Неожиданная засада при установке OES2

Обсуждение технических вопросов по продуктам Novell под Linux, а также *nix систем

Сообщение v13 » 06 июн 2008, 17:42

Хм. Cсейчас посмотрел в свойства объекта linux workstation oes2, присутствуют сервисы. На другом нету. шайтан. :-)
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

Сообщение Sergant » 06 июн 2008, 18:18

Как я понял сервер под OES2 ставили в рабочее дерево. Какая версия eDirectory в дереве ? LUM и плагины для LUM-а в iManager-е обновляли ? Реплика на новом сервере есть ?
Sergant
 
Сообщения: 330
Зарегистрирован: 22 сен 2006, 14:41
Откуда: Москва

Про версию eDirectory - я предполагаю шутка.

Сообщение Андрей Добров » 06 июн 2008, 20:01

Sergant писал(а):Как я понял сервер под OES2 ставили в рабочее дерево. Какая версия eDirectory в дереве ? LUM и плагины для LUM-а в iManager-е обновляли ? Реплика на новом сервере есть ?

Про версию eDirectory - я предполагаю шутка.
После установки OES2 надеюсь появился сервер с 8.8. На OES2 реплики нет. В сети ещё имеются сервера на NW 6.5.6 c eDirecory 8.7.3.9.
При установке было предложено обновиться, т.е. получить все возможные изменения и это было сделано. Обновления получались только на OES2. Для обновления SLES10 опции по безопасности не выбирались.
Андрей Добров
 
Сообщения: 247
Зарегистрирован: 03 авг 2003, 21:27
Откуда: Железнодорожный,Регион 50

Сообщение v13 » 07 июн 2008, 08:56

Иногда замечал странные глюки при отсутствии реплики если лдап указан локальный 127.0.0.1.
Попробуй на время реплику добавить.
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

Re: Про версию eDirectory - я предполагаю шутка.

Сообщение Sergant » 07 июн 2008, 11:36

Андрей Добров писал(а):Про версию eDirectory - я предполагаю шутка.
После установки OES2 надеюсь появился сервер с 8.8. На OES2 реплики нет. В сети ещё имеются сервера на NW 6.5.6 c eDirecory 8.7.3.9.
При установке было предложено обновиться, т.е. получить все возможные изменения и это было сделано. Обновления получались только на OES2. Для обновления SLES10 опции по безопасности не выбирались.


Нет, не шутка. На мой (и не только) взгляд не совсем правильно держать в одном дереве сервера с eDirectory разных версий. Желательно привести NW к уровню OES2, т.е. SP7 + eDir 8.8.2. Это, в том числе, унифицирует и iManager до 2.7
Попробуйте на сервере под OES2 разместить R/W реплику и обновите таки плагин для LUM в iManager.
Sergant
 
Сообщения: 330
Зарегистрирован: 22 сен 2006, 14:41
Откуда: Москва

Сообщение Сергей Дубров » 07 июн 2008, 12:47

v13 писал(а):Иногда замечал странные глюки при отсутствии реплики если лдап указан локальный 127.0.0.1.
Попробуй на время реплику добавить.

Насколько я в курсе, ldap вообще ищет только в своей локальной реплике, т.е., если нужен ldap-сервер, который должен уметь рекурсивно искать по всему дереву, то на этом сервере приходится собирать все реплики. У микрософта с этим ещё смешнее - рекурсивный ldap-поиск не может пересекать границы домена. Вот такое вот дерево из огрызков получается :).
Аватара пользователя
Сергей Дубров
 
Сообщения: 2096
Зарегистрирован: 05 июн 2002, 06:07
Откуда: Новосибирск, ин-т ядерной физики СО РАН

Сообщение Андрей Тр. aka RH » 07 июн 2008, 17:26

У меня в чём-то схожая ситуация, есть сервер OES2 SLES10 ( eDir 8.8 ) без реплики в дереве с NW65 ( eDir 8.7.3 ), запросы по LDAP к нему вроде отрабатываются без проблем ( авторизация пользователей по LDAP, проверка членства в группах и т.п. ).
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Ужас, ужас .... на крылья ночи.

Сообщение Андрей Добров » 26 июн 2008, 15:22

Небольшой отчёт о двухнедельной пляски с бубном.

И так что происходит когда хочеться чтоб поиметь SAMBA + NSS в одном флаконе.
1. Проходим поцедуру назначения политики паролей(если нет)
2. Устанавливает Universal Password (если нет)
3. Далее включаем пользователя в шару для SAMBA.

Если всё проходит гладко - Вы счастливы и всё работает(имется доступ к NSS через SMB).
Что происходит в закулисье этого действа
1. Объекту пользователь добавляется несколько атрибутов
sambaAcctFlags
sambaPrimaryGroupSID
sambaSID
и дополнение в Object Class sambaSamAccount.

А вот в чём была и осталась ошибка с которой пробую бороться
Имеется несколько пользователей, которых это не касается, т.е. возникает ошибка для при добавление их на шару SAMBA. Т.е. ни как не могу добавить на шару к SAMBA. Это те аккаунты, которым я пробовал сделать назначения шары этак несколько месяцев назад на другом сервере, который БЛАГОПОЛУЧНО был выведен из eDirectory.
И все кто пользовался данной услугой ранее - сейчас НЕ ДОСТУПНА. Раньше у них работало всё на ура!
Была попытка заново проинсталировть OES2 на Linux. Результат плачевный - к тем кого не смог добавлять на шару, прибавились те которых пробовал и успешно добавлял в последний раз.
Какой-то одноразовый продукт получается. Без права на ошибку.

Интересно можно ли подчистить свойства у объекта User, если да то как. Имеется некоторые свойства которые не могут быть удалены так sambaSID только редактируется. А атрибуты sambaAcctFlags и sambaPrimaryGroupSID можно удалить. Но в последующем не появляются, когда пробуешь сотруднику установить шару SAMBA.
Вопросов что-то много накопилось!

P.S.
1. После начала проблем с регистрацией у пользователей этак с числа 14 июня - понял вот это и есть "Полная Задница".
2. Когда догнал что происходит - одна фраза слетела - "Жопа"
3. Появились сомнения по поводу смены Веры. Надежды уже мало.
Но это лирика. Будем искать.....
Андрей Добров
 
Сообщения: 247
Зарегистрирован: 03 авг 2003, 21:27
Откуда: Железнодорожный,Регион 50

Сообщение v13 » 26 июн 2008, 15:51

Посмотри может у тебя объект UNIX config продублировался где.
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

Re: Ужас, ужас .... на крылья ночи.

Сообщение Андрей Тр. aka RH » 26 июн 2008, 16:46

Андрей Добров писал(а):Интересно можно ли подчистить свойства у объекта User, если да то как. Имеется некоторые свойства которые не могут быть удалены так sambaSID только редактируется. А атрибуты sambaAcctFlags и sambaPrimaryGroupSID можно удалить. Но в последующем не появляются, когда пробуешь сотруднику установить шару SAMBA.

Может, пользователю назначается какой-то новый доп. класс, с самбовскими атрибутами ? Который, по идее, при необходимости можно снять ? ИМХО в dsbrowse можно сделать почти всё, что угодно.
Даешь отдельный раздел по ZENworks ... :bad-words: .. и печати !
Аватара пользователя
Андрей Тр. aka RH
 
Сообщения: 3937
Зарегистрирован: 18 июн 2002, 11:27

Нет только один.

Сообщение Андрей Добров » 26 июн 2008, 17:13

v13 писал(а):Посмотри может у тебя объект UNIX config продублировался где.

Если это объект поиска uamPosixConfig - то такой объект один.
Андрей Добров
 
Сообщения: 247
Зарегистрирован: 03 авг 2003, 21:27
Откуда: Железнодорожный,Регион 50

Может вопрос не в тему

Сообщение Андрей Добров » 26 июн 2008, 17:59

Может вопрос не в тему.

Для того чтоб достучаться до файлового ресурса Linux с помощью NT-клиента необходимо
1. Учётная запись в Linux
2. Учетная запись в SAMBA
3. Пароли должны быть синхронны. (это как бы мои домыслы)

Если смотреть на Linux через Yast то там не видно ни одной учётной записи. В тоже время в файле passwd имеются не только информации о root, но и ещё несколько аккаунтов, которые явно были заведены при инсталяции OES типа novell_nobody или novlxreg. Тоже относиться и к SAMBA. Где же пасуться учётные записи пользователи. В тоже время я могу зайти под именем пользователя на консоле сервера, которому давал шару на SAMBA. И домашний каталог создаться. Как это может быть. Или кто знает другие ухищрения для обнаружения пользователей как Linux, так и SAMBA.
Не смог ни где найти ответ, что будет происходить, если к примеру account для SAMBA создасться, а в LINUX учетной записи не будет и наоборот. И возможно ли произвольная сихронизация(создание) account-ов для SAMBA и Linux. Может в этом собака порыта.


P.S. У все кто проходит успешно доступ к шарам SAMBA появляется свойство Профиль UNIX, где имеется ID User. Странно что этот элемент может меняться. И странно что он остался у Account-ов, которые лишались прав на SAMBA. Ведь, я предпологаю этот элемент должен быть уникальным. Могло здесь сбойнуть? И если да, то как исправить?
Андрей Добров
 
Сообщения: 247
Зарегистрирован: 03 авг 2003, 21:27
Откуда: Железнодорожный,Регион 50

Сообщение v13 » 26 июн 2008, 20:01

В юниксе доступ даётся по ид.
Чтоб у тебя работал доступ к самбовым шарам у тебя должен быть корректно настроен lum. Эта задача не совсем простая, но и не очень сложная.
На новеле есть в колсолюшенах и в тидах пошаговые инструкции.

Пример работающего LUM:
Ни юзера ни его группы не должно быть в /etc/passwd и /etc/group
Юзер должен быть заведён и сделан "linux enabled" в е-директори. (в плане нормальной совместимости с юниксами, лучше иметь у него личную группу, которая прописана у него как примари)
Этот юзер или его группа должны иметь доступ к этой linux рабочей станции (прописывается в свойствах объекта linux workstation)

Хорошая диагностика этого дела:
namuserlist <user> должно показывать этого юзера
getent passwd | grep <user> должно показывать этого юзера
getent group | grep <user_group> должно показывать группу юзера
если чтото изменил в е-директори, выполняй namconfig cache_refresh
для того чтоб изменения вносились на рабочую станцию, автоматом рефречится тоже, но нечасто.

После этого можно уже крутить самбу :-)

Исходя из вышеописанного - юзаю novell client и не парюсь ;-)
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

Имеется 1С.

Сообщение Андрей Добров » 27 июн 2008, 10:05

v13 писал(а):
Исходя из вышеописанного - юзаю novell client и не парюсь ;-)

Первая попытка начать работать с OES2 была печальной. Не работает 1С при стандартной схеме доступа к файловой системе.

Был откат, т.е. отказ от продукта. Но на домашних семинирах в представительстве Novell в конце 2007 потвердили что с использованием NCP работать не будет, но можно сделать через SAMBA при этом оставить контроль доступа над файловой системой на уровне NSS. Это решение снимало все проблемы. Было красивым и гибким.

Вот и пробую идти в этом направлении.
Андрей Добров
 
Сообщения: 247
Зарегистрирован: 03 авг 2003, 21:27
Откуда: Железнодорожный,Регион 50

Сообщение v13 » 27 июн 2008, 13:21

А если всётаки покрутить ещё сервер и novell клиент на предмет заставить нормально работать.

Отключить оплоки, кэширование, включить commit

Какая диагностика неработоспособности ?
Какие версии novell client пробовали ?
Аватара пользователя
v13
 
Сообщения: 660
Зарегистрирован: 31 авг 2007, 09:07

Пред.След.

Вернуться в *nix

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 14

cron