Samba + Ldap

[hama4tux]

Ahoj všem,
ještě bych to rád celé jednou otevřel.

Takže jsem si ted vytvořil 2 servery, na kterých běží Debian lenny.
Je na nich nainstalovana Samba, Ldap, Ldap tools.

1 Server je nakonfigurovaný jako PDC - s LDAP

Kód: [Vybrat]

[global]
        # Domain name ..
        workgroup = domena
        # Server name - as seen by Windows PCs ..
        netbios name = brno
        # Be a PDC ..
        domain logons = Yes
        domain master = Yes
        # Be a WINS server ..
        wins support = true

        obey pam restrictions = Yes
        dns proxy = No
        os level = 35
        log file = /var/log/samba/log.%m
        max log size = 1000
        syslog = 0
        panic action = /usr/share/samba/panic-action %d
        pam password change = Yes

        # Allows users on WinXP PCs to change their password when they press Ctrl-Alt-Del
        unix password sync = no
        ldap passwd sync = yes

        # Printing from PCs will go via CUPS ..
        load printers = yes
        printing = cups
        printcap name = cups

        # Use LDAP for Samba user accounts and groups ..
        passdb backend = ldapsam:ldap://localhost

        # This must match init.ldif ..
        ldap suffix = dc=domena,dc=domena
        # The password for cn=admin MUST be stored in /etc/samba/secrets.tdb
        # This is done by running 'sudo smbpasswd -w'.
        ldap admin dn = cn=admin,dc=domena,dc=domena

        # 4 OUs that Samba uses when creating user accounts, computer accounts, etc.
        # (Because we are using smbldap-tools, call them 'Users', 'Computers', etc.)
        ldap machine suffix = ou=Computers
        ldap user suffix = ou=Users
        ldap group suffix = ou=Groups
        ldap idmap suffix = ou=Idmap
        # Samba and LDAP server are on the same server in this example.
        ldap ssl = no

        # Scripts for Samba to use if it creates users, groups, etc.
        add user script = /usr/sbin/smbldap-useradd -m '%u'
        delete user script = /usr/sbin/smbldap-userdel %u
        add group script = /usr/sbin/smbldap-groupadd -p '%g'
        delete group script = /usr/sbin/smbldap-groupdel '%g'
        add user to group script = /usr/sbin/smbldap-groupmod -m '%u' '%g'
        delete user from group script = /usr/sbin/smbldap-groupmod -x '%u' '%g'
        set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'

        # Script that Samba users when a PC joins the domain ..
        # (when changing 'Computer Properties' on the PC)
        add machine script = /usr/sbin/smbldap-useradd -w '%u'


A tady je BDC, které je připojené k Ldapu na prvním serveru. vedle pdc tu běží také LDAP, a na něm lítá replika z prvního serveru.

Kód: [Vybrat]

[global]
        # Domain name ..
        workgroup = domena
        # Server name - as seen by Windows PCs ..
        netbios name = praha
        # Be a BDC ..
        domain logons = Yes
        domain master = no
        # Be a WINS server ..
        wins support = true

        obey pam restrictions = Yes
        dns proxy = No
        os level = 35
        log file = /var/log/samba/log.%m
        max log size = 1000
        syslog = 0
        panic action = /usr/share/samba/panic-action %d
        pam password change = Yes

        # Allows users on WinXP PCs to change their password when they press Ctrl-Alt-Del
        unix password sync = no
        ldap passwd sync = yes

        # Printing from PCs will go via CUPS ..
        load printers = yes
        printing = cups
        printcap name = cups

        # Use LDAP for Samba user accounts and groups ..
        passdb backend = ldapsam:ldap://10.17.97.26

        # This must match init.ldif ..
        ldap suffix = dc=domena,dc=domena
        # The password for cn=admin MUST be stored in /etc/samba/secrets.tdb
        # This is done by running 'sudo smbpasswd -w'.
        ldap admin dn = cn=admin,dc=domena,dc=domena

        # 4 OUs that Samba uses when creating user accounts, computer accounts, etc.
        # (Because we are using smbldap-tools, call them 'Users', 'Computers', etc.)
        ldap machine suffix = ou=Computers
        ldap user suffix = ou=Users
        ldap group suffix = ou=Groups
        ldap idmap suffix = ou=Idmap
        # Samba and LDAP server are on the same server in this example.
        ldap ssl = no

        # Scripts for Samba to use if it creates users, groups, etc.
        add user script = /usr/sbin/smbldap-useradd -m '%u'
        delete user script = /usr/sbin/smbldap-userdel %u
        add group script = /usr/sbin/smbldap-groupadd -p '%g'
        delete group script = /usr/sbin/smbldap-groupdel '%g'
        add user to group script = /usr/sbin/smbldap-groupmod -m '%u' '%g'
        delete user from group script = /usr/sbin/smbldap-groupmod -x '%u' '%g'
        set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'

        # Script that Samba users when a PC joins the domain ..
        # (when changing 'Computer Properties' on the PC)
        add machine script = /usr/sbin/smbldap-useradd -w '%u'

A ted věc která se mi momentálně nějak nedaří pochopit, je jak bude fungovat BDC? PDC funguje normálně počítač do domény přidám vše OK.
Ale když chci přidat počítač do BDC tak nic,

Tak mě napadlo jestli to nefunguje tak že tedy vše z Brna a Prahy budu přidávat na PDC-Brno
A pak to budu rozlišovat pouze logováním uživatele do domény a to tedy asi takle když budu chtít přihlásit v praze
Uživatel : Praha\jmeno
heslo : heslo
doména: domena

A když se budu chtít přihlásit v brně

Uživatel : brno\jmeno
heslo : heslo
doména: domena

Tak mě prosím vyvedtě z omilu Jak funguje BDC s PDC:) Díky Moc, kdyby ste chtěli nějaké další info tak pisněte dodám.

[Martin Kiklhorn]

http://itsecureadmin.com/wiki/index.php/OpenLDAP_Multi-Master_Replication
http://www.openldap.org/doc/admin24/replication.html

[Martin Kiklhorn]

Hrušky s jabkama.
Ldap samozřejmě nemusí být na počítači kde je samba, osobně bych ho měl ale raději na obou místech (PHA i BRN)
LDAP je jen adresář, služba, na jeho umístění se zeptám DNS

Kód: [Vybrat]

dig srv _ldap._tcp.domena.cz a dostanu seznam serverů které mi tuto službu pro doménu poskytují spolu s jejich prioritami (podobně jako když hledám jabber servery nebo MX záznam pro poštovní službu pro doménu)

V tom ukázkovém konfiguráku to je jěště jednoduší - adresa LDAP serveru je tam zadaná přímo na localhost (LDAP://127.0.0.1)
Takže abych se vrátil k problému - jeden adresář pro všechny umístění (problém nastane pokud vypadne linka), nebo více adresářů které se budou nějakým způsobem synchronizovat (např. Master-slave, multimesh ap.) a ověřování se nastaví v konfigurákách v BRN i PHA proti místním strojům.
Nevím jak je to konkrétně implementováno v OpenLDAP, ale třeba v MS AD (používám s Posix extensions, SFU) se nechají nastavit replikace podle stavu linek (pathcost), času a dalších parametrů a prioritně se přenášejí jen změny práv (zakázání uživatele, změna hesla...) a není problém ani v případě přerušené linky (kromě toho že z druhé lokality nezakážu usera v první lokalitě okamžitě, ale až se obnoví spojení)

Jestli v LDAP mám uložená hesla, fotky uživatelů, telefony, nebo cokoliv je jedno, pokud to mají být dva servery pro stejnou doménu (nezáleží na lokalitě) tak je víc než vhodné je držet synchronizované, ale klidně můžeš použít i jediný společný LDAP pro PHA i BRN

BTW proč používám MS AD s Unix rozšířeními a ne OpenLDAP? Nějaký MS mít musím, i HP-UX a Solaris proti AD jsem viděl chodit, obráceně MS proti OpenLDAP ne. Kdybys chtěl něco k Ubuntu tak https://help.ubuntu.com/community/ActiveDirectoryHowto

[Martin Kiklhorn]

jj, pojede to vlastně proti stejným datům, je jedno na kolika fyzických strojích. Dá se vygooglit i Master-Slave LDAP replikace, použij google a předhoď mu

master slave replikace ldap

Upravovat to budeš na Master a slave bude pouze pro čtení.

[hama4tux]

První post je Aktuální, zbytek je neaktuální Díky, za odpovědi

[hama4tux]

Můžete mi prosím vysvětlit jedno?

PDC BDC propojeno s LDAP

Client je přidán do domeny "test", hlásím se v Windows XP do domény ve stylu
uzivatel
heslo
test

A ted to moje dilema, co my vlastně uniká je že takle se přihlásím opět na PDC, jak proč nebo co mám nastavit aby využil BDC? je to nastavení v samba configu? můžu mu tam napsat něco ve stylu když se připojí 50 lidí haž do na BDC?

Díky celkem akutní tak když někdo zareaguje ještě ted bude to super

[Martin Kiklhorn]

stačí?
http://cs.wikipedia.org/wiki/SRV_z%C3%A1znam

[hama4tux]

To co je na wiki jsem relativně pochopil, ale jak to v praxy nasadit mi uniká

[Martin Kiklhorn]

ne je to nastavení DNS serveru
Jednoduše - klient po nastartování dostane přes DHCP IP adresu, adresu DNS serverů.
Přihlašování přes LDAP - jsem v doméně foo.cz, zeptám se DNS serverů kde mám LDAP server pro doménu ke které se přihlašuji - odpověď dostanu od DNS serveru na základě nastavení jak jsem odkazoval minule (tedy jednou LDAP na PDC, jindy na BDC)
Takže různé klientské počítače budou používat různé LDAP servery.

Kromě toho co jsem už odkazoval (rozdělení zátěže nezávisle na lokalitě, pro "vynucení" stanice v síti v lokalitě Brno ať používají brněnský server a pouze pokud je nedostupný ať použijí pražšký a naopak je možné DNS server nastavit na split horizon, kdy vrací různé odpovědi v závislosti na tom odkud dotaz na záznam přišel:

typicky původně pro všechny všechno nezávisle na tom odkud jsou

Kód: [Vybrat]

        zone "foo.cz" {
                type master;
                file "pri/foo.cz";
                allow-transfer { SLAVE_DNS_SERVER; };
        };
rozdělíme v závislosti na tom odkud přijde dotaz. Klienti z brněnské síťě budou dostávat odpovědi na základě záznamů v foo.cz.brno, pražská z foo.cz.praha, plus "všichni" z foo.cz.external
V záznamech nastavíte vyšší prioritu pro server v odpovídající lokalitě.

Kód: [Vybrat]

view "brno" {
        match-clients { 192.168.168.0/24; 192.168.111.0/24; 2001:470:9ca8:1::/48; };
        recursion yes;
        zone "foo.cz" {
                type master;
                file "pri/foo.cz.brno";
                allow-transfer { SLAVE_DNS_SERVER; };
        };
};
view "praha" {
        match-clients { 192.168.14.0/24; };
        recursion yes;
        zone "foo.cz" {
                type master;
                file "pri/foo.cz.praha";
                allow-transfer { SLAVE_DNS_SERVER; };
        };
};
view "external" {
        match-clients { any; };
        recursion no;

        zone "." IN {
                type hint;
                file "named.ca";
        };

        zone "127.in-addr.arpa" IN {
                type master;
                file "pri/127.zone";
                allow-update { none; };
                notify no;
        };

        zone "localhost" IN {
                type master;
                file "pri/localhost.zone";
                allow-update { none; };
                notify no;
        };

        zone "foo.cz" {
                type master;
                file "pri/foo.cz.external";
                allow-query { any; };
                allow-transfer { SLAVE_DNS_SERVER; };
        };
};


A tak nějak na pozadí dotazu tuším že kromě rozdělení zátěže na LDAP servery chcete používat i různé servery i pro sdílení souborů přes smb://
Pohledejte samba DFS

[hama4tux]

Super díky.

Nešlo mi tedy uplně přesně o rozdělení zatěže mezi LDAP servery, to jsem se špatně vyjádřil
šlo mi o rozdělení zatěže mezi SMB PDC a SMB BDC, jelikož PDC nám už absolutně nezvládá zatěž, tak jsem chtěl většinu stanic přehodit na BDC

Moje chyba nepřepsal jsem předchozí posty
Přenastavil jsem SMB PDC a BDC tak, že oba dva jsou připojeni k jednomu LDAP Masater serveru a do zálohy mají zapsaný i Ldap slave

A jak píšeš Samba dfs je tedy pro mě primární a nejdulžitější pravděpodobně hážu google

Díky moc.)

Edit beru spět s DFS
A ještě jednou se omlouvám, už jsem se do toho zamotal víc než bych chtěl, takže jsem podal informace až jsem to celé pěkně zamotal

Samba PDC - Momentálně extrémně využívaná, má k sobě připojený přez NFS raidový pole, chci převést většinu MS klientských stanic z PDC na BDC

Samba BDC - Tady mi tedy zatím běhá kulový, a potřebuji teda PDC vnutit aby se uživatelé nelogovali na PDC ale aby používali k zalogování BDC, plus přes NFS přimountuji disky s home adresáři z raidu

[hama4tux]

Ahoj všem,
Předělal jsem to do nového Topiku, protože ten předchozí už jsem poměrně hodně zamotal.

Konfiguruji momentálně 2 doménové kontrolery s Ldapem, mezi dvěmi lokalitami
Jeden doménový kontroler je tedy primární, dále už jen PDC.
A běží na něm Samba s Ldapem - Primary LDAP

Druhý doménový kontroler je tedy secundární, dále už jen BDC.
A běží na něm Samba s Ldapem - slave LDAP

Obě dvě samby využívají Primární LDAP, a na slave Ldap lítá replikace z Primary LDAPU

Počítače do domény připojím, loguji se vše funguje sitovi disky a vse.

Jen mi uniká to propojení mezi PDC a BDC, jak člověk může určit jaký PC se připojí ke kterému doménovému kontroleru?
Jelikož když přidám stanici Windows XP - do domény tak ji přidám do "domeny" ale nepřiřadím ji konkrétnímu serveru.

PDC

Kód: [Vybrat]

[global]
        # Domain name ..
        workgroup = domena
        # Server name - as seen by Windows PCs ..
        netbios name = brno
        # Be a PDC ..
        domain logons = Yes
        domain master = Yes
        # Be a WINS server ..
        wins support = true

        obey pam restrictions = Yes
        dns proxy = No
        os level = 35
        log file = /var/log/samba/log.%m
        max log size = 1000
        syslog = 0
        panic action = /usr/share/samba/panic-action %d
        pam password change = Yes

        # Allows users on WinXP PCs to change their password when they press Ctrl-Alt-Del
        unix password sync = no
        ldap passwd sync = yes

        # Printing from PCs will go via CUPS ..
        load printers = yes
        printing = cups
        printcap name = cups

        # Use LDAP for Samba user accounts and groups ..
        passdb backend = ldapsam:ldap://localhost

        # This must match init.ldif ..
        ldap suffix = dc=domena,dc=domena
        # The password for cn=admin MUST be stored in /etc/samba/secrets.tdb
        # This is done by running 'sudo smbpasswd -w'.
        ldap admin dn = cn=admin,dc=domena,dc=domena

        # 4 OUs that Samba uses when creating user accounts, computer accounts, etc.
        # (Because we are using smbldap-tools, call them 'Users', 'Computers', etc.)
        ldap machine suffix = ou=Computers
        ldap user suffix = ou=Users
        ldap group suffix = ou=Groups
        ldap idmap suffix = ou=Idmap
        # Samba and LDAP server are on the same server in this example.
        ldap ssl = no

        # Scripts for Samba to use if it creates users, groups, etc.
        add user script = /usr/sbin/smbldap-useradd -m '%u'
        delete user script = /usr/sbin/smbldap-userdel %u
        add group script = /usr/sbin/smbldap-groupadd -p '%g'
        delete group script = /usr/sbin/smbldap-groupdel '%g'
        add user to group script = /usr/sbin/smbldap-groupmod -m '%u' '%g'
        delete user from group script = /usr/sbin/smbldap-groupmod -x '%u' '%g'
        set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'

        # Script that Samba users when a PC joins the domain ..
        # (when changing 'Computer Properties' on the PC)
        add machine script = /usr/sbin/smbldap-useradd -w '%u'


BDC

Kód: [Vybrat]

[global]
        # Domain name ..
        workgroup = domena
        # Server name - as seen by Windows PCs ..
        netbios name = praha
        # Be a BDC ..
        domain logons = Yes
        domain master = no
        # Be a WINS server ..
        wins support = true

        obey pam restrictions = Yes
        dns proxy = No
        os level = 35
        log file = /var/log/samba/log.%m
        max log size = 1000
        syslog = 0
        panic action = /usr/share/samba/panic-action %d
        pam password change = Yes

        # Allows users on WinXP PCs to change their password when they press Ctrl-Alt-Del
        unix password sync = no
        ldap passwd sync = yes

        # Printing from PCs will go via CUPS ..
        load printers = yes
        printing = cups
        printcap name = cups

        # Use LDAP for Samba user accounts and groups ..
        passdb backend = ldapsam:ldap://10.17.97.26

        # This must match init.ldif ..
        ldap suffix = dc=domena,dc=domena
        # The password for cn=admin MUST be stored in /etc/samba/secrets.tdb
        # This is done by running 'sudo smbpasswd -w'.
        ldap admin dn = cn=admin,dc=domena,dc=domena

        # 4 OUs that Samba uses when creating user accounts, computer accounts, etc.
        # (Because we are using smbldap-tools, call them 'Users', 'Computers', etc.)
        ldap machine suffix = ou=Computers
        ldap user suffix = ou=Users
        ldap group suffix = ou=Groups
        ldap idmap suffix = ou=Idmap
        # Samba and LDAP server are on the same server in this example.
        ldap ssl = no

        # Scripts for Samba to use if it creates users, groups, etc.
        add user script = /usr/sbin/smbldap-useradd -m '%u'
        delete user script = /usr/sbin/smbldap-userdel %u
        add group script = /usr/sbin/smbldap-groupadd -p '%g'
        delete group script = /usr/sbin/smbldap-groupdel '%g'
        add user to group script = /usr/sbin/smbldap-groupmod -m '%u' '%g'
        delete user from group script = /usr/sbin/smbldap-groupmod -x '%u' '%g'
        set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'

        # Script that Samba users when a PC joins the domain ..
        # (when changing 'Computer Properties' on the PC)
        add machine script = /usr/sbin/smbldap-useradd -w '%u'


[Martin Kiklhorn]

S váma je to těžké.
PDC se stará jen o dvě věci - ověří uživatele a počítače a poskytuje adresářové služby aby uživatelé/počítače věděli kde co je a kdo má jakou barvu očí.
Nazýváte jeden kus HW jako PDC, druhý kus HW jako BDC. Ale HW není v tomto kontextu důležitý. Představme si doménu jako "souhrn nějakého HW spolu se SW co poskytuje služby" - ověřování uživatelů, tiskový server, síťové složky, protlačení nějakého nastavení klientských stanic, společný adresář počítačů, uživatelů, DNS, DHCP, NTP, MTA...
Každou z těchto služeb může v rámci domény nabízet jeden nebo stovka serverů. Celé to běhá po nějakých linkách s různou kapacitou.

Síť se snažíte udělat tak aby poskytovala služby spolehlivě (nezávisle na tom jestli nějaký jednotlivý server(y) funguje nebo ne), za normálního stavu (vše funkční) co nejrychleji - takže pokud možno všechny služby dostupné klientům na rychlé LAN než pomalé WAN (tam jen případné záložní). Samozřejmě z hlediska úspory nákladů na HW mohou běžet všechny služby na jediném HW serveru (pominu že je to v rozporu s požadavkem na spolehlivost). Když to nestíhá HW tak jedna z cest je že zjistíme která ze služeb ho nejvíce vytěžuje a přikoupíme druhý server a vyhradíme ho na poskytování této služby (nebo to podělíme dle konkrétního případu). Když se dostaneme k případu že nám na HW běží jen jedna služba která se nedá na vyšší úrovni podělit na více serverů tak nastupují clustery které se pro vnějšek tváří jako jediný stroj.
Edit:// Škrtám, zbytečná teorie.

Chápu že máte nějakou jednoduchou síť, máte dva ks HW na kterém vám běží SW který poskytuje nějaké služby. Jeden kousek HW je přetížený, druhý se fláká. Potřebujeme tedy přesunout nějakou službu z vytíženého na ten co se fláká. Tak a teď přijde otázka.

Dokážete definovat jaká ze služeb vám přetěžuje stroj který nazýváte PDC? Ověřování uživatelů? Nebo máte přetíženou linku v důsledku třeba používání síťových složek? Nebo je příliš mnoho spojení (security = user / security = domain) Nebo něco jiného? Funguje BDC pokud odpojíte PDC od sítě?

Možná nejlepší rada bude odkaz na praktické příklady i se schématy:
http://www.root.cz/knihy/samba-3-by-example-practical-exercises/
http://www.samba.org/samba/docs/Samba-HOWTO-Collection.pdf
http://docs.hp.com/en/B8725-90143/ch09s02.html (celé v http://docs.hp.com/en/B8725-90143/B8725-90143.pdf HP-UX není sice Linux, ale pro tyto účely nevadí)
http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/ref-guide/s1-samba-servers.html

[hama4tux]

Pardon za tak pozdní odpověd, ale dřív to časově nešlo
Jsou tu tedy vlastně 2 situace, proto jsem to původně rozdělil do jiných Topiků

1 Situace
- HW na kterém běží Samba PDC - s sítovími disky pro uživatele je absolutně zahlcená, tak hledáme řešení jak jí ulevit.
To mě na základě vašeho přízpěku dovedlo k myšlence, přemístit část sdílených služeb na jiný HW tam naconfigurovat sambu, a pomocí logon scriptu to mountnout uživatelům, problém ale nastává, s uživateli protože na této doméně co běžíme není LDAP

2 Situace
- Dělám tu bokem druhou doménu s ldapem a to tedy s tím zadáním že mám 2 lokality Praha Brno
A chtěl jsem aby se uživatelé z Prahy Logovali v praze a uživatelé v Brně v Brně.
EDIT: Neber te to do slova, zase potřebuju aby když někdo z prahy sem přijel tak aby se přilogoval k sitovím diskům a home adresářům v brně.a k tomu bude sloužit pravděpodobně jak jste psal SRV Record
Konec EDITU
Proto jsem zabrousil na myšlenku PDC a BDC, bohužel jste mě vyvedl z omilu a v dané chvíli už opravdu nevím jak toho co jsem napsal slovi dosáhnout prakticky.

Napadá mě tedy PDC a PDC se stejným LDAP - ale jen nevím jak se budou chovat dvě PDC  v jedné doméně?

Stáhl jsem si ty manuali co jste poslal, takže budu číst, až se dostanu domů, teď vzhledem k postoji antivir vám nekoupíme porad te si, běhám jak *censored* a trápím se:)

Díky moc

[ETNyx]

Pokuste se najít odpovědí na otázky (dovolím si citaci)
Jaké služby na PDC beží (všechny) +

Dokážete definovat jaká ze služeb vám přetěžuje stroj který nazýváte PDC? Ověřování uživatelů? Nebo máte přetíženou linku v důsledku třeba používání síťových složek? Nebo je příliš mnoho spojení (security = user / security = domain) Nebo něco jiného? Funguje BDC pokud odpojíte PDC od sítě?

K situaci 2 by mohl vyřešit problém pomocí (již nadhozeného) view a alc, nebo nějaký přihlašovací skript na straně uživatele který rozezná jestli se nachází v Praze nebo Brně a poté se spojí přímo na IP k danému PDC/DBC (podobný skript nám distribuovala škola, podle něj rozeznávala jestli se příhlašujeme ze školy nebo z intenetu, bohužel jsem nikdy nezkoumal jak to funguje)

[hama4tux]

S váma je to těžké.
PDC se stará jen o dvě věci - ověří uživatele a počítače a poskytuje adresářové služby aby uživatelé/počítače věděli kde co je a kdo má jakou barvu očí.
Nazýváte jeden kus HW jako PDC, druhý kus HW jako BDC. Ale HW není v tomto kontextu důležitý. Představme si doménu jako "souhrn nějakého HW spolu se SW co poskytuje služby" - ověřování uživatelů, tiskový server, síťové složky, protlačení nějakého nastavení klientských stanic, společný adresář počítačů, uživatelů, DNS, DHCP, NTP, MTA...
Každou z těchto služeb může v rámci domény nabízet jeden nebo stovka serverů. Celé to běhá po nějakých linkách s různou kapacitou.

Síť se snažíte udělat tak aby poskytovala služby spolehlivě (nezávisle na tom jestli nějaký jednotlivý server(y) funguje nebo ne), za normálního stavu (vše funkční) co nejrychleji - takže pokud možno všechny služby dostupné klientům na rychlé LAN než pomalé WAN (tam jen případné záložní). Samozřejmě z hlediska úspory nákladů na HW mohou běžet všechny služby na jediném HW serveru (pominu že je to v rozporu s požadavkem na spolehlivost). Když to nestíhá HW tak jedna z cest je že zjistíme která ze služeb ho nejvíce vytěžuje a přikoupíme druhý server a vyhradíme ho na poskytování této služby (nebo to podělíme dle konkrétního případu). Když se dostaneme k případu že nám na HW běží jen jedna služba která se nedá na vyšší úrovni podělit na více serverů tak nastupují clustery které se pro vnějšek tváří jako jediný stroj.
Edit:// Škrtám, zbytečná teorie.

Chápu že máte nějakou jednoduchou síť, máte dva ks HW na kterém vám běží SW který poskytuje nějaké služby. Jeden kousek HW je přetížený, druhý se fláká. Potřebujeme tedy přesunout nějakou službu z vytíženého na ten co se fláká. Tak a teď přijde otázka.

Dokážete definovat jaká ze služeb vám přetěžuje stroj který nazýváte PDC? Ověřování uživatelů? Nebo máte přetíženou linku v důsledku třeba používání síťových složek? Nebo je příliš mnoho spojení (security = user / security = domain) Nebo něco jiného? Funguje BDC pokud odpojíte PDC od sítě?

Možná nejlepší rada bude odkaz na praktické příklady i se schématy:
http://www.root.cz/knihy/samba-3-by-example-practical-exercises/
http://www.samba.org/samba/docs/Samba-HOWTO-Collection.pdf
http://docs.hp.com/en/B8725-90143/ch09s02.html (celé v http://docs.hp.com/en/B8725-90143/B8725-90143.pdf HP-UX není sice Linux, ale pro tyto účely nevadí)
http://www.redhat.com/docs/manuals/enterprise/RHEL-4-Manual/ref-guide/s1-samba-servers.html

Takže jsem nějak tak dnes prosel step by step samba 3 by example.
řeším ted tu 2 situaci, kdy tedy dělám novou test doménu PDC + BDC - Jedna lokalita pro lepší prakričnost, protože když vám někdo v praze vypne PC na kterým se připojujete do domény NIC MOC:D, Takže co jsem udělal.
Na PDC ted běží služby: DNS, Samba (Domain Logon, Winbind, Wins, Sharedisk)
Včera jsem si nahodil novu instalaci BDC: na kterém běží jen Samba a zatím zhola nic dalšího. ještě dodělám DNS Wins a Winbind

Ještě k tomu Wins a Winbind - nic jiného se neconfiguruje? než to že v sambě nastavím wins support = yes, wins server = yes

Přeconfiguroval jsem PDC - nastavil jsem zonoví soubory, spustil wins (ty asi zlobí), předělal nssswitch, hosts, Ještě se teda musím poprat s Wins a winbind.
Přidělal jsem k tomu BDC - net rpc join - podle knizky ale to neslo? tuším že chyba že na BDC není dodělaná DNS, takže net rpc join -S IP

a ted jsem na mrvém bodě podle configu, co uvádí na nastavení BDC, tak nebude o ničem jiném to BDC než jen o že to bude sdílený DISK
Co když budu potřebovat např při výpadku PDC aby se uživatelé zalogovali do BDC? Je to reálné nebo není?

Díky moc za info. Měj prosím Martine ještě strpení a nebíj mě moc do hlavi nebo to bude ještě horší

[hama4tux]

Tak píši po trochu delší odmlce.
Takže finální problém bylo jak se logovat na 2 lokalitách.
Teď jsem přišel na jednu věc, že tedy udělám 2 Samba Master servery pro logování - napojená na 1 - 2 Ldap servery (Master + Master replicant)
S tím že každý z těchto 2 serverů má jinou vlanu, cili můžu pustit sambu jen na daný Interface a tím by nemuselo dojít k harakiry na síti.
Plus ke každému přidám po jednom Backup Domain controleru - připojený do Ldapu, na kterém bude k dispozici část sdílených prostředků.


Ps. děkuju Martinovi za trpělivost. Našel jsem v těch manuálech skoro vše co potřebuji.