OT: SAMBA - prevod AD na sambu (LDAP) - shrnuti

Petr Macek pm-conf at kostax.cz
Tue Oct 27 17:15:49 CET 2009


Ahoj vsem,
diky za reakce a napady. Je to posledni mail k teto OT tematice. Kdyby 
chtel nekdo reagovat, napiste mi prosim mimo konferenci.

Cestovni profily - nejsou problem. Pomoci politik/policy se da rict, 
ktere slozky maji takto cestovat a ktere ne. Kdyz si clovek pohraje, tak 
to jede. V pripade nemoznosti toto ovlivnit jsem to byl vzdy schopen 
uzivatelum vysvetlit, ze o sva data mohou prijit a nemam s tim problem.
Tuto vec pouzivam u nekolika instalaci a bez nejmensich problemu.

LDAP - zavrhnul jsem pouziti ldapu. Mel bych ho jen k overovani 
uzivatelu, zadna dalsi reseni (RADIUS, ...) se neplanuji a nema pro mne 
vyznam.

Politiky - jsou castecne resitelne, staci pouzit nastroj na politiky z 
win2000, vysledny soubor (vlastne cast registru) ulozit do adresare 
netlogon a stanice ji pouziji. Microsoft se s timhle moc nechlubi, ale 
funguje to.

Takze jsem se do toho pustil, nainstaloval sambu, predkonfiguroval, 
zmenil jsem si SID na domenovy (net rpc getsid). Udelal join samba 
serveru (net rpc join ......). Tady mam trosku zmatek, protoze nekdo 
pridava jen
net rpc join  -U user
a nekdo zase
net rpc join BDC -U ......
V obou pripadech mi v AD win serveru vznikne ucet pocitace, jednou jako 
pocitac, podruhe jako Backup domain controller.

Zkusim treba
net rpc user -U pm -S 192.168.12.254
a vyjede mi seznam uzivatelu.

Ale pak narazim, kdyz zkusim udelat net rpc vampire:
root at samba ~ # net rpc vampire -U pm -S 192.168.12.254
[2009/10/27 17:10:44,  0] 
rpc_client/cli_pipe.c:cli_rpc_pipe_open_schannel(3352)
   cli_rpc_pipe_open_schannel: failed to get schannel session key from 
server 192.168.12.254 for domain GYMJI.
[2009/10/27 17:10:44,  0] utils/net_rpc.c:run_rpc_command(165)
   Could not initialise schannel netlogon pipe. Error was 
NT_STATUS_INVALID_COMPUTER_NAME

V logu windows mam hlasky
Ověření nastavení relace počítače POKUS9 se nezdařilo. Došlo k chybě:
Přístup byl odepřen.
Nastavení relace z počítače POKUS9 se nezdařilo, protože databáze 
zabezpečení neobsahuje účet vztahu důvěryhodnosti POKUS9$, na který 
odkazuje určený počítač.

Problem mam ted tedy, ze nemam spravny ucet meho serveru v AD (tedy tak 
to vidim ja). Kdyz zkusim rucne v AD muj server zalozit, nebude mi sedet 
GID toho stroje (pri zakladani jej muzu do AD vlozit, ale ja nevim, jaky 
UUID/GID ma muj samba server).

Google zatim moc nepomohl, kdyz to nekdo resi, vzdy mel problem jinde 
nez ja.

Diky za kazdou radu

-- 
# ---------------
# Petr Macek
# pm at kostax.cz
# icq: 87323239
# www.kostax.cz





More information about the Users-l mailing list