Jak na DNS a domenu pro Win (OpenSuse)

[Aigor]

Úplně blbá otázka, prosím nebijte mě

Provozuju jednoduchý server na OpenSuse pro cca 30 PC (XP+Vista+Win7), zatím jen jako DHCP, NTP, Apache, MySQL a hlavně Samba.

Rád bych nějakým způsobem sjednotil přihlašování ke stanicím, takže něco na způsob domény. Nečekám od toho nic jiného, než centrální správu hesel - na mapování SMB to zatím neplánuju provázat. Tady netuším vůbec co hledat a jak to je s kompatibilitou všech verzí Win.

Zároveň bych rád nastavil DNS server, jen pro překlady některých vnitřních adres - ale při hledání howto nacházím pro mě zatím zbytečně složité příklady internetových serverů.

Poraďte pls od čeho se odpíchnout, simple příklad by byl nejlepší

[NeMeM9aA]

dns --> http://www.abclinuxu.cz/clanky/site/nastaveni-dns

velmi jednoduche howto.

Co se tyce hesel tak to by mel tusim resit kerberos(?)

[Marty]

Sambu musíš nakonfigurovat jako doménový řadič. Co je ale problém - změny hesel. Hesla můžeš pěkně nastavit z konzole, ale přes rozhraní windows a jejich změnu hesla nelze.
Stejně tak bývá problematické přidávání a odebírání stanic zařazených do SMB domény.

Mimochodem pokud jednou rozchodíš sambu jako DC, tak budeš muset poladit i shary tak, aby se do domény přihlášení uživatelé proti tomu mohli autentifikovat.


Ve zkratce - to, co chceš, jde. Ale trochu to dře a není to ono. Pokud chceš mít funkční centralizovanou správu uživatelů a pěkně funkční síť, doporučuji raději Windows Server. Ten linuxový stroj si nech na routování, firewall, intranet, atd atd atd, ale na doménu, to není volba mého srdce.
(pokud mě někdo přesvědčí o opaku, beru vše zpět)

Ještě drobnost, kromě DNS si taky rozchoď WINS (pod sambou je to nmbd) + dynamické updaty v propojení s DHCP a DNS.

[frelichl]

Sambu musíš nakonfigurovat jako doménový řadič. Co je ale problém - změny hesel. Hesla můžeš pěkně nastavit z konzole, ale přes rozhraní windows a jejich změnu hesla nelze.
Stejně tak bývá problematické přidávání a odebírání stanic zařazených do SMB domény.

Počkej, počkej, heslo se sambou měnit přes Windows určitě jde.

S přidáváním/odebíráním stanic jsem pravda problémy zaznamenal, ale přikládal jsem to spíš tomu, že jsem nikdy neladil skripty, které to mají na starost.

Samozřejmě ne že bych nesouhlasil s tím, že s windows serverem to bude jednodušší, dost drahé ale zároveň.

[Marty]

Samozřejmě ne že bych nesouhlasil s tím, že s windows serverem to bude jednodušší, dost drahé ale zároveň.

To je relativní, protože když si koupíš na to nějaký stroj za pár tisíc, tak to k tomu dostaneš jako OEM prakticky zadarmo. (mluvíme o značkových mašinách)

Jinak je možný, že některý featurky fungují lépe, já to naposled zkoušel zhruba před rokem, rokem a půl a problémů bylo dost na to, abych se na to vykašlal a odložil na pár let k ledu.
Ono když si srovnáš náklady na náročnější správu s pořizovacími náklady na Widle, možná se dostaneš k zajímavým číslům. Samozřejmě to neplatí paušálně! Je spousta aplikací, kde je linux hodně vpředu proti MS. Ale složitější konfigurace samby a doména k nim nepatří (logicky ani nemůže).

[frelichl]

No je to otázka, beru že počáteční konfigurace samby je složitější (ale zase tak strašný mi to nepřijde), ale i tak si myslím že náklady na její zavední v podobě lidské práce budou o dost nižší než náklady na licence. Samozřejmě se může situace značně změnit, pokud se budou se sambou problémy. Nemám zkušenosti na to, abych generalizoval, ale nám jede samba ve srovnatelně velkém prostředí, jako píše Aigor, zatraceně dobře.

[Marty]

Tady jsou kdyžtak nějaké howto...http://www.samba.org/samba/docs/man/...in-member.html


Budu rád, když to aigor nahodí, rozchodí a poreferuje, že vše funguje OK, ale prostě moje relativně stará zkušenost říká, že se tenkrát nedařilo. Možná to bylo ale jen mezi židlí a klávesnicí

[Aigor]

No to mě moc nepotěšilo - čekal jsem, že tohle je pořešené třeba už na úroveň "klikátka" i když textových konfiguráků se taky nebojím.

Úplně konkrétně - jedná se 2 učebny PC + pár stanic zaměstnanců v malé firmě. Tzv. "server" jsem poskládal za pár korun já před asi 2 roky a nastavil podle několika návodů na netu. Od té doby jsem spolehlivě vše zapomněl, ale zatím šlape jak má.
Hlavní problém je ten, že čas od času dojde ke kompromitaci hesla správce a je potřeba obejít všechny PC a všechny hesla změnit (pokud je pozdě, tak i přeinstalovat - jak známo, widle rozlišují jen správce/uživatel, takže jak se někdo dostane k heslu správce, umí nadělat rychle paseku i v ostatních účtech).
Přechod na Win server kvůli ceně nepřipadá v úvahu.
Ideální modelová situace je takova, že na každé stanici bude jeden lokální admin, jehož heslo budu znát jen já. Další 2 uživatelé se budou autorizovat proti doméně, pokud nastane problém, pak na serveru jednoduše změním jejich hesla pro celou síť.

DNS potřebuju jen kvůli několika aliasům ve vnitřní síti a nutnost neustále pod adminem editovat lokální \etc\hosts

[Fox!MURDER]

ten domenovej radic by nemel bejt vetsi problem ... mel jsem to rozbehany doma. pravda, hral jsem si s tim pred lety (5+) asi den, ale pak to fungovalo v pohode ... jen mi to k nicemu nebylo (rozbihal jsem to spis jako pokus), tak jsem to po reinstalaci serveru znova nerozjizdel.

Zmena hesel urcite mozna je ... a nemel by to bejt kdovijakej problem. Dokonce mam pocit, ze ani ty shary nebudou problem (tusim ze kdyz je security = share, tak tomu staci spravnej user a pokud jich nemas moc, tak by to melo bejt v klidu).

jinak klikatko jsem nikdy nepouzival, resp. nevim jestli je, ale takovej 'grafickej editor konfiguraku' je swat - standardne se spousti pres (x)inetd a bezi na portu 901 (doporucuju ofirewallovat tak, aby tam nemohla skodna, mluvilo se o tom jako o slusne zabugovane veci).
celkem sikovny je, ze u kazdy polozky je odkaz na help, kterej je pomerne hodne obsahlej ...

[Rainbow]

Domena na sambe fungovala uz niekedy pred 10 rokmi, ale odvtedy som to nerobil

[Aigor]

Tedy ne že bych vyžadovat klikátka, ale po zkušenostech co sem to instaloval, tak nejnovější návody na konfiguráky byly 4 roky starý a samozřejmě OpenSuse je nebralo jako platný (nemluvě o tom, že byly umístěný jinde), částečně je to problém distra, částečně vývoj. Proto sem to nakonec naklikal podle jedinýho postupu co byl v češtině.

Zkusím posbírat a sesmolit zatím pár tipů a v týdnu jak se dostanu k serveru to zkusím nahodit.

[Rainbow]

Neaktualna dokumentacia ma tiez casto serie...

[chinook]

DNS potřebuju jen kvůli několika aliasům ve vnitřní síti a nutnost neustále pod adminem editovat lokální \etc\hosts

Toto by nemelo byt slozite. Propojis DNS server BIND s DHCP serverem. Potom pokud nejaka stanice dostane IP adresu od DHCP serveru, zapise ji do journalu BINDu.

Sambu s Ldapem jsem rozjizdel asi pred 7mesici na debianu, o dost slozitejsi nez to dns, trvalo mne to asi 4h, ale ted to chodi. Hesla ve windows menit jdou. Funguji i profily apod.

[Jezevec]

To je relativní, protože když si koupíš na to nějaký stroj za pár tisíc, tak to k tomu dostaneš jako OEM prakticky zadarmo. (mluvíme o značkových mašinách)

To je ti ovsem na kulovy, protoze dostanes sice OEM "skorozadarmo" widle, jenze si k nim musis koupit CALy pro vsechny stroje/uzivatele (bud a nebo, kombinovat tusim nelze), coz uz zadarmo urcite neni. Je sice fakt ze CAL plati na vsechny servery v domene, ale pokud by slo o prvni win server, prislo by to na peknych par kKc.

2Aigor: Win vs Samba 3 = lze autentizovat + sdilet disk(y), Samba 4 by mela umet plnohodnotny AD, ale netusim v jake je to aktualne fazi, pokud ti neva laborovani s vyvojovou verzi, tak to muzes testnout.

Jinak DNS je pohoda, nahod BINDa v defaultu a podle libovolnyho howto na netu to zprovoznis za 10minut max (dynamickej update z DHCP). Pripadne ti sem muzu postnout i konfigurak.

--
Edit: Jeste pro info, na 2k3 srv rozhodne spoluprace dhcp a dns nefunguje, dns si uchovava davno neplatny zaznamy, ac je oznaci jako expirovany, tak je vraci a vede to k tomu, ze se divis proc ti neodpovida na ping stroj, kterej 100% bezi. Dost pochybuju ze by to na 2k8 bylo vyrazne lepsi. Dhcp je pak na 2k3 tragedie komplet, neexistuje zadnej rozumnej zpusob jak to spravovat, vsechny rezervace (IP pridelovany podle MAC) mas na jedny ohromny hromade .... proste bordel a chaos.