Автор Тема: Создание alt домена (Прочитано 5032 раз)

speed_vm · « : 04.04.2018 12:14:03 »

Доброго времени суток!
Установил альт сервер. Хочу создать Alt-домен, но при выборе его получаю ошибки:

LDAP: ERROR: Connect to ldaps://alt-server.domain.com failed
KDC: ERROR: krb5kdc service is stopped ERROR: Failed to ldapsearch objectClass=krbRealmContainer -- no realm container in LDAP
Samba: ERROR: smbd service is stopped

Ошибка kerberos, я так полагаю, связана с тем, что к ldap не удалось подключиться. А ошибка самбы, скорее всего, связана с тем, что нужно изменить настройки smb.conf и запустить демон. Меня больше интересует момент с ldap, потому что я его настроил через веб-интерфейс, и галки поставил запуска служб. Может что-то ещё нужно настроить? Например, файл какой-нибудь конфигурационный?

yaleks · « **Ответ #1 :** 04.04.2018 14:03:44 »

А этот самый alt-server.domain.com в DNS существует?

speed_vm · « **Ответ #2 :** 04.04.2018 14:05:08 »

ДНС тоже поднял. Только в ответ на пинг alt-server почему-то возвращается имя alt-server.localdomain.

Пересоздал DN в ldap и отображение ldap на странице домена стало в статус OK. В конфиге самбы прописал домен, теперь её статус тоже OK. Осталось разобраться с керберосом.

Служба krb5kdc не стартует почему-то. Пишет, что не может инициализировать домен. Настройки в /etc/krb5.conf ни к чему не приводят.

С помощью kdb5_util создал базу. Служба запустилась, но ошибка осталась:

Код: [Выделить]

KDC: Error: failed to ldapsearch objectClass=krbRealmContainer, no realm container in LDAP

На сайте альта есть страница про керберос, на которой имеется следующий абзац:

Код: [Выделить]

В ALT Linux Kerberos хранит все свои данные в LDAP. Поэтому для успешной работы Kerberos требуется как запуск сервера LDAP slapd, так и заполнение структуры базы для Kerberos (при проверке в LDAP ищутся записи класса krbRealmContainer).

Что означает фраза "заполнение структуры базы для Kerberos"? Где я должен её заполнить и чем?

Я, конечно, понимаю, что публика этого форума немногочисленна, но чтобы за три часа ни одного комментария - это звизда...

Skull · « **Ответ #3 :** 04.04.2018 20:15:29 »

Зачем нужен в 2018 году Альт-домен при наличии samba-DC и FreeIPA? Эти домены намного стабильнее. А Альт-домен весьма капризен и создаётся только в серверных дистрибутивах через Alterator.

speed_vm · « **Ответ #4 :** 04.04.2018 22:00:56 »

Цитата: Skull от 04.04.2018 20:15:29

Зачем нужен в 2018 году Альт-домен

Печально читать такой комментарий про продукт на форуме этого же продукта, оставленный модератором этого же форума...

Задумка была заменить виндовые тачки на alt-workstaion, а виндовые серверы на alt-server с присоединением первых к альт-домену. Думал, что АЛЬТ-домен с АЛЬТ-машинами будет лучше взаимодействовать, нежели аналогичные решения.

Очень разочарован этим фактом:

Цитата: Skull от 04.04.2018 20:15:29

Эти домены намного стабильнее. А Альт-домен весьма капризен

Может вообще в сторону астры или росы посмотреть...

Skull · « **Ответ #5 :** 04.04.2018 23:13:51 »

Альт-домен создавался 10 лет назад, когда других решений не было. Потому он немасштабируемый и не расширяемый. Выбирать домен по названию крайне странно. Я бы на Вашем месте почитал про современные решения, а не устраивал трагедию.

speed_vm · « **Ответ #6 :** 05.04.2018 08:30:25 »

Если не устраивать трагедию, то по-вашему, какое решение больше подойдет мне (IPA или Samba)? При условии желания не ползать лишний раз в консоль и удобства использования при переходе с windows-решений на linux-решения. От выбора зависит, как Вы понимаете, дальнейшая моя работа в этом направлении.

asy · « **Ответ #7 :** 05.04.2018 08:43:10 »

Цитата: speed_vm от 05.04.2018 08:30:25

При условии желания не ползать лишний раз в консоль и удобства использования при переходе с windows-решений на linux-решения.

Я вот тут человеку писал:

Цитата: asy от 02.04.2018 18:04:48

Цитата: Renegade от 02.04.2018 11:48:45
но на Win сетевые папки доступны после ввода сетевых настроек.
Надо понимать, что Windows - это Windows. А ОС Linux, фактически, наследних другого семейства ОС. Тут не будет "как в Windows": идеология другая, в том числе, и для сетевого взаимодействия. А Samba - это только затычка для тех, кому надо похожесть обеспечить.

В общем, надо привыкать оперировать отличными от Windows понятиями.

speed_vm · « **Ответ #8 :** 05.04.2018 08:57:24 »

Консоль - это хорошо. Я с консолью дружу. Но это я, а есть и другие сотрудники, для которых это пока тяжело, поэтому, если у продукта имеется, например, веб-интерфейс, то почему бы не использовать его?
А есть продукты, которые и в консоли-то не просто настроить, поэтому я и задал вопрос, что Вы посоветуете, или, на худой конец, подскажите плюсы и минусы использования того, или иного продукта.

Skull · « **Ответ #9 :** 05.04.2018 09:59:24 »

Выбор прост: для чисто линуксовой сети (или подсети) — FreeIPA.
Для гетерогенной сети с Windows – samba-DC.

FreeIPA не аутентифицирует
Windows.

speed_vm · « **Ответ #10 :** 05.04.2018 10:11:43 »

Благодарю за ответ.

berkut_174 · « **Ответ #11 :** 11.09.2018 10:43:45 »

Цитата: speed_vm от 04.04.2018 12:14:03

Меня больше интересует момент с ldap, потому что я его настроил через веб-интерфейс, и галки поставил запуска служб.

Скорей всего, перед созданием домена нужно сделать симлинк:

Код: [Выделить]

ln -sf sasl2-3 /usr/lib64/sasl2

Без него slapd на p8 отказывается стартовать.

Правда даже при успешном запуске такое сообщение присутствует в логе:

Код: [Выделить]

slapd[2010]: looking for plugins in '/usr/lib64/sasl2-3', failed to open directory, error: No such file or directory

Форум сообщества
Альт Линукс