Comments 27
Бекап серверов на Linux предусмотрена? Или мне самому нужно будет указать какие папки забекапить?
Да. Про систему резервного копирования, подробно расписано в предыдущей статье. В данной же статье я рассказал как сделать удобный доступ к копиям из Windows.
Жду статью про бекап MS SQL Собираюсь на днях сделать. Интересно как это у Вас будет.
планирую следующей статьей.
Это легко и вполне интуитивно настраивается и автоматизируется средствами самого MSSQL — достаточно создать Maintenance Plan (или самому добавить таск в SQL Server Agent, если нужно/хочется выполнять кастомный T-SQL). В первом случае он даже будет за вас удалять старые бэкапы (с настроенным Maintenance Cleanup Task).
Для kerberos в libdefaults желательно увеличить значение параметра clockskew.
Для winbind я бы отключил все enum опции и добавил winbind offline logon = yes и winbind cache time побольше.
Также добавил бы unix charset = UTF-8, а если самба четвертой версии, то max protocol = SMB2
Для winbind я бы отключил все enum опции и добавил winbind offline logon = yes и winbind cache time побольше.
Также добавил бы unix charset = UTF-8, а если самба четвертой версии, то max protocol = SMB2
Это просто подарок судьбы. Как раз сегодня понадобилось настроить такую связку, зашел на хабр и пожалуста — через 30 минут все заработало. Да и к тому же редкий случай — пример на CentOS 6 (на котором у меня все сервисы), а не популярная нынче Ubunta. Правда параметры с enum и winbind пока не до конца понял, есть еще что почитать — вслепую такое точно еще не повторю. К сожалению с мануалами хорошими по samba, kerberos (и lvm до кучи) не встречался. Либо просто их не осознал еще.
Вопрос: если придти на Вашу самбу из машины ВНЕ домена. Можно войти по имени вида: admin pass?
Не могу никак забороть, аналогичные настройки samba (ну или почти аналогичные), и приходится входить так: DOMAIN\admin pass или даже так: admin@domain, что прямо таки злит! Хочу просто входить как admin pass
Не могу никак забороть, аналогичные настройки samba (ну или почти аналогичные), и приходится входить так: DOMAIN\admin pass или даже так: admin@domain, что прямо таки злит! Хочу просто входить как admin pass
winbind use default domain = no — без разницы его значение. :(
winbind refresh tickets = yes — тоже странный параметр. Точнее, он тоже просто не работает похоже…
winbind refresh tickets = yes — тоже странный параметр. Точнее, он тоже просто не работает похоже…
Попробуйте всё же в конфиге самбы такие параметры:
У меня работает (вводят только sAMAccountName — имя входа пользователя и пароль). Остальное не так уж и сильно отличается от топика.
P.S.
winbind stop
nmbd restart
winbind start
Ну или вообще перезагрузить сервер :)
auth methods = winbind
realm = DOMAIN.LOCAL
winbind use default domain = yes
У меня работает (вводят только sAMAccountName — имя входа пользователя и пароль). Остальное не так уж и сильно отличается от топика.
P.S.
winbind stop
nmbd restart
winbind start
Ну или вообще перезагрузить сервер :)
Штука вот какая: случайно выяснил, что если зайти не важно откуда linux или windows по:
netbios name — то всё похоже работает как надо. Даже с winbind use default domain = no (т.е. умолчательной настройкой).
Если же войти по dns имени: то ни в какую, и никак…
Есть какая-либо магия в имени входа?
netbios name — то всё похоже работает как надо. Даже с winbind use default domain = no (т.е. умолчательной настройкой).
Если же войти по dns имени: то ни в какую, и никак…
Есть какая-либо магия в имени входа?
В общем не устойчивое поведение… Не могу понять. Не помогли настройки.
[global]
netbios name = admin2
workgroup = COMPANY
security = ADS
realm = COMPANY.RU
dedicated keytab file = /etc/krb5.keytab
kerberos method = secrets and keytab
auth methods = winbind
idmap config *:backend = tdb
idmap config *:range = 2000-9999
idmap config COMPANY:backend = ad
idmap config COMPANY:schema_mode = rfc2307
idmap config COMPANY:range = 10000-20000
winbind nss info = rfc2307
winbind trusted domains only = no
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
winbind refresh tickets = Yes
[test]
path = /tmp/test
map to guest = bad password
read only = no
[global]
netbios name = admin2
workgroup = COMPANY
security = ADS
realm = COMPANY.RU
dedicated keytab file = /etc/krb5.keytab
kerberos method = secrets and keytab
auth methods = winbind
idmap config *:backend = tdb
idmap config *:range = 2000-9999
idmap config COMPANY:backend = ad
idmap config COMPANY:schema_mode = rfc2307
idmap config COMPANY:range = 10000-20000
winbind nss info = rfc2307
winbind trusted domains only = no
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
winbind refresh tickets = Yes
[test]
path = /tmp/test
map to guest = bad password
read only = no
Доброй ночи. Завтра постараюсь проверить такое поведение сервера. Отпишусь по результату.
Не удержался и проверил сейчас. Работает по любому имени, как netbios, так и полному, с доменом, а так же по IP адресу. Попробуйте все же перепроверить настройки и перезагрузить сервер. Так же, если используете SELinux, его надо настроить. Единственное но, я заходил из домена(Windows 7).
Благодарю за интерес к вопросу!
Я применяю samba4 как единственный PDC master в продуктивной инсталляции (то есть вполне серьёзная продуктивная инсталляция). Домен один.
Я применяю samba4 в качестве файловых серверов.
Если входить на samba4 файловый сервер, из ЭВМ которые находятся в домене (Windows, Linux, MacOS) — всё хорошо, работает SSO. Если заходить на samba4 файловый сервер с узлов (Windows, Linux, MacOS), которые находятся в другом, старом, продуктивном домене (samba3), приходится входить как: admin@domain. Или если входить с узла который вобще не состоит ни в каких доменах — поведение аналогичное (только: admin@domain). :( Писал в список рассылки — не помогли.
Будет здорово, если проверите войти с узла, который точно ни в каком домене не участвует.
Единственное но, я заходил из домена(Windows 7).
Я применяю samba4 как единственный PDC master в продуктивной инсталляции (то есть вполне серьёзная продуктивная инсталляция). Домен один.
Я применяю samba4 в качестве файловых серверов.
Если входить на samba4 файловый сервер, из ЭВМ которые находятся в домене (Windows, Linux, MacOS) — всё хорошо, работает SSO. Если заходить на samba4 файловый сервер с узлов (Windows, Linux, MacOS), которые находятся в другом, старом, продуктивном домене (samba3), приходится входить как: admin@domain. Или если входить с узла который вобще не состоит ни в каких доменах — поведение аналогичное (только: admin@domain). :( Писал в список рассылки — не помогли.
Будет здорово, если проверите войти с узла, который точно ни в каком домене не участвует.
winbind use default domain = no — без разницы его значение. :(
Этот параметр пригодится когда домен в лесу не один, как в моем случае.
Для особо ленивых есть даже интерфейс по настройке samba.
yum install system-config-firewall-tui samba-winbind krb5-workstation pam_krb5
После
authconfig-tui
и там уже делаем настройки Samba и KRB
yum install system-config-firewall-tui samba-winbind krb5-workstation pam_krb5
После
authconfig-tui
и там уже делаем настройки Samba и KRB
А почему политика таблицы iptables INPUT ACCEPT?
Вроде не соответствует стандарту безопасности.
Ну и кстати, раз для INPUT политика по умолчанию ACCEPT, то из всех правил для таблицы INPUT можно было оставить только последнее:
— остальные все равно пройдут
Вроде не соответствует стандарту безопасности.
Ну и кстати, раз для INPUT политика по умолчанию ACCEPT, то из всех правил для таблицы INPUT можно было оставить только последнее:
-A INPUT -j REJECT --reject-with icmp-host-prohibited
— остальные все равно пройдут
Тут захотел сделать аналогичное решение, но без внесения информации в /etc/hosts, так как настройки по DHCP применяются. По логике вроде как надо прописать в /etc/sysconfig/network-scripts/ifcfg-eth0 параметр DHCP_HOSTNAME, чтоб внести сразу сведения в DNS записи Windows Server DNS, и в nsswitch.conf поменять порядок на hosts: dns files. Но при выполнении net ads join выскакивает ошибка, что DNS запись не может быть обновлена, да и резолв имени хоста не проходит. Как решать это, в случае динамической настройки IP адресов?
резолв имени хоста не проходитдля этого мы и прописываем информацию в /etc/hosts в случае статики. Вам надо копать в эту сторону, как только ваш сервер удачно преобразует имя которое вы ему дали в его IP, у вас все заработает. Сам я не пробовал брать имена по DHCP, поэтому данного опыта не имею.
Да имя уже прописано и после этого все заработало. Теперь задача именно для DHCP сделать. Данный компьютер будет пропадать из сети на долгое время, и теоретически его IP адрес может достаться кому то другому. Да, про резервацию знаю, но хотелось сделать «правильно». Как я понимаю nsswitch для этого и придумали. В его описании указано, что технология резолва по файлу /etc/hosts признана устаревшей. Только вот большинство мануалов предлагают пока такой сценарий
Sign up to leave a comment.
Настройка файлового сервера Samba в корпоративной сети