Лучшие практики управления для использования Winbind?

Question

Лучшие практики управления для использования Winbind?

Я планирую перенести несколько наших серверов Linux для использования аутентификации AD через SAMBA/Winbind. Операционная система будет openSUSE 11.3 x64. В нашей среде AD не установлены расширения UNIX.

Я установил сервер с нуля, и он, кажется, работает отлично. Установщик openSUSE отлично поработал над поиском AD и установкой всех необходимых файлов конфигурации. Однако я сам установил несколько параметров Winbind. Мой рабочий конфиг:

[global]
        workgroup = DOMAIN
        passdb backend = tdbsam
        map to guest = Bad User
        include = /etc/samba/dhcp.conf
        usershare allow guests = No
        idmap gid = 10000-20000
        idmap uid = 10000-20000
        realm = DOMAIN.INST.ORG
        security = ADS
        template homedir = /home/%D/%U
        template shell = /bin/bash
        winbind offline logon = yes
        winbind refresh tickets = yes
        winbind use default domain = yes
        wins support = No

Все работает. Я могу войти через свою учетную запись AD либо с консоли, либо через SSH. Я также могу подключиться к своему домашнему каталогу через SAMBA, используя свои учетные данные AD (я пропустил директиву [homes]).

У меня есть несколько вопросов:

По умолчанию winbind & samba сохраняет свою конфигурацию в файлах TDB. Я заметил, что есть возможность использовать бэкэнд LDAP. Трудно ли настроить несколько серверов?
Каковы лучшие методы для резервного копирования и восстановления файлов TDB? Я замечаю команду tdbbackup. Должен ли я cron это? Использовать другой метод резервного копирования?
Я заметил, что UID/GID генерируются в порядке поступления. Я помню, как проверял это раньше года или около того назад, и мой UID был действительно большим числом, например 1983745637. Почему разница? Какие-нибудь лучшие практики для управления этим типом назначения UID/GID? Я не планирую использовать NFS, но было бы неплохо, чтобы UID/GID были одинаковыми для всех систем на всякий случай, хотя это не является нарушителем, если я не могу.

Я хотел бы получить некоторый личный опыт от системных администраторов, которые поддерживают или в настоящее время поддерживают подобные установки. Что я должен высматривать? Каким другим лучшим практикам я должен следовать?

Кроме того, я также оценил и обнаружил, что наша среда не очень нравится. Я получал большие задержки с логинами и не мог интегрировать их с SAMBA. Эта настройка работает намного лучше.

Заранее спасибо...

3

linux samba opensuse winbind

Источник

churnd 25 окт '10 в 14:52

1 ответ

Решение

Другие вопросы по тегам linux samba opensuse winbind

Avery Payne 11 ноя '11 в 21:07 2011-11-11 21:07 · Accepted Answer · 2011-11-11 21:07

На самом деле, на все, что вы просили здесь и многое другое, можно ответить, прочитав Официальное руководство по Samba и Справочное руководство. Похоже, что большинство администраторов не знают о его существовании, но как только они овладеют им, большинство проблем / загадок / вопросов, касающихся установки Samba, будут просто решены. Если бы я давал мудрый совет команде Samba, это было бы более частое публичное продвижение HOWTO.

При этом я постараюсь дать вам то небольшое знание, которое у меня есть.

По умолчанию winbind & samba сохраняет свою конфигурацию в файлах TDB. Я заметил, что есть возможность использовать бэкэнд LDAP. Трудно ли настроить несколько серверов?

Определите несколько. Если под несколькими вы подразумеваете менее 5-7, то файлы TDB в порядке, но требуют небольшого количества TLC. Если вы управляете организацией с 10 или 100 серверами, LDAP сохранит ваше здоровье. ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: Мне нужно было только запустить 2-3 установки Samba за раз, поэтому я не пробовал установку LDAP-mapping.

Каковы лучшие методы для резервного копирования и восстановления файлов TDB? Я замечаю команду tdbbackup. Должен ли я cron это? Используйте другой метод резервного копирования

Как уже упоминалось в другом месте, вы можете использовать tdbbackup при использовании серверной части TDB. Обратите внимание, что будущие версии Samba изменятся, так как я полагаю, что в Samba 4 они ищут другой способ хранения. Использование задания cron один раз в день, вероятно, не повредит, хотя вы захотите тщательно написать его для отключения и повторного запуска. - включить сервисы до и после запуска скрипта.

Я заметил, что UID/GID генерируются в порядке поступления. Я помню, как проверял это раньше года или около того назад, и мой UID был действительно большим числом, например 1983745637. Почему разница?

Вернитесь и проверьте настройки для idmap gid а также idmap uid на этой установке. В прошлом было несколько предоставленных вендором файлов smb.conf, которые имели такие странные отображения.

Какие-нибудь лучшие практики для управления этим типом назначения UID/GID?

Для автономного сервера это не имеет значения, потому что нет никакой реальной проблемы с синхронизацией идентификаторов. Для настройки Active Directory вы захотите придерживаться того, что отображается через AD. Я полагаю, что для настройки LDAP можно вручную указать идентификатор пользователя.

Я не планирую использовать NFS, но было бы неплохо, чтобы UID/GID были одинаковыми для всех систем на всякий случай, хотя это не является нарушителем, если я не могу.

Если вам это действительно нужно, я бы внимательно посмотрел на отображение пользователей вручную, что вы можете сделать, добавив их по одному за раз, или посмотреть на использование бэкэнда LDAP. Смотрите HOWTO для получения дополнительной информации об этом.