Игорь Леоненко писал(а):

 Вы совершенно правы! Однако вы забыли упомянуть про серверные ОС... А ведь там ситуация совершенно другая... Большинство серверных ОС это Linux-системы...

Виталий Викторович Ильиных писал(а):

 Не думаю, что сильно... Конфиг реально работающий... а линейную ссылку на /tmp все же создайте...

Поднимите самбу без авторизации в домене... Общий каталог сделайте указав на /tmp... Настройки Samba без авторизации тут - http://www.spohelp.ru/forums/17-gotovye-resheni...

Угу.. Я - то же... На ум по вашему запросу приходит вот что... По поводу каталога очищаемого... нужно создать символьную ссылку на каталог /tmp и ее указывать как ресурс. ТОгда все, что сохраняется на этом ресурсе будет при перезагрузке исчезать. А вот по поводу локальной самбы на каждом компе - перебор однако.... На ум NFS приходит, но сформулировать пока не могу.... Пробовать надо...

Немного не понял... Нужна ли Samba как PDC или нужно, чтоб расшаренный каталог очищался после перезагрузки Samba?

Олег Садов писал(а):  

 В частности, просто для примера -- прописывание iptables в rc.local, в случае нашего дистрибутива (который я называть не буду ;) и других ему подобных, видимо может привести к некоторым проблемам для служб поддержки (не все догадаются глядеть rc.local, когда есть стандартный системный /etc/sysconfig/iptables), да и стандартный для таких дистр-ов механизмом автосохранения конфигурации правил iptables тоже может войти в конфликт с таким решением.

Никогда rc.local еще ни с чем не конфликтовал... Это же типа автозагрузки...

Владимир Анисимов писал(а):

 Вам еще проще.. Вы с такими коммутаторами можете очень хорошо виртуальными сетями все разрулить....

Не зачто!

в настройках Samba измените параметр security с ads на domain... попробуйте запустить - посмотрим, что выдаст

У вас в конфигах везде ссылка на хост srv.school.lan, имеющего адрес 10.100.99.2. Но по hostname нам возвращается имя r108-1 (кстати, не совсем удачное...). а если посмотрим ping srv.school.lan?

А зачем? Для чего контроллер домена, если не секрет?

Для начала - дайте вывод hostname... Попробуйте исправить в krb5.conf в секции realms параметр default_domain на school.lan

Начал новую тему - специально для вас. После того, как выложу конфиги DHCP, DNS, SAMBA, SQUID - можете попробовать рецепт... Сеть работать будет. Только потом придется немного со SQUID повозиться и iptables - запасайтесь man'ами.

Для начала описываю что есть.

Сервер под Linux. 6 компьютеров администрации, из них 3 - бухгалтерия. 34 компьютера разбросаны по школе, из них 16 - полноценный учебный класс.

Операционные системы - Alt Linux, Windows Vista, Windows XP, Windows 7, Fedora 12. На сервере на данный момент - Fedora 8.

Сеть - витая пара + wifi. Подключение к Интернет - ADSL SpeedTouch. Канал не скоростной - скорость подключения 256 kbit/sec, закачка - 25-30 kbit\sec

количество учащихся - около 900

Задача - разграничить использование сети на нужды администрации и учебный процесс.

Отмечу сразу - поднимать контроллер домена не захотел изначально. Слишком муторно и долго. Разнообразие ОС обязательно вызовет прогблемы в работе - а это то же время, которое можно с пользой потратить на что-то иное. Решено - использовать возможности DHCP, Squid и iptables. Возможно, в дальнейшем понадобиться что-то еще...

Сначала - физика... На сервере два физических интерфейса. Один подключен к ADSL модему, имеет статический ip - 10.0.0.1 маска 255.255.255.0. Второй интерфейс смотрит вовнутрь - подключен у неуправляемому коммутатору. К этому же коммутатору коммутатору подключен D-Link DIR-300 для обеспечения работы wifi. к коммутатору так же подключены бухгалтерия и класс информатики.

Логика. Сервер будет обслуживать две локальных сети: 1- администрация (192.168.1.0) и вторая - для учебного процесса (192.168.2.0). В сети две рабочих группы Windows - MSHOME (бухгалтерия) и Workgroup (остальные). Возможно придется создать отдельную группу для класса информатики.

Приступим...

Сначала сетевые интерфейсы на сервере.

eth0 - сетевой интерфейс, смотрящий вовнутрь. ip - 192.168.1.1

eth1 - сетевой интерфейс, смотрящий наружу ip 10.0.0.1

lo - 127.0.0.1

Сервер у нас будет работать с двумя сетями на одной физической сетевой карте. Меняем маску подсети на интерфейсе eth0 (на Fedora скрипты поднятия сетевых интерфейсов находятся в каталоге /etc/sysconfig/network-scripts и имеют вид ifcg-*, где *-это имя интерфейса. Под рутом копируем файл ifcfg-eth0 в файл ifcfg-eth0:1. Редактируем оба файла. В файле ifcfg-eth0 меняем параметр NETMASK на 255.255.0.0. Файл ifcfg-eth0:1 приводим к такому состоянию:

 

# VIA Technologies, Inc. VT6102 [Rhine-II]
DEVICE=eth0:1
BOOTPROTO=static
BROADCAST=192.168.2.255
HWADDR=00:0D:87:D7:92:9B
IPADDR=192.168.2.1
NETMASK=255.255.0.0
NETWORK=192.168.2.0
ONBOOT=yes

 В некоторых системах для добавления алиаса и изменения маски для eth0 нужно отредактировать файл /etc/network/interfaces/

После перезагрузки смотрим ifconfig:

 Правим файл dhcpd.conf. У меня он лежит в /etc, можно его поискать в каталоге /etc/dhcp. Приводим его к следующему виду:

 

ddns-update-style none;
ignore client-updates;
shared-network school {
        subnet 192.168.1.0 netmask 255.255.255.0 {
               authoritative;
             option routers              192.168.1.1;
             option subnet-mask          255.255.255.0;
             option domain-name-servers  192.168.1.1;
             option time-offset          -18000;     # Eastern Standard Time
             default-lease-time 21600;
             max-lease-time 43200;
        host Director {
               hardware ethernet 00:16:44:A8:AE:E4;
               fixed-address 192.168.1.254;
        }
        host Glavbuh {
               hardware ethernet 00:14:85:05:5E:F7;
               fixed-address 192.168.1.102;
        }
        host buh1 {
               hardware ethernet 00:1F:D0:30:81:50;
               fixed-address 192.168.1.243;
        }
        host Secr {
               hardware ethernet 00:19:66:EF:08:A7;
               fixed-address 192.168.1.253;
        }
        host buh2 {
               hardware ethernet 6C:F0:49:54:3D:3B;
               fixed-address 192.168.1.248;
        }
        }

        subnet 192.168.2.0 netmask 255.255.255.0 {
               authoritative;
               option routers                  192.168.2.1;
               option subnet-mask              255.255.255.0;
               option domain-name-servers      192.168.2.1;
               option time-offset              -18000;
               range dynamic-bootp 192.168.2.10 192.168.2.254;
               default-lease-time 21600;
               max-lease-time 43200;
        }
 }

Так как у меня всего несколько компов, которые принадлежать к группе admins, ip у них буду постоянные. Остальные будут получать ip адреса в сети 192.168.2.0. Дополнительно можно прописать и ноуты, если они есть.

Дальше праивм то, что относится к DNS.

/etc/named.conf (на Alt Linux местоположение будет отличаться!)

 

options {
      listen-on port 53 { 127.0.0.1; 192.168.1.1; 192.168.2.1; };
      directory   "/var/named";
      dump-file   "/var/named/data/cache_dump.db";
        statistics-file "/var/named/data/named_stats.txt";
        memstatistics-file "/var/named/data/named_mem_stats.txt";
      allow-query     { any; };
      forwarders { 10.0.0.138; };
      forward first;
      recursion yes;
};

logging {
        channel default_debug {
                file "data/named.run";
                severity dynamic;
        };
};

zone "." IN {
      type hint;
      file "named.ca";
};

include "/etc/named.rfc1912.zones";

 Правлю /etc/named.rfc1912.zones:

 

// named.rfc1912.zones:
//
// Provided by Red Hat caching-nameserver package
//
// ISC BIND named zone configuration for zones recommended by
// RFC 1912 section 4.1 : localhost TLDs and address zones
// and http://www.ietf.org/internet-drafts/draft-ietf-...
// (c)2007 R W Franks
//
// See /usr/share/doc/bind*/sample/ for example named configuration files.
//

zone "localhost.localdomain" IN {
      type master;
      file "named.localhost";
      allow-update { none; };
};

zone "localhost" IN {
      type master;
      file "named.localhost";
      allow-update { none; };
};

zone "1.0.0.127.in-addr.arpa" IN {
      type master;
      file "named.loopback";
      allow-update { none; };
};

zone "school.local" IN {
        type master;
        file "school.local";
};

zone "1.168.192.in-addr.arpa" {
        type master;
        file "rev_school.local";
};

zone "2.168.192.in-addr.arpa" {
        type master;
        file "rev1_school.local";
};

 Мои файлы.

named.localhost

 

$TTL 3600
@     IN SOA      @ rname.invalid. (
                             0     ; serial
                             28800 ; refresh
                             7200  ; retry
                             604800      ; expire
                             86400 )     ; minimum
      IN NS @
      IN A  127.0.0.1

 

 named.loopback

 

$TTL 3600
@     IN SOA      @ rname.invalid. (
                             0     ; serial
                             28800 ; refresh
                             7200  ; retry
                             604800      ; expire
                             86400 )     ; minimum
      NS    @
      PTR   localhost.

 school.local

 

$TTL 3600
@ IN SOA server.school.local. root.mail.school.local. (
                                 2010070911
                                 3600 ;
                                 900  ;
                                 360000 ;
                                 3600 );
     IN NS server.school.local.
     IN A 192.168.1.1
     IN A 192.168.2.1
school.local. IN  A 192.168.1.1
school.local. IN  A 192.168.2.1
server        IN  A 192.168.1.1
server        IN  A 192.168.2.1
www           IN  A 192.168.1.1
www           IN  A 192.168.2.1

 

 rev_school.local

 

$TTL 3600
1.168.192.in-addr.arpa. IN SOA server.school.local. root.mail.school.local.(
                                                    2010070911 ;
                                                    3600 ;
                                                    900 ;
                                                    36000 ;
                                                    3600 ) ;
                IN NS server.school.local.
1 IN PTR school.local.
1 IN PTR server

 rev1_school.local

 

$TTL 3600
2.168.192.in-addr.arpa. IN SOA server.school.local. root.mail.school.local.(
                                                    2010070911 ;
                                                    3600 ;
                                                    900 ;
                                                    36000 ;
                                                    3600 ) ;
                IN NS server.school.local.
1 IN PTR school.local.
1 IN PTR server

 Настраиваю Samba в smb.conf:

[global]
      workgroup = WORKGROUP
      server string = Samba Server
      netbios name = Server  
      interfaces = lo 192.168.1.1 129.168.2.1
      hosts allow = 127. 192.168.1. 192.168.2.
      log file = /var/log/samba/log.%m
      max log size = 500
      security = share
      passdb backend = tdbsam
      local master = yes
      os level = 64
      preferred master = yes
      wins support = yes
      wins proxy = no
      dns proxy = no
      load printers = no
      cups options = raw
;     printcap name = /etc/printcap
;     printcap name = lpstat
;     printing = cups
      map archive = no
      map hidden = no
      map read only = no
      map system = no
      store dos attributes = yes
        browseable = yes
        read raw = yes
        write raw = yes
        socket options = TCP_NODELAY IPTOS_LOWDELAY
        socket options = SO_KEEPALIVE
[Public]
      comment = Общий
      path = /home/samba
      public = yes
      guest ok = yes
      browseable = yes
      writable = yes
        read only = no
[Teacher]
        comment = Под паролем
        path = /home/teacher
        writable = no
        write list = teacher
        browseable = yes
        read only = yes
        guest ok = no

 И начальная настройка squid в squid.conf

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80       # http
acl Safe_ports port 21       # ftp
acl Safe_ports port 443      # https
acl Safe_ports port 70       # gopher
acl Safe_ports port 210      # wais
acl Safe_ports port 1025-65535     # unregistered ports
acl Safe_ports port 280      # http-mgmt
acl Safe_ports port 488      # gss-http
acl Safe_ports port 591      # filemaker
acl Safe_ports port 777      # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
acl admins src 192.168.1.0/24
acl students src 192.168.2.0/24
http_access allow admins
http_access allow students
http_access allow localhost
http_access deny all
icp_access allow all
http_port 3128 transparent
cache_mem 64 MB
cache_dir ufs /var/spool/squid 100 16 256
access_log /var/log/squid/access.log squid
refresh_pattern ^ftp:        1440  20%   10080
refresh_pattern ^gopher:     1440  0%    1440
refresh_pattern .       0     20%   4320

 Обратите внимание, в squid я прописал два acl - для сети 192.168.1.0 и 192.168.2.0... Пока у меня все ходят куда захотят.. но это ПОКА....

 

 

 

 

 

Владимир Анисимов писал(а):

Какая модель сетевого коммутатора стоит после сервера?

Прошу прощения за тон - не специально...

У коллеги возникла проблема, которую надо решить... Способ решения этой проблемы (поднятие LDAP) IMHO - не самый удачный... Есть более простые варианты, требующие и от коллеги меньше времени и нервов и тем, кто ему помогать будет (не только мне). Вы просто сослались на дистрибутив, что, согласитесь, не совсем корректно.

очень хороший плейер VLC - есть варианты и под Linux и под Windows.. Есть возможность перекодировки "на лету", трансляция в сеть... http://ru.wikipedia.org/wiki/VLC

Ага... Но это на любителя...

Согласен на все сто по поводу того, что у всех куча запросов и т.д и т.п. А если , как вариант, расмотреть деление компьютеров на рабочие группы? Допустим, 10 компьютеров - это администрация. Задайте им отдельную рабочую группу - Admins, пусть DHCP раздаст им адреса, допустим в диапазоне 192.168.50.10-192.168.50.20. Создайте им в Squid acl admins, определите политики и пусть делают все, что хотят, можно в Squid даже пользователей штук 5-10 набить - по логину на каждого... Но насколько я знаю - даже столько не потребуется... Отдельная группа для "обделенных" - учеников... Разрешите им посещение 30-40 сайтов в squid - пусть учатся в интернете работать... С остальными - то же вопрос решить можно... В руках - очень гибкий инструмент, начать даже с того, что на каждый ФИЗИЧЕСКИЙ сетевой интерфейс в Linux можно повесить несколько логических.

О том, что файлы конфигураций некоторых сервисов могут находиться в другом месте - знаю, но все равно - спасибо... Дело в том, что у меня на сервере - Fedora Core, и конфиги с него... Для облегчения участи и своей и Вашей решил вместе с вами пройти весь путь с начала - с установки...

Для того, что бы squid пропускал в Интернет не обязательно поднимать ldap... Ldap хорош на предприятии, или там, где развитая инфраструктура... Не думаю, что Вам понадобиться заводить логины и пароли на КАЖДОГО пользователя, будь то ученик или преподаватель... Доступ через SQUID может быть осуществлен либо через авторизацию самого Squid, либо посредством Kerberos. IMHO - в школе ДЛЯ НАЧАЛА достаточно авторизации через SQUID. В любом случае можете для конкретики связаться со мной по асе - 323173002.