Samba servery - LONG
Lukas Vondracek
lukas.vondracek na post.cz
Čtvrtek Srpen 21 01:34:57 CEST 2003
> mam dva servery na linuxu RH7.3, na obou vyuzivam prihlasovani do domeny
> winNT oba servery maji stejny nazev domeny,
To co popisujete je z principu pochybne a fungovat ani nema. Jmena domen
a mozna i jmena DC tech domen mate mozna stejna, ale lisi se SID tech
stroju(PDC). Jmena domen, rovnez jako i jmena stroju maji byt v
prostredi CIFS/SBM jedinecna v danem systemu(kam az okolo sebe vidi).
Takze: Abyste zajistil, ze to bude fungovat byste musel mit dve ruzne
domeny a mezi nimi nastaveny vztah duvery(trust) - coz je spravne reseni
v prostredi M$, nicmene Samba, pokud alespon vim ve verzich 2.x vztahy
duvery nepodporuje. Mozna verze 3.x, tam je(bude) mnoho zmen, ale jiste
to nevim. Alespon netranzitivni vztahy duvery jsem ale myslim
zaznamenal. Pro takove reseni se ale musi ty domeny videt.
Kopirovat mezi vami popisovanymi domenami SID, to zni sice zajimave, ale
neni to myslim vubec dobry napad. SID jsou dulezite "jednoznacne"
identifikatory ktere m.j. zajistuji konzistence pristupovych opravneni v
sitovem prostredi, registruji se jimi jednotlive NT/2k/XP masiny
(servery i stanice) do security base DC a podobne. Samba navic na rozdil
od WinNT, kde se zapisuji registrovane subjekty (bez ohledu na to zda
uzivatel ci masina) do security base (SAM), do smbpasswd zapisuje myslim
jen uzivatelske ucty a registrovana SID (joined)masin v siti si pise
nekam jinam (secrets.tdb?).
Kopirovanim SID tedy muzete vyrobit v podstate tri - ctyri stavy>
a) bude to OK,
b) bude vam fungovat ten NB, ale vyrobite si tak problem jinde
c) nebude vam ani tak fungovat ten NB
d) nebude vam ani tak fungovat ten NB + vyrobite si tak problem jinde
Nejpravdepodobnejsi vidim stav d).
Pokud Samba na rozdil od WinNT PDC neni self-signed budete to mit
jednodussi. Pokud je, budete muset krome zkopirovani SID udrzovat na
obou stranach taky konzistentni vsechny tabulky, ve kterych jsou zapsana
SID vsech stroju domeny vcetne DC). Myslim furt udrzovat.
Takze mate tak 1:6, ze to pujde. Bude to hrozny podvod a na krku bych to
mit nechtel.
Drzim palce
BTW u workgroup je to jedno. Ale ty maji sve nevyhody.
--
Lukas Vondracek
mailto:lukas.vondracek na post.cz
Další informace o konferenci Linux