[ERLEDIGT] Mehere Samba Domains

flip007 · 19 Mai 2008

HAllo Forum

Ich habe wieder mal eine Knifflige Frage

Momentan setzen wir ein SAMBA PDC,BDC und ein SAMBA FIleserver alle unter der selben Domaine (DomA) nun benötige ich im Netz eine weitere Domaine z.b. DomB
ich Manage das alles über LDAP und den LAM.
Ist es möglich das die 2 Domaine (DomB) auf den LDAP zugreift, und auch auf die Selben Resourcen zugreifen kann wie die user unter der DomA ? und wenn ja wie kann ich das machen? muß ich da eine Vertrauenstellung machen zwichen den ganzen SAMBAs?

Über Hilfe oder erfahrung würde ich mich Freuen THX

P.S. Mir ist klar das die 2 Domaine Physikalisch getrennt sein muss von der anderen

MFG Flippa

stka · 19 Mai 2008

Genau wie unter Windows kannst du bei Samba Vertrauensstellung einrichten. Wenn du mal googlest findest du dwas dazu. Das ist keine große Sache.

flip007 · 20 Mai 2008

Hallo stka

danke für die Antwort, ich habe das nun umgesetzt und es funktioniert auch.

Das ganze Funktioniert über das Command: net rpc trustdom .

Eine Frage habe ich noch, ich habe gelesen das auf dem 2 PDC dann winbind und das idmap nötig ist, ich habe das bis jetzt aber noch nicht mit drin. Ist das zwingend?

MFG Flippa

stka · 20 Mai 2008

Sollte so sein, da ja die UIDS der Domänen irgendwo ausgetauscht werden müssen.

flip007 · 21 Mai 2008

ich habe leider ein kleines problem seit ich meine 2 Domaine hinzugefügt habe. Ich bekomme
auf beiden PDC immer im LOG diesen Fehler:

2008/05/21 17:02:29, 0] passdb/passdb.c:lookup_global_sam_name(596)
sid S-1-5-21-3194266148-564761370-2586249389-101702

das ist die sid von 2 PDC und ein user glaub. Muss ich noch der 2 Domaine die selbe sid geben wie die vom 1 PDC ?

MFG Flippa

flip007 · 21 Mai 2008

sorry hat noch was gefehlt im LOG:

May 21 17:26:13 ldapmaster smbd[11555]: [2008/05/21 17:26:13, 0, effective(0, 0), real(0, 0)] passdb/pdb_ldap.c:ldapuser2displayentry(4207)
May 21 17:26:13 ldapmaster smbd[11555]: sid S-1-5-21-3194266148-564761370-2586249389-101702 does not belong to our domain

MFG Flippa

stka · 26 Mai 2008

Alle SIDS aller Benutzer und Rechener müssen in einer Domäne identisch sein. Nur der RID muss immer anders sein.

st3rnchen · 28 Mai 2008

Hallo

bitte beachtet auch die neue Smba version Samba 3.0.29

da gibt es ein bug fix in Sachen Trusted Domains

Dieses Samba-Release behebt einige Fehler, darunter:

* Probleme mit Domänenvertrauensstellungen auf Samba DCs.
* Fehler beim SMB Signing.
* Verbesserte Interoperabilität mit Windows 2008-Domänen.

bye stern

flip007 · 28 Mai 2008

HI Stka

Danke für die Informative Antwort, das heisst dann für mich ich muss auf dem 2 PDC die selbe samba sid haben ?
weil im Moment habe ich 2 verschiedene.

PDC1 samba SID = SID for domain PDC1 is: S-1-5-21-3194266148-564761370-2586249389
PDC2 samba SID= SID for domain PDC2 is: S-1-5-21-3991578539-3149662252-1894531253

also d.h. net setlocalsid <PDC1> auf dem 2 PDC, habe ich das richtig verstanden ?

P.S. mir hat mal einer gesagt das man WINBIND nur braucht wenn man mit Windows Servern was macht, ist das richtig ? oder bezieht sich das auch auf die Clients ? Weil zuvor hatte ich kein Winbind und die Samba mit Windows XP Clients hat sauber funktioniert. ATM Funktioniert auch alles, ohne winbind *G evtl liegts daran das ich Wins Konfiguriert habe.

P.S. danke sternchen, werde es beachten

MFG Flippa

stka · 28 Mai 2008

Windbind brauchst du nur wenn du einen Windowsserver für die Authentifizierung verwendest. Die SID beim PDC und BDC muss identisch sein. Also mit "net setlocalsid <sid-vom-pdc>" auf dem BDC die SID setzen.

flip007 · 28 Mai 2008

Hi Stka,

das mit den PDC und BDC wusste ich, das habe ich auch so. Ich habe nun aber eine 2 Domain (samba) auf einem 2 Server Aufgesetzt wo die user Base vom LDAP benutzt. Dann habe ich eine Domänenvertrauensstellung auf den 1 PDC gemacht das auch auf die Shares der zugriff Funktioniert.

Meine Frage ist nun, muss ich die gleiche samba SID auf dem 2 PDC verwenden? weil atm sind es 2 Verschiedene und ich habe auch div. Fehler im LOG =

May 21 17:26:13 ldapmaster smbd[11555]: [2008/05/21 17:26:13, 0, effective(0, 0), real(0, 0)] passdb/pdb_ldap.c:ldapuser2displayentry(4207)
May 21 17:26:13 ldapmaster smbd[11555]: sid S-1-5-21-3194266148-564761370-2586249389-101702 does not belong to our domain

Das sind die hosts von der 2 PDC Domaine.

stka · 28 Mai 2008

Bei Vertrauensstellungen müssen die SIDs nicht gleich sein. Welche SAMBA Version hast du? Du solltest auf 3.0.29 wechseln, da es mit der Vertrauenstellung bei älteren Versionen wohl Probleme geben soll.

flip007 · 28 Mai 2008

Hi stka,

ich glaube das werde ich auch machen mit dem Samba update, ich hab nun nur noch eine Frage.
Ich habe dem 2 PDC die Benutzer informationen von dem 1 PDC per LDAP-Client übergeben,
wenn ich auf dem 2 PDC nun net groupmap list mache kommt:

Domainadmins (S-1-5-21-3991578539-3149662252-1894531253-512) -> Domainadmins
Domainuser (S-1-5-21-3991578539-3149662252-1894531253-513) -> Domainuser
Domainhosts (S-1-5-21-3991578539-3149662252-1894531253-515) -> Domainhosts
Domaingaeste (S-1-5-21-3991578539-3149662252-1894531253-514) -> Domaingaeste
teamleiter (S-1-5-21-3991578539-3149662252-1894531253-21005) -> teamleiter
it (S-1-5-21-3991578539-3149662252-1894531253-21009) -> it

Aber ich habe auf dem 2 PDC eine andere SID for domain SAMBA2 is: S-1-5-21-3194266148-564761370-2586249389

also passt doch das ganze Mapping bei mir nicht der Domainuser usw... , nun frage ich mich, wenn ich dem 2 PDC nun die selbe ID wie den 1 PDC gebe
dann würde das ganze ja passen vom mapping her. Nur brauch ich dann noch das ganze mit der Vertrauenstellung ?
und ist das ganze überhaubt logisch was ich da mache?

Weil dann werden die user von DomainA und DomainB über 1 LDAP gesteuert, das war meine Überlegung.

P.S. das sind 2 PDC nicht BDC den gibt es auch. (nur so am Rande)

MFG Flippa

flip007 · 29 Mai 2008

nachtrag:

Samba Version 3.0.28

Ich habe das nun erstmal so gemacht das ich auf dem LDAP auch für die 2 Domain die Standard groupmappings eingerichtet habe.
z.b.
samba2user (S-1-5-21-3194266148-564761370-2586249389-513) -> samba2user
samba2hosts (S-1-5-21-3194266148-564761370-2586249389-515) -> samba2hosts
samba2admins (S-1-5-21-3194266148-564761370-2586249389-512) -> samba2admins
samba2gaeste (S-1-5-21-3194266148-564761370-2586249389-514) -> samba2gaeste

nun stimmt wenigstens das Windows Mapping der 2 Domaine

Heute werde ich dann noch das neue Samba Update einspielen, und hoffen das alle sauber Funktioniert.

Ist es normal das man im Windows Client (XP) immer nur die Eigene Domain sieht ? beide der PDC sind auch Domain Master nicht nur Lokal Master.
Ich sehe aber immer nur jeweils die eine nicht beide! (Wins ist aktive und Funktioniert auch)

MFG

Flippa

stka · 29 Mai 2008

Sehen wirst du immer nur einen PDC, den aus der aktiven Domäne, aber du kannst trotzdem über Computer suchen auf die Kiste zugreifen.