Melhores práticas de gerenciamento para usar o Winbind?

3

Estou planejando migrar alguns dos nossos servidores Linux para usar a autenticação do AD via SAMBA / Winbind. O sistema operacional será o openSUSE 11.3 x64. Nosso ambiente AD não possui extensões UNIX instaladas.

Eu configurei um servidor a partir do zero e parece estar funcionando muito bem. O instalador do openSUSE fez um ótimo trabalho ao sentir o AD e configurar todos os arquivos de configuração necessários. No entanto, eu mesmo defini algumas opções do Winbind. Minha configuração de trabalho:

[global]
        workgroup = DOMAIN
        passdb backend = tdbsam
        map to guest = Bad User
        include = /etc/samba/dhcp.conf
        usershare allow guests = No
        idmap gid = 10000-20000
        idmap uid = 10000-20000
        realm = DOMAIN.INST.ORG
        security = ADS
        template homedir = /home/%D/%U
        template shell = /bin/bash
        winbind offline logon = yes
        winbind refresh tickets = yes
        winbind use default domain = yes
        wins support = No

Tudo funciona. Eu posso fazer login através da minha conta do AD a partir do console ou via SSH. Também posso conectar-me ao meu diretório pessoal via SAMBA usando minhas credenciais do AD (deixei a diretiva [homes] desativada).

Eu tenho algumas perguntas:

  1. Por padrão, winbind & O samba armazena sua configuração em arquivos TDB. Percebo que há uma opção para usar um back-end do LDAP. É o trabalho de configurar alguns servidores?
  2. Quais são as práticas recomendadas para fazer o backup de & restaurando os arquivos TDB? Eu observei o comando tdbbackup. Eu deveria cron isso? Use um método de backup diferente?
  3. Percebo que os UID / GIDs são gerados em uma base de primeiro a chegar / primeiro a ser veiculado. Lembro-me de testar isso antes de um ano ou mais atrás & meu UID era um número muito grande como 1983745637. Por que a diferença? Quais são as práticas recomendadas para gerenciar esse tipo de atribuição de UID / GID? Eu não pretendo usar o NFS, mas seria bom ter UID / GIDs o mesmo em todos os sistemas, apenas no caso de não ser um problema se eu não puder.

Gostaria de obter alguma experiência em primeira mão de administradores que tenham apoiado ou estejam atualmente suportando configurações semelhantes. O que devo procurar? Quais outras práticas recomendadas devo seguir?

Além disso, avaliei o Likewise e descobri que ele não parecia gostar muito do nosso ambiente. Gostaria de obter longos atrasos com logins & não consegui integrá-lo com o SAMBA. Essa configuração funciona muito melhor.

Obrigado antecipadamente ...

    
por churnd 25.10.2010 / 16:52

1 resposta

2

Realmente, tudo que você fez aqui e mais pode ser respondido lendo The Official Samba HOWTO e Guia de Referência . Parece que a maioria dos admins não está ciente de sua existência, mas uma vez que eles o detectem, a maioria dos problemas / mistérios / perguntas sobre as instalações do Samba serão simplesmente resolvidos. Se houvesse um conselho sábio que eu daria para a equipe do Samba, seria promover o HOWTO com mais frequência em público.

Dito isso, vou tentar dar o pouco de conhecimento que tenho para você.

By default, winbind & samba stores their configuration in TDB files. I notice there's an option to use an LDAP backend. Is it work the trouble to set up for a few servers?

Defina alguns. Se por alguns você quer dizer menos que 5-7, então os arquivos TDB são bons, mas requerem um pouco de TLC. Se você estiver executando uma organização com 10 ou 100 servidores, o LDAP salvará sua sanidade. ISENÇÃO DE RESPONSABILIDADE: Eu só tive que executar 2-3 instalações Samba por vez, então eu não tentei a configuração de mapeamento LDAP.

What are best practices for backing up & restoring the TDB files? I notice the tdbbackup command. Should I cron it? Use a different backup method

Como mencionado em outro lugar , você pode usar o tdbbackup ao usar um backend TDB. Note que as versões futuras do Samba serão alteradas, pois acredito que elas estejam olhando para um método de armazenamento diferente no Samba 4. Usar um cron job uma vez por dia provavelmente não faria mal, embora você queira fazer o script cuidadosamente para desligar e voltar -enable serviços antes e depois do script é executado.

I notice UID/GID's are generated on a first-come/first-serve basis. I remember testing this before a year or so ago & my UID was some really large number like 1983745637. Why the difference?

Volte e verifique sua configuração para idmap gid e idmap uid nessa instalação. Havia alguns arquivos smb.conf fornecidos pelo fornecedor no passado que tinham mapeamentos estranhos como esse.

Any best practices for managing this type of UID/GID assignment?

Para um servidor autônomo, não importa, porque não há uma preocupação real sobre a sincronização de IDs. Para uma configuração do Active Directory, você vai querer ficar com o que é mapeado via AD. Para uma configuração LDAP, acredito que haja uma maneira de especificar manualmente o ID do usuário.

I do not plan on using NFS but it would be nice to have UID/GID's the same across systems just in case though it's not a dealbreaker if I can't.

Se você realmente precisar disso, eu procuraria mapear manualmente os usuários, o que você pode fazer adicionando-os um de cada vez ou usando o back-end do LDAP. Veja o HOWTO para mais informações.

    
por 11.11.2011 / 22:07