Domäne ändern

Dremus · 2 März 2009

Hallo zusammen,
ich will mich mit meinem SuSE-Rechner als Client an einem Debian-Samba-Server anmelden, den ich als PDC konfiguriert habe. Dazu sollte ich wohl der entspr. Domäne beitreten.
Allerdings funktioniert der hier beschriebene Ablauf nicht: ich kann der Domäne nicht beitreten. Nun meine ich mich erinnern zu können, daß die beitrittswilligen Rechner alle denselben Domäne-Namen haben sollten. Doch wo kann ich den in Linux ändern?

Tooltime · 2 März 2009

Kann man eigentlich alles mit YaST machen.

YaST --> Netzwerkdienste --> Windows-Domänenmitgliedschaft

stka · 2 März 2009

Die Anleitung die du da hast, ist für eine Windowsdomäne. Wichtig ist, dass du deine SID auf beiden Systemen gleich hast. Also mit "net getlocalsid" die ID auslesen und auf den anderen Rechner übernehmen.

Dremus · 3 März 2009

Hallo stka,

stka schrieb:
Die Anleitung die du da hast, ist für eine Windowsdomäne.

Genau. Der Demain-Server ist so konfiguriert, daß ich mit den Windows-Clienten eine gemeinsame Festplatte und zwei Drucker habe.

stka schrieb:
Wichtig ist, dass du deine SID auf beiden Systemen gleich hast.

Ich nehme mal an, Du meinst die SID's auf dem Debian-Server und auf dem SuSE-Clienten (und natürlich auf jedwedem möglichen anderen Linux-Rechner, der sich an das Netz dranhängen will)?

Dremus · 4 März 2009

Und ich grübele weiter: Wenn ich beim SuSE-Clienten die SID ändere (auf die gleiche SID wie beim Debian-Server), was ist dann mit meinen in SuSE angemeldeten Usern (bis hin zum User 'root')??

Andererseits: Ich lese hier, daß, wenn mehrere Rechner dieselbe SID haben, "[...] Netzwerkprobleme auftreten, wenn zwei Rechner dieselben Ressourcen nutzen wollen."

:???:

stka · 4 März 2009

Die SID der Maschine besteht in einer Domäne immer aus zwei Teilen dem Domänen-SID und dem Host RID. Beides zusammen machen eine Maschine in einer Domäne einzigartig.

Dremus · 10 März 2009

Hallo Stefan, hallo alle,

nachdem meine Kiste wieder läuft (Neuinstallation, dann gibt's jetzt auch weniger Fehlerquellen), habe ich die Dinge, wie oben besprochen, nachvollzogen. Will meinen: von meinem Debian-Samba-Server per net getlocalsid die SID ausgelesen und mit net setlocalsid in den SuSE-Client-Rechner übertragen. Jetzt läßt er mich in YAST - Netzwerkdienste - Mitgliedschaft in Windows-Domäne auch zur Anmeldung zu; wenn ich denn 'root' mit dem entsprechenden Paßwort eingebe, erscheint folgende Fehlermeldung:

Code:

[...]util/net_rpc_join.c:net_rpc_join_newstyle(349) error setting trust account password: NT code 0x1c010002
Unable to join domain WORKGROUP.

Ich bin also nicht wirklich weiter ...
Hat noch jemand 'ne Idee?

stka · 10 März 2009

Sorry aber wie das mit yast geht, kann ich dir nicht sagen. Du solltest dich vom yast lösen und das über die Kommandozeile machen und ich meine damit die Verwaltung des gesamten Sambaservers! Für die Konfiguration kannst du besser SWAT verwenden aber für alles andere nimm die Kommandozeile.
Du kannst nicht einfach den root auf einem samba-pdc für das Aufnehmen von Systemen in die Domäne verwenden. Es gibt bestimmte Groupmappings die du haben musst und bestimmte Privilegien die an einen Benutzer vergeben werden müssen um einen Host in die Domäne auf zu nehmen. Schau in meine Workshop, da ist alles für Samba mit LDAP beschrieben, aber das Anlegen des Samba Domainadmins ist dort so beschrieben, das du es auch so hinbekommen kannst. Samba wird immer komplexer von Version zu Version, da muss man sich schon genauer mit beschäftigen. Auch ich finde immer wieder was neues und muss bei jeder neuen Version neu lesen. Deshalb ist es UNBEDINGT wichtig immer die releasenotes der Versionen zu lesen, bevor man eine neu Version installiert. Du solltest auch KEINE alte Anleitung verwenden alles was älter ist als 3.0.14 kannst du vergessen.

Dremus · 11 März 2009

Hallo Stefan,
nur damit wir uns nicht mißverstehen: Ich habe nicht vor, einen Samba-Server über YAST zu verwalten, vor allem, weil der Server kein SuSE, sondern ein Debian-System ist (Samba 3.0.24). Da kann ich zwar auch via SWAT 'rein, mache aber eigentlich auch das meiste über die Kommando-zeile, zumal mein Debian-Rechner (NSLU2) auch keinen eigenen Monitor hat.

Die Anmeldung der Windows(-2000)-Rechner hat geklappt und die Freigaben funktionieren einwandfrei.

Die Samba-Freigaben lassen sich unter SuSE auch einwandfrei händisch mounten. Mein SuSE-System soll nur als CLIENT(!)-System aufgenommen werden - damit ich dann über pam_mount ein User-abhängiges mounten der Freigaben hinbekomme.

Muß ich dann LDAP einbeziehen?

stka · 11 März 2009

LDAP brauchst du nicht, aber einen Domainadmin der berechtig ist Hosts in die Domaine aufzunehmen. Dazu musst du ein Groupmapping mit der RID 512 anlegen, einen Beutzer in diese Gruppe aufnehmen und dann mit dem Benutzer dir selber das Privileg geben Rechner in die Domaine aufzunehmen. Das ist völlig unabhänging von deinem passdb-backend. Wie gesagt steht alles im Workshop www.kania-online.de/workshop.htm