Username
Password

Networking

Area di Discussione sulle Telecomunicazioni
Rispondi Invia Nuova Discussione 
Wednesday, 18 June 2008, 18:22
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

LDAP - vogliamo solo parlarne o ci sporchiamo anche le mani?


In campo neutro, niente area Win, nonostante si parti di autenticare in un dominio NT4 e di condividere tramite CIFS, niente area linux nonostante tutto si svolga in casa di pinguino.

LDAP e' un protocollo (leggero 'tacci sua) di accesso a directory, cioe' a database di anagrafiche generiche.

Nel caso specifico (con cui mi sto litigando a sprazzi da svariti mesi ' tacci sua) tramite LDAP si fa accesso ai dati di autenticazione per gli utenti di una rete windows basata sia su file server linux dedicati con samba, sia su condivisione di risorse locali di ws di tutti i gusti. Da MS-DOS (solo client) a W98, W2K-SP4, XP-SP3 ed ovviamente vari gusti di linux, tutti derivati di redhat.

I server di "servizi" , concedetemi il francesismo, stanno tutti in macchine virtuali FC8 eseguite su vmware server 1.0.6 a sua volta hostato su CentOS 5.1.
Per servizi intendo Apache, DNS, DHCP, BIND, SAMBA (come domain controller) e OpenLDAP.

I server di files invece sono macchine con hardware orientato come raid controller ecc... e, per ora, non ho ancora deciso se lasciarle su FC8 o se reinstallare il systema con una retrogradazione a CentOS.

Il controller RAID e' un ARECA PCI-Express per SATA2 che con il kernel 2.6.25 non da' problemi, per cui non vedo ragioni tangibili per tornare a 2.6.18

Il progetto originale, sbagliato, prevedeva di tenere tutti i servizi sul file server confidando dell' elevata ridondanza (dischi, alimentatori, nic ecc...).
Tenere in piedi un samba file server che faccia anche da domain controller mentre si fa sperimentazione su ldap non e' proprio il massimo del "pronti subito".

La ridondanza dei servizi, spostati ora su host diverso, e' garantita dalla trasportabilita' delle virtual machines che, configuratone il networking in modalita' bridge, mantengono il loro indirizzo ip ovunque hostate ed avendolo nella stessa classe delle macchine fisiche che popolano la lan, lo spostamento non crea problemi di riconfigurazione del routing.

In realta' qualche problemino di routing un giorno si avra', quella che per ora considero un' unica lan e' composta da tre lan distinte, con tre classi C diverse ma contigue, legate tra loro tramite openvpn in modo da poterle considerare un unico supernet a meta' strada tra una C ed una B.

I file servers diverranno dei member servers del dominio, alcune macchine virtuali diverranno domain controller.

L' idea e' di mettere una VM PDC nel subnet principale con un' altra VM BDC poco distante ed almeno un BDC (sempre VM) in ogni subnet remoto con la predisposizione di una sua copia pronta a partire in una macchina vicina.
In ogni momento sara' possibile chiedere l' autenticazione ad un BDC locale.
Per manutenzione programmata si spegne il BDC titolare e si avvia la vm clone su un' altra macchina.
Questo ci consentira' l' accesso alle risorse condivise anche in caso di caduta della vpn o della connessione fisica che le sta sotto i piedi.
Fermo restando che a connessione attiva sara' possibile chiedere ad un BDC remoto.

In termini di ridondanza dell' autenticazione, credo si possa stare tranquilli.
Eventuale abbondanza di macchine server ci puo' consentire di avere anche 2 BDC virtuali per ogni subnet.
Piu' di cosi' che devo promettervi?

Riepilogo dello scenario, da qui in poi saranno appunti in presa diretta quindi vale il principio "Trials and errors" .

Commenti e risultati di prove altrui sono incoraggiati, non perdete di vista l' effetto block notes. Per le disamine sui massimi sistemi c' e' sempre il thread di microzott AD vs LDAP
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Wednesday, 18 June 2008, 18:35
microzott
 Francesco
 Staff
 
L'avatar di  microzott
 
 Località: :magica:
 Età: 55
 Messaggi: 13,319

se tu aggiungessi che:
i file server sono macchine windows membro di dominio;
che alcuni virualizzatori sono win2003 con vmware server;
che i client sono essenzialmente winxp con rarissimi vista;
che le applicazioni piu' usate sono office, i gestionali in remoto, il verticale su win2003 con architettura client-server;

con le seguenti condizioni al contorno:
- modifiche, aggiornamenti installazioni, in numero trascurabile o insignificante;
- politiche rigide usi firewall in uscita ed entrata;
- openvpn per l'accesso alla lan (server linux);
- prerequisito unico richiesto: tempi di ripristino operatività client e server, misurabile in minuti e non in ore.

...avresti descritto la mia situazione al 95% e quindi...

...ti vengo dietro con godimento.
__________________
Tutto cio' che si puo' scassare, si rompera' nel giorno peggiore.
    Rispondi Citando Rispondi
Wednesday, 18 June 2008, 18:44
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

Vediamo di che disponiamo....

Ho un paio di macchine di classe prescott con CentOS 5.1 installato e funzionante,siccome fungono da host di vmware server 1.0.6, si chiamano vhost1 e vhost2.

Avendo un paio di GB di ram possono permettersi di eseguire diverse virtual machines ad ognuna delle quali viene riservato un hd virtuale da 8 GB e 256 MB di ram.

Ogni virtual machine e' una FC8 mantenuta aggiornata con yum (dal suo gui frontend yum extender).

C' e' gnome ovunque, per la comunicazione tra vm e vm e tra vm ed host (ed ovviamente il resto del mondo) ogni macchina ha vsftpd come ftp server e gftp come ftp client.

A dominio gestito si passera' a condividere le cfg e gli zipponi delle vm con samba.

Attualmente tutta la baracca dell' autenticazione e' gestita da un PDC su NT4 (vero) che ha appena perso il BDC gemello e che quindi ha molta fretta di essere surrogato da una nuova struttura.

VHOST1 ospita una vm funzionante con un DNS master server.
VHOST2 ospita una vm funzionante con un DNS slave server.

In giro per la lan c'e ' ancora il vecchio dns/mail server che ora fa da secondo slave, giusto perche' i vari clients vorrebbero essere riconfigurati per puntare ai nuovi dns server.

Su ognuno dei vhost c' e' (ferma) la vm del dns dell' altro vhost, pronta a partire in caso di fermo dell' host originale.

Sul mio pc di sviluppo, xp/sp3, c' e' ancora vmware server con le immagini dei suddetti dns e di ogni altra vm in corso di sviluppo.

Attualmente si lavora su una vm di caratteristiche simili, solo la ram allocata e' leggermente superiore giusto perche' ci si sta lavorando, quindi 384 MB di ram e sempre 8 GB di hd virtuale.

Altra scelta per le macchine di sviluppo e' di utilizzare tutto pacchettizato, senza ricompilare da sorgenti in modo da tenere un rpmbase coerente.

A configurazione funzionante si potra' pensare di riportare il lavoro su un' installazione ottimizzata.

La partenza e' quindi:


kernel 2.6.25.4-10.fc8
samba-3.0.28a-0.fc8

(la versione attuale di samba 3.0 e' 3.0.30 ma ha problemi con il join al dominio gestito da un server NT4 vero. La regressione a 3.0.28a serve al join. Il problema e' risolto nei sorgenti in sviluppo 3.2.x RCx e 4.x alpha ma non ancora pacchettizzato ne' riportato sui sorgenti 3.0.x)


smbldap-tools-0.9.4-1.fc8

Da qui in poi consulkto a mo' di checklist il capitolo 5 di samba-3 by example che introduce LDAP per la gestione degli account sia per samba che per il sistema linux sottostante.

Condizioneremo quindi sia l' autenticazione che l' autorizzazione con i dati del nostro db. L' accesso via LDAP (il protocollo) viene gestito tramite OpenLDAP (il server), i dati saranno memorizzati su un database BerkeleyDB (bdb backend).

A naso servira' quindi un berkeley db 4.qualcosa e scopriremo che, nel frattempo, pure su questo db free sono arrivate le mani di... comincia per O e fa delle predizioni criptiche sul futuro.....

Per preconfigurare OpenLDAP si poossono usare:

- le mani
- webmin
- phpldapadmin

e' meglio avere un apache funzionante a bordo.
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Wednesday, 18 June 2008, 19:09
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

Vediamo se ci sovrapponiamo

Quote:
se tu aggiungessi che:
i file server sono macchine windows membro di dominio;
Ok, l' ho detto, abbiamo uno o piu' macchine linux samba server da configurare come meber servers e svariate macchine da 98 (che fingeranno di godere) e 2kpro / xppro membri del dominio con le proprie shares gestite per utente.
Ci sono anche un paio di w2k server che fanno tutt'altro nella vita ma le cui shares possono essere ammonticchiate come sopra.

Quote:
che alcuni virualizzatori sono win2003 con vmware server;
che i client sono essenzialmente winxp con rarissimi vista;

dal mio punto di vista, confidando nella tua esperienza, una volta virtualizzato... se gira bene vmware server, le vm girano eguaglio.
Le mie nascono su host w2k pro (faticoso al reboot avviare tutti e 4 i servizi di vm), passano su host centos per una rifinitura, vengono sviluppate su host xp e finiscono a lavorare di nuovo sotto centos.

Quote:
che le applicazioni piu' usate sono office, i gestionali in remoto, il verticale su win2003 con architettura client-server;

Non vorrei impelagarmi su deploy di applicazioni di terze parti.
Quindi office sulle ws che lo devono usare, navigazione, posta, client di play ed editing audio.

Applicazione nostra invece distribuita con le magie di casa MS e di .NET, cose che io ignoro e di cui delego volentieri la vita e le opere ai due satanisti, quello di nome e quello di la', fatto, ormai.

Quote:
con le seguenti condizioni al contorno:
- modifiche, aggiornamenti installazioni, in numero trascurabile o insignificante;
- politiche rigide usi firewall in uscita ed entrata;
- openvpn per l'accesso alla lan (server linux);

poco impiccia all' architettura nostra, il router/firewall e' una macchina fisica, purtroppo non ho ben chiaro come virtualizzare i cavi dei router esterni per farli spostare a comando. Qui vedo bene l' indiano modello leather and lace

Uno dei memo che vedo bene e' spostare la testa di ponte openvpn (che attualmente sta su un xp pro e su due 2k pro, sede per sede) o in vm o direttamente su router. Visto che quest' ultimo su ci deve stare... se crolla lui il fatto che la vpn resti in piedi non mi aiuta un gran che.
Al massimo, virtualizzandola si tiene basso il tempo di ripristino ma sempre manina, per ora, ci vuole.



Quote:
- prerequisito unico richiesto: tempi di ripristino operatività client e server, misurabile in minuti e non in ore.

Qui il trucco sta nel mantenere aggiornate le copie delle vm sulle altre macchine host.

Prima ancora del tempo di restore del servizio, io direiche il primo obiettivo e'di non perdere le configurazioni.
Backup e mailout su indirizzi dedicati dei files di configurazione e' un sistema che vedo bene, modello versioning, per avere un salvataggio in campo neutro e dal vivo.

Poi uno shutdown manuale (e contestuale start delle vm secondarie) per backuppare il files della vm, ciclico.

Con questo si avrebbero delle VM di backup piu'o meno aggiornate.
Al piu' gli si appiccica l'ultimo zone file piuttosto che l'ultimo .conf

Non credo neanche ci sia bisogno di backuppare intenzionalmente il SAM perche' si fa prima a far risincronizzare a ritroso da un ex BDC promosso al PDC che sta per tornare su.

Quindi come tempi, se le vm sono tenute ben aggiornate, prevedo l'ordine del minuto, senza sprecarsi in plurale.
Mal che vada.... spostati avanti e indietro 8GB di file che, peraltro, si potrebbe anche non allocare staticamente. Non so se ne vale veramente la pena, una macchina con X e desktop manager decente con un po'di frocerie a bordo per lo sviluppo sui 4 GB d'ingombro ci arriva... io ne allocherei proprio 8 e

Quote:

...avresti descritto la mia situazione al 95% e quindi...

...ti vengo dietro con godimento.

Céra quello che stringeva le chiappe al firewall ed alzandosi diceva: "e adesso andiamo dallo sceriffo".

Qualche aiutino qui e la' non sara'disprezzato, a metterci solo il non si trovano nuovi pertusi ...... magari scambiandosi ogni tanto i 5 ruoli ....
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Wednesday, 18 June 2008, 19:16
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

Ah, per semplificare la vita.... in una prima fase tralascerei:

- roaming profiles
- print queues con relativi spooling

preferirei piuttosto approfondire quella merda del browsing ed il securing dell'accesso a ldap server. Anche solo durante la replicazione ldap master /ldap slave perche' sospetto che distribuendo per ogni domain controller un proprio ldap server con un proprio db backend, tutte le transazioni di management ed autenticazione (lato ldap del protocollo intendo) dovrebbero avvenire da e per localhost, quindi scarsamente sniffabili.

Se poi lo strato di cifratura e'unico, pazienza. TLS/SSL quel che sara'sara', una cosa in piu'di cui divinare la configurazione.
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Wednesday, 18 June 2008, 19:25
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

Rimettiamo le mani nel lavandino.....

kernel 2.6.25.4-10.fc8
samba-3.0.28a-0.fc8
smbldap-tools-0.9.4-1.fc8

aggiungiamo

openldap 2.3.39-3.fc8

ci sono disponibili sia la 2.3.42 che la 2.4.10
Quest'ultima e'un upgrade sensibile con molte novita'.
In onore del pacchettizzato integrale (non sono disponibili da yum) per ora mi tengo la 2.3.39

Considerando che l'anno scorso le prove su 2.3.37 andarono benino... se non saltano fuori incompatibilita' introdotte, farei riferimento a queste versioni.
Sicuramente per FC9 ci sono novita' ma da un primo assaggio, in virtual machine, c'e' ancora qualcosa che non mi convince proprio tra desktop, risoluzioni e puntamento. Non ho indagato sotto.

Riproveremo tra un paio di settimane di aggiornamenti, per ora questi sono i pacchetti da cui partire.
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Wednesday, 18 June 2008, 19:27
palin
 Giuseppe
 Militante
 
L'avatar di  palin
 
 Località: Albano Laziale
 Età: 43
 Messaggi: 4,228

Quote:
Originariamente inviato da Duilio
Apreferirei piuttosto approfondire quella merda del browsing ed il securing dell'accesso a ldap server. Anche solo durante la replicazione ldap master /ldap slave perche' sospetto che distribuendo per ogni domain controller un proprio ldap server con un proprio db backend, tutte le transazioni di management ed autenticazione (lato ldap del protocollo intendo) dovrebbero avvenire da e per localhost, quindi scarsamente sniffabili.

Direi che ldaps con certificati auto-firmati è abbastanza collaudato, se ci si fida dell'ip sorgente, i certificati auto-firmati sono sufficienti a criptare.
Volendo con easy-rsa (contenuto in openvpn) si possono generare i certficati usando una CA quindi a poca spesa (anche se la ca stessa è auto-firmata) si può utilizzare la gerarchia PKI di easy-rsa.
__________________

Palin -- <palin AT email DOT it>

Democracy doesn't mean “my ignorance is just as good as your knowledge.” - Isaac Asimov
draco dormiens nunquam titillandus
    Rispondi Citando Rispondi
Commenti a questo messaggio
  Duilio: Grazie, molto utile
Wednesday, 18 June 2008, 20:50
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

Una difficolta'che ho trovato e' focalizzare un percorso dritto continuando a rimbalzare tra i vari testi a documentazione.

Irrinunciabile e' TOSHARG (the official samba howto and reference guide) per comprendere i meccanismi ed avere contemporaneamente una visione d'insieme del quadro.

Dopo 6/7 capitoli occorre cominciare a rimbalzare su samba-3 by example.

Entrambi sono disponibili come pdf all' interno del tarball dei sorgenti di samba oppure installando samba-doc da rpm in /usr/share/doc/samba-doc-version (sotto ci stanno pure le versioni html che consulto "quasi" agevolmente da pocketpc.

Di quest'ultimo e'fondamentale il capitolo 5 e, da un punto di vista pratico, bisogna tenere conto del capitolo 9 se non si riscrive un SAM da zero ma si devono ereditare utenti e gruppi dal dominio NT.

Didatticamente e' utile farlo.

All'atto pratico si fa molto prima a ributtare dentro 50 utenti e 20 gruppi ex novo.... pensateci, l'unica cosa importante e' il SID del dominio ma non e'letale rifare tutti i join, client per client a meno che non ne abbiate qualcuna a Portici e non siate a Napoli

Lato openLDAP non si puo'fare a meno di "OpenLDAP Admin guide"

Ricchi di radiografie smb-ldap3-howto di ignacio coupeau e samba-ldap-howto (giusto i principi perche' si riferisce a samba 2) di jerry carter, noto uomo samba

Cercando questúltimo mi sono imbattuto in Linux Samba-OpenLDAP Howto
ma non so ancora valutare se aggiunge qualcosa o se anche solo raccoglie piu' fonti un una. Vedremo.
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Wednesday, 18 June 2008, 21:30
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

Premesso che sul PDC di sviluppo samba e'avviabile e prende forma di PDC, lo tengo spento e cambio un parametro in modo da renderlo BDC.

Questo e'indispensabile per "succhiare" il SAM al vecchio server NT4.

Mi costringe a tenere i server samba spento per non correre il rischio che i clients cerchino di autenticarsi contro un server dal SAM vuoto.

OCcorre tener conto che BDC samba non si sincronizza spontaneamente da PDC windows ne' vale il contrario.
Occorre una volta per tutte passare il SAM dal PDC NT4 al BDC samba, spegnere il vecchio PDC e promuovere samba a Primary.

Da qui in poi la replicazione del SAM e' tutta in mano ai demoni di openldap.

Prendo come riferimento il capitolo 5 di samba-3 by example dove c'e'una lista della spesa, ovviamente da interpretare secondo nostre necessita'.

Una prima interpretazione obbligata viene dal fatto che ho installato smbldap-tool come rpm e non da sorgente.

Da quel che mi ricordo nel tarball c'era uno script configure.pl che inseriva di suo diversi parametri nei files di configurazione.
Se questo avviene solo a carico di slapd.conf (openldap server) e di smb.conf (samba) non e' un problema, si puo' impostare tutto a manina.

Se invece quello script si occupava di popolare files di config propri di smbldap, la mia memoria e'presa in contropiede e prevedo una sonora nasata da qualche parte.

Siccome so gia'che questi files stanno in /etc/smbldap-tools/ quindi esistono ed uno dei due e' molto riluttante alle pwd criptate, i dolori di naso si fanno piu' incombenti.

Si salvi chi puo'e chi non puo' ... alleni la francia.
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Wednesday, 18 June 2008, 21:58
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

vediamo il smb.conf

In apertura di [global] c'e'la parte di impostazioni di networking, di fatto ci interessa:
Codice:
workgroup = orchite server string = %h Samba Server %v netbios name = PDC

In particolare ci serve la sezione "Domain controller" (i parametri sono replicati secondo i vari modi di autenticazione, lasciamo le altre sezioni commentate)

Codice:
security = user passdb backend = ldapsam # per BDC domain master = no # per PDC # domain master = yes domain logons = yes # disables profiles support by specifing an empty path logon path =


qui ho gia'modificato le indicazioni per i vari script in modo che le variazioni di SAM lato samba si riflettano lato unix e viceversa, ad agire saranno gli script IDEALX installati come smbldap-tools

useradd e'stato sostituito da smbldap-useradd e cosi' via.

Se cambiasse qualche parametro, me lo prenderei amabilmente nel quindi occorrera'un controllo in seguito.

Codice:
add user script = /usr/sbin/smbldap-useradd "%u" -n -g users add group script = /usr/sbin/smbldap-groupadd "%g" add machine script = /usr/sbin/smbldap-useradd -n -c "Workstation (%u)" -M -d /nohom$ delete user script = /usr/sbin/smbldap-userdel "%u" delete user from group script = /usr/sbin/smbldap-userdel "%u" "%g" delete group script = /usr/sbin/smbldap-groupdel "%g"

Per il browsing, argomento spinoso che poi si rivela funzionare da solo

Ci serve che il PDC funzioni da Domain Master Browser e che ogni BDC sia un local master browser.

Memo: verificare se il DMB deve essere uno per tutto il dominio o uno per subnet.

Codice:
local master = yes os level = 33 preferred master = yes

Con questi parametri, giocando sui due valori di domain master yes/no, il check con testparm mostra i due ruoli che il server samba assumera', PDC o BDC.

Uno dei DC deve avere:
wins support = yes

gli altri:
wins server = w.x.y.z

con w.x.y.z indirizzo del DC con wins support = yes
una sola macchina fa da wins server.

E'importante che a questo punto i dns (virtualizzati) funzionino bene e soprattutto che il resolver dei DC sappia interrogarli sia con il fully qualified domain name sia con il nome semplice, auspicabilmente corrispondente e spessatamente al netbios name della macchina che cerca.

Per avere cio' occorre che hostname sia un full qualified name e che in /etc/sysconfig/network sia di nuovo specificato completo di dominio.

ping pippo
ping pippo.orchite.lan

devono risolvere entrambi alla macchina con NB name pippo, nel dominio (samba) che per comodita' ho chiamato ORCHITE mentre i dns sono autoritativi per un dominio orchite.lan (ma va bene anche .loc o .dupal)






A questo punto comincio a manipolare i parametri propri di ldap

Sino ad ora spulciando i manuali ho raccolto questi:
Codice:
encrypt passwords = true
non c' entrava con ldap ma mancava prima....

Codice:
#============================ LDAP Options =============================== ldapsam:trusted=yes ldapsam:editposix=yes ldap suffix = dc=orchite,dc=lan ldap group suffix = ou=groups ldap user suffix = ou=people ldap machine suffix = ou=computers ldap idmap suffix = ou=idmap ldap master server = 127.0.0.1 ldap admin dn = cn=satrapo,dc=orchite,dc=lan ldap delete dn = yes idmap backend = ldap:"ldap://localhost" idmap uid = 5000-50000 idmap gid = 5000-50000

qui dovrei essermi risincronizzato con la narrazione in questo "redo from start".
Fingo molto spesso di NON avere gia'fatto tutto questo una prima volta anche se qualche deja vu spesso affiora, non e'sfoggio di premonizione ma un modo di mettere in evidenza le parti che gia'allora mi lasciarono qualche dubbio e che adesso vorrei riconsiderare "col senno di poi".
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Thursday, 19 June 2008, 05:39
microzott
 Francesco
 Staff
 
L'avatar di  microzott
 
 Località: :magica:
 Età: 55
 Messaggi: 13,319

giusto una domanda a duilio: se tanto mi da tanto, nei cassetti avrai una significativa quantita' di licenze nt4 server (io ne ho circa una decina accumulate nei secoli).
se e' cosi, perche' il dominio non lo fai gestire a delle vm NT4 che in 400mb e 64mb di ram ci sta tutto?

i miei virtualizzatori piu' diffusi (ne ho 3) sono dei dell a 8gb con 2+3 dischi.
in tutte le sedi c'e' un nassino da 2Tb che tiene il backup di tutte le vm e che si fa i backup dei filesystem locali. di significtivo ho (per ogni sede) 2 win2003, uno nuovo ed uno piu' vetusto, con sopra sql ed il vericale. uno e' in linea, l'altro e' la replica.
quello che non fa un ciufolo, fa da fileserver locale (e replica le condivisioni sull'altro). cosi ho sempre 2 macchine a ruoli incrociati ma identiche. dns, dhcp e dominio sono gestiti attraverso vm. il routing e' molto semplice: nessuno va da nessuna parte, tranne che al ced (passami la definizione). solo la sede centrale, oltre al ced, vede lan2lan tutte le altre sedi.
insomma...e' un po' una struttura a big brother: localmente, vivi da solo e ti fai i cavoli tuoi, centralmente vedi tutto e ti fai i cavoli di tutti.
nel cosidetto ced ci sono le macchine della contabilità, del personale, il mail server, l'intranet web etc etc

gli accessi a internet sono gestiti da firewall di frontiera, io ho 3 categorie: non esci manco se ti ammazzi (tipicamente le macchine di servizio), esci ma vai dove dico io (le postazioni da ufficio) e i "faccio quello che mi pare" (i top managers).

su tutte le macchine client da ufficio top c'e' rdp abilitato, su tutte le macchine c'e' vnc per me. se a qualcuno serve qualcosa ...c'e' skype.

direi che la piu' grossa differenza tra noi e' proprio nell'importanza del browsing, per me irrilevante: ogni client deve vedere solo i server che gli servono.
__________________
Tutto cio' che si puo' scassare, si rompera' nel giorno peggiore.
    Rispondi Citando Rispondi
Thursday, 19 June 2008, 10:57
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

i miei due server NT sono figli di due vecchi abbonamenti MSDN Universal ormai scaduti da tempo. Non ho intenzione di acquistare altre licenze MS di classe server oltre al 2K ed al 2003 che ho, uno per sede, che fanno da windows media server con in piu' un distratto IIS sul primo.

Li vedo abbastanza a tappo ....

Secondo me MS (e non io) ha perso il treno della conversione da NT Domain ad AD al momento dell'installazione del primo w2k server.

Non potendo migrare il dominio as is, si genero'una situazione poco credibile di trust incrociati tra due domini diversi sino alla scomparsa di AD dopo pochi mesi, alla fine della parte sperimentale.

Nel 2001, in casa di un cliente, passai il suo vecchio dominio NT ad AD con due advanced servers replicati vicendevolmente.

Quando dopo un mesetto di studi vari presentai al cliente un conto di una ventina di milioni (lire) tra licenze ed hw certificato, ci misi un paio d'anni e l'intercessione di un amico per vedere saldata la mia fattura. E non ci fu poco lavoro......

Credo sia doveroso dare una chance all' open source

Oh, MS e' sempre in tempo a farmi pervenire un'offerta irrinunciabile.
Lo ha fatto con uno dei miei pupilli e non l'ho certo legato incatenato alla scrivania.
Pero'lui e' un bravo amanuense, molto creativo ed e'andato a sviluppare a Redmond.
Per il mio caso, basta mettersi d'accordo se devo fare l'analista o il commerciale.

Sino a quando non incassero' provvigioni degne di chiamarsi con questo nome dalla vendita di licenze, mi permetto di valorizzare il mio lavoro e condividerne i proventi con chi tutti i giorni suda per fornire strumenti veri e documentati sino all'ultima virgola.
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Thursday, 19 June 2008, 11:27
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

rimettiamoci i guanti, poi spostero' nel thread politico i confronti politici

Dal capitolo 5 di samba-3 by example prendiamo la checklist dei vari passi da compiere per attrezzare un PDC (per un BDC servira'una parte di questi).



Eravamo arrivati qui

kernel 2.6.25.4-10.fc8
samba-3.0.28a-0.fc8
smbldap-tools-0.9.4-1.fc8
openldap 2.3.39-3.fc8

aggiungiamo

nss_ldap-257-4.fc8

pero' ho dei problemi a trovare un rpm di pam_ldap
dal sito PADL si ottiene ancora una tarball for free ... ma i ragazzi, come quelli di IDEALX, sono proiettati verso il farsi pagare il lavoro sporco

Non disprezzerei per niente che un giorno un essere senziente di buona volonta' scrivesse un tutorial su come prendere una tarball, settare correttamente il prefix, compilarla e costruire un rpm col risultato

Per ora mi sono cimentato solo con quel package di midnight commander per floppyfw, greppando in giro, senza produrmi in una classificazione sistematica basata sul makefile..
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Thursday, 19 June 2008, 11:41
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

Vediamo la checklist, commentando con SI e NO le cose che a me interessano o meno, considerandole autoreggenti

1a (SI) DNS (ok, vari bind virtualizzati)
1b (NO) DHCP

2 (SI) OpenLDAP (2.3.39 in rpm)

3 (SI ) PAM and NSS clients (nss_ldap 257 come rpm, pam_ldap come tgz)

4 (SI) Samba-3 PDC (3.0.28a come rpm, configurato come sopra)

5 (SI) smbldap-tools (0.9.4 come rpm, detti anche IDEALX scripts)

6 (SI) inizializzazione del DIT di LDAP (ci saranno dei modelli in formato LDIF)

7 (SI e NO) creazione e/o importazione di users and groups

8 (NO) printers

9 (NO) Share points dir roots (riguardera' l'acoraggio delle shares e si da'per scontato, nonche'privato )

10 (NO) Profile dirs

11 (NO) Logon scripts

12 (NO) UGO rights config (vale il discorso di cui al punto 9, sono affari vostri)
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Thursday, 19 June 2008, 11:54
Duilio
 Khn'nr
 Stuff
 
L'avatar di  Duilio
 
 Località: Tarnax IV
 Età: 55
 Messaggi: 27,900

Aggiungo quelle che sono le indicazioni TEORICHE sull'attivazione del logging per poter debuggare le operazioni di configurazione.

Adatto un pochino i nomi dei files per non impestare tutto il filesystem...


LDAP

si configura il solito file /etc/openldap/slapd.conf (attenzione perche' installando openldap da sorgenti senza modificare il prefix, va da tutt'altra parte e questo resta inutile, inascoltato).

loglevel 256

volendo estrarre le righe di log del demone slapd da tutto il resto del systema, occorre toccare il file /etc/rsyslog.conf e precisamente l'impostazione di local4.* che si puo'separare dal mucchio e girare ad un logfile tutto suo.

local4.* -var/log/ldaplogs


NSS_LDAP

il file di configurazione e' /etc/ldap.conf (non /etc/openldap/ldap.conf)

logdir /var/log/nss_ldap

ovviamente la dir va creata, non e'un file.



SAMBA

l'unico /etc/samba/smb.conf (anche qui occhio compilando .... va da tutt'altra parte) si manipola cosi':

# in debug
log level = 5
max log size = 0

# a regime
log level = 1
max log size = 50

# e comunque un file di log per ogni macchina
log file = /var/log/samba/%m.log
__________________

Uccidete pure me, ma l'idea che è in me non l'ucciderete mai

-
"Non consolarmi della morte", a Ulisse replicava il Pelìde.
"Io pria torrei servir bifolco per mercede, a cui scarso e vil cibo difendesse i giorni,
che del Mondo defunto aver l'impero."
-
tutto il klan deve rendere conto solo a Dio, mica agli elettori e alla giustizia [taunus 20:10]
    Rispondi Citando Rispondi
Rispondi Invia Nuova Discussione


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 visitatori)
 

Thread già visto da:
C0m4nch3, microzott, taunus, Pocket, ggigi99, DDAAXX, Duke Nukem, glaio, SkidArh+, Carambola, ale105, indio, Jaco, robbytedesco, RomeoKnight, SanK, foul64, revenge, paco, Morpheus, Jarod, Duilio, Carson, JoeBar, palin, Scarpetta, S71ng, lupic, ERBA_CATTIVA, Lutero, seepo, Ssnake, kaos, AbsyntH, codiaz, anita, BRAVO 2, samdolgoff, SatRider, Foxes, ale82x, Neles, Attilio, CORTOilMALTESE, davide72, Pepito Sbazzeguti, Luther71, TW, ivanmau, Luca, Mig, thehawk, Taglioecucito, Bramins, dvfjami, DariosPOsar
Strumenti Discussione Cerca in questa Discussione
Cerca in questa Discussione:

Ricerca Avanzata
Modalità Visualizzazione

top Regole di scrittura
Tu non puoi inserire messaggi
Tu non puoi rispondere ai messaggi
Tu non puoi inviare allegati
Tu non puoi modificare i tuoi messaggi

codice vB è Attivo
Smilies è Attivo
[IMG] il codice è Attivo
Il codice HTML è Attivo

Se hai problemi, contattaci


Visite Totali Posts: 71.993.225
Tutti gli Orari sono GMT +1. Attualmente sono le 03:36.

iGroup Black
Powered by vBulletin Versione 3.5.6
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
Traduzione italiana a cura di: Enzo-Staff-VbulletinItalia.it
 
2000, 2012 © Visiva Group