Suse Linux 9.2 Client in Windows Domain hängen .. wie?

[Yehudi]

Ich kann mich noch erinnern, wie es war, als ich mir einen Linuxrechner neben dem Mac gestellt habe, allerdings hatte ich mit allem möglichen an Linux Probleme, aber nicht mit Samba, das war eigentlich ziemlich schnell klar.
Ich hätte hier noch zwei Online Bücher:
http://gertranssmb3.berlios.de/
http://www.oreilly.de/german/freebooks/samba2ger/

kostet Dir nichts, außer Zeit zum lesen. 8)

Der Hinweis war jetzt nicht auf Grund Deines Problemes, sondern nur als Lektüre. Oben Rechts findest Du auf jeder Seite des Linux-Clubs zum Thema Linux das Buch zum Thema Linux überhaupt.

 

[Anonymous]

Ich zumindest komme mit meinen "bescheidenenen" Linux Kenntnissen nicht weiter.

Hallo BHoffmann,

das ist ja ehrlich gesagt auch kein triviales Thema. Du solltest dich da nicht entmutigen lassen, und weiterhin deine eigenen Erfahrungen machen. Denn einige hier vorgeschlagene Lösungswege sind schlichtweg falsch.

Das von TrialAndError erstellte Howtow enthält einige Fehler und taugt für den produktiven Einsatz nicht.

Es kann niemals eine Lösung sein auf jeden, in die Domäne zu integrierenden Linux-Client Samba und Winbind zu installieren, dann den eigentlichen Samba-Server in die Domäne aufzunehmen, um anschliessend den smbd zu stoppen.

Ich will mal versuchen dir im Groben zu umschreiben was zu tun ist.

Da der Domänenkontroller ein Windows-Server ist, fehlen in dessen Schemata schon einmal bestimmte Attribute für einen Linux-User. Das ist z.B. das Attribut für das "Homedirectory" oder die "UID".

Also muss eine Schemaerweiterung stattfinden. Das erreichst du z.B. indem du die "Unix Services For Windows (USFW)" installierst. Diese bekommst du auf den Microsoftseiten.

Bei der Installation wählst du den Expertenmodus, und installierst nur den "NIS" Teil. Wenn du dann ins Active Directory schaust, hast du nun auch die Möglichkeit Unix-Attribute für deine User zu setzen.

Die nächste Frage, wie bekommst du den Client in die Domäne?
Dazu installierst du dir von deiner Windows-Server-CD zusätzliche Support-Tools.

Dazu schaust du dir am besten mal die Microsoftseiten an. Einen Anfang könntest du hier machen.: http://technet2.microsoft.com/WindowsServer/en/Library/a606a6cd-0d09-4d8e-a709-ea4f93608b5f1033.mspx

Desweiteren kannst du in Google mal nach "ktsetup" suchen, die Informationsvielfalt ist hoch.

Und wenn du dann deinen Client in der Domäne hast, und User sich an der Domäne anmelden wollen, dann kommt "PAM" ins Spiel.

Vorher muss aber noch der LDAP-Client eingerichtet, und die nsswitch.conf angepasst werden.

Wie du siehst, ist das ein komplexes Thema, aber es ist auch lehrreich. Denn alles was du bei reinen Windows-Umgebungen per GUI erledigst, machst du jetzt praktisch von Hand.

Lass dich aber nicht entmutigen, es lohnt sich auch mal hinter die Kulissen zu schauen.

 

[mada]

ein großes Posting. Sehr schön. *applaus spendier*

 

[Yehudi]

Ich zumindest komme mit meinen "bescheidenenen" Linux Kenntnissen nicht weiter.

Hallo BHoffmann,

das ist ja ehrlich gesagt auch kein triviales Thema. Du solltest dich da nicht entmutigen lassen, und weiterhin deine eigenen Erfahrungen machen. Denn einige hier vorgeschlagene Lösungswege sind schlichtweg falsch.

Das von TrialAndError erstellte Howtow enthält einige Fehler und taugt für den produktiven Einsatz nicht.

Keine Andeutung machen, sondern konkrete Verbesserungsvorschläge unter das entsprechnede HOWTO setzen.

Es kann niemals eine Lösung sein auf jeden, in die Domäne zu integrierenden Linux-Client Samba und Winbind zu installieren, dann den eigentlichen Samba-Server in die Domäne aufzunehmen, um anschließend den smbd zu stoppen.

Das Wort smbd erscheint kein einziges Mal zum Zeitpunkt des Eintrages im HOWTO. Auch in allen verlinkten Beiträgen konnte ich das nicht finden. Diese Aussage ist nicht korrekt, und von Dir an den Haaren herbeigezogen. Ansonsten die Stelle als Zitat markieren, und unter das HOWTO setzen. Da Du behauptest Dich mit Samba gut auszukennen, setze ich voraus, dass Du auch weißt, wie man solche Verbesserungsvorschläge in einem Forum anbringt. Programme aus dem Linuxbereich sind dadurch so gut geworden, dass viele daran beteiligt haben, und es verbessert haben. Jeder Quellcode hatte am Anfang Bugs. Es ist immer einfach sich über Fehler andere aufzuregen, aber aktiv sich an einer Verbesserung zu beteiligen, ist schon ein bisschen schwerer, denn da muss man positive Energie für aufbringen.

Ich will mal versuchen dir im Groben zu umschreiben was zu tun ist.

Da der Domänenkontroller ein Windows-Server ist, fehlen in dessen Schemata schon einmal bestimmte Attribute für einen Linux-User. Das ist z.B. das Attribut für das "Homedirectory" oder die "UID".

Also muss eine Schemaerweiterung stattfinden. Das erreichst du z.B. indem du die "Unix Services For Windows (USFW)" installierst. Diese bekommst du auf den Microsoftseiten.

Bei der Installation wählst du den Expertenmodus, und installierst nur den "NIS" Teil. Wenn du dann ins Active Directory schaust, hast du nun auch die Möglichkeit Unix-Attribute für deine User zu setzen.

Die nächste Frage, wie bekommst du den Client in die Domäne?
Dazu installierst du dir von deiner Windows-Server-CD zusätzliche Support-Tools.

Dazu schaust du dir am besten mal die Microsoftseiten an. Einen Anfang könntest du hier machen.: http://technet2.microsoft.com/WindowsServer/en/Library/a606a6cd-0d09-4d8e-a709-ea4f93608b5f1033.mspx

Desweiteren kannst du in Google mal nach "ktsetup" suchen, die Informationsvielfalt ist hoch.

Und wenn du dann deinen Client in der Domäne hast, und User sich an der Domäne anmelden wollen, dann kommt "PAM" ins Spiel.

Vorher muss aber noch der LDAP-Client eingerichtet, und die nsswitch.conf angepasst werden.

Wie du siehst, ist das ein komplexes Thema, aber es ist auch lehrreich. Denn alles was du bei reinen Windows-Umgebungen per GUI erledigst, machst du jetzt praktisch von Hand.

Lass dich aber nicht entmutigen, es lohnt sich auch mal hinter die Kulissen zu schauen.

 

[Anonymous]

Das Wort smbd erscheint kein einziges Mal zum Zeitpunkt des Eintrages im HOWTO. Auch in allen verlinkten Beiträgen konnte ich das nicht finden. Diese Aussage ist nicht korrekt, und von Dir an den Haaren herbeigezogen.

Hallo Yehudi,

Ein laufender Samba-Server ist für winbindd nicht erforderlich.


(Wenn man Samba nicht startet, fehlt lediglich der Share [backup] - Unter [global] in smb.conf wird im wesentlichen winbindd konfiguriert.)

Das Linux-System ist dann Mitglied in der win2003-Domäne.....

Ich hoffe das hilft dir weiter.

 

[Yehudi]

Das Wort smbd erscheint kein einziges Mal zum Zeitpunkt des Eintrages im HOWTO. Auch in allen verlinkten Beiträgen konnte ich das nicht finden. Diese Aussage ist nicht korrekt, und von Dir an den Haaren herbeigezogen.

Hallo Yehudi,

Ein laufender Samba-Server ist für winbindd nicht erforderlich.


(Wenn man Samba nicht startet, fehlt lediglich der Share [backup] - Unter [global] in smb.conf wird im wesentlichen winbindd konfiguriert.)

Das Linux-System ist dann Mitglied in der win2003-Domäne.....

Ich hoffe das hilft dir weiter.

Das bezieht sich also auf diesen Beitrag, an der Stelle erscheint es mir etwas unglücklich ausgedrückt zu sein. Genauso, wie Deine Aussage vorher, nicht ganz dieser Darstellung entspricht.

Nichts desto trotz ist natürlich Deine kurze Einführung von eben ganz aufschlussreich.

 

[Anonymous]

Nichts desto trotz ist natürlich Deine kurze Einführung von eben ganz aufschlussreich.

Um hier eine komplette Anleitung zu verfassen ist das Thema zu komplex. Dazu fehlt mir die Zeit und die Lust. Mann sollte dabei auch immer im Hinterkopf behalten das man sich dabei nicht mehr auf "Anfängerniveau" befindet.

Diese Thematik wird im kommerziellen Bereich von Dipl.Ing' s oder ähnlichem betreut.

Ich hatte gehofft das ich mit meinem Denkanstoss einige (wenige) Interessierte wenigstens in die richtige Richtung leiten konnte.

 

[TrialAndError]

Hallo procsys,

warum so unfreundlich? *kopfkratz*

Das von TrialAndError erstellte Howtow enthält einige Fehler und taugt für den produktiven Einsatz nicht.

Es kann niemals eine Lösung sein auf jeden, in die Domäne zu integrierenden Linux-Client Samba und Winbind zu installieren, dann den eigentlichen Samba-Server in die Domäne aufzunehmen, um anschliessend den smbd zu stoppen.

Meine Anleitung oben kann kaum "einige Fehler" enthalten, weil ich ja nur drei Aussagen mache!?

Die erste: Mit winbindd kann ein Computer mit Linux-Betriebssystem in eine Active Directory aufgenommen werden (mit Benutzerübernahme).
Wie deine anderen Postings zeigen, bestreitest du das nicht.

Die zweite: Dieser Linux-Computer muss kein Samba-Server sein. Ich gehe sogar noch weiter: Das Samba-Server-Paket muss nicht einmal installiert sein. Die Datei smb.conf dient dann ausschließlich zur Konfiguration von winbindd.
So funktioniert es bei mir in einer winNT-Domäne . Ich sehe keinen technischen Unterschied, warum das in einer Active Directory anders sein sollte. Auch auf der von mir schon oben zitierten Seite
http://www.timkennedy.net/docs/Linux+Active_Directory.html
wird zumindest ausdrücklich darauf hingewiesen, dass keine Shares (und damit höchstwahrscheinlich auch kein smbd) benötigt werden:
"We don't use shares, we use ADS only as the authoritative repository for authentication data, and we needed a way to restrict to specific users or groups, or combinations thereof, the ability to login to hosts."

Die dritte: Die von mir vorgeschlagene Datei xdm ist geeignet ,einen Active Directory-Benutzer für das Login auf dem Linux-Rechner zu authentifizieren.
Die Datei funktioniert zumindest in einer winNT-Domäne problemlos. Auch hier sehe ich wieder keinen relevanten technischen Unterschied, da lediglich winbindd benutzt wird. Die oben zitierte Seite beschreibt dieselben Zeilen für das Login.

So einfach ist es aber nicht. An anderer Stelle habe ich gelesen, dass auf SUSE-Rechnern noch eine Kerberos-Konfigurationsdatei angepasst werden muss. Wie sei aber sehr ausführlich hier beschrieben:
http://www.pro-linux.de/work/server/samba3-domaene.html

Ich denke, ich habe hinreichen begründet, dass es sich lohnt, den von mir vorgeschlagenen Weg auszuprobieren. Auch ohne ein technisches Studium sollte das gelingen. Dabei will ich natürlich nicht leugnen, dass es noch verschiedene andere Wege gibt, das hier gestellte Problem zu lösen. Doch der von mir vorgeschlagene Weg ist im Internet vielfach gut dokumentiert.

Grüße
TrialAndError

 

[Anonymous]

Hallo TrialAndError,

alle Howtos auf die du dich berufst setzen einen installierten Samba-Server mit Winbind vorraus.

Das macht auch Sinn wenn es in der Domäne einen Samba-Server gibt, der die Authentifizierung der Linux-Clients per Winbind gegen den DC (Windowsserver) durchführt. Dafür ist dieses Konstrukt ja schliesslich entwickelt worden.

Es ist aber nicht dafür gedacht auf jeden reinen Linux-Client einen Samba-Server mit Winbind zu installieren. Verglichen mit einer reinen Windows-Domäne würde das bedeuten, das ich auf jeden Client einen Server installieren müsste, um den Client in die Domäne zu hängen.

Bei deiner Vorgehensweise hängst du mit "net ADS join" eigentlich gar nicht den Linux-Client, sondern den Samba-Server in die Domäne.

Du kannst das ja für dich auch machen wie du willst, ich würde diese Methode aber Niemals in einer Produktivumgebung einsetzen.

 

[TrialAndError]

Hallo procsys!

Hallo TrialAndError,

alle Howtos auf die du dich berufst setzen einen installierten Samba-Server mit Winbind vorraus.

Nein. Siehe oben.

Das macht auch Sinn wenn es in der Domäne einen Samba-Server gibt, der die Authentifizierung der Linux-Clients per Winbind gegen den DC (Windowsserver) durchführt. Dafür ist dieses Konstrukt ja schliesslich entwickelt worden.

Ein Samba-Server authentifiziert Linux-Clients?! Dient der Samba-Server nicht als File-Server, der die Berechtigungen (Benutzer) aus der Domäne übernimmt?

Es ist aber nicht dafür gedacht auf jeden reinen Linux-Client einen Samba-Server mit Winbind zu installieren. Verglichen mit einer reinen Windows-Domäne würde das bedeuten, das ich auf jeden Client einen Server installieren müsste, um den Client in die Domäne zu hängen.

Einen Server zu installieren ist nicht nötig. Siehe oben.

Bei deiner Vorgehensweise hängst du mit "net ADS join" eigentlich gar nicht den Linux-Client, sondern den Samba-Server in die Domäne.

Ein Linux-Client mit winbindd ist doch noch kein Samba-Server!?

Du kannst das ja für dich auch machen wie du willst, ich würde diese Methode aber Niemals in einer Produktivumgebung einsetzen.

Diese Methode dürfte eigentlich keine Sicherheitslücken enthalten. Stabil läuft es auch. (Gegenteiliges habe ich zumindest nirgends gelesen.) Also hängt es von deinen Anwendungen und deinen Usern ab, ob diese Lösung für eine "Produktivumgebung" taugt.

Grüße
TrialAndError

 

[Yehudi]

Nichts desto trotz ist natürlich Deine kurze Einführung von eben ganz aufschlussreich.

Um hier eine komplette Anleitung zu verfassen ist das Thema zu komplex. Dazu fehlt mir die Zeit und die Lust. Mann sollte dabei auch immer im Hinterkopf behalten das man sich dabei nicht mehr auf "Anfängerniveau" befindet.

Das verstehe ich wenn jemand für sowas keine Zeit hat, mich wundert aber manchesmal, für was so gewisse User sonst Zeit haben.

Diese Thematik wird im kommerziellen Bereich von Dipl.Ing' s oder ähnlichem betreut.

Ich hatte gehofft das ich mit meinem Denkanstoss einige (wenige) Interessierte wenigstens in die richtige Richtung leiten konnte.

Diese Variante des Einsatzes kann ich hier nicht nachprüfen, da ich hier einen Samba Server habe, auf dem ich verschiedene Möglichkeiten als solchen ausprobieren kann.
TrialAndError hat überzeugend dargestellt, dass so sein System funktioniert, und dies weitreichend im Netz rechachiert. Ich will damit nicht sagen, dass es nicht vielleicht bessere oder andere Möglichkeiten gibt.
Du kannst natürlich jederzeit gutgemeinte Vorschläge unter dem HOWTO posten.
Ansonsten sollte hier darüber nicht diskutiert werden, da sonst der Problemsuchende sich durch mehr Lektüre hier wühlen muss, als notwendig.

 

[Yehudi]

Da BHoffmann, sich nicht mehr geäußert hat, und das ganze hier nur zu Spekulationen führt schließe ich hier. Bei weiteren Fragen bitte ich einen neuen Thread mit Link auf diesem zu eröffnen.