Синхронизация с AD 2008 r2

[oinadmin]

кто нибуть скажет сейчас работает синхронизация с доменом или нет ?

[kentavzor]

Синхронизация Работает с 2008 R2
только авторизация ldap не работает, т.е. не получилось зайти на  почтовик, samba, squid на zentyale с паролями с AD.

[lesnick]

С DC пользователей, и группы получил (те что в латинице), но дальше пока не лез.

Синхронизация Работает с 2008 R2
только авторизация ldap не работает, т.е. не получилось зайти на  почтовик, samba, squid на zentyale с паролями с AD.

А через прокси с учетками из домена в wan можно выйти? Или пароли с 2008 R2 не передаются?

[vnesebya]

Синхронизация с AD работает. Если прочесть документацию, по зентялу, то все идет как по маслу.
1. Открываем оснастку Управление групповой политикой на W2008Server.
2. Заходим в Default domain policy -  конфигурация компьютера - конфигурация windows  - параметры безопасности - политика учетных записей  - политика паролей.
Ставим если не стоит "Включено" в параметре Пароль должен отвечать требованиям сложности. По утверждениям разработчиков Zentyal это принципиальный момент.
3. Заводим пользователя с логином  eboxadsync - и назначаем ему пароль.
4. Этот пароль мы указываем в Zentyal вместе с пользователем и IP сервера где крутится мелкомягкий АД )))
5. открываем файрвол на лентяе (зентяле)  Правила Фильтрации между внутренними сетями и разрешаем правила
 adsync и ldap
6. На виндовый  сервер ставится приблуда :
zentyal-adsync
Взять можно тут: http://sourceforge.net/projects/zentyal/files/Old%20versions/zentyal-adsync-2.0.1.exe/download

В zentyal-adsync указывается имя сервера где стоит лентяй, порт 6677 и Secret Key. Что это - я скажу чуть позже.

7. После сохранения настроек на лентяе, в настройках LDAP появится запись
Пароль:    a0ZZZ39BrTwUikQo
У вас Он будет другим.
8. Этот пароль и есть Secret Key. Вводим его в zentyal-adsync
9. Перезапусвкаем WinSever.
10. Сервера синхронизируются в течении 5 минут.




 
 

[lesnick]

◦6. На виндовый  сервер ставится приблуда :
zentyal-adsync
Взять можно тут: http://sourceforge.net/projects/zentyal/files/Old%20versions/zentyal-adsync-2.0.1.exe/download

В zentyal-adsync указывается имя сервера где стоит лентяй, порт 6677 и Secret Key. Что это - я скажу чуть позже.

7. После сохранения настроек на лентяе, в настройках LDAP появится запись
Пароль:    a0ZZZ39BrTwUikQo
У вас Он будет другим.
8. Этот пароль и есть Secret Key. Вводим его в zentyal-adsync

Коротко и ясно. Но в руководстве для 2.2 указана программа zentyal-migration-tool-2.2.exe, очень похожая на zentyal-adsync, и там же в руководстве есть такое

◦As Secret key you can choose any password as long as it has 16 characters.

и далее мол следует при настройки zentyal совершить такое при настройке Windows AD Slave

◦AD Secret Key: The 16 characters key that you entered during the installation on Windows.

так же есть ремарка о паролях

Warning:
The passwords assigned to existing users must be reassigned again (or changed) and the Zentyal server notified. Once the users are synchronised, these updates can take up to 5 minutes to complete.

Про 7,8 пункты в вышем howto в документации не нашел. Но это опнсорс, тут возможно что угодно. Сам не проверял, пароли не ресетил, но делал по инструкции.

[vnesebya]

А через прокси с учетками из домена в wan можно выйти? Или пароли с 2008 R2 не передаются?

На Лентяе авторизация пока правильно не работает.

Схема работы синхронизации такова : Zentyal-adsync от имени пользователя просматривает АД , заворачивает в свою схему LDAP которая реализована в лентяе, и которая совершенно отличается от схемы Ада.
Пароли не синхронизируются. Если ты хочешь получить авторизацию в лдапе АД,
в конфиге squid /etc/squid/squid.conf  надо закомментировать руками две строчки:

Code: [Select]

#auth_param basic realm Zentyal HTTP proxy
#auth_param basic program /usr/lib/squid/ldap_auth -v 3 -b  ou=Users,dc=a007-gw,dc=domain  -u uid  -h ldap://127.0.0.1:389
 и ниже вписать

Code: [Select]

auth_param basic program /usr/lib/squid/ldap_auth -P -R  -b "dc=domain,dc=local" -D "squid@domain.local" -w "12345" -f "(&(sAMAccountName=%s)(objectClass=person))" 192.168.1.2
потом завести учетку squid с паролем 12345 в AD, указать вместо 192.168.1.2 - реальный ip вашего контроллера домена, указать свой домен в
в параметрах -b . Например если у вас домен bobik.ru, то вы должны написать

Code: [Select]

auth_param basic program /usr/lib/squid/ldap_auth -P -R  -b "dc=bobik,dc=ru" -D "squid@bobik.ru" -w "12345" -f "(&(sAMAccountName=%s)(objectClass=person))" 192.168.1.2
принимаются плюсы в карму.
работает до первой перезагрузки.  Надо разработчикам написать письмишко... пусть поправят сей недостаток. 

   

 

[vnesebya]

Или пароли с 2008 R2 не передаются?

паролей в лдапе нет. есть их хеши. они не передаются. или я этого не заметил.  )))
для авторизации самбы, надо все пилить ркуами.

я доставлял пакеты krb5-user и winbind + еще какие-то sasl ... cyrus-sasl что-то еще
нужно прикрутить MIT керберос к winbind, самому написать конфиг самбы.
кому надо - напишу как сделать авторизацию samba через связку winbind - krb5 в домене Windows.


 

[lesnick]

Ух какие костыли  Мне нужно только логиниться в прокси Лентяя учетками с AD, фиг с ними с шарами, и прочими навесами.

[kentavzor]

zentyal-migration-tool-2.2.exe именно для миграции с Винды на зентял (чтобы полностью отказаться от microsoft и перенести все настройки)

[vnesebya]

да нет, не костыли.. все реально. Как авторизовать пользователей в AD для Squid  Я написал выше.
попробуй, все равно после перезагрузки или после рестарта все вернется. Ты ничего не теряешь. )) 

принимаю Плюсы в карму. ))

Я потом попробую прикрутить Kerberos к Squid... позже напишу что почем...  ))

[ViTality]

только авторизация ldap не работает, т.е. не получилось зайти на  почтовик, samba, squid на zentyale с паролями с AD.

дык это выходит что вообще ничего не работает.
А про то, что пароли НЕОБХОДИМО сбрасывать это у них еще в 1.х было написано. И без этого не будет работать ни в коем разе.

[vnesebya]

сам не пробовал. Нашел выход лучше .))

[DokToR]

Установил zentyal. Версия ядра   2.2.4
Стоит 2003 домен, настраиваю модуль zentyal как слэйв домен контроллера, на который установил миграционную тулзу, создал юзера и нужные пароли, но синхронизируются только юзеры и группы, а их пароли нет!
Просматривая ldap вижу у юзеров пароли, но они не соответсвуют доменным.

PS. Если кому-нибудь из юзеров сменить пароль, то он нормально реплицируеться в openldap zentyal
Очень досадное явление, что нужно всем существующим юзерам, которых с полсотни, менять пароли!

[DokToR]

Заметил один баг, если можно так назвать.
в openldap zentyal нету атрибута AD sAMAccountName, и поиск нужно вести по uid.
Если более одного домен контроллера, то нужно миграционную тулзу ставить на каждом!

[IIIPEK]

Ага, и не просто ставить на каждом АД сервере, но еще и кждый сервер регить как доверенный в /etc/zentyal/users.conf в параметре adsync_bdc. Тогда пароли синхронизируются со всех контроллеров домена.
А вот у меня вопрос такой почему может не синхронизироваться дальше уже слэйв с АД слэйвом? Точнее подключение проходит, а вот изменения не идут, при этом выдается следующее сообщение

DEBUG> SOAPClient.pm:108 EBox::SOAPClient::__ANON__ - 404 Not Found

не у кого такого не было?