настройка учетных записей в линухе

[Vyacheslav1]

Может кто-нибудь подскажет.
Есть система разработанная под винду, которая требует настройки учетных записей в АД. Необходимо для учетных записей клиентов в АД убрать флажок "учетная запись важна и не может быть делегирована", для учетной записи от которой будет запускаться сервер приложений в АД нужно указать "учетная запись доверена для делегировнаия", для машины на которой выполняется сервер приложений указать в АД "Доверять компьютеру права представителя".
Может можно что-то подобное замутить под линухом? Заранее спасибо.

[never hood]

Может можно что-то подобное замутить под линухом? Заранее спасибо.

Постановка задачи мутная!
Делегирование под Линуксом есть, как и во всех прочих никсах. Другой вопрос как это реализовано, насколько удобно и кому, для чего это надо...

[Vyacheslav1]

Постановка задачи мутная!
Делегирование под Линуксом есть, как и во всех прочих никсах. Другой вопрос как это реализовано, насколько удобно и кому, для чего это надо...

Есть система инженерного документооборота. Для инженеров-разработчиков, конструкторов и т.д. вещь неплохая. И вот учетные записи клиентов, для работы этой системы, необходимо в АД убрать флажок "учетная запись важна и не может быть делегирована", для учетной записи от которой будет запускаться сервер приложений поставить флажок в АД "учетная запись доверена для делегирования". Хотя я думал, что если убрать первую галочку, то автоматически учетная запись становиться довереной для делегирования, но получается не так. Ну и для компа с сервером приложений "доверять компьютеру права представителя". Обзвонил много фирм где используется эта система, но у них контроллер домена под виндой и все работает замечательно. У нас он под линуксом. Разработчики этой системы что-то предусмотрели и реализовали сокет соединение. Тогда не нужно производить вышеописанные настройки. И все работает и под линуксом. Но именно при сокет соединении самые прикольные фишки не работают, не реализовали это разработчики. Они говорят переходите на виндовый сервер. Админы наши говорят, что на виндовый они переходить не будут. Вот я и думаю как это можно сделать под линуксом. Я простой юзер и в винде и в линуксе.
Может подскажете, что можно придумать.

[never hood]

Может подскажете, что можно придумать.

прежде всего необходимо прорабатывать вопросы "вписываемости" того или иного софта в существующую среду.
опять-таки из вашего описания абсолютно невозможно понять, что не работает и что нужно приложению. Думаю стоит прислушаться к разработчикам, особенно если они уже пытались что-либо делать в отношении переноса системы на линукс. Тем более, что "галочками" в Линуксе проблемы не решаются.

[Vyacheslav1]

прежде всего необходимо прорабатывать вопросы "вписываемости" того или иного софта в существующую среду.
опять-таки из вашего описания абсолютно невозможно понять, что не работает и что нужно приложению. Думаю стоит прислушаться к разработчикам, особенно если они уже пытались что-либо делать в отношении переноса системы на линукс. Тем более, что "галочками" в Линуксе проблемы не решаются.

Эта система покупалась еще без меня и уже куплена давно. Теперь мне приходится решать эти проблемы с доступом клиентов. Вообщем, на сервере где установлены сервер приложений, клиент и MS SQL Server все работает. Т.е. на самом сервере можно установить дком соединение при котором все работает прекрасно. Но с клиентов сервер приложений не виден. При попытке соединиться с сервером приложений выходит сообщение "Interface not supported". Можно на любую машину ставить сервер приложений и там все будет работать при дком соединении, остальные могут только при сокет. Т.е. проблема с доступом именно к серверу приложений. Можно поставить сервер приложений на все машины, тогда будет все работать у всех при дком соединении. Но лицензия на сервер приложений только одна. Стоит 50 т.р. И в руководстве написано, учетная запись от которой будет работать сервер приложений должна быть доверена для делегирования. А машине с сервером приложений доверить права представителя. Может можно и в линуксе что-то придумать? Разработчики говорят, что у них нет опыта развертки системы под линуксом. Но они не исключают такую возможность.  
Мне кажется, что проблема именно в "доверять компьютеру права представителя". Т.е. службы запущенные на этом комьютере не могут выполнять запросы к службам других серверов. Хотя незнаю

[deepwalker]

А админы, которые подняли все на sambe, они как, ни при делах? : )
Раз уж они подняли, может раскопают, как сделать нечто по типу сих галок?
В общем на мой взгляд голова болит слегка не у того человека.

PS по имеющимся у меня сведениям, samba поддерживает только домен nt4. В смысле поднять на ней можно только pdc данного типа домена. Или они завели samba4? : ))

[Vyacheslav1]

А админы, которые подняли все на sambe, они как, ни при делах? : )
Раз уж они подняли, может раскопают, как сделать нечто по типу сих галок?
В общем на мой взгляд голова болит слегка не у того человека.

PS по имеющимся у меня сведениям, samba поддерживает только домен nt4. В смысле поднять на ней можно только pdc данного типа домена. Или они завели samba4? : ))

Я администратор этой системы. Конфигурирую ее и все такое. Раньше работали на ломаной. У всех стоял сервер приложений и все было хорошо. Теперь времена изменились. Оброслись лицензиями. Я говорю админам, давайте перейдем на винду. Они говорят, что объем большой и они не будут этим заниматься из-за того, что я не могу настроить систему, к тому с сетью все хорошо. Я говорю помогите тогда настроить под линуксом. Они говорят, ты скажи что нам нужно сделать мы сделаем. Я в линуксе нибумбум. Да и в винде как админ тоже. Понятия не имею что же нужно сделать.
А люди спрашивают с меня.
На клиентах Win XP SP2. samba 3, контроллер домена Fedora 7

[deepwalker]

В общем развернутое пояснение - nt4 это не ad. И фишек, присущих ad, не имеет.
Я посмотрел в гугле - что то про делегирование на samba pdc как то глуховато.
Узнайте у разработчиков - возможна ли работа системы в nt4 домене.

Вообще делегирование - фича из мира kerberos, насколько я понимаю. Те разрешается серверу работать от имени пользователя, с его билетом? Те аналог forwardable?

PS хотелось бы помочь, да вот nt4 не знаю вообще - я в ее времена еще не был админом : )

[Vyacheslav1]

В общем развернутое пояснение - nt4 это не ad. И фишек, присущих ad, не имеет.
Я посмотрел в гугле - что то про делегирование на samba pdc как то глуховато.
Узнайте у разработчиков - возможна ли работа системы в nt4 домене.

Вообще делегирование - фича из мира kerberos, насколько я понимаю. Те разрешается серверу работать от имени пользователя, с его билетом? Те аналог forwardable?

PS хотелось бы помочь, да вот nt4 не знаю вообще - я в ее времена еще не был админом : )

nt4 - это винда?
Насколько я знаю, да делегирование это из Kerberos

[deepwalker]

nt4 это вроде как первое изобретение на тему доменов. Kerberos там нет. Samba 3 поддерживает только nt4 домен. В смысле в роли контроллера. В качестве обычного сервера - в w2k домене работает нормально.

[Vyacheslav1]

nt4 это вроде как первое изобретение на тему доменов. Kerberos там нет. Samba 3 поддерживает только nt4 домен. В смысле в роли контроллера. В качестве обычного сервера - в w2k домене работает нормально.

У нас контроллер на Fedora 7

[deepwalker]

А это без разницы : ) samba она и есть samba.
В общем в вашей ситуации нужно понять - как работает эта самая система с ntlm (вроде бы так это зовется). Разработчики могут и не помочь, тут нужно глубокое понимание dcom и особенностей его работы в nt4 домене.

[Unit]

Deepwalker, на опеннете есть много статей при поднятии домена на связке Samba+OpenLDAP. Ибо LDAP как раз рекомендован использоваться в AD в первую очередь.

[never hood]

Deepwalker, на опеннете есть много статей при поднятии домена на связке Samba+OpenLDAP. Ибо LDAP как раз рекомендован использоваться в AD в первую очередь.

Это не меняет сути управления доменом для самбы! Как она реализовывала nt4 домен, так больше и не делает, а какой бэкенд для хранения учетных записей при этом использует - не важно, хотя, безусловно, использование OpenLDAP дает большой плюс самбе. Реальный AD на самбе будет только в Samba4. Так что, ждем-с...

[deepwalker]

Deepwalker, на опеннете есть много статей при поднятии домена на связке Samba+OpenLDAP. Ибо LDAP как раз рекомендован использоваться в AD в первую очередь.

Фишка АД это керберос. А ldap это конечно прикольно, но без kerberos не так интересно - можно еще сотней разных способов данные хранить и тп.
А samba 4 ждали еще наши предтечи.

PS вот в глаз бы МСникам дал бы за несоблюдения стандартов - никогда не смотрели, какие у них там билеты запрашиваются? Как хотят, так и ставят регистр.

[Vyacheslav1]

Всем спасибо. Прояснился фронт работы. Посмотрю ntml, и связку Samba и openldap.

[Vyacheslav1]

Еще вопросик. Делегирование это из Kerberos. Linux поддерживает данный протокол. Инфа по установке и настройке Kerberos на Red Hat 7.2 здесь:
http://www.rhd.ru/docs/manuals/enterprise/...e/kerberos.html

Но другой вопрос. Машине на которой выполняется сервер приложений нужен доступ к каталогу. Сервер приложений видит локальных пользователей и дает доступ к информации локальным пользователям. С другой машины, где другая учетная запись, нужно тоже получить доступ к инфе. Для этого сервер приложений должен послать запрос в каталог и получить сведения об учетной записи от имени которой идет запрос. Для этого в Active Directory существует опция "Доверять компьютеру права представителя". Сейчас сервер приложений не видит доменных пользователей.
Как дать этой машине и соответственно службе сервера приложений доступ к каталогу? Т.е. разрешить посылать запросы в каталог.

[Vyacheslav1]

Не разобрался. Запросы посылать он может, только он не проходит аутентификацию в каталоге. Если учетную запись сервера приложений доверить для делегирования, тогда аутентификация пройдет. Спасибо всем. Короче вся проблема в делегировании. Нужно ставить Kerberos.