Samba + LDAP über mehrere Standorte

Hallo zusammen,

wir stehen vor dem Problem ein Setup aufzusetzen, damit Samba mit LDAP-Anbindung über mehrere Standorte hinweg funktioniert.
Folgendes Szenario soll umgesetzt werden:

Server im Rechenzentrum

• zentrales LDAP Verzeichnis (aktuell noch ohne die Samba Attribute)
  kein Samba nur SSH Logins per LDAP
  Replikation von hier aus zu den Büros

Standort Aachen

• Replikat des LDAP Verzeichnisses
  Samba und SSH Logins per LDAP
  DHCP und DNS per LDAP

Standort Düsseldorf

• Replikat des LDAP Verzeichnisses
  Samba und SSH Logins per LDAP
  DHCP und DNS per LDAP

Wir wollen also im RZ zentral die Benutzer pflegen. Wie sieht es z.B. mit der Samba SID aus, die muss dann ja überall gleich sein oder? Wir wollen im Grunde keine Anmelde-Domäne damit aufziehen, sondern wollen je Standort einen gleichwertigen Sambaserver stehen haben, der lediglich ein paar Shares bereitstellt. Außerdem soll das DNS im LDAP liegen, allerdings gibt es hier die Anforderung, dass der DHCP Server seine dynamic DNS Updates weiterhin können muss.

Wir haben momentan ein echtes Brett vor dem Kopf und finden keinen vernünftigen Ansatz für die Umsetzung.

Gruß, Christian

Hi Christian,
den Samba würde ich über eine Domäne machen, vor allen wenn ihr nur Windows-Clients hat, ist die Sicherheit einfach größer als nur mit shares. LDAP kannst du ja mit syncrepl replizieren, dann einen PDC am Hauptstandort mit Samba und BDCs an den anderen Standorten.
DHCP im LDAP ist ja kein Thema, die Ojekte kannst du auch wunderbar mit dem ldap-account-manager verwalten. Der DNS ist da schon etwas schwieriger, der BIND9 geht nicht so einfach mit LDAP. Denn müsstest du erst patchen. Für Debian findest du gepatchte Pakete hier:
http://mds.mandriva.org/pub/mds/debian/pool-squeeze/bind9-ldap/
Hier gibt es das passende Schema für den Bind http://www.venaas.no/ldap/bind-sdb/dnszone-schema.txt
Hier ist das ganze mal beschrieben:
http://www.linux-club.de/viewtopic.php?f=51&t=35142
Wie das ganze dynamisch geht findest du hier:
http://www.linux-club.de/viewtopic.php?f=59&t=57600
Ich hoffe, das hilft dir etwas weiter.

Hi Stefan,

wir möchten eigentlich keinen Domain-Controller haben, da wir auch Linux-Arbeitsplätze haben und definitiv keine Roaming-Profiles brauchen. Es geht im Grunde nur um Benutzerkonten- und Passwort-Synchronität über die Standorte hinweg. Im Rechenzentrum selbst gibt es keine menschlichen Benutzer, da stehen nur unsere "Online-Server" auf die u.a. auch unsere Kunden zugreifen. Hier liegt sozusagen auch die "Master-Kopie" des LDAP Verzeichnisses. Es wäre für uns z.B. interessant, wenn an den beiden Standorten Aachen und Düsseldorf ein Samba Server stehen würde, der seine Benutzerdaten aus dem LDAP zieht aber gegenüber dem Samba Server am anderen Standort gleichberechtigt ist. Sprich Master-Master. Geht sowas? Ich scheiter bei meinen Überlegungen immer daran, das die Samba SID bei zwei Installationen verschieden ist und ich dann das Problem habe das im LDAP einzutragen.

Gruß, Christian

Hi Stefan,

außerdem kann ich deine Aussage bzgl. bind9 und LDAP so nicht bestätigen. Unter CentOS 5.x läuft das mit dem Paket bind-sdb out-of-the box.

Gruß, Christian

Genau wegen der SID brauchst du ja eine Domäne ;-) Du kannst zwar mit "net getlocalsid" die SID auslesen und dann auf einem anderen Samba-Server mit "net setloclasid <sid>" einlesen, dann hast du die selben SIDs auf deinen Samba-Servern. Dann Passen die Benutzer wieder, ob das aber ohne Domäne klappt, kann ich dir nicht sagen.

Zum Bind, ja das stimmt beim SLES geht das auch, denn da ist der Bind auch gepatched, ABER im Original ist das nicht der Fall. Wenn ihr also Debina verwendet musst du den selber patchen oder die von mir gezeigten Pakete installieren.