none
Samba jako řadič domény využívaný k autentikaci uživatelů W2008 serverem R2

    Dotaz

  • Zdravím,

     

    mám v sítí linuxový server se Sambou a uživatelskými účty. To funguje roky skvěle. Teď přibyl W2008 server a já bych na něm potřeboval zasdílet jednu jedinou složku ke čtení uživatelům, kteří se do sítě přihlašují (z wokenních počítačů, na nichž jsou různé verze Windows ... cca od WXP do W7). Důvodem k pořízení W2008 serveru je provoz aplikace, která na ničem jiném neběhá a celý stroj k ničemu jinému, než provozu této aplikace sloužit nemá a nebude (žádná doména, žádná pošta, W2008 server schovaný pěkně za linuxovým firewallem atd...).

     

    Problém je v tom, že na W2008 server jsou prostě drahé uživatelské licence (a uživatelů desítky) a já ho ani jako doménový řadič používat nechci. A už vůbec ne kvůli pohodlnému sdílení jedné složky. Sdílení složky pro skupinu Everyone nepomáhá, protože přistupující uživatelé nejsou nijak přihlášení, pro jiné skupiny asi taky ... pár "pravděpodobných" jsem vyzkoušel.

    Druhým důvodem je prostá pohodlnost. Nehodlám uživatele zakládat dvakrát, jednou na Sambě a jednou na W. Serveru.

    Takže přemýšlím o tom, jestli mohu W2008 server nastavit jako "slave" doménový řadič tak, abych mohl přebírat uživatelská oprávnění od Samby a uživatelé přihlášení do Samby se automaticky autentikovali i při přístupu k této read only složce aniž by se museli přihlašovat podruhé.

     

    21. prosince 2011 17:17

Odpovědi

  • Ahoj,

    jednoduše přidáš ten Windows Server do domény jako obyčejného člena. Pro všechny uživatele, kteří ale budou využívat služby Windows Serveru musíš vlastnit CAL licence.

    "Slave" doménový řadič neexistuje. Jakmile by jsi udělal z Windows Serveru doménový řadič, tak by jsi musel kompletně nakoupit CAL pro všechny uživatele.

    21. prosince 2011 17:25
  • Odpoved na licencovani a odliseni administratirvniho pristupu najdete ve foru licencovani. Doporucuji se podivat na probirana temata, zejmena:

    http://social.technet.microsoft.com/Forums/cs-CZ/licensingcs/thread/98bb0ef7-009f-46b5-8193-553c289097de

    Licencovani je popsane zde

    http://blogs.technet.com/b/technetczsk/archive/2009/09/10/windows-server-2008-r2-licencovani-od-a-do-z.aspx

    U W2K8 R2 neni zadny "hard limit"

    Problemy interoperability najdete nejlepe na webovych serverech v domene samba.org

    M.

    22. prosince 2011 12:54
    Moderátor
  • DD,

     

    toto je spíše do licenčního fóra. Zkuste si přečíst licenci.

     

    Podle mě jakékoliv obcházení počtu uživatelů BUDE proti licenci.

    CAL potřebujete pro skutečné uživatele (UserCAL) nebo skutečné zařízení (DeviceCAL), které k serveru budou přistupovat.

    A navíc není licenčně v pořádku konkurenční CAL (že v jeden okamžik bude přistupovat najednou jen 5 uživatelů).

    Přiřazení CAL berte jako založený papír v šuplíku, na kterém musíte mít v každém okamžiku napsáno, kteří uživatelé mají mít povolen přístup k Windows Serveru. Podle mě prostě nějaké CAL licence budete potřebovat. Obcházením to nebude licenčně v pořádku.

     

    Na nejlepší řešení pro vás se zkuste zeptet někoho, kdo licencím MS dobře rozumí aby vám vybral nejlevnější řešení. Ovšem podle mého to nepůjde udělat tak, že nakoupíte JEN server bez dalších CAL. Cena licence je schválně rozdělena na cenu serveru a cenu za CAL proto, aby to nebylo moc drahé pro malé firmy, ale pořád to není zadarmo (za cenu serveru). Tím že jste si koupil licenci serveru je vyřešena jen polovina licenčního problému.


    JCH

    22. prosince 2011 7:59

Všechny reakce

  • Ahoj,

    jednoduše přidáš ten Windows Server do domény jako obyčejného člena. Pro všechny uživatele, kteří ale budou využívat služby Windows Serveru musíš vlastnit CAL licence.

    "Slave" doménový řadič neexistuje. Jakmile by jsi udělal z Windows Serveru doménový řadič, tak by jsi musel kompletně nakoupit CAL pro všechny uživatele.

    21. prosince 2011 17:25
  • CAL licencí na W. Serveru je zakoupeno 5, tj. základ. Uživatelů, kteří by k jednomu jedinému readonly adresáři měli přistupovat je možná 5 - 10, určitě ne víc. Vyhazovat peníze za dalších 5 CAL licencí je v tomto případě hloupost z principu, takže zakládat uživatele, nebo jinak přejímat z nadřazeného serveru je zřejmě neprůchodné (i kdyby to technicky šlo snadno ...). Navíc by bylo nutné ručně udržovat (evidovat), kterých N uživatelů z těch mnoha desítek existujících má povolený přístup a jestli je N menší než počet licencí ... to je zbytečná starost.

    Zkusím to jinak, je licenčně v pořádku pokud ...

    1/ založím na Windows serveru uživatele, který bude použit linuxovým serverem k přimountování složky sdílené Windows Serverem a jejímu následnému nasdílení třeba 100 jiným uživatelům (v praxi spíš 2 - 3 současně, nanejvýš těm 10, což je spíš teoretický limit), kteří budou přistupovat přes linuxový server? Technicky je na Windows Serveru uživatel stále jen jeden, ve skutečnosti těžko říct, proveditelné to určitě je, mírné zpomalení přístupem skrz jiný stroj také příliš nevadí. Výsledkem by byl obsah složky z Windows serveru viditelný na hlavním serveru se Sambou, o Window server by uživatelé nezavadili, což je ve výsledku jednodušší a proto žádoucí.

    2/ založím uživatele, kterého bude linuxový server používat jen k pravidelnému synchronizování obsahu složky, kterou sám Sambou sdílí ze svých disků ... tady bych se hodně divil, kdyby to licenčně nešlo, jediný problém je zpožděné promítání změn obsahu složky, ale ani to není kritické.

    Případně , lze Windows Serverem sdílet složku ke čtení tak, aby nebylo nutné se autentikovat? Nepřišel jsem na to. Vztahovalo by se na takové sdílení omezení počtu uživatelů? Nebo by stačilo omezit počet max. současně připojených?

    (Díky za pomoc, posledních 15 let jsem si zvykal, že na serverech běží to, co zvládne HW, uživatele jsem nikdy počítat nemusel, proto v tom mám trochu chaos.)
    21. prosince 2011 22:58
  • DD,

     

    toto je spíše do licenčního fóra. Zkuste si přečíst licenci.

     

    Podle mě jakékoliv obcházení počtu uživatelů BUDE proti licenci.

    CAL potřebujete pro skutečné uživatele (UserCAL) nebo skutečné zařízení (DeviceCAL), které k serveru budou přistupovat.

    A navíc není licenčně v pořádku konkurenční CAL (že v jeden okamžik bude přistupovat najednou jen 5 uživatelů).

    Přiřazení CAL berte jako založený papír v šuplíku, na kterém musíte mít v každém okamžiku napsáno, kteří uživatelé mají mít povolen přístup k Windows Serveru. Podle mě prostě nějaké CAL licence budete potřebovat. Obcházením to nebude licenčně v pořádku.

     

    Na nejlepší řešení pro vás se zkuste zeptet někoho, kdo licencím MS dobře rozumí aby vám vybral nejlevnější řešení. Ovšem podle mého to nepůjde udělat tak, že nakoupíte JEN server bez dalších CAL. Cena licence je schválně rozdělena na cenu serveru a cenu za CAL proto, aby to nebylo moc drahé pro malé firmy, ale pořád to není zadarmo (za cenu serveru). Tím že jste si koupil licenci serveru je vyřešena jen polovina licenčního problému.


    JCH

    22. prosince 2011 7:59
  • 1. Sambu budete mit zrejme jeste ve verzi 3.x. Proto budete muset snizit uroven autentizace a SMB u W2K8 R2

    2. Pocet licenci zalezi na zpusobu pristupu, ale existuje moznost omezeni poctu licenci, pokud je aplikace umoznuje, aby jeden (nebo nekolik malo) ucet/uzivatel vyrizoval pozadavky na serveru W2K8R2 za ostatni. To je zalezitosti vasi apolikace, takze bych vas smeroval k vyrobci aplikace, ktery by mel poskytnout informaci.

    M.

    22. prosince 2011 8:54
    Moderátor
  • Přiznávám, že jsem Váš text četl několikrát, ale pořád tomu nerozumím. Jak jsem psal, zabývám se z 99% Linuxem a dosud jsem žádný vopruz s přiřazováním licencí uživatelům řešit nemusel. Dokud železo zvládá, uživatelů může být, co se vejde na HDD.

    Zapomeňme na nějaké filtrování přes Sambu ... to jsem zkusil, funguje to (technicky), ale pokud to půjde správně bez Samby, tím lépe.

     

    Co tedy přesně je CAL?

    CAL = založený uživatelský účet?

    CAL = živý člověk u klientského PC bez ohledu na počet uživatelských účtů?

    CAL = počítač u kterého se uživatelé střídají?

    CAL = člověk, nebo klientské PC, podle toho, jak si sám rozhodnu? (o doporučení nemíchat vím ... ale nevím proč)

    Jde primárně o to, kolik uživatelů je přihlášených v jeden okamžik, nebo o to, kolik jich může být přihlášených v jeden okamžik?

    Co z toho nesmí být překročeno?

     

    Aktuálně je na serveru

    - můj administrátorský účet

    - administrátorský účet pro někoho jiného

    - účet pro přístup k té jedné sdílené složce

     

    Fyzicky se připojují

    - já vzdálenou plochou, resp. linuxovým rdesktopem

    - a 3 živí uživatelé k té jedné sdílené složce

     

    Spolu s OEM je zakoupeno 5 CAL licencí a 2 rdesktopové (?) pro administraci. Tj, základ. Kdy nastane problém? Když se připojí 5. uživatel? Tj. odečítá se admin z těch 5 CAL licencí?

    Když bude přístup ke složce využívat třeba jen těch 5 uživatelů, musím evidovat, kteří živí lidé to jsou? Záleží na tom?

    Záleží na tom, jestli těch 5 lidí používá jeden uživatelský účet, nebo má každý svůj? (není důvod je oddělovat - readonly a sdílené jsou binárky aplikace, nikoli data, která je třeba chránit)

    22. prosince 2011 12:36
  • Odpoved na licencovani a odliseni administratirvniho pristupu najdete ve foru licencovani. Doporucuji se podivat na probirana temata, zejmena:

    http://social.technet.microsoft.com/Forums/cs-CZ/licensingcs/thread/98bb0ef7-009f-46b5-8193-553c289097de

    Licencovani je popsane zde

    http://blogs.technet.com/b/technetczsk/archive/2009/09/10/windows-server-2008-r2-licencovani-od-a-do-z.aspx

    U W2K8 R2 neni zadny "hard limit"

    Problemy interoperability najdete nejlepe na webovych serverech v domene samba.org

    M.

    22. prosince 2011 12:54
    Moderátor