Заметки по запуска ВЦ к 2008/2009 уч. году: различия между версиями

Материал из wiki.nntc.nnov.ru
Перейти к навигации Перейти к поиску
(В теории:)
 
(не показано 7 промежуточных версий 2 участников)
Строка 2: Строка 2:
  
 
* Работу тормозил WinBind. Его обязательно нужно остановить
 
* Работу тормозил WinBind. Его обязательно нужно остановить
 +
update-rc.d -f  winbind remove
 
* Для доступа к папкам с Windows в LDAP существуют SID записи для кадого пользователя. UserSID запись состоит из базовой части SID и последних 4 числел уникальных для каждого пользователя.  
 
* Для доступа к папкам с Windows в LDAP существуют SID записи для кадого пользователя. UserSID запись состоит из базовой части SID и последних 4 числел уникальных для каждого пользователя.  
  
Строка 50: Строка 51:
  
 
** SID полльзователей Replicators, Backup Operators, Print Operators, Account Operators, Administrators остается постоянным и не зависит от SID сервера
 
** SID полльзователей Replicators, Backup Operators, Print Operators, Account Operators, Administrators остается постоянным и не зависит от SID сервера
 
  
 
==Перенос пользователей==
 
==Перенос пользователей==
 
===В теории:===
 
===В теории:===
 
При переносе пользователей нам потребуется:
 
При переносе пользователей нам потребуется:
# Перенести папки пользователей на новый сервер с сохранением прав  
+
 
**tar --numeric-owner --preserve -c ./* | ssh administrator@192.168.10.2 "sudo /bin/tar --numeric-owner --preserve -x -C /media/md3/"
+
1. Перенести папки пользователей на новый сервер с сохранением прав  
# Выгрузить список пользователей из старой LDAP в файл формата формата LDIF
+
tar --numeric-owner --preserve -c ./* | ssh administrator@192.168.10.2 "sudo /bin/tar --numeric-owner --preserve -x -C /media/md3/"
# Очистить список от системных пользователей и пользователей используемых для работы SAMBA
+
 
# На новом сервере узнать текущий SID  
+
2. Выгрузить список пользователей из старой LDAP в файл формата формата LDIF (например, с помощью phpldapadmin бес системных атрибутов с поиском по gidNumber=513)
**net getlocalsid
+
 
# Заменить базовую часть в полях sambaSID  sambaPrimaryGroupSID для каждого пользователя
+
3. Очистить список от системных пользователей и пользователей используемых для работы SAMBA
# загрузить подготовленный LDIF в новый LDAP (
+
 
 +
4. На новом сервере узнать текущий SID  
 +
net getlocalsid
 +
 
 +
5. Заменить базовую часть в полях sambaSID  sambaPrimaryGroupSID для каждого пользователя
 +
 
 +
6. загрузить подготовленный LDIF в новый LDAP (
 +
 
 +
==Особенности с Samba==
 +
 
 +
Для нормального функционирования самбы требуется погасить службу '''winbind'''

Текущая версия на 15:47, 31 августа 2009

LDAP + SAMBA

  • Работу тормозил WinBind. Его обязательно нужно остановить
update-rc.d -f  winbind remove
  • Для доступа к папкам с Windows в LDAP существуют SID записи для кадого пользователя. UserSID запись состоит из базовой части SID и последних 4 числел уникальных для каждого пользователя.
dn: uid=abramova_elena,ou=Users,dc=ntc,dc=local
cn: abramova_elena
uid: abramova_elena
uidNumber: 10135
loginShell: /bin/bash
homeDirectory: /home/abramova_elena
gidNumber: 513
userPassword: {crypt}NSyYQ2SwY3DxU
shadowLastChange: 14006
shadowExpire: 0
sn: abramova_elena
sambaPwdLastSet: 1210124124
sambaPwdCanChange: 1210124124
sambaNTPassword: EA6B33ADBC050162C67347D042A4B75F
sambaLMPassword: B40BD18C0A56AF2AAAD3B435B51404EE
sambaSID: S-1-5-21-2929441715-1617852971-3378046278-21270
          ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^||^^^^^ 
                               Базовая часть       ||  Уникальная для каждого пользователя
sambaPrimaryGroupSID: S-1-5-21-2929441715-1617852971-3378046278-513
sambaAcctFlags: [U          ]
sambaHomePath: \\NTCLOCAL-PDC\abramova_elen


    • Посмотреть SID сервер можно с помощью комманды net getlocalsid
net getlocalsid
SID for domain NTCLOCAL-PDC is: S-1-5-21-1216218855-2649687798-3893598318
net getlocalsid NTCLOCAL
SID for domain NTCLOCAL is: S-1-5-21-1216218855-2649687798-3893598318


    • Посмотреть SID спец. пользователей и групп можно посмотреть net groupmap list
net groupmap list
Domain Admins (S-1-5-21-1216218855-2649687798-3893598318-512) -> Domain Admins
Domain Users (S-1-5-21-1216218855-2649687798-3893598318-513) -> Domain Users
Domain Guests (S-1-5-21-1216218855-2649687798-3893598318-514) -> Domain Guests
Domain Computers (S-1-5-21-1216218855-2649687798-3893598318-515) -> Domain Computers
Administrators (S-1-5-32-544) -> Administrators
Account Operators (S-1-5-32-548) -> Account Operators
Print Operators (S-1-5-32-550) -> Print Operators
Backup Operators (S-1-5-32-551) -> Backup Operators
Replicators (S-1-5-32-552) -> Replicators
    • SID полльзователей Replicators, Backup Operators, Print Operators, Account Operators, Administrators остается постоянным и не зависит от SID сервера

Перенос пользователей

В теории:

При переносе пользователей нам потребуется:

1. Перенести папки пользователей на новый сервер с сохранением прав

tar --numeric-owner --preserve -c ./* | ssh administrator@192.168.10.2 "sudo /bin/tar --numeric-owner --preserve -x -C /media/md3/"

2. Выгрузить список пользователей из старой LDAP в файл формата формата LDIF (например, с помощью phpldapadmin бес системных атрибутов с поиском по gidNumber=513)

3. Очистить список от системных пользователей и пользователей используемых для работы SAMBA

4. На новом сервере узнать текущий SID

net getlocalsid

5. Заменить базовую часть в полях sambaSID sambaPrimaryGroupSID для каждого пользователя

6. загрузить подготовленный LDIF в новый LDAP (

Особенности с Samba

Для нормального функционирования самбы требуется погасить службу winbind