LINUX.ORG.RU
ФорумAdmin

Free IPA + SAMBA


0

2

Доброго времени суток!
Люди добрые и знающие, у кого-нибудь был опыт совместной настройки таких продуктов как Free IPA + SAMBA на RHEL6/CentOS6 ?
Идея следующая, поднять Free IPA как единую точку автризации для всех учёток и серверных хостов под RHEL. А также через Free IPA раздавать доступ на SAMBA шары виндовым пользователям. Организовать так называемый single-sign-on, чтобы у пользователя была одна учетка и чтоб он мог через нее иметь доступ на линукс сервера и на самбовские шары через винду?
Вообще такое реально воплотить в жизнь? Или я чего-то нереального напридумывал?
Пробовал настраивать Kerberized CIFS по документации от RedHat https://access.redhat.com/site/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Identity_Management_Guide/cifs.html но ничего не вышло.. Т.е. получается учетки и в IPA и в SAMBA, что при смене пароля в IPA непозволяет изменения отобразить в SAMBA..
Версии пакетов:
ipa-server-3.0.0-26.el6_4.2.x86_64
samba-3.6.9-151.el6.x86_64
Ребят, может кто-нибудь поделиться опытом/знаниями по этой теме?
Спасибо!

Что конкрентно не получается ? На чем споткнулся ? Поделись логами.

anonymous
()
Ответ на: комментарий от anonymous

Что конкрентно не получается ?
Конкретно не получилось заставить самбу стать частью IPA.. Т.е. самба UID/GID пользователей использует тот же, а пароли разные используются и не синхронизируются.. Мне бы хотелось, чтобы пароль на все службы был единым.

На чем споткнулся ?
С Самбой плотно раньше никогда не общался, пробовал разные настройки конфига, но результат печальный..Поэтому и спросил, можно ли вообще так настроить эти 2 сервиса, чтоб одна учётка и один пароль были на все службы? И с виндовых машин не было проблем мапить шары?

Поделись логами.
Поделился бы еслиб знать какими? IPA вроде никаких логов особо и не ведет.. А от самбы вот только это есть:

[2013/06/06 11:07:39.609400,  0] printing/print_cups.c:151(cups_connect)
  Unable to connect to CUPS server localhost:631 - Connection refused
[2013/06/06 11:07:39.609742,  0] printing/print_cups.c:528(cups_async_callback)
  failed to retrieve printer list: NT_STATUS_UNSUCCESSFUL
[2013/06/06 11:08:32.966198,  0] printing/print_cups.c:151(cups_connect)
  Unable to connect to CUPS server localhost:631 - Connection refused
[2013/06/06 11:08:32.966519,  0] printing/print_cups.c:528(cups_async_callback)
  failed to retrieve printer list: NT_STATUS_UNSUCCESSFUL
[2013/06/06 12:19:30.069697,  0] printing/nt_printing.c:102(nt_printing_init)
  nt_printing_init: error checking published printers: WERR_ACCESS_DENIED
[2013/06/06 12:19:30.073271,  0] printing/print_cups.c:151(cups_connect)
  Unable to connect to CUPS server localhost:631 - Connection refused
[2013/06/06 12:19:30.073560,  0] printing/print_cups.c:528(cups_async_callback)
  failed to retrieve printer list: NT_STATUS_UNSUCCESSFUL

nicronomikon
() автор топика
Ответ на: комментарий от nicronomikon

Что конкрентно не получается ?
Конкретно не получилось заставить самбу стать частью IPA

вряд ли где в док-ии ты найдешь такое понятие как «заставить X стать частью Y». тебе явно нужно предметнее разобраться, в чем состоит задача.

На чем споткнулся ?
С Самбой плотно раньше никогда не общался

наверное, самое время пообщаться? на темы, которые ты поднимаешь, можно хороший многотомник написать (собсно, они и написаны ::hint hint::), а ты хочешь, что бы тебе показали кнопку «сделать частью ОК/Отмена»

Поделись логами.
IPA вроде никаких логов особо и не ведет

так не бывает. я FreeIPA не ковырял, но исходя из попадавшейся на глаза доку-ии, там не может не быть опции «вести логи». нэвэрю (с).

А от самбы вот только это есть

ох...

конкретно связку FreeIPA+samba я не ковырял, зато just for fun поднял на дом. сервачке openldap+krb5+sssd+nfs/autofs/etc. задача конечно не совсем, что у тебя, но пройдя сей квест, ты, предвижу, начнешь в разы лучше ориентироваться, что происходит «под капотом». а то пока не видно, чтоб ты вообще ориентировался хоть в чем-то.

отправной точкой (и основным рук-м, но не искл.) для моих приключений с ldap/krb стал вот этот бложик - http://itdavid.blogspot.ca/2012/05/howto-centos-6.html

а так, смотри материалы про FreeIPA, в т.ч. и ту редхатовскую доку.

mos ★★☆☆☆
()

Когда я последний раз решал такую задачу, то в итоге это вылилось вот в это: http://vikki.logotek.ru/~viking/opendirectory/

Если вендовых файлсерверов не планируется, можно обойтись FreeIPA.

1. Создать прицнипалов в керберосе под виндовые компы

2. Ввести виндовые компы в керберосный домен

3. Убедить самбу утентифицироваться в керберосном домене

Там же по ссылке в примерах были конфиги под всё это дело.

no-dashi ★★★★★
()
Последнее исправление: no-dashi (всего исправлений: 1)
Ответ на: комментарий от no-dashi

хе, ваш проект тоже вспомнил.

[offtop]зачем Шапке понадобилось брать NDS (или чего это было) и велосипедить FDS/389? чем openldap не угодил? лицензия вроде gpl-совместимая, или этого мало? корпоративно пилится некой компанией[/offtop]

mos ★★☆☆☆
()
Ответ на: комментарий от no-dashi

Всем большое спасибо за ответы!
no-dashi, скажите, а обязательно виндовые машины вводить в керберосный домен? Можно ли без этого как-то обойтись?
Просто в моей компании исторически так сложилось, что все клиентские машины на WinXP работают на отдельном домене AD, который мной не управляется.
А моё так сказать хозяйство всё на линуксе, которое я хочу завести на FreeIPA и шары на самбе, отдавать вот этим виндовым клиентам располагающимся в другом домене.
Надеюсь понятно написал :-)

nicronomikon
() автор топика
Ответ на: комментарий от nicronomikon

а обязательно виндовые машины вводить в керберосный домен? Можно ли без этого как-то обойтись?

Либо домен, либо «каждый сам по себе» и аутентификаций через NTLM. Добро пожаловать в чюдесьный вендомир.

Просто в моей компании исторически так сложилось, что все клиентские машины на WinXP работают на отдельном домене AD, который мной не управляется. А моё так сказать хозяйство всё на линуксе, которое я хочу завести на FreeIPA и шары на самбе, отдавать вот этим виндовым клиентам располагающимся в другом домене.

Практически все ситуации, связанные с раздачей через самбу ресурсов пользователям виндового домена сопряжены с необходимостью регистрации своего сервера в домене (ad или krb - это уже второй вопрос) с целью получением принципала и кейтаба, и требуют чтобы вы отдались в рабство (как минимум частичное) виндовому домену. Ну или сделать кросс-доменные отношения между freeipa и AD.

Исключение - работа в режиме password сервер, но для неё требуется ослаблять настройки безопасности на клиентских виндах. В любом случае, требуется содействие виндового администратора домена (причем, достаточно продвинутого, чтобы он понял чего от него хотят - обычный эникейщик не осиливает).

no-dashi ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.