Страница 3 из 4

СообщениеДобавлено: 06 июн 2008, 17:42
v13
Хм. Cсейчас посмотрел в свойства объекта linux workstation oes2, присутствуют сервисы. На другом нету. шайтан. :-)

СообщениеДобавлено: 06 июн 2008, 18:18
Sergant
Как я понял сервер под OES2 ставили в рабочее дерево. Какая версия eDirectory в дереве ? LUM и плагины для LUM-а в iManager-е обновляли ? Реплика на новом сервере есть ?

Про версию eDirectory - я предполагаю шутка.

СообщениеДобавлено: 06 июн 2008, 20:01
Андрей Добров
Sergant писал(а):Как я понял сервер под OES2 ставили в рабочее дерево. Какая версия eDirectory в дереве ? LUM и плагины для LUM-а в iManager-е обновляли ? Реплика на новом сервере есть ?

Про версию eDirectory - я предполагаю шутка.
После установки OES2 надеюсь появился сервер с 8.8. На OES2 реплики нет. В сети ещё имеются сервера на NW 6.5.6 c eDirecory 8.7.3.9.
При установке было предложено обновиться, т.е. получить все возможные изменения и это было сделано. Обновления получались только на OES2. Для обновления SLES10 опции по безопасности не выбирались.

СообщениеДобавлено: 07 июн 2008, 08:56
v13
Иногда замечал странные глюки при отсутствии реплики если лдап указан локальный 127.0.0.1.
Попробуй на время реплику добавить.

Re: Про версию eDirectory - я предполагаю шутка.

СообщениеДобавлено: 07 июн 2008, 11:36
Sergant
Андрей Добров писал(а):Про версию eDirectory - я предполагаю шутка.
После установки OES2 надеюсь появился сервер с 8.8. На OES2 реплики нет. В сети ещё имеются сервера на NW 6.5.6 c eDirecory 8.7.3.9.
При установке было предложено обновиться, т.е. получить все возможные изменения и это было сделано. Обновления получались только на OES2. Для обновления SLES10 опции по безопасности не выбирались.


Нет, не шутка. На мой (и не только) взгляд не совсем правильно держать в одном дереве сервера с eDirectory разных версий. Желательно привести NW к уровню OES2, т.е. SP7 + eDir 8.8.2. Это, в том числе, унифицирует и iManager до 2.7
Попробуйте на сервере под OES2 разместить R/W реплику и обновите таки плагин для LUM в iManager.

СообщениеДобавлено: 07 июн 2008, 12:47
Сергей Дубров
v13 писал(а):Иногда замечал странные глюки при отсутствии реплики если лдап указан локальный 127.0.0.1.
Попробуй на время реплику добавить.

Насколько я в курсе, ldap вообще ищет только в своей локальной реплике, т.е., если нужен ldap-сервер, который должен уметь рекурсивно искать по всему дереву, то на этом сервере приходится собирать все реплики. У микрософта с этим ещё смешнее - рекурсивный ldap-поиск не может пересекать границы домена. Вот такое вот дерево из огрызков получается :).

СообщениеДобавлено: 07 июн 2008, 17:26
Андрей Тр. aka RH
У меня в чём-то схожая ситуация, есть сервер OES2 SLES10 ( eDir 8.8 ) без реплики в дереве с NW65 ( eDir 8.7.3 ), запросы по LDAP к нему вроде отрабатываются без проблем ( авторизация пользователей по LDAP, проверка членства в группах и т.п. ).

Ужас, ужас .... на крылья ночи.

СообщениеДобавлено: 26 июн 2008, 15:22
Андрей Добров
Небольшой отчёт о двухнедельной пляски с бубном.

И так что происходит когда хочеться чтоб поиметь SAMBA + NSS в одном флаконе.
1. Проходим поцедуру назначения политики паролей(если нет)
2. Устанавливает Universal Password (если нет)
3. Далее включаем пользователя в шару для SAMBA.

Если всё проходит гладко - Вы счастливы и всё работает(имется доступ к NSS через SMB).
Что происходит в закулисье этого действа
1. Объекту пользователь добавляется несколько атрибутов
sambaAcctFlags
sambaPrimaryGroupSID
sambaSID
и дополнение в Object Class sambaSamAccount.

А вот в чём была и осталась ошибка с которой пробую бороться
Имеется несколько пользователей, которых это не касается, т.е. возникает ошибка для при добавление их на шару SAMBA. Т.е. ни как не могу добавить на шару к SAMBA. Это те аккаунты, которым я пробовал сделать назначения шары этак несколько месяцев назад на другом сервере, который БЛАГОПОЛУЧНО был выведен из eDirectory.
И все кто пользовался данной услугой ранее - сейчас НЕ ДОСТУПНА. Раньше у них работало всё на ура!
Была попытка заново проинсталировть OES2 на Linux. Результат плачевный - к тем кого не смог добавлять на шару, прибавились те которых пробовал и успешно добавлял в последний раз.
Какой-то одноразовый продукт получается. Без права на ошибку.

Интересно можно ли подчистить свойства у объекта User, если да то как. Имеется некоторые свойства которые не могут быть удалены так sambaSID только редактируется. А атрибуты sambaAcctFlags и sambaPrimaryGroupSID можно удалить. Но в последующем не появляются, когда пробуешь сотруднику установить шару SAMBA.
Вопросов что-то много накопилось!

P.S.
1. После начала проблем с регистрацией у пользователей этак с числа 14 июня - понял вот это и есть "Полная Задница".
2. Когда догнал что происходит - одна фраза слетела - "Жопа"
3. Появились сомнения по поводу смены Веры. Надежды уже мало.
Но это лирика. Будем искать.....

СообщениеДобавлено: 26 июн 2008, 15:51
v13
Посмотри может у тебя объект UNIX config продублировался где.

Re: Ужас, ужас .... на крылья ночи.

СообщениеДобавлено: 26 июн 2008, 16:46
Андрей Тр. aka RH
Андрей Добров писал(а):Интересно можно ли подчистить свойства у объекта User, если да то как. Имеется некоторые свойства которые не могут быть удалены так sambaSID только редактируется. А атрибуты sambaAcctFlags и sambaPrimaryGroupSID можно удалить. Но в последующем не появляются, когда пробуешь сотруднику установить шару SAMBA.

Может, пользователю назначается какой-то новый доп. класс, с самбовскими атрибутами ? Который, по идее, при необходимости можно снять ? ИМХО в dsbrowse можно сделать почти всё, что угодно.

Нет только один.

СообщениеДобавлено: 26 июн 2008, 17:13
Андрей Добров
v13 писал(а):Посмотри может у тебя объект UNIX config продублировался где.

Если это объект поиска uamPosixConfig - то такой объект один.

Может вопрос не в тему

СообщениеДобавлено: 26 июн 2008, 17:59
Андрей Добров
Может вопрос не в тему.

Для того чтоб достучаться до файлового ресурса Linux с помощью NT-клиента необходимо
1. Учётная запись в Linux
2. Учетная запись в SAMBA
3. Пароли должны быть синхронны. (это как бы мои домыслы)

Если смотреть на Linux через Yast то там не видно ни одной учётной записи. В тоже время в файле passwd имеются не только информации о root, но и ещё несколько аккаунтов, которые явно были заведены при инсталяции OES типа novell_nobody или novlxreg. Тоже относиться и к SAMBA. Где же пасуться учётные записи пользователи. В тоже время я могу зайти под именем пользователя на консоле сервера, которому давал шару на SAMBA. И домашний каталог создаться. Как это может быть. Или кто знает другие ухищрения для обнаружения пользователей как Linux, так и SAMBA.
Не смог ни где найти ответ, что будет происходить, если к примеру account для SAMBA создасться, а в LINUX учетной записи не будет и наоборот. И возможно ли произвольная сихронизация(создание) account-ов для SAMBA и Linux. Может в этом собака порыта.


P.S. У все кто проходит успешно доступ к шарам SAMBA появляется свойство Профиль UNIX, где имеется ID User. Странно что этот элемент может меняться. И странно что он остался у Account-ов, которые лишались прав на SAMBA. Ведь, я предпологаю этот элемент должен быть уникальным. Могло здесь сбойнуть? И если да, то как исправить?

СообщениеДобавлено: 26 июн 2008, 20:01
v13
В юниксе доступ даётся по ид.
Чтоб у тебя работал доступ к самбовым шарам у тебя должен быть корректно настроен lum. Эта задача не совсем простая, но и не очень сложная.
На новеле есть в колсолюшенах и в тидах пошаговые инструкции.

Пример работающего LUM:
Ни юзера ни его группы не должно быть в /etc/passwd и /etc/group
Юзер должен быть заведён и сделан "linux enabled" в е-директори. (в плане нормальной совместимости с юниксами, лучше иметь у него личную группу, которая прописана у него как примари)
Этот юзер или его группа должны иметь доступ к этой linux рабочей станции (прописывается в свойствах объекта linux workstation)

Хорошая диагностика этого дела:
namuserlist <user> должно показывать этого юзера
getent passwd | grep <user> должно показывать этого юзера
getent group | grep <user_group> должно показывать группу юзера
если чтото изменил в е-директори, выполняй namconfig cache_refresh
для того чтоб изменения вносились на рабочую станцию, автоматом рефречится тоже, но нечасто.

После этого можно уже крутить самбу :-)

Исходя из вышеописанного - юзаю novell client и не парюсь ;-)

Имеется 1С.

СообщениеДобавлено: 27 июн 2008, 10:05
Андрей Добров
v13 писал(а):
Исходя из вышеописанного - юзаю novell client и не парюсь ;-)

Первая попытка начать работать с OES2 была печальной. Не работает 1С при стандартной схеме доступа к файловой системе.

Был откат, т.е. отказ от продукта. Но на домашних семинирах в представительстве Novell в конце 2007 потвердили что с использованием NCP работать не будет, но можно сделать через SAMBA при этом оставить контроль доступа над файловой системой на уровне NSS. Это решение снимало все проблемы. Было красивым и гибким.

Вот и пробую идти в этом направлении.

СообщениеДобавлено: 27 июн 2008, 13:21
v13
А если всётаки покрутить ещё сервер и novell клиент на предмет заставить нормально работать.

Отключить оплоки, кэширование, включить commit

Какая диагностика неработоспособности ?
Какие версии novell client пробовали ?