OT: SAMBA - prevod AD na sambu (LDAP) - shrnuti
Petr Macek
pm-conf at kostax.cz
Tue Oct 27 17:15:49 CET 2009
Ahoj vsem,
diky za reakce a napady. Je to posledni mail k teto OT tematice. Kdyby
chtel nekdo reagovat, napiste mi prosim mimo konferenci.
Cestovni profily - nejsou problem. Pomoci politik/policy se da rict,
ktere slozky maji takto cestovat a ktere ne. Kdyz si clovek pohraje, tak
to jede. V pripade nemoznosti toto ovlivnit jsem to byl vzdy schopen
uzivatelum vysvetlit, ze o sva data mohou prijit a nemam s tim problem.
Tuto vec pouzivam u nekolika instalaci a bez nejmensich problemu.
LDAP - zavrhnul jsem pouziti ldapu. Mel bych ho jen k overovani
uzivatelu, zadna dalsi reseni (RADIUS, ...) se neplanuji a nema pro mne
vyznam.
Politiky - jsou castecne resitelne, staci pouzit nastroj na politiky z
win2000, vysledny soubor (vlastne cast registru) ulozit do adresare
netlogon a stanice ji pouziji. Microsoft se s timhle moc nechlubi, ale
funguje to.
Takze jsem se do toho pustil, nainstaloval sambu, predkonfiguroval,
zmenil jsem si SID na domenovy (net rpc getsid). Udelal join samba
serveru (net rpc join ......). Tady mam trosku zmatek, protoze nekdo
pridava jen
net rpc join -U user
a nekdo zase
net rpc join BDC -U ......
V obou pripadech mi v AD win serveru vznikne ucet pocitace, jednou jako
pocitac, podruhe jako Backup domain controller.
Zkusim treba
net rpc user -U pm -S 192.168.12.254
a vyjede mi seznam uzivatelu.
Ale pak narazim, kdyz zkusim udelat net rpc vampire:
root at samba ~ # net rpc vampire -U pm -S 192.168.12.254
[2009/10/27 17:10:44, 0]
rpc_client/cli_pipe.c:cli_rpc_pipe_open_schannel(3352)
cli_rpc_pipe_open_schannel: failed to get schannel session key from
server 192.168.12.254 for domain GYMJI.
[2009/10/27 17:10:44, 0] utils/net_rpc.c:run_rpc_command(165)
Could not initialise schannel netlogon pipe. Error was
NT_STATUS_INVALID_COMPUTER_NAME
V logu windows mam hlasky
Ověření nastavení relace počítače POKUS9 se nezdařilo. Došlo k chybě:
Přístup byl odepřen.
Nastavení relace z počítače POKUS9 se nezdařilo, protože databáze
zabezpečení neobsahuje účet vztahu důvěryhodnosti POKUS9$, na který
odkazuje určený počítač.
Problem mam ted tedy, ze nemam spravny ucet meho serveru v AD (tedy tak
to vidim ja). Kdyz zkusim rucne v AD muj server zalozit, nebude mi sedet
GID toho stroje (pri zakladani jej muzu do AD vlozit, ale ja nevim, jaky
UUID/GID ma muj samba server).
Google zatim moc nepomohl, kdyz to nekdo resi, vzdy mel problem jinde
nez ja.
Diky za kazdou radu
--
# ---------------
# Petr Macek
# pm at kostax.cz
# icq: 87323239
# www.kostax.cz
More information about the Users-l
mailing list