Új vagyok még ezen téren, de bevezetésre került intézményünkben egy free bsd rendszer.A samba legújabb verziója van fent, proxy szerver is van, win7 rendszerrel. A hatalmas probléma az, hogy rengeteg dns kérés jön a fileszerver felé, amit próbál kiszolgálni, de ennek hatására belassul a hálózat és az internetezés is szinte meghal. A bejelentkezések van sikerülnek vagy nem, fájlmegosztás is lassú ez miatt. Nem tudunk rájönni mitől lehet ez a fajta lassulás. Mert az utóbbi időben jelentkezett ez körülbelül 1 hónapja. Kliens oldalról érkeznek a szerver felé a kérések. Ha nincsenek bekapcsolva a kliensek, vagy alig van pár belőve, akkor minden simán megy. De amint a gépparkok működésbe lépnek meglassul minden. Ipfw tűzfallal próbáltuk megszűrni a portokat, alapértelmezetten mindent tiltottunk, és bizonyos active directory-nak szükséges portokat illetve más egyéb fontos portokat engedélyeztünk csak. De csak részeredményekre jutottunk és nem jött be ez sem. Lehet még valami hiányzik a tűzfalból, nem tudom hogy mit tudjak csinálni már, rengeteg dolgot kipróbáltam.
Remélem valaki tud segíteni, mert tanácstalan vagyok.
Tudom, ilyenkor szokták mondani, aki nem tud érdemi hozzászólást, inkább ne szólaljon meg. De mégse érezd úgy, hogy a kutya sem törődik a kérdéseddel. Szerintem kezdd itt.
A problémám a következő: Van egy Windowsos hálózat, egy Wines domain szerverrel.
Ehhez szeretnék hozzácsapni egy Linuxos rendszert (Ubuntu 9.04), ami hasonlóan kéne, hogy működjön: A Linux egy passwordot kérjen, amivel a delikvens bejelentkezik a Linuxba és a hálózatba egyaránt és elérheti a jogosultságait a szerveren. Akár az is jó lenne, ha egy közös guest userként lépne be a Linuxba és eközben megtörténne a hálózati azonosítás és mappelés.
Sajnos még nem vagyok nagyon járatos a Linuxban, így ha lehet akkor szájbarágós tanácsot kérnék... :)
Van egy fedora-s masinám és egy vista-m. A fedora-n samba-val megosztott könyvtárakat csak akkor látom a vista-n, ha a tűzfalat kikapcsolom. A tűzfalban engedélyeztem a samba portjait (137-139) és a 445-öst (ds-windows talán?), mégsem sikerál. Szóval itt megakadtam. Mi lehet a porbléma?
Szerintem ha sambára állsz át, akkor annyit változna a helyzet, hogy VPN-el indítana az otthoni user (a pptp-t az újabb linux disztribek minden cafrang nélkül kezelik, windows kompatibilis módon), és szigorúan workstationból indítanák.
Amikor létrejött a kapcsolat, akkor mountolnák a hálózati meghajtót, vagyis az user távoli elérés esetében: helyi bejelentkezés -> VPN kapcsolat indítása -> hálózati meghajtók csatlakoztatása.
Távoli elérés esetén szerintem ellenjavallt a domain, mert pl. mi van olyankor, ha például az user egy DVD image-t töltött le az asztalára? Kijelentkezéskor fel akarja tölteni a domain kontrollenek, bejelentkezéskor meg letöltené. Mindezt mondjuk egy otthoni 256KB-os feltöltési sávszéllel.
Ötlet: linux PPTP VPN, ezt akár a tűzfal is kezelhetné. Innen kezdve a távoli user a helyi háló része ugye, minden cafrang nélkül eléri a sambát. A samba ugyan nem tartományvezérlő, ezért login script sem fut le a bejelentkezésnél, de ha az usereknek csinálsz egy olyan batch file-t, ami először a VPN-t indítja, majd felcsatlakoztatja a hálózati meghajtókat, akkor kezelhető a dolog. kiteszed az asztalukra nekik és azt indikják, tehát nem sima VPN kapcsolatot.
A kapcsolat bontásánál kapnának hibaüzenetet az userek, mikor is nem érik el a hálózatról csatolt meghajtót, de ez szerintem nem olyan nagy vész. Azzal együtt lehet élni.
Bocs, ha érthetetlen vagyok. Tehát jelenleg a következő a helyzet: 1. Van a munkahely. Belső háló, Linux tűzfallal és egy őskövület Novell. Bejönnek dolgozni a dolgozók. Bekapcsolják a gépet, bejön a Novell login. Beírják a felhasználót, jelszót és bejelentkeznek a Novell-be. Itt vannak login scriptek, hálózati meghajtók, hálózati nyomtatók. Nincs gond. 2. Ha valaki a nótijával otthonról szeretne dolgozni a fájl szerveren, akkor a következőt kell tennie jelenleg. Hazamegy. Gép bekapcs, Novell bejelentkezőn beállítja, hogy csak a Workstation-re jelentkezik be. Bejelentkezik a gépére, majd az asztalon elindítja a Windows-os VPN-t a cég szerverére, mert a fájl szerver a tűzfalon belül van. Ezután már be tud jelentkezni a Novell-ra, et voilá vannak hálózati mappái. (Az más kérdés, hogy egy 20/2 mbit-es nettel is csak kb. 20-25kbyte/sec-el tud a hálózati meghajtóra dolgozni.) És ami a legfontosabb, a gépet nem kell újraindítani. A user háklis;(
Tehát Samba-val szeretném azt megoldani, hogy legyen Login script központilag managelhető. Ehhez úgy tudom - tudásom csekély ez ügyben, ezért kérdezek - domain kell.
Amit nem tudok, mert még nem is próbáltam, hogy amikor beállítom a Windows-os gépen, hogy Domain-ba szeretne bejelentkezni, akkor a gépet újra kell indítani. Ezután bejön a Windows-os login, amivel már be tud jelentkezni a Domain-be. DE, ha nem a helyi hálón van a gépe, azaz pl. otthonról dolgozik, akkor mielőtt a Domain-ba bejelentkezik, be kéne a VPN-re jelentkeznie - mivel a fájl szerver a tűzfalon belül van -, az pedig csak akkor elérhető, ha már a workstation-re bejelentkezett, nem?
ps. én már ott lemaradtam, hogy miként jelentkeznek be egy helyi desktopra, és minek. Illetve miért nem rögtön VPN-el indítanak, hisz rögtön a helyi háló részét képeznék. És nem értem hogyan kerül képbe itt a domain, főleg távoli hálóról. Az úgy használhatatlanul lassú lesz a sávkorlát miatt.
Sziasztok! Mostanság szeretnék Samba-t használni fájl szerver és nyomtató szerver funkcióra. (Szeretném végre a Novell-t lecseréni, mert útálom;( Olvasgatok és kiderült, hogy a domain-t nem úszom meg, mert - a domain-ben lehet központi címtárat használni és az jó, - a domain-ben lehet központosított login script-et használni. (Bár hozzá teszem ez csak azért kell, hogy lehessen minden usernek egy saját hálózati meghajtója, amihez csak neki van jogosultsága, másnak nem. (Lényegében az egész Samba e miatt kellene)
Szóval a problémám a következő: Vannak userek, akik otthonról dolgoznak. A Novell elérése eddig úgy történt otthonról, hogy bejelentkeztek a local gépre (workstation only), ezután VPN-en kapcsolüdtak a szerverhez, majd ezután jelentkeztek be a Novell szerverre, hiszen a VPN kapcsolódás után már, belső IP címet kaptak)
Viszont a domain-be bejelentkezéshez minden esetben újra kell indítani a gépet, és a domain-be való bejelentkezés után lehet csak VPN-nel kapcsolódni a szerverhez. De ez egy ördögi kör, mert a domain-t csak a belső hálózatról lehet elérni a VPN kapcsolódás után.
Tehát van-e mód bejelentkezni a domain-be úgy, hogy ne kelljen a gépet újraindítani?
Létrehoztam egy SAMBA alapú tartományt Ubunutu 8.10 alapokon, a samba configban a login path = opcióval (vagyis semmi, nincs szerveren tárolt profiljuk). Tehát nincs vándorló profil, semmi ilyesmi. A gondom az, hogy hiába jön létre a Windows XP kliensen a profil, ha az SMB-s PDC offline állapotban van a W. számára (pl. mert laptopja van az illető felhasználónak és elciepli magával valahová máshová), akkor a felhasználó nem tud belépni, hiába van ott a gépen a profilja. Az interaktív login, felhasználói adatok cacehlése a windows felhasználói fiókoknál eleve 10 volt, de már felvettem 50-re, nem mintha ez segítene.
Mi a megoldás?
Tartományt eddig csak NT4-es szerverrel üzemeltettem és ott ugyanilyen kliens-beállítások mellett simán belépett a kliensgépen a felhasználó akkor is, ha az NT4-es PDC offline volt (és BDC se volt a rendszerben, tehát mondjuk hazacipelte a laptopják ,konfeerncián volt stb.). Viszont mindenképpen kell a domain, mert egyébként a felhasználók képtelenek felcsatlakoztatni pl. az smb-s megosztásaikat, meg van is belőle pár darab, tehát manuálisan is eléggé macerás lenne.
A probléma, amit leírok, nem biztos, hogy Samba, de nagy a gyanúm...
Adott egy Asus WL-500gx router, ezen már gyárilag linux fut, amit én szépen lecseréltem már vagy 2 éve Oleg-félére. Azóta rá van dugva egy WD MyBook vinyó, Sambával megosztva, mindenki happy.
Ámde most rátettem egy transmission csomagot, hogy ne kelljen bekapcsolva tartani egy gépet, ha valaki torrentezni akar. A letöltés céljaként a Samba megosztáson csináltam egy Downloads könyvtárat, erre konfigoltam a transmissiont.
Bejelentkezem a böngészővel, elindítom a torrentet, szépen kiírja, hogy megkezdi a letöltést... majd 2 másodperc múlva leáll a következő hibaüzenettel: No such file or directory.
Nem tudok mást gondolni, mint hogy a Downloads könyvtárat nem látja valami miatt, de el nem tudom képzelni, mi az. A transmission config fájljában az elérési út jó és abszolút, ezt megnéztem már százszor. Oda mutat, ahova kell. Ebbe a könyvtárba bármelyik gépről lehet írni, látni. A transmission processz admin joggal fut, aminthogy a könyvtár tulajdonosa is az admin. Akkor miért nem látja a transmission?
Nagyjából ennyi kell: 1 Csinálsz egy csoportot mondjuk "kozos" névvel 2 Hozzáadod a felhasználókat a "kozos" csoporthoz 3 Létrehozol egy könyvtárt "kozoskonyvtar" néven. 4 Beállítod a tulajdonost "te" vagy a "root", és csoportot "kozos" a "kozoskonyvtar"-on 5 Beállítod a jogokat 1775 a "kozoskonyvtar"-nak ( az 1-es a sticky ) 6 Előzőleg én is hülyeséget írtam force usert nem kell megadni a sambának, csak force group-ot, ami a "kozos" lesz. Még kell a vendég tiltás a megosztásba és a többi szokásos beállítás.
Ha az egyes felhasználók a saját nevükön lépnek be (nem pedig mindenki ugyanazzal az azonosítóval), akkor ki-ki csak a saját fájlját tudja törölni, a másét nem. Ilyen könyvtár például a /tmp
Köszi szépen a válaszokat. Azért kérdeztem, mert arra én is rájöttem, hogy ha van írásjog a mappán, akkor törölni is lehet. Ezt a sticky bites megoldást el tudnátok magyarázni, kipróbáltam, de igazából nem tudom, hogy kellene csinálni.
Most legszívesebben kimoderáltatnám az előző hozzászólásom. Elszégyelltem magam. Hogy a fenébe nem jutott eszembe? Bár amit a felhasználó tesz fel, azt tudja törölni is, de gondolom, ez nem probléma. Csak a másik cucca a védendő. Bár ha így nézzük, akkor lehet olyat is csinálni, hogy az illető könyvtárban létrehozunk minden felhasználónak egy-egy alkönyvtárat, akönyvtáraknak drwxrwxr-x jogokat adunk. A tulajdonosa mindegyik könyvtárnak a főnök, a csoport az individuális csoport, amely felhasználónként más. Ekkor főnök bármit csinálhat, felhasználó csak a sajátjában írhat, törölhet, és mindenki olvashat bárhonnan, de nem módosíthatja másét.
user1 pedig benne van a user1 group-ban, user2 a user2 group-ban. Persze ha a tulajdonos valamiért nem lehet a főnök, akkor a főnök az összes individuális user csoportban benne van.
De a sticky bites megoldás határozottan egyszerűbb, és erre találták ki.
Szerintem a sticky könyvtáron alkalmazva ( chmod +t könyvtárnév ) tudja ezt. A sambában be kell állítani, hogy a foce user te legyél, és a force csoport legyen a könyvtár csoportja.
Így elsőre a standard linuxos jogkezeléssel nem, mert a file létrehozása és annak törlése is a directory írását jelenti. Tehát vagy mindkettőt lehet, vagy egyiket sem. Az ACL-nek illetve a SElinuxnak kellene utánanézni, ezekkel az eszközökkel lehet, hogy megoldható. Illetve jó kérdés, hogy maga a Samba tud-e ilyet.
Nem tudom hogy lehetséges-e amit kérdezek, de így hangzik: egy megosztott mappát be lehet-e úgy állítani, hogy abba a felhasználók tudjanak feltölteni dolgokat, viszont ne tudjanak törölni belőle?
Ez nem lehet, mert a wines gépek látják egymást név szerint is, mégsincs benne a hosts-jukban a másik gép.
Valszeg valami olyan baj van, hogy nincs local master a munkacsoportban, de nem tudom valamiért rávenni a linuxot hogy az legyen.
Mondjuk a "linuxos gép" egy Asus Wl700-as router openwrt-vel, lehet annyira lebutították a sambát, hogy nem tudja ezt...? Hiába írtam be bármit a conf-ba local master, preferred master és hasonlók, semmi változás.
De már feladtam, hagyom és ip alapján fogom elérni. :)