我正计划迁移一些Linux服务器,以通过SAMBA / Winbind使用AD身份validation。 操作系统将是openSUSE 11.3 x64。 我们的AD环境没有安装UNIX扩展。
我从头开始build立一个服务器,它似乎工作得很好。 openSUSE的安装程序在感觉到AD和设置所有必要的configuration文件方面做得非常出色。 不过,我自己也设置了一些Winbind选项。 我的工作configuration:
[global] workgroup = DOMAIN passdb backend = tdbsam map to guest = Bad User include = /etc/samba/dhcp.conf usershare allow guests = No idmap gid = 10000-20000 idmap uid = 10000-20000 realm = DOMAIN.INST.ORG security = ADS template homedir = /home/%D/%U template shell = /bin/bash winbind offline logon = yes winbind refresh tickets = yes winbind use default domain = yes wins support = No 一切正常。 我可以通过我的AD帐户从控制台或通过SSHlogin。 我也可以使用我的AD证书通过SAMBA连接到我的主目录(我离开了[homes]指令)。
我有几个问题:
我想从系统pipe理员那里得到一些第一手的经验,他们支持或者正在支持类似的设置。 我应该注意什么? 我应该遵循什么其他的最佳做法?
另外,我也对此进行了评估,发现它似乎不太喜欢我们的环境。 我会得到很长的延迟login,并不能与SAMBA集成。 这个设置工作好很多。
提前致谢…
真的,所有你在这里提出的问题都可以通过阅读官方的Samba HOWTO和参考指南来解答。 看来大多数pipe理员并不知道它的存在,但是一旦他们掌握了它,关于Samba安装的大部分问题/奥秘/问题都将被简单地解决。 如果我给Samba团队一个忠告,那就是在公共场合更频繁地宣传HOWTO。
这就是说,我会尽力给你一点点知识。
默认情况下,winbind&samba将其configuration存储在TDB文件中。 我注意到有一个select使用LDAP后端。 设置几台服务器是否有问题?
定义一些。 如果less了你的意思是less于5-7,那么TDB文件是好的,但需要一点TLC。 如果您运行的是拥有10或100台服务器的组织,则LDAP将会保存您的理智。 免责声明:我只需要一次运行2-3个Samba安装,所以我没有尝试LDAP映射设置。
备份和恢复TDB文件的最佳做法是什么? 我注意到tdbbackup命令。 我应该cron吗? 使用不同的备份方法
正如其他地方所提到的,在使用TDB后端时可以使用tdbbackup。 请注意,未来的Samba版本将会改变,因为我相信他们正在Samba 4中查看不同的存储方法。每天使用一次cron作业可能不会受到影响,尽pipe您需要仔细编写脚本以closures和重新编译在脚本运行之前和之后启用服务。
我注意到UID / GID是以先到先得的方式生成的。 我记得之前一年左右testing这个和我的UID是一些非常大的数字,如1983745637.为什么区别?
回过头来,检查你安装的idmap gid和idmap uid设置。 过去有一些供应商提供的smb.conf文件有这样奇怪的映射。
pipe理这种types的UID / GID分配的最佳实践?
对于独立服务器来说,这并不重要,因为对同步ID没有真正的担忧。 对于Active Directory设置,您将需要坚持通过AD映射的内容。 对于LDAP设置,我相信有一种方法可以手动指定用户ID。
我不打算使用NFS,但是如果UID / GID在系统中是相同的,以防万一,如果我不能使用,那么它就不是一个破坏者。
如果你真的需要这样做,我会努力手动映射用户,你可以逐个添加一个用户,或者使用LDAP后端。 请参阅HOWTO了解更多信息。