[SAMBA/PDC]Linux clients binnen domein - Linux en overige clients

dinsdag 6 december 2005 10:16

Acties:

Spoken words!

Topicstarter

We zijn met een project bezig, om uit te zoeken hoe Linux (als main OS) het doet binnen een basisschool omgeving. Nu is het zo dat het compatible moet zijn met XP en 2000 clients. Het moet zelfs zo zijn, dat je 1 domein hebt waar je zowel Linux client als Windows clients in kunt gebruiken. Gewoon om het compatible te houden met elkaar.

We hebben een server (Redhat Enterprise Linux 4), hier kunnen we niet omheen, vanwege support redenen. Deze server dient onder andere als Primairy Domain Controller. Hier maken we gebruik van Samba die LDAP als database gebruikt, voor de gebruikers. Nu hebben we LDAP gekozen als database om de gebruikers gegevens centraal te houden en te combineren met verschillende services binnen het netwerk (denk aan FTP, HTTP, Webmail, desktop login, etc.). Deze services moeten verder nog geconfigureerd worden met LDAP, maar dat is nu even niet aan de orde.

Als client OS gebruiken we Ubuntu. Dit omdat het vrij makkelijk te onderhouden is en omdat het standaard ook al vrij gebruiksvriendelijk werkt en omdat we goede ervaringen hebben met "Debian gebaseerde" systemen (notice the ""

).

Nu willen we deze clients dus ook binnen het domein hebben, met alle features die het domein ons bied. Nu willen we dus tijdens het opstarten (in GDM bijvoorbeeld), kunnen inloggen op het domein en ook dat het authenticeren via het domein gebeurd. Daarnaast willen we dan een soort van login script hebben die shares enzo kan mounten aan verschillende mount points en het een en ander kan instellen op de client. Ook willen we er voor zorgen dat de Windows clients en Linux clients, transparant met elkaar werken.

Voobeeld: Gebruiker gaat achter Windows machine zitten. Bouwt een tekst documentje. Logt uit op Windows machine. Gaat achter Linux machine zitten. Logt in op het domein en gaat verder met zijn/haar documentje.

Nu heb ik op Google en hier op GoT lopen zoeken, maar kon er verder niks over vinden. Allemaal Samba PDC's met Windows clients. Dit is allemaal heel leuk enzo, maar dit lukt me al.

Dus nu is de vraag: Hoe zorg ik ervoor dat ik een Linux client aan een NT (Samba) domein kan koppelen?

dinsdag 6 december 2005 11:57

Acties:

Verwijderd

Laat me het even duidelijk maken...

Je wilt Windows Clients aan het domein hangen enzo profiteren van opstart scripts en gedeelte mappen op de server en roaming profielen.

Je wilt Linux Client kunnen laten inloggen met dezelfde gegevens als ze dat in windows doen en ook dezelfde server shares kunnen benaderen zo ook de documenten in de home map.

Dit kan gewoon allemaal met LDAP. configureer je NIS op LDAP en je SAMBA op LDAP en klar is kees... (dit is wel makkelijker gezegd dan gedaan) maar het is wel mogelijk...

dinsdag 6 december 2005 12:41

Acties:

eghie

Spoken words!

Topicstarter

Verwijderd schreef op dinsdag 06 december 2005 @ 11:57:
Laat me het even duidelijk maken...

Je wilt Windows Clients aan het domein hangen enzo profiteren van opstart scripts en gedeelte mappen op de server en roaming profielen.

Je wilt Linux Client kunnen laten inloggen met dezelfde gegevens als ze dat in windows doen en ook dezelfde server shares kunnen benaderen zo ook de documenten in de home map.

Dit kan gewoon allemaal met LDAP. configureer je NIS op LDAP en je SAMBA op LDAP en klar is kees... (dit is wel makkelijker gezegd dan gedaan) maar het is wel mogelijk...

Dat klopt. Beide services draaien al op de server. Maar het gaat me om de client kant van Linux. Hoe zorg ik aan de Linux client ervoor dat ik met die PDC verbind? Je hebt me trouwens goed begrepen.

[ Voor 3% gewijzigd door eghie op 06-12-2005 15:26 . Reden: Wat duidelijker ]

dinsdag 6 december 2005 17:22

Acties:

Verwijderd

PDC is iets van Windows..... NIS gebruik je in Linux om als het ware roaming profiles te maken... Dit kan beide in LDAP geintegreerd worden... het mounten van schijven wordt wat moeilijken om tijdens de login te doen.. mounten is normaal alleen toegestaan door root hier moet je iets op zien te verzinnen...

Je kunt een linux client dus niet met een PDC verbinden, wel met een NIS domein... hierover is genoeg te vinden op internet!

Succes!!

dinsdag 6 december 2005 17:29

Acties:

Verwijderd

wat is de rede dat jullie niet geheel overschakelen naar linux? dit werkt altijd fijner dan 3 soorten OS door elkaar heen.

dit gaad geheid praktische problemen opleveren, ook de gebruikers moeten wennen aan de interface, en elke keer iets anders is erg vervelend.

het kan zoals gezegd dus wel, maar mijntip is dus: kijk of het mogelijik is om alles gelijk op ubuntu te laten draaien

dinsdag 6 december 2005 18:39

Acties:

eghie

Spoken words!

Topicstarter

Verwijderd schreef op dinsdag 06 december 2005 @ 17:22:
PDC is iets van Windows..... NIS gebruik je in Linux om als het ware roaming profiles te maken... Dit kan beide in LDAP geintegreerd worden... het mounten van schijven wordt wat moeilijken om tijdens de login te doen.. mounten is normaal alleen toegestaan door root hier moet je iets op zien te verzinnen...

Je kunt een linux client dus niet met een PDC verbinden, wel met een NIS domein... hierover is genoeg te vinden op internet!

Succes!!

Kun je serieus Linux niet verbinden met een PDC? Ik ga er niet vanuit dat je liegt, maar verbaasd me wel een beetje dat het niet kan. Ik dacht dat dit wel een meer voorkomende situatie was en dat daarom al wel client software was ontwikkeld. Maarjah, ik ga eens kijken hoe ik het kan regelen met NIS.

Verwijderd schreef op dinsdag 06 december 2005 @ 17:29:
wat is de rede dat jullie niet geheel overschakelen naar linux? dit werkt altijd fijner dan 3 soorten OS door elkaar heen.

dit gaad geheid praktische problemen opleveren, ook de gebruikers moeten wennen aan de interface, en elke keer iets anders is erg vervelend.

het kan zoals gezegd dus wel, maar mijntip is dus: kijk of het mogelijik is om alles gelijk op ubuntu te laten draaien

Het hele systeem is bedoeld voor basisscholen. Nu hebben we al een soort gelijk systeem, maar dan met Windows clients (XP en 2000). Nu willen we die 2 compatible houden, zodat we maar 1 serverconfiguratie nodig hebben voor beide systemen. Nu wil het ook wel eens zo wezen dat een basisschool maar een paar Linux clients wil hebben, om te kijken of het wat is. Daarom willen we het compatible met elkaar houden.

De uiteindelijke gebruiker (basisschool kindjes) gaat er niks van merken, gezien er bij zowel Windows als Linux er een soort van menu overheen gaat hangen.

Op dit moment is het meer een haalbaarheids test, als stage opdracht, maar dit wordt uiteindelijk, als de eindconclusie goed is, in het portfolio opgenomen en aan de klanten verkocht als zijnde product.

dinsdag 6 december 2005 21:00

Acties:

Hmzaniac

Evil Admin

Kun je serieus Linux niet verbinden met een PDC? Ik ga er niet vanuit dat je liegt, maar verbaasd me wel een beetje dat het niet kan. Ik dacht dat dit wel een meer voorkomende situatie was en dat daarom al wel client software was ontwikkeld. Maarjah, ik ga eens kijken hoe ik het kan regelen met NIS.

Natuurlijk kan dit wel: Winbind + Automount/AutoFS voor authenticatie en automatisch mounten van homedirs etc. met cifsfs/smbfs kunnen dit ook gewoon profiles/homedirs/whatever op een windows PDC zijn.

Mensen die nog serieus NIS gebruiken moeten geslagen worden en eens gaan kijken naar libpam_ldap en libnss_ldap.

Ik heb een WOS-post!

dinsdag 6 december 2005 21:34

Acties:

eghie

Spoken words!

Topicstarter

Hmzaniac schreef op dinsdag 06 december 2005 @ 21:00:
[...]

Natuurlijk kan dit wel: Winbind + Automount/AutoFS voor authenticatie en automatisch mounten van homedirs etc. met cifsfs/smbfs kunnen dit ook gewoon profiles/homedirs/whatever op een windows PDC zijn.

Mensen die nog serieus NIS gebruiken moeten geslagen worden en eens gaan kijken naar libpam_ldap en libnss_ldap.

Ik zal die suggesties morgen eens verder uitzoeken. Bedankt in ieder geval. Nu met weer wat namen kan ik weer wat beter zoeken.

Ik zie trouwens dat we libnss gebruiken.

[ Voor 4% gewijzigd door eghie op 07-12-2005 16:34 ]

woensdag 7 december 2005 16:44

Acties:

eghie

Spoken words!

Topicstarter

Hmm, heb hier een goede guide gevonden: Installing samba networking on Ubuntu Breezy (or Hoary) workstations.

Ik ben hem nu aan het testen.

maandag 12 december 2005 11:49

Acties:

eghie

Spoken words!

Topicstarter

Hmzaniac schreef op dinsdag 06 december 2005 @ 21:00:
[...]

Natuurlijk kan dit wel: Winbind + Automount/AutoFS voor authenticatie en automatisch mounten van homedirs etc. met cifsfs/smbfs kunnen dit ook gewoon profiles/homedirs/whatever op een windows PDC zijn.

Mensen die nog serieus NIS gebruiken moeten geslagen worden en eens gaan kijken naar libpam_ldap en libnss_ldap.

Je hebt het over Automount/AutoFS, maar voor home directories enzo is het makkelijker om pam_mount.conf in te stellen, ben ik nu achter.

In mijn pam_mount staat het nu als volgt (dit is op client):

code:

# Volumes that will be mounted when user triggers pam_mount module
# (usually at login).
#
# Format:
# volume <user> [smb|ncp|nfs|local] <server> <volume> <mount point> <mount options> <fs key cipher> <fs key path>

# If user is "*", "&" will be replaced by name of the user logging on in the
# volume, mount point, mount options and fs key path fields.  "~/*" will be
# replaced with "<user's homedir>/*."

volume * smb 192.168.0.1 homes /home/& uid=&,gid=&,dmask=0755,umask=0755 - -

In de smb.conf staat dan de home directory share er als volgt erin:

code:

[homes]
    path = /domain/home/%U
    browseable = no
    valid users = %U
    read only = no
    create mask = 0664
    directory mask = 0775

Ow en over libpam_ldap. Ik gebruik dat liever niet, gezien ik de Samba server als authenticatie server wil gebruiken. De Samba server gebruikt de LDAP gewoon als database. LDAP server gaat uiteindelijk ook alleen maar op de lokale interface draaien, want we gebruiken de deamon, van de benodigde service, wel om te authenticeren.

ps. ben een scriptje aan het maken die dit automatisch voor je doet aan de hand van ingevulde vragen. Ook voor de server kant wordt er een scriptje gemaakt. Deze scriptjes worden uiteindelijk gewoon op internet gezet onder de GNU/GPL licentie, zodat iedereen ze kan gebruiken.

[ Voor 49% gewijzigd door eghie op 12-12-2005 16:35 . Reden: uid en gid toegevoegd, voor betere rechten ]

maandag 12 december 2005 18:42

Acties:

_JGC_

Je kunt met samba/LDAP twee kanten op: pam_ldap/nss_ldap, of met pam_winbind/winbind. Persoonlijk heb ik liever pam_ldap/nss_ldap, omdat je dan gewoon een stuk directer zit te werken met je LDAP server. Maar ja, dan ben ik iemand die alles van logingegevens tot DNS records to mailaccounts en complete Apache configuraties in LDAP opslaat (en elke server die LDAP intensief gebruikt draait een slave op localhost

)

In het geval de LDAP server een instabiel ding is wat onderhouden wordt door iemand die het niet helemaal snapt, terwijl het windows netwerk wel gewoon 100% werkt, zou ik idd ook winbind gebruiken.

* _JGC_ zet migratie van pam_ldap/nss_ldap naar winbind op todo lijstje

maandag 12 december 2005 19:04

Acties:

eghie

Spoken words!

Topicstarter

_JGC_ schreef op maandag 12 december 2005 @ 18:42:
Je kunt met samba/LDAP twee kanten op: pam_ldap/nss_ldap, of met pam_winbind/winbind. Persoonlijk heb ik liever pam_ldap/nss_ldap, omdat je dan gewoon een stuk directer zit te werken met je LDAP server. Maar ja, dan ben ik iemand die alles van logingegevens tot DNS records to mailaccounts en complete Apache configuraties in LDAP opslaat (en elke server die LDAP intensief gebruikt draait een slave op localhost )

In het geval de LDAP server een instabiel ding is wat onderhouden wordt door iemand die het niet helemaal snapt, terwijl het windows netwerk wel gewoon 100% werkt, zou ik idd ook winbind gebruiken.

* _JGC_ zet migratie van pam_ldap/nss_ldap naar winbind op todo lijstje

Ik gebruik ook winbind, omdat het dan eventueel ook met andere databases kan werken, gezien het toch met Samba communiceert en niet met LDAP. Ook kan winbind gebruikt worden als het in een NT domein hangt (dus met active directory). Dus daarom hebben we dus voor winbind gekozen. En met shares benaderen enzo gaat het ook wat makkelijker, vooral home directory, omdat je dan toch al meteen ingelogd bent op de Samba server, kun je %U mooi gebruiken.

Ik sla overigens alleen maar gebruikers (groepen enzo ook) objecten op in de database, zodat we die ook bij FTP/Webmail/Groupware appje/weetikwatvoorservicenogmeer kunnen gebruiken. Configuratie van software enzo laat ik mooi in de config filetjes staan.

[ Voor 10% gewijzigd door eghie op 12-12-2005 19:09 ]

dinsdag 13 december 2005 16:06

Acties:

eghie

Spoken words!

Topicstarter

Ok, ik heb het script nu enigzins klaar. Ik post hem alvast. Het werkt al wel onder ubuntu. Ik hoop dat het voor de rest ook werkt.

Als je de instellingen wilt wijzigen, moet je even bovenaan in het install.sh bestand de nodige variablen editten. Het vraagt je wel een aantal vragen, maar alleen het noodzakelijke. De controlles werken ook nog niet helemaal lekker (met het weergeven van OK/FAILED) en de parameter afhandeling werkt ook niet helemaal, maar voor de rest werkt hij wel goed.

Hier is hij tijdelijk te vinden: PDC Client v0.9. Het is dus een testversie. Ik geef hem vrij onder GNU/GPL licentie.

code:

Dependencies: smbfs, samba, winbind, libpam-mount, nss

Made by: Michiel Eghuizen (dat ben ik)
Licentie: GNU/GPL

Alleen nsswitch.conf moet nog met de hand worden gekopieerd naar /etc.

[ Voor 4% gewijzigd door eghie op 25-11-2006 10:48 ]