Messages

1

Russian / Re: Настроить AD в существующей сети( с другим сервером DNS)

« on: June 18, 2018, 06:28:55 pm »

Всё оказалось ещё проще чем было раньше, пару-минутное редактирование smb.conf + krb5.conf -> рестарт соответствующих служб и комп с Unix появляется в AD (ou) Computers и пользователь с логином из (ou) Users - логиниться на Unix-машинке.

Я пока что всё что нужно нашел и сделал, благодарю камрада за поддержку.

2

Russian / Re: Настроить AD в существующей сети( с другим сервером DNS)

« on: June 15, 2018, 02:56:13 pm »

Я и не говорил что компьютер с линукс добавлял в АД. Пользователь создаётся если новый логиниться и всё. Зачем вам добавлять линукс машину в АД я вообще не понял, вы хотите управлять политиками созданными для винды линуксом или что? Патчи ставить виндячие на линь удалённо? Актуализировать? Утрирую, конечно, но надеюсь посыл ясен - это разные экосистемы.

Для управления линукс серверами, разворачиванием и мониторинга существует куча совершенно разных решений и подходов. Выбирайте что вам больше по душе. Вовсе не обязательно на каждом сервере руками создавать одинаковых пользователей, но в любом случае пользователи на каждом сервере должны быть созданны если они там вообще хотят работать. Использовать АД майкрософт чтобы админить сервера под линукс?! Даже не знаю... попробуйте, вдруг получится.

Я хочу сделать AD единственной системой для авторизации как на серверах с Unix так и на рабочих станциях с Windows.
В идеале это выглядит так: Я создал учетку test в AD, отправил письмом нужно человеку данные для входа под этой учеткой, а он уже хочет на сервер под ней заходит а хочет на рабочую станцию.
Такое возможно?

3

Russian / Re: Настроить AD в существующей сети( с другим сервером DNS)

« on: June 13, 2018, 12:45:18 pm »

Было время пробовали пересаживать людей на линукс, для убунты есть соответствующая приблуда. Она создаёт локального пользователя и окружение, заведует билетами кербероса, обеспечивает процедуру залогинивания и т.п.. На практике это создавало больше проблем чем решало задач. Локального пользователя можно и так создать, для доступа к ресурсам тоже есть методы в зависимости что именно надо. Короче оказалось что в среде линукс это лишнее. Где надо уже давно найдено решение, а где не надо там и не надо.

В большей степени зависит от глубины интеграции АД. Если достаточно глубоко, с политиками, скриптами, централизированным управлением... это всё поддерживают нормально только машины на винде и линукс не вклинится никак.

Из-под линукса АД управляется в консоли иснтрументарием самбы.

У меня цель следующая: есть сервера на Linux, на которых вертяться разные сервисы(телефония,почта, прокся,.....) - я хочу создать пользователя в AD и что бы он имел доступ по ssh на эти сервера. А тах вот ходить на каждый сервер и создавать одинаковых пользователей это ересть.\сори за оффтоп: я конечно могу решить эту задачу с помощью knife(chef) но это будет отдельная песня от AD...
Вопрос по smb-tools: как Вы через нее добавляли тачку(Linux) в AD?

Заранее благодарен за ответы.

4

Russian / Re: Настроить AD в существующей сети( с другим сервером DNS)

« on: June 12, 2018, 11:22:46 am »

Такой возможности нет и сделано это намеренно. Политика в том чтобы обеспечить максимальный уровень безопастности сервера. Не обязательно при этом физически логиниться на компьютере, достаточно по сети залогиниться через браузер как администратор в вебморде... с любой точки мира логинимся и админим.

К управлению службами сервера на зенчал имеет доступ только администратор сервера. Для администрации АД создаётся учётка в АД и вводится в группу администраторов АД. Это основные учётные записи для администрирования. АД можно админить с любого компа на виндоус доустановив панель администрирования и залогинившись как администратор АД.

Спасибо за ответ. Логика такого решения присутствует.
А как бы Вы посоветовали добавлять в AD машинки с Linux и чем лучше управлять AD-ешкой из под того же Linux, на Ваш взгляд,?
ps: sorry_4_little_offtop

5

Russian / Re: Настроить AD в существующей сети( с другим сервером DNS)

« on: June 11, 2018, 01:17:39 pm »

Есть пользователи АД и они действуют только для сервисов АД, сюда админка зенчала не входит. Есть администраторы зенчала, являющиеся локальными учётками убунты, они не имеют отношения к АД. Если надо добавить администратора зенчала для доступа к вебморде то используйте соответствующий инструмент (https://my_ip:8443/SysInfo/Composite/General#ManageAdmins), но такой пользователь не будет иметь возможности логиниться в АД.

Если вам написало что "User "test" already exist in Active Directory" значит придумайте другое имя. Или вы хотите сознательно создать путаницу в среде учётных записей? Придумайте префиксы.

Благодарю за внимание к посту.
Я хочу: что бы учетки AD могли авторизоваться как на тачках из AD(неважно Linux или Windows) так и в самих сервисах этих тачек(в данном конкретном случае: пользователь AD авторизуется на машине с zential со своим аккаунтом из AD и авторизируется в web-морде zential(соответственно)).
Поймите меня правильно, никакого хайоса я создавать не намерен, наоборот, хочу привести всё к общему знаменателю.

6

Russian / Re: Настроить AD в существующей сети( с другим сервером DNS)

« on: June 08, 2018, 04:27:36 pm »

Ну да. Домен в том числе подразумевает корректно настроенную зону DNS. Поэтому по-нормальному сервер с АД является сервером DNS и ещё сервером времени т.к. +/- 5 минут и комп в домен уже не входит. Сервер майкрософт вроде даже варианта такого нет чтобы работал на левом DNS-е. Боюсь у вас много будет мороки по синхронизации.

C этим вроде справился, остался ещё один вопрос:
я добавил в Active Directory(https://my_ip:8443/Samba/Tree/Manage) учетку: test с паролем test123 и в LDAP settings(https://my_ip:8443/Samba/Composite/Settings) поставил на всякий случай   Enable PAM(Make LDAP users have system account). После чего пробую залогинится в (https://my_ip:8443/) с test с паролем test123 мне выдает "Password incorrect"

А когда я в general (https://my_ip:8443/SysInfo/Composite/General#ManageAdmins) добавляю учетку test с паролем test123 то выдает: User "test" already exist in Active Directory

Вопрос, как сделать авторизацию здесь(https://192.168.0.223:8443/Login/Index) через учетку из AD???

Заранее благодарен за помощь!

7

Russian / Re: Настроить AD в существующей сети( с другим сервером DNS)

« on: June 08, 2018, 11:16:36 am »

В настройках DNS как ни странно. Заходишь, указываешь в Forwarders адрес и всё.

Ok, сделал.
Теперь следующий этап:
Я пытаюсь добавить компьютер с windows в свой созданый домен на зенциале, при добавлении вылазит ошибка : "DNS-имя(моего домена) не существует".
Я так понимаю, мне надо на своем старом DNS-сервере добавить ААА запись с названием домена(домен на зенциале)?
Правильно? или как то по-другому?
Конечная цель - увидеть добавленный компьютер в https://мой_ип/Samba/Tree/Manage

8

Russian / Настроить AD в существующей сети( с другим сервером DNS)

« on: June 08, 2018, 08:27:37 am »

Добрый день, уважаемые.
Подскажите пожалуйста, накатил зенциал, активировал модули AD(и активировались DNS и Ntp) Ntp ещё мне не мешает, а вот DNS у меня уже есть, я хочу использовать существующий DNS.
Как указать что у меня уже есть DNS что бы все компьютеры из локальной сети начали отображаться в AD?

Заранее благодарен за проявленный интерес.