[charlie]

Idézet: melon - Dátum: 2006. ápr. 4., kedd - 13:28

Én is a nyílt forrású projekteket ajánlom figyelmedbe. Nálunk is van Win2003, de csak azért, mert egyelõre béna voltam a tartományvezérlõt Sambával kiváltani. Hiába középiskola, van 4 szerverünk, de csak egy teljes körû Win licenc van, úgyhogy minden mást FreeBSD-vel oldok meg, még a fileszerver is Samba, ami a winen keresztül authentikál. A tûzfal is FreeBSD + transzparens squid.

azért nem mindent (jelenleg) lehet (sajnos) sambaval kiváltani...

[melon]

Idézet: charlie - Dátum: 2006. ápr. 4., kedd - 15:01

azért nem mindent (jelenleg) lehet (sajnos) sambaval kiváltani...

Pont ezért nem léptem meg (egyelõre), majd a samba4 jó lesz

Amúgy nevetni fogsz, a jelenlegi átállás idején nekünk is egy HP NetServer E40 (Ppro 200, 384 MB ram, scsi diszkek) a tûzfal FreeBSD-vel, pf tûzfallal, külsõ dns és squiddel. Igaz, nem engedem cachelni, de a mi netünk nem is 1 megabites Amúgy kb. 130 gépet szolgál ki routerként is. Igaz, hogy kb. 14 óráig tartott a buildworld, de optimalizált kóddal egész tûrhetõen megy a kicsike. A load átlaga 0.62, szerintem okés. Szóval ne hidd, hogy alapfeladatokat nem tud ellátni egy ilyen kis masina, ez nem windows

Amúgy mi fut a szerveren ahhoz, hogy 4 giga ram kelljen?

Szerkesztette: melon 2006. 04. 04. 22:22 -kor

[1soproni]

Idézet: melon - Dátum: 2006. ápr. 4., kedd - 13:28

Én is a nyílt forrású projekteket ajánlom figyelmedbe. Nálunk is van Win2003, de csak azért, mert egyelõre béna voltam a tartományvezérlõt Sambával kiváltani. Hiába középiskola, van 4 szerverünk, de csak egy teljes körû Win licenc van, úgyhogy minden mást FreeBSD-vel oldok meg, még a fileszerver is Samba, ami a winen keresztül authentikál. A tûzfal is FreeBSD + transzparens squid.

AD-bõl authentikál a samba-d? Jóljönne a config

[1soproni]

Idézet: charlie - Dátum: 2006. ápr. 4., kedd - 14:00

Szervernek meg van egy Hp netserver e40 (vagy vmi iylesmi a tipusa, p200, 4 giga scsi..) az meg kicsit gyenge lenne proxynak...

Tényleg nem olyan gyenge az!
Egyik elsõ szerverünk asszem egy 133-as volt Debiannal. 50 ember levelezését vitte, squid, mysql, tûzfal, meg még ki tudja mi el nem ment rajta. Grafikus felület úgysem kell szervernek, a többihez meg "elég".

[melon]

Idézet: 1soproni - Dátum: 2006. ápr. 5., szerda - 9:13

AD-bõl authentikál a samba-d? Jóljönne a config

Samba3 kell hozzá, és kerberos. az nsswitch.conf-ot át kell állítani, hogy ne csak unix forrásból legyen auth, hanem a winbind is szolgáltassa ezeket. Ezután a filerendszerbe is adhatsz direkt jogokat AD usereknek. Még ez is tesztüzem alatt van, de eddig nincs panasz. A samba konfig pedig egyszerû (DOMAIN a tartomány netbios neve, domain.hu a dns neve, a dc neve meg dc.domain.hu):

smb.conf releváns része:

[global]
unix charset = CP1250
display charset = CP1250
workgroup = DOMAIN
realm = domain.hu
security = ADS
allow trusted domains = no
preferred master = no
local master = no
domain master = no
dns proxy = no

password server = dc.domain.hu
auth methods = winbind
encrypt passwords = yes
client ntlmv2 auth = yes
client use spnego = yes
winbind cache time = 3600
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
client signing = mandatory
client schannel = yes
server signing = mandatory
server schannel = yes

# nincs netbios
disable netbios = yes
smb ports = 445
restrict anonymous = 2

idmap backend = rid:DOMAIN=10000-20000
idmap uid = 10000-20000
idmap gid = 10000-20000

krb5.conf:

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = DOMAIN.HU

[realms]
DOMAIN.HU = {
        kdc = dc.domain.hu
        default_domain = domain.hu
        admin_server = dc.domain.hu
}

[domain_realm]
.domain.hu = DOMAIN.HU
domain.hu = DOMAIN.HU
.DOMAIN.HU = DOMAIN.HU

[appdefaults]
pam = {
        debug = false
        ticket_lifetime = 36000
        renew_lifetime = 36000
        forwardable = true
        krb4_convert = false
}

nsswitch.conf

passwd:         files winbind
passwd_compat:  nis
group:          files winbind
group_compat:   nis

hosts:          files dns
networks:       files dns

...

Ahhoz, hogy ez mûködjön, A kerberos tesztelése:
kinit admin <- domain admin neve
password for admin@WHO.COM:
****
kinit: NOTICE: ticket renewable lifetime is 1 week

a klist paranncsal meg tudod nézni a kapott ticketet.

a gépet a tartományhoz adni a net ads join paranccsal lehet. Siker után a klist-tel megnézheted a kapott ticketeket, ha a wbinfo -u kilistázza a domain usereket, akkor mûködik is.

Bocs, ha kicsit szedett-vedett, fejbõl írtam most mindent. Ja, és persze FreeBSD alatt megy a dolog, de gondolom linux alatt is ugyanez.

[1soproni]

Idézet: melon - Dátum: 2006. ápr. 5., szerda - 8:57

Samba3 kell hozzá, és kerberos. az nsswitch.conf-ot át kell állítani, hogy ne csak unix forrásból legyen auth, hanem a winbind is szolgáltassa ezeket. Ezután a filerendszerbe is adhatsz direkt jogokat AD usereknek. Még ez is tesztüzem alatt van, de eddig nincs panasz. A samba konfig pedig egyszerû (DOMAIN a tartomány netbios neve, domain.hu a dns neve, a dc neve meg dc.domain.hu):

smb.conf releváns része:

[global]
unix charset = CP1250
display charset = CP1250
workgroup = DOMAIN
realm = domain.hu
security = ADS
allow trusted domains = no
preferred master = no
local master = no
domain master = no
dns proxy = no

password server = dc.domain.hu
auth methods = winbind
encrypt passwords = yes
client ntlmv2 auth = yes
client use spnego = yes
winbind cache time = 3600
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
client signing = mandatory
client schannel = yes
server signing = mandatory
server schannel = yes

# nincs netbios
disable netbios = yes
smb ports = 445
restrict anonymous = 2

idmap backend = rid:DOMAIN=10000-20000
idmap uid = 10000-20000
idmap gid = 10000-20000

krb5.conf:

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = DOMAIN.HU

[realms]
DOMAIN.HU = {
        kdc = dc.domain.hu
        default_domain = domain.hu
        admin_server = dc.domain.hu
}

[domain_realm]
.domain.hu = DOMAIN.HU
domain.hu = DOMAIN.HU
.DOMAIN.HU = DOMAIN.HU

[appdefaults]
pam = {
        debug = false
        ticket_lifetime = 36000
        renew_lifetime = 36000
        forwardable = true
        krb4_convert = false
}

nsswitch.conf

passwd:         files winbind
passwd_compat:  nis
group:          files winbind
group_compat:   nis

hosts:          files dns
networks:       files dns

...

Ahhoz, hogy ez mûködjön, A kerberos tesztelése:
kinit admin <- domain admin neve
password for admin@WHO.COM:
****
kinit: NOTICE: ticket renewable lifetime is 1 week

a klist paranncsal meg tudod nézni a kapott ticketet.

a gépet a tartományhoz adni a net ads join paranccsal lehet. Siker után a klist-tel megnézheted a kapott ticketeket, ha a wbinfo -u kilistázza a domain usereket, akkor mûködik is.

Bocs, ha kicsit szedett-vedett, fejbõl írtam most mindent. Ja, és persze FreeBSD alatt megy a dolog, de gondolom linux alatt is ugyanez.

Nagyon szépen köszönöm! 
Ha lesz rá idõm, kisérletezek vele.

[charlie]

Idézet: melon - Dátum: 2006. ápr. 4., kedd - 22:20

Pont ezért nem léptem meg (egyelõre), majd a samba4 jó lesz

Amúgy nevetni fogsz, a jelenlegi átállás idején nekünk is egy HP NetServer E40 (Ppro 200, 384 MB ram, scsi diszkek) a tûzfal FreeBSD-vel, pf tûzfallal, külsõ dns és squiddel. Igaz, nem engedem cachelni, de a mi netünk nem is 1 megabites Amúgy kb. 130 gépet szolgál ki routerként is. Igaz, hogy kb. 14 óráig tartott a buildworld, de optimalizált kóddal egész tûrhetõen megy a kicsike. A load átlaga 0.62, szerintem okés. Szóval ne hidd, hogy alapfeladatokat nem tud ellátni egy ilyen kis masina, ez nem windows

Amúgy mi fut a szerveren ahhoz, hogy 4 giga ram kelljen?

csak tartományvezérlõ, semmi más, de ugye ilyet (sajnos) nem lehet évente upgrédelni, ennek sokáig ki kell tartani (egyszerûen nem lesz rá pénz), meg ilyen volt pályázaton.

mi, tûzfalnak a cisco routert használjuk (a sulinetes) építünk arra, tehát nem csak kijön belõle a kábel és megy szerverbe, hanem oda vanna dugva a szerverek, meg a szerverterem gépei, meg egykét tartalék kábel, hogyha jön gép és szerelni kell...

sajnos ebben a hp-ban csak 64  ram van, és igy viszont nagyon beakad ha egyszerre fut rajt samba, proxy, meg dns cache (fõleg mikor mindenki egyszerre ugrik neki.. volt már használva..)

a proxy itt alapvetõen a cache miatt kéne egyszerûen kevés 768/128k

[melon]

Ha csak a cisco routert használod, akkor elesel egy csomó egyedi beállítástól, lévén a cisco konfighoz továbbra sem engednek hozzáférést, ugye?

Ha csak tartományvezérlõ, mégis mekkora hálózatot szolgál ki? Fileszerver is? Nekem akkor is enyhe túlzásnak tûnik, de hát ismerem az iskolai értelmetlen beszerzéseket, voltam már tanúja ilyennek. 

[charlie]

tartományvezérlõ, fileszerver, ghost szerver. ez volt a legjobb amit lehetett választani, azért van ez...

mitõl esek el? nincsenek itt extra igények.
natolni natol ugyis, hogy mindenfélét állítanék rajta, dhcp, meg egyéb extra meg ki van kapcsoltatva. azt helyben megy. (mármint a dhcp szerver)

[1soproni]

Ébresztõ, vége a szünetnek!!!

[bon]

Majd holnaptól 

[e-lias]

Idézet: 1soproni - Dátum: 2006. ápr. 18., kedd - 20:55

Ébresztõ, vége a szünetnek!!!

Hát, nekem is máig tartott a szünet.

[charlie]

arra nem válaszol senki, hogy mi az amitõl melon szerint elesik az ember ha használja a dobozban levõ switchet? (mivel azt amugy se lehet megkerülni lévén onnan jön a net)

[e-lias]

Idézet: charlie - Dátum: 2006. ápr. 19., szerda - 11:33

arra nem válaszol senki, hogy mi az amitõl melon szerint elesik az ember ha használja a dobozban levõ switchet? (mivel azt amugy se lehet megkerülni lévén onnan jön a net)

Olyan dolgoktól esel el, amiket szabályozhatnál Te is, ha nem a switch -re bíznád. Mert ahhoz ugye nincs hozzáférés. Gondolj bele, hogy mit csinál az switch, amit a server is csinálhatna (tûzfal, dhcp bár a tûzfal nem kikapcsolható )

[charlie]

Idézet: e-lias - Dátum: 2006. ápr. 19., szerda - 12:42

Olyan dolgoktól esel el, amiket szabályozhatnál Te is, ha nem a switch -re bíznád. Mert ahhoz ugye nincs hozzáférés. Gondolj bele, hogy mit csinál az switch, amit a server is csinálhatna (tûzfal, dhcp bár a tûzfal nem kikapcsolható )

tûzfalazést, dhcp-t, meg routolást a router csinál nem a tûzfal.

a switch cask egyszerûen azért van, hogy ráköthessünk több gépet, mint egy.

még mindig nem értem milyen szolgáltatásoktól esek el..
attól még a szerver DHCP-zhet, (amugy ahoz igyis ugyis ki kell kapcsoltatni a központit, vagy más tartományba áttenni)
mást meg mit lehetne szabályozni?

[1soproni]

Idézet: charlie - Dátum: 2006. ápr. 19., szerda - 11:48

tûzfalazést, dhcp-t, meg routolást a router csinál nem a tûzfal.

a switch cask egyszerûen azért van, hogy ráköthessünk több gépet, mint egy.

még mindig nem értem milyen szolgáltatásoktól esek el..
attól még a szerver DHCP-zhet, (amugy ahoz igyis ugyis ki kell kapcsoltatni a központit, vagy más tartományba áttenni)
mást meg mit lehetne szabályozni?

Pl sávszélesség-korlátozást az egyes alhálózatokon (mondjuk termenként).

[e-lias]

Na meg nem lehet MAC-hez kötött ip-ket kiadni. De széllel szemben nem pisálok.

[1soproni]

Idézet: e-lias - Dátum: 2006. ápr. 19., szerda - 12:39

Na meg nem lehet MAC-hez kötött ip-ket kiadni. De széllel szemben nem pisálok.

Szerintem azt lehet
Ha a szervert látják a gépek. Broadcast kérés megy szét, ha egy gép IP-t kér DHCP-tõl. Erre válaszol a DHCP szerver. Innentõl meg már lehet MAC szerint IP-t osztani.

Apr 19 08:10:34 joey dhcpd: DHCPDISCOVER from 00:c0:df:0e:a2:08 via eth1
Apr 19 08:10:34 joey dhcpd: DHCPOFFER on 10.40.1.57 to 00:c0:df:0e:a2:08 via eth1
Apr 19 08:10:34 joey dhcpd: DHCPREQUEST for 10.40.1.57 (10.40.62.222) from 00:c0:df:0e:a2:08 via eth1
Apr 19 08:10:34 joey dhcpd: DHCPACK on 10.40.1.57 to 00:c0:df:0e:a2:08 via eth1

Szerkesztette: 1soproni 2006. 04. 19. 14:11 -kor

[e-lias]

Idézet: 1soproni - Dátum: 2006. ápr. 19., szerda - 14:09

Szerintem azt lehet
Ha a szervert látják a gépek. Broadcast kérés megy szét, ha egy gép IP-t kér DHCP-tõl. Erre válaszol a DHCP szerver. Innentõl meg már lehet MAC szerint IP-t osztani.

Apr 19 08:10:34 joey dhcpd: DHCPDISCOVER from 00:c0:df:0e:a2:08 via eth1
Apr 19 08:10:34 joey dhcpd: DHCPOFFER on 10.40.1.57 to 00:c0:df:0e:a2:08 via eth1
Apr 19 08:10:34 joey dhcpd: DHCPREQUEST for 10.40.1.57 (10.40.62.222) from 00:c0:df:0e:a2:08 via eth1
Apr 19 08:10:34 joey dhcpd: DHCPACK on 10.40.1.57 to 00:c0:df:0e:a2:08 via eth1

Lehet, hogy igazad van. De a dhcpd.conf -ban van megadva nekem, hogy milyen ip tartományban milyen MAC -hez milyen ip-t adjon. Az  meg ugye a dhcp server configurációja, és akkor a server dhcp-zik, nem a router.

[1soproni]

Bizonyítvány nyomtatóval kapcsolatban nincs valakinek tapasztalata?