Автор Тема: Samba 4 как Active Directory для школы с тремя филиалами.  (Прочитано 6460 раз)

Оффлайн EasyLinuxoid

  • Завсегдатай
  • *
  • Сообщений: 51
    • Email
Дано:)
1)У школы есть три филиала, у каждого своё подключение в Интернет.(Провайдер один, но это думаю не сильно важно в данном случае), ip внутри сетей серые(192.168.*.*)
2)Учителя,школьники и администрация ходит туда-сюда из филиала в филиал.
3)В каждой школе есть одна или несколько подсетей (Если подсетей несколько, то они подключены  к серверам на базе  AltLinux 7). Если подсеть одна, то она подключается к ADSL модему.
4)Школьные компьютеры - это сильно гетерогенная сеть : от Windows XP до windows 7, AltLinux,Ubuntu, есть даже Windows 2003 server и Windows 2012 сервер.Серверы лицензионные, но их всего два и они оба в одном филиале расположены и они тут нужны как терминальные решения.
Требуется:
1) У каждого школьника и сотрудника школы должны быть свой логин и пароль для выхода в Интернет и во всех филиалах он должен быть единым.Включая на  Wi-Fi
2) Выход в Интернет должен не зависеть от проблем с Интернетом в других корпусах или от каких-то проблем с серверами в других корпусах.
3) Сделать все три филиала целой подсетью через VPN или какую-то другую маршрутизацию, чтобы для целей администрирования не бегали администраторы  по корпусам. То есть из любого филиала должны быть по статическим ip быть доступны все компьютеры других филиалов. Способ подключения  к компьютерам тут не важен  и может быть для каждого компьютера быть свой.(VNC, Radmin,удалённый рабочий стол или что-то другое). Использовать решения через непонятные Интернет сервера не хочется (типа Team Viewer,Ammy  и их аналогов) .

Пути решения: смотрю в строну доменного контролёра в каждом корпусе на самба 4 и соединение по VPN между тремя этими серверами- корпусами.Записи пользователей просто дублировать с одного сервера на другой.Ну или настроить репликацию. Выход в Интернет через прокси с аутентификацией в самбе.

Ситуация частая -школы сейчас модно объединять,физиков и лириков :( Думаю кто-то уже сталкивался и строил подобные решения. Может кто-то видел инструкции на эту тему? У кого-какие мысли?

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Samba4 ещё далеко не готова как контроллер AD (о чём Боковой в Переславле-Залесском месяц назад на конференции говорил). Вот если FreeIPA, то можно попробовать. Ещё один вариант — обычный LDAP (как в ALT-домене, правда старшие Windows придётся малость пропатчить. Ну и репликацию делать (из коробки она пока не идёт).

В любом случаю буду признателен как за конкретные требования, так и за найденные и обкатанные решения (для интеграции в Школьный Сервер).
Андрей Черепанов (cas@)

Оффлайн EasyLinuxoid

  • Завсегдатай
  • *
  • Сообщений: 51
    • Email
Samba4 ещё далеко не готова как контроллер AD (о чём Боковой в Переславле-Залесском месяц назад на конференции говорил). Вот если FreeIPA, то можно попробовать. Ещё один вариант — обычный LDAP (как в ALT-домене, правда старшие Windows придётся малость пропатчить. Ну и репликацию делать (из коробки она пока не идёт).

А где можно прочить про это выступление про Самбу?А FreeIPA умеет авторизовать Windows пользователей?

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
А где можно прочить про это выступление про Самбу?
Про Samba было в кулуарах (Александр Боковой является разработчиком Samba).
Цитировать
А FreeIPA умеет авторизовать Windows пользователей?
Да. К сожалению, его мастер-класс по FreeIPA не выложили. Но можете посмотреть сами описание FreeIPA. Правда, оно полностью собрано только в Fedora.
Андрей Черепанов (cas@)

Оффлайн EasyLinuxoid

  • Завсегдатай
  • *
  • Сообщений: 51
    • Email
Похоже Александр Боковой не только разработчик Самбы, но и FreeIPA
http://www.freeipa.org/page/Releases/3.3.2#Alexander_Bokovoy_.2811.29:
11 изменений внёс, больше него только Пётр Викторин -15.

Негусто в Интернете по FreeIPA от этого Александра(ну кроме исходных текстов конечно :)
http://lvee.org/en/abstracts/91
http://talks.vda.li/2013/12-mlug/#1
http://www.sanker.info/~mend0za/MLUG/2011-December/bokovoy-2011-12-30-minsk.pdf

Оффлайн EasyLinuxoid

  • Завсегдатай
  • *
  • Сообщений: 51
    • Email
А почему Самба 4 не готова как контролёр AD ? На сайте же написано что 4-ка готова. Даже есть Howto коротенькая http://wiki.samba.org/index.php/Samba_AD_DC_HOWTO .

Оффлайн Skull

  • Глобальный модератор
  • *****
  • Сообщений: 19 908
    • Домашняя страница
    • Email
Негусто в Интернете по FreeIPA от этого Александра(ну кроме исходных текстов конечно :)
Он же разработчик, а не сейлз-менеджер, заточенный на презентации. :)
А почему Самба 4 не готова как контролёр AD ? На сайте же написано что 4-ка готова. Даже есть Howto коротенькая http://wiki.samba.org/index.php/Samba_AD_DC_HOWTO .
Ну попробуйте. :)
Я предпочитаю верить близким к теме людям.
Андрей Черепанов (cas@)

Оффлайн EasyLinuxoid

  • Завсегдатай
  • *
  • Сообщений: 51
    • Email
Придумал кое-что - для доступа к любым компьютерам внутри филиалов можно на ADSL модемах настроить port forwarding - количество портов 64 тысячи, на любую школу и тем более филиал хватит.
Это если известен ip адрес адсл модема( он статический или этот адрес можно вычислить -по пингам из сети или по другим данным).
допустим по такой схеме :
весь трафик приходящий на порт № 2 adsl модема шлём на внутренний адрес 192.168.1.2 на  порт 3389(удалённый рабочий стол)
порт 3 форвардим 192.168.1.3 порт 3389.
То есть такое решение для удалённого администрирования компьютеров в филиалах  должно подойти.

Оффлайн oleg-it

  • Давно тут
  • **
  • Сообщений: 51
    • Email
Придумал кое-что - для доступа к любым компьютерам внутри филиалов можно на ADSL модемах настроить port forwarding - количество портов 64 тысячи, на любую школу и тем более филиал хватит.
Это если известен ip адрес адсл модема( он статический или этот адрес можно вычислить -по пингам из сети или по другим данным).
допустим по такой схеме :
весь трафик приходящий на порт № 2 adsl модема шлём на внутренний адрес 192.168.1.2 на  порт 3389(удалённый рабочий стол)
порт 3 форвардим 192.168.1.3 порт 3389.
То есть такое решение для удалённого администрирования компьютеров в филиалах  должно подойти.
На ADSL внутренние IP адреса привязать надо, да и внешний должен быть статическим?
п.с. если не в тему, то пропустить :)
п.п.с. прошивка для роутеров есть хорошая DD-WRT (free)
"Народ можно принудить к послушанию, но его нельзя принудить к знанию".
Конфуций

Оффлайн yaleks

  • Мастер
  • ***
  • Сообщений: 6 222
п.п.с. прошивка для роутеров есть хорошая DD-WRT (free)
там нет поддержки ADSL-модемов (в качестве эксперимента вроде как можно использовать пару новых и дорогих моделей, но и не факт что они в наших сетях заработают).

пробросить порты для openvpn "все со всеми" и будет достаточно.
только для ADSL желательно на linux использовать fq_codel планировщик пакетов.

Оффлайн zerg

  • ненужная строка
  • alt linux team
  • ***
  • Сообщений: 2 486
  • ненужная строка
    • Найдётся всё
п.п.с. прошивка для роутеров есть хорошая DD-WRT (free)
там нет поддержки ADSL-модемов
Есть ;-) Я тоже не сразу догадался.
Между dd-wrt и интернетом втыкаете любой дешевый dsl-модем, лишь бы бриджом нормально работал и радуетесь жизни.
« Последнее редактирование: 20.02.2014 21:55:42 от zerg »
Убрать этот мусор можно переключателем: Не показывать подписи других пользователей.

Оффлайн yaleks

  • Мастер
  • ***
  • Сообщений: 6 222
Есть ;-) Я тоже не сразу догадался.
Между dd-wrt и интернетом втыкаете любой дешевый dsl-модем, лишь бы бриджом нормально работал и радуетесь жизни.
зачем тогда dd-wrt, когда планируется alt-server? да поддержки fq_codel в нем нет.
Только лишняя железка получается и обычно не очень надежная.

Оффлайн zerg

  • ненужная строка
  • alt linux team
  • ***
  • Сообщений: 2 486
  • ненужная строка
    • Найдётся всё
зачем тогда dd-wrt, когда планируется alt-server?
Да много зачем. Например, их отключать можно раздельно.

да поддержки fq_codel в нем нет.
А зачем в школах торренты раздавать?

Только лишняя железка получается и обычно не очень надежная.
В неумелых руках всё лишнее и ненадежное.
Убрать этот мусор можно переключателем: Не показывать подписи других пользователей.

Оффлайн sb

  • Модератор глобальный
  • *****
  • Сообщений: 8 991
А зачем в школах торренты раздавать?
Например, поддерживать раздачу тех же школьных дистрибутивов, если условия это позволяют делать.

Оффлайн zerg

  • ненужная строка
  • alt linux team
  • ***
  • Сообщений: 2 486
  • ненужная строка
    • Найдётся всё
Например, поддерживать раздачу тех же школьных дистрибутивов, если условия это позволяют делать.
Они на ftp лежат себе. Разве что для того, чтоб кто-то смог экстренно, как только клюнет, новую версию быстро-быстро скачать и еще быстрее установить ;-)
Убрать этот мусор можно переключателем: Не показывать подписи других пользователей.