Автор Тема: Миграция с ALT домена на Active Directory [решено]  (Прочитано 39662 раз)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 145
    • Email
Смотреть надо про настройку sssd для указанных в базе uid.
Так и есть:
By default, the AD provider will map UID and GID values from the objectSID parameter in Active Directory. For details on this, see the "ID MAPPING" section below. If you want to disable ID mapping and instead rely on POSIX attributes defined in Active Directory, you should set

ldap_id_mapping = False

Только почему-то у меня команда:
sss_cache -E
не почистила файлы в /var/lib/sss/db/*, пришлось руками, иначе сервис не стартовал.

Ещё возник вопрос, стоит ли мне беспокоиться об этом:
$ ls -ld
drwx------ 13 ivanov 5006 4096 сен 13 16:16 .
?

Then save and exit, Samba will then use ID '10000' for the users Unix ID and the group ID '10000'. Before Samba 4.6.0, you will also have to give 'Domain Users' the 'gidNumber' '10000', but from 4.6.0, you can use the 'gidNumber' for any Unix group you have created in AD and this wil become the users primary Unix group.
Что-то я не совсем понял отсюда, но у меня 4.6.15.
« Последнее редактирование: 13.09.2018 19:25:15 от berkut_174 »
Сноси Винду, переходи на Линукс ! :)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 145
    • Email
dn: CN=$uid,CN=Users,$dc
changetype: modrdn
newrdn: cn=$cn
deleteoldrdn: 1
Это ж я правильно понимаю, что тогда "Имя Фамилия" в CN должны быть уникальными ?
Что-то мне такой вариант не очень нравится...
Поправил этот пост.

PS. Да, и такой код не терпит base64 в CN при модификации, нужно предварительно декодировать и модифицировать так, например:
dn: CN=petrov,CN=Users,dc=base,dc=ru
changetype: modrdn
newrdn: cn=Иван Петров
deleteoldrdn: 1
но НЕ так:
dn: CN=petrov,CN=Users,dc=base,dc=ru
changetype: modrdn
newrdn: cn=0JjQstCw0L0g0J/QtdGC0YDQvtCyCg==
deleteoldrdn: 1


В общем я всё больше склоняюсь к варианту забыть про UID/GID для старых пользователей и использовать новые самбовые. Так как, если, например, отключить ldap_id_mapping, то новых пользователей нужно создавать тоже с uidNumber/gidNumber, иначе они не могут войти в систему на станциях с отключенным ldap_id_mapping. Что я их придумывать что ли буду сам теперь ?..

У этих же двух пользователей, которых я добавил через терминал, поля ФИО не поддаются редактированию, эти поля отключены для изменений. Ну а пользователем petrov я не смог вообще войти в систему на клиенте - неверный логин или пароль.
Дело ни в том, что пользователи состоят в какой-то группе, просто когда я создаю через веб-интерфейс, то пользователь вероятно создаётся с параметром --use-username-as-cn и такого товарища веб-интерфейс распознаёт, а когда без этого параметра (на wiki как раз без него пример), то веб-интерфейс не может прочитать CN в base64, либо даже что-то вроде такого "Igor Petrov". В этом и проблема, и недоработка веб-интерфейса.
Подробности тут https://wiki.samba.org/index.php/Adding_users_with_samba_tool (ссылка есть в шапке темы).
« Последнее редактирование: 26.09.2018 18:37:36 от berkut_174 »
Сноси Винду, переходи на Линукс ! :)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 145
    • Email
- какие действия потребуется выполнить на имеющихся клиентах, введённых в ALT домен (желательно как-то это дело автоматизировать)
Исходя из вышесказанного, как минимум, потребуется вручную ввести каждую машину в домен (либо поискать, как это сделать в консоли, system-auth ??? - да), поменять UID/GID для домашних каталогов.
Полностью автоматике, мне кажется, это не доверить... жаль.
« Последнее редактирование: 26.09.2018 18:40:38 от berkut_174 »
Сноси Винду, переходи на Линукс ! :)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 145
    • Email
А если потребуется перенести ALT домен на Active Directory с изменением имени домена ?
Появился некоторый вопрос, который никак не выходит у меня из головы и я пока даже не понимаю, стоит ли вообще об этом беспокоиться.
Значит миграция проходит нормально, я могу ввести клиентов в домен, но smbclient показывает такой вывод:
# smbclient -L localhost -Uadministrator
Enter BASE\administrator's password:

Sharename       Type      Comment
---------       ----      -------
netlogon        Disk     
sysvol          Disk     
IPC$            IPC       IPC Service (Samba 4.7.12)
Reconnecting with SMB1 for workgroup listing.

Server               Comment
---------            -------

Workgroup            Master
---------            -------
FIRMA               CENTAURUS

FIRMA - это мой старый домен, BASE.RU - новый.
Также в выводе нет уже введённой в домен машины simply8.

Информация о домене:
# samba-tool domain info 127.0.0.1
Forest           : base.ru
Domain           : base.ru
Netbios domain   : BASE
DC name          : centaurus.base.ru
DC netbios name  : CENTAURUS
Server site      : Default-First-Site-Name
Client site      : Default-First-Site-Name

Кто может прокомментировать ситуацию ?
Сноси Винду, переходи на Линукс ! :)

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Поменяйте workgroup на первое имя в домене, BASE в данном случае.
Андрей Черепанов (cas@)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 145
    • Email
Поменяйте workgroup на первое имя в домене, BASE в данном случае.
Дело в том, что я не понимаю как это сделать. Не подскажете ?
Сноси Винду, переходи на Линукс ! :)

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Поменяйте workgroup на первое имя в домене, BASE в данном случае.
Дело в том, что я не понимаю как это сделать. Не подскажете ?
Правьте /etc/samba/smb.conf
Андрей Черепанов (cas@)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 145
    • Email
Правьте /etc/samba/smb.conf
В smb.conf у меня всё правильно прописалось:
[global]
      workgroup = BASE

Я сейчас на другой ВМ посмотрел, так там вообще нет ничего в разделе "Reconnecting with SMB1 for workgroup listing.":
# smbclient -L localhost -Uadministrator
Enter BASE\administrator's password:

Sharename       Type      Comment
---------       ----      -------
netlogon        Disk     
sysvol          Disk     
IPC$            IPC       IPC Service (Samba 4.7.12)
Reconnecting with SMB1 for workgroup listing.

Server               Comment
---------            -------

Workgroup            Master
---------            -------

Интересно получается, а там вообще что-то должно быть ?
Сноси Винду, переходи на Линукс ! :)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 145
    • Email
Ни совсем к месту будет сказано, но ещё на клиентах заметил такую ошибку при добавлении в домен:
# system-auth write ad base.ru simply base administrator $password
ldb: unable to stat module /usr/lib64/samba/ldb : Нет такого файла или каталога
DNS update failed: NT_STATUS_UNSUCCESSFUL
Joined 'SIMPLY' to dns domain 'base.ru'
DNS Update for simply.localdomain failed: ERROR_DNS_UPDATE_FAILED
No DNS domain configured for . Unable to perform DNS Update.
DNS update failed!

Есть даже рекомендации по решению, но они ни к чему не приводят. Хотя данная ошибка на ввод рабочей станции в домен не влияет.
Сноси Винду, переходи на Линукс ! :)

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
В Sisyphus есть версия с этим исправлением, как заявлено. Пока не проверял.
Андрей Черепанов (cas@)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 145
    • Email
В Sisyphus есть версия с этим исправлением, как заявлено. Пока не проверял.
До Sisyphus я пока тоже не дошёл.

В общем должно быть так:
# smbclient -L localhost -Uadministrator
Enter BASE\administrator's password:

Sharename       Type      Comment
---------       ----      -------
netlogon        Disk     
sysvol          Disk     
IPC$            IPC       IPC Service (Samba 4.7.12)
Reconnecting with SMB1 for workgroup listing.

Server               Comment
---------            -------

Workgroup            Master
---------            -------
BASE.RU              CENTAURUS

Почему так не происходит, я не понял и откуда читается этот workgroup при отработке classicupgrade пока тоже мне неясно...
Сноси Винду, переходи на Линукс ! :)

Оффлайн klark973

  • Завсегдатай
  • *
  • Сообщений: 662
  • Неспящий саппорт
Если включен демон nscd, обязательно отключите его.
Если включен демон nslcd, но не используется (sssd вместо него), то и его туда же.
В профилях по умолчанию они могут быть включены, однако использовать их совместно с sssd крайне нежелательно.
To moan or to solve -- that is the question!

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 145
    • Email
sssd
Это я понял, но сейчас разговор не про клиентов.

Слушайте, ну я совершенно не могу понять откуда он берёт эти:
Workgroup            Master
---------            -------
FIRMA               CENTAURUS
Дело в том, что я перед миграцией уже изменил hostname, убрал старый hostname из приципалов в slapd, удалил в файле secrets.tdb два ключа (SECRETS/SID/CENTAURUS и SECRETS/SID/FIRMA) - ну то есть все упоминания в файлах убрал и всё равно после миграции откуда-то вылазит эта строчка. Ну вот кто скажет, откуда, блин, он её считывает ?! Чудеса какие-то...
Сноси Винду, переходи на Линукс ! :)

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
sssd
Это я понял, но сейчас разговор не про клиентов.

Слушайте, ну я совершенно не могу понять откуда он берёт эти:
Workgroup            Master
---------            -------
FIRMA               CENTAURUS
Дело в том, что я перед миграцией уже изменил hostname, убрал старый hostname из приципалов в slapd, удалил в файле secrets.tdb два ключа (SECRETS/SID/CENTAURUS и SECRETS/SID/FIRMA) - ну то есть все упоминания в файлах убрал и всё равно после миграции откуда-то вылазит эта строчка. Ну вот кто скажет, откуда, блин, он её считывает ?! Чудеса какие-то...
Может кэшировать.
Андрей Черепанов (cas@)

Оффлайн berkut_174

  • Мастер
  • ***
  • Сообщений: 7 145
    • Email
Может кэшировать.
В точку!  ;-)
Перед миграцией вычистил каталог /var/cache/samba/:
rm -rf /var/cache/sambaПосле миграции теперь такой вывод получаю:
# smbclient -L localhost -Uadministrator
Enter BASE\administrator's password:

Sharename       Type      Comment
---------       ----      -------
netlogon        Disk     
sysvol          Disk     
IPC$            IPC       IPC Service (Samba 4.7.12)
Reconnecting with SMB1 for workgroup listing.

Server               Comment
---------            -------

Workgroup            Master
---------            -------

Может эту информацию добавить на wiki https://www.altlinux.org/ActiveDirectory/DC ?
Вот так чтобы было:
rm -f /etc/samba/smb.conf
rm -rf /var/lib/samba
rm -rf /var/cache/samba
mkdir -p /var/lib/samba/sysvol
Сноси Винду, переходи на Линукс ! :)