[sisyphus] Работа в стеде микрософт-сети.

Aleksey Avdeev =?iso-8859-1?q?solo_=CE=C1_solin=2Espb=2Eru?=
Ср Янв 28 20:12:49 MSK 2004 

Nick Perelyaev пишет:
> On Wed, 28 Jan 2004 18:07:07 +0300
> "Aleksey Avdeev" <solo на solin.spb.ru> wrote:
> 
> 
>>Nick Perelyaev пишет:
>>
>>>Приветствую всех.
>>>До сих пор, как мне кажется, остается насущной проблема функционирования linux-box в среде сети (вообще-то большого бэк-бона) микрософт. 
>>>Может быть у кого есть соображения в разрезе Альт Линукс....
>>>Подробнее:
>>>- как смонтировать расшаренное сервером w2k dfs-дерево? (самба-клиент из сизифа монтирует только самый верхний уровень, хотя сам способен делать подобный сервис. Косяк здесь?). 
>>>- как смотреть глобальную адресную книгу ms exchange-сервера. *Супер важно - адресов _очень_ много, динамика их изменения не доступна ни одному отдельно взятому админу - человеку, если решение: экспорт\импорт - то это ерунда*
>>>- как таки авторизоваться в ldap в АД? (по адресу, по dn, с kerberos или как?) *Видимо принципиально*
>>
>>   Без kerberos - никуда: вся аутентификация и авторизация в 
>>Win2000 и выше на нём. И MS реализация неполностью совместима с 
>>остальными: часть резервных полей стандартного kerberos заменена 
>>закрытыми расширениями.
> 
> 
> Вот как? Я уже несколько дней борюсь с ним...

   Угу :-(

   Неоднократно встречал рекомендации использовать как сервер 
ключей - свободный kerberos: Win с ним работать умеет. свободные 
же продукты с MS kerberos - не в полном объёме (тот пытается 
навязать им свои расширения и не понимает, когда их не понимают).

> 
>>>- как изменить днс-имя при dhcp (динамическое установление соответствия hostname выданному ip-адресу без статического прописывания мака ms dns-серверу) *Очень важно*
>>
>>   Осенью пытался сделать подобное (dhcp и DNS - Win200) - не 
>>получалось... :-(
>>
>>   Затык был в следующем (сложилось у меня такое впечатление, 
>>могу ошибаться):
>>
>>   В реализации MS Win клиенты должны _сами_ сообщать DNSу 
>>требуемое hostname, после получения IP. Linux dhcp клиенты могут 
>>сообщить желаемое hostname при запросе dhcp. Как сообщить 
>>желаемое hostname DNSу - не разобрался. (Попросил администратора 
>>выделить статический IP.)
> 
> 
> Винюки не hostname говорят. Они свой доменный аккаунт говорят что-ли?

   Незнаю, но вполне может быть. Кажется там примерно такая 
схема (внятного описания не встречал - компиляция на основе 
разрозненой информации):

1. Клиент -> запрос IP -> dhcp

2. Клиент <- ответ IP <- dhcp

   При этом неважно, запрашивал ли клиент регистрацию hostname: 
MS dhcp этим _не_ занимается

3. Клиент IP -> желаемое hostname -> DNS

   На этом этапе может быть всё что угодно: мне найти информацию 
что сдесь за протокол (но встречал фразы что есть аутентификация 
носта). Возможно - это этап smb аутификации.

> Вот по этому sid'у ms dns находит имя (у себя?) и резольвинг вписывает к себе.
> Копаю динамик днс - что то там есть про бродячие компы.

   В bind (и прочих UNIX DNS) регистрацией клиента в базе DNS 
занимается dhcp. (Я не встречал другой информации.)

> --
> Вообще воркэраунд очевидный - вписаться статически в днс (или по маку в дхсп).
> Но я могу быть как и спереди, так и сзади ближнего по нет-маске своего dhcp. :-)
> В другом листочке доменного дерева с другим дхцп. Или вообще в трубе с IPSec.

   Нотебяк? :-)

> --
> Вот вроде бы простая проблема. Зарезольвится. Однако в итоге получается - unix-way для конторы это лет 5-10 внедрения и отладки. M$ или что-нибудь расширит или сузит по сравнению с rfc и садит на windows - way как на героин.

   Тем они и живут. (И из за того и вымрут. ИМХО)

> Ничего - расколем.

   Удачи! :-)

> 
> 
>>   Возможно можно реализовать, задействовав kerberos и samba... 
>>Не пробовал (данный вариант).
> 
> Делаю. 
> 
> 
> 
>>PS: Сейчас у меня обратная задача: поднять _полноценный_ Win 
>>домен на samba. ;-)
> 
> Заделывал. Но он полноценный не будет. rpc не полностью (ms не все говорит и показывает). Работало и здорово. Вроде как NT4. А если ldap+samba - то и как w2k.

   Судя по документации, гремучая смесь Samba3 + kerberos + LDAP 
стремятся к полноценному домену. Но проблемы конечно есть, 
например в профилях по умолчанию и админском скрипте для MS консоли.

   Осложняется тем, что Win доменом на мне рулить ещё не 
приходилось (и на Win - тоже): незнаю что рабочим станции и 
юзера должны получать по умолчанию (в смысле, мо мнению MS).

> Даже сервер ключей (1С и ее друзью) можно приделать. И замену exchag'у есть.
> Есть полноценный - у Sun. Но он бинарник для sparc (для i386 - ой солярки облом), а то бы давно уперли и перекомпилили.


-- 

С уважением. Алексей.

Подробная информация о списке рассылки Sisyphus