04 server ja Samba
« Vastaus #24 : 26.11.09 - klo:13.54 »
Kävin asiasta pienen keskustelu tuolla toisella palstalla:
http://old.nabble.com/how-to-join-to-AD---td26513594.html#a26526963

Tuo keskustelu johti tuloksiin. Nyt domainiin liitetyn serverin levyt näkyvät windowXP:n lasilla, eikä WinXP kysele salasanoja.
Viilaamista on vielä jonkin verran. Koitan saada siivottua noita conf-fileitä ja julkaistua jonkinlaisen priiffin omilla sivuillani.

Loppupeleissä selvisi sekin, että vaikka minulla olikin oikeus asentaa koneita omaan lohkooni, tähän koneeseen minulla ei ollutkaan , mikä näkyi ilmoituksena:
 Failed to set account flags for machine account (NT_STATUS_ACCESS_DENIED)
Kun domainin administrator pisti ruksin oikeaan kohtaan, liittäminen onnistui.

Kaikkineen suurimmaksi harmiksi osoittautui, että on lähes mahdotonta löytää tietoa, mitä Samban antamat virheilmoitukset tarkoittavat. Pitää ottaa opiksi ja alkaa itsekin koota omiin ohjelmiinsa erillinen dokumentti virheilmoituksista, joita ei pysty itse ilmoituksessa riittävän selkeästi selittämään.

Edelleenkin minulle on epäselvää, miten yhteys todellisuudesa muodostuu. Tarvitaanko sihen todella kaikkia suositeltuja osia:
Kerberos, LDAP, WinBind. Ainakaan koneessa ei tarvita OpenLdap:a eikä Likewisea.
Kerberos ilmeisesti tarvitaan hakemaan AD:n tikettejä, eli huolehtimaan siitä, että koneella on tuore oikeus olla domainissa.
( kinit ja klist)

-----------------------------------------------
Itsellä on 9.10 srv, jonka levyjakoja yritän tarjota Windos-koneille siten, että kättäjät autentikoidaan AD:n salasanoilla.
Tällöin riittää, että käyttäjä antaa salasanansa kirjautuessaan AD:ssä olevalle Windows-koneelleen.

Mistofelees

  • Käyttäjä
  • Viestejä: 661
    • Profiili
Vs: 9.04 server ja Samba
« Vastaus #25 : 26.11.09 - klo:20.00 »
Lisää ohjeita:
Ihan ensimmäiseksi. Kunnon kirjaan mahtuu enemmän ohjeita, kuin tähän forumiin. Tästä opuksesta on itsellä hyvä mielikuva jo pidemmältäkin ajalta:
http://oreilly.com/catalog/samba/chapter/book/index.html

Aloita domainiin liittäminen pistämällä krb5.conf kuntoon ja aja se komennolla 'kinit' ilman mitään parametrejä. Vastausta on turha odottaa. Testaa toiminta komennolla 'klist', josta pitäisi tulla tuotteena:

Ticket cache: FILE:/tmp/krb5cc_0
Default principal: minaitte@DOMAIN

Valid starting     Expires            Service principal
11/26/09 19:38:08  11/27/09 05:38:14  krbtgt/DOMAIN@DOMAIN
   renew until 11/27/09 19:38:08


Tämä kertoi, että tiketti on kunnossa, matka saa jatkua. En ole vielä tutkinut, pitääkö tiketti uusia itse, vai onko tuo 'kinit' liitetty jonnekin automaattiin.

domainiin liittäminen tapahtuu komennolla:
net ads join -w DOMAIN -U minaitte@domain

EI siis komennolla (sanokoot ohjeet mitä tahansa): (KORJATTU JÄLKIKÄTEEN)
net join ads -w DOMAIN -U minaitte@domain

Jälkimmäinen tapa tuottaa jonkin 'Out of cheese' -virheilmoituksen:
'Failed to join domain: failed to find DC for domain ads
ADS join did not work, falling back to RPC...'

- DOMAIN isoilla kirjaimilla, domain pienillä
- Jätä lopusta '@domain' pois, jos saat tälläisen virheilmoituksen:
'Failed to join domain: failed to connect to AD: Malformed representation of principal'

To be continued... :)
« Viimeksi muokattu: 30.11.09 - klo:03.13 kirjoittanut Mistofelees »

Tha-Fox

  • Käyttäjä
  • Viestejä: 3315
  • Arch Linux && CentOS
    • Profiili
    • http://kettu.dy.fi
Vs: 9.04 server ja Samba
« Vastaus #26 : 27.11.09 - klo:08.12 »
Tekeekö silmät tepposet vai onko nuo kaks komentoa tuossa samanlaiset? Ilmeisesti toisessa pitäisi "domain" olla pienellä, vaiko miten?

Johan sulla on kohta wikiin pistettävä howto pystyssä. Toivottavasti saat homman toimimaan loppuun saakka :)

Mistofelees

  • Käyttäjä
  • Viestejä: 661
    • Profiili
Vs: 9.04 server ja Samba
« Vastaus #27 : 30.11.09 - klo:03.44 »
Tekeekö silmät tepposet vai onko nuo kaks komentoa tuossa samanlaiset?
Johan sulla on kohta wikiin pistettävä howto pystyssä. Toivottavasti saat homman toimimaan loppuun saakka :)
Vika oli kirjoittajassa.
Komennoissa on erona 'join' ja 'ads' -optioiden järjestys. Yleensähän Linuxin komennot eivät ole ronkeleita järjestykselle, mutta tämä on. J vieläpä niin, että ohjeissa yleensä on nimenomaan se väärä järjestys.

En ole montaakaan wikiä kirjaillut, joten mieluummin jättäisin homman jollekin osaavammalle. Koitan ensin kasata jonkinlaisen alustavan ohjeen jollekin sivulle, jolle pääsen, heti, kun olen vähäkään varma siitä, mitä olen havainnut ja oppinut.

Tässä on nyt vielä muutamia ratkomattomia ongelmia. Tällä hetkellä kiusaa neljä asiaa:
1, WinXP:n lasilla näkyy kaksi ikonia: \\serveri\minaitse ja \\serveri\munkaveri. Molemmat johtavat samaan serverin hakemistoon /home/minaitse. Munkaverilla ei ole hakemistoa serverissä. My_Computer:n osoiteriville voin kirjoittaa kenen tahansa AD:ssä rekisteröidyn käyttäjän XXX tunnuksen \\server\XXX, jolloin tuo toinen ikoni saa uuden nimen \\server\XXX.
Periaatteessa tämä on vain huvittavaa, mutta niskassa kaihertaa pelko isommasta  tyrästä.
2. Linuxissa /home/minaitse -hakemiston oikeudet pitaa olla  '707' tai '770', jotta Windowsissa ITSE pystyy muokkaamaan tämän hakemiston sisältöä. Sitäpaitsi WIndowsissa talletettujen tiedostojen groupiksi tulee
'domain users'. jos haluaa muuttaa jonkin muun tiedoston groupin tälläiseksi, pitää kirjoittaa:
chown minaitse:'domain users' file.jat (huom heittomerkit) -Typerää. Paljon mieluummin pistäisin oikeuksiksi 700 ollakseni varma, ettei kukaan muu kävisi sorkkimassa fileitäni.
3. Edellisen domain users -ongelman voittamiseksi suositeltiin käyttämään mapusers.dat -tiedostoa, jossa määritellään domain - ja linux-käyttäjien ja ryhmien vastaavuus. Tätä minä en ole vielä käsittänyt lainkaan. Eipä kyllä neuvojakaan tainnut käsittää sitä, että minusta oletuksena kotihakemiston pitää olla suojattu ja käyttäjille pitää itselleen jättää valinnan oikeus siihen, mitä haluaa julkaista. 707-oikeudet ovat perua jostain hippikaudelta. Valitettavasti noita risuparta-hippejä liikkuu näissä ympäristöissä vieläkin.
4. Linuxin puolella adduser ja useradd kusevat nilkoille. Eivät kuulema pysty lisäämään käyttäjää, joka jo on olemassa (AD:ssä). Pitää ilmeisesti aina ajaa /etc/init.d/samba stop, kun haluaa antaa jollekin käyttäjälle oikeudet käyttää linuxia ssh:n kautta. Ja sitten takaisin ylös ja käydä pyytämässä anteeksi kaikilta, joilta on mennyt rojektit seinälle.

Yksi helppous tässä nyt on: kun lisään jollekin käyttäjälle pelkästään levyalueen systeemiin, riittää, että teen hänelle levyalueen ja puukotan hakemiston permissiot. Käyttäjää ei tarvitse lisätä  Linuxiin. Niin kauan, kuin levyalue puuttuu, AD:n käyttäjillä ei ole pääsyä koneelle. Samba ei luo heille omin päin hakemistoja.

Koitan vielä ronkkia turvallisuusreikiä. Tämäkin serveri on menossa aktiivikäyttöön avoimeen verkkoon, eikä nörttileluksi, joten asioiden pitää olla kunnossa.

Mistofelees

  • Käyttäjä
  • Viestejä: 661
    • Profiili
Vs: 9.04 server ja Samba
« Vastaus #28 : 30.11.09 - klo:11.31 »

Johan sulla on kohta wikiin pistettävä howto pystyssä. Toivottavasti saat homman toimimaan loppuun saakka :)

Nysväsin jotain hätäistä doccia kasaan ja sain luvan pistää alla olevaan osoitteeseen jakoon. Sieltä saa lukea ja poimia vaikka wikiin. Itsellä ei oikein nyt ole aikaa opetella Wikin käyttöä, kun pitäisi ehtiä tehdä sähköremonttia kotona.
http://users.utu.fi/ptmusta/samba.shtml

En pistäisi vastaan, josko joku.muu@suomi.fi testailisi ja doccaisi noita käyttäjäpermissioneita hieman laajemmin. Saatika kertoisi minullekin, mitä minä olen tehnyt ;)