• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] - Samba-Dateiserver in Win2003-Server ADS-Netz

trapper

trapper

Servus beisammen,


Situation:
SuSE 9.3 Dateiserver per Samba im Windows-Netz. Nutzersteuerung im Netz erfolgt über Domain-basiertes Active Directory über einen Win2003-Server als PDC.
Ich habe Samba-Server nach Anleitung in http://www.pro-linux.de/work/server/samba3-domaene.html mit Kerberos realisiert. Aber Nutzerindentifikation funktioniert noch nicht.

Problem:
Wenn ich laut Anleitung oben in smb.conf
Code: 
security = ADS
setze, hat nur der User Administrator Zugang zu Samba-Server (der ist ja auch in smbusers lokal mit root verknüpft). Die Active-Directory Nutzerverwaltung vom Win2003-Server wird nicht eingebunden/verwendet.
Wenn ich in smb.conf
Code: 
security = Domain
setze, haben alle User Zugriff auf den Server, aber auch wirklich ALLE auf alle Verzeichnisse und nicht nach den im AD vergebenen Rechten.

Frage:
Wie kriege ich es hin, dass der Samba-Server die Active-Directory-Nutzerverwaltung verwendet und Änderungen automatisch übernimmt (ohne dass ich die User parallel auch immer nochmal auf dem Linux-Server einrichten muss)?

smb.conf ...
Code: 
[global]
	workgroup = MYGROUP
	netbios name = Dateiserver
	realm = MYGROUP.INTERN
	idmap uid = 10000-15000
	idmap gid = 10000-15000
	winbind separator = /
	winbind use default domain = Yes
	security = ADS
	encrypt passwords = Yes
	password server = mygroup6.mygroup.intern
	client use spnego = yes
	printing = cups
	printcap name = cups
	printcap cache time = 750
	cups options = raw
	printer admin = @ntadmin, root, Administrator
	username map = /etc/samba/smbusers
	map to guest = Bad User
	domain master = No
	log level = 1
	syslog = 0
	debug level = 0
	read size = 1024
	socket options = SO_KEEPALIVE TCP_NODELAY IPTOS_LOWDELAY IPTOS_THROUGHPUT SO_SNDBUF=16384 SO_RCVBUF=16384
	getwd cache = yes
	unix extensions = Yes
	adduser script = /usr/sbin/useradd -m %u

[homes]
	comment = Home Directories
	valid users = %S
	browseable = No
	read only = No
	inherit acls = Yes
	create mask = 0600
	directory mask = 0700

[profiles]
	comment = Network Profiles Service
	path = %H
	read only = No
	store dos attributes = Yes
	create mask = 0600
	directory mask = 0700

[printers]
	comment = All Printers
	path = /var/tmp
	printable = Yes
	create mask = 0666
	browseable = No

[print$]
	comment = Printer Drivers
	path = /var/lib/samba/drivers
	write list = cve @ntadmin root
	force group = ntadmin
	create mask = 0666
	directory mask = 0775

[backupserver]
	comment = Backupserver
	inherit acls = Yes
	path = /mnt/backupserver
	browseable = yes
	read only = No
	create mask = 0666
	directory mask = 0777
	force directory mode = 0777
        valid users = cve administrator @MYGROUP/domänen-admins @MYGROUP/organisations-admins

[dateiserver]
	comment = Dateiserver
	inherit acls = Yes
	path = /mnt/dateiserver
	browseable = yes
	read only = No
	create mask = 0666
	force create mode = 0666
	directory mask = 0777
	force directory mode = 0777

[Projekte]
	comment = Dateibereich Projekte
	inherit acls = Yes
	path = /mnt/dateiserver/Gruppen/projekte
	write list = @MYGROUP/rechercheure
	force group = MYGROUP/rechercheure
	browseable = yes
	read only = No
	create mask = 0770
	force create mode = 0770
	directory mask = 0770
	force directory mode = 0770
	valid users = @MYGROUP/rechercheure

krb5.conf ...
Code: 
[libdefaults]
default_realm = MYGROUP.INTERN
clockskew = 300

[realms]
mygroup.intern = {
kdc = MYGROUP6.MYGROUP.INTERN
default_domain = MYGROUP
admin_server = MYGROUP6.MYGROUP.INTERN
}

[domain_realm]
.mygroup.intern = MYGROUP.INTERN

[logging]
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
default = FILE:/var/log/krb5lib.log

[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}

nsswitch.conf ...
Code: 
passwd: files winbind
group:  files winbind

hosts:  	files lwres dns
networks:       files dns

services:       files
protocols:      files
rpc:		files
ethers:		files
netmasks:       files
netgroup:       files
publickey:	files

bootparams:     files
automount:      files nis
aliases:        files


Viele Grüße,

trapper

edit Mod: auf gelöst gesetzt 19.11.05
 
bmueller5

bmueller5

1.
Wichtig kann sein die Kebereos 4 Konvertierung abzuschalten mit -
Code: 
krb4_get_tickets = false

Außerdem:
Code: 
default_keys = v5, krb4_convert = false


Code: 
[libdefaults]
...
       krb4_get_tickets = false

[kadmin]
      default_keys = v5

[appdefaults]

       pam = {
...
               krb4_convert = false

       }

2.
Kerberos Ticket vom Domänencontroller holen
Code: 
kinit Administrator@MEINE.DOMÄNE


3.
Samba Server in Domäne integrieren
Code: 
net ads join -U administrator

Samba Konfiguration testen:
Code: 
testparm


Code: 
/etc/init.d/samba restart
/etc/init.d/winbind restart

4.
Benutzer Berechtigungen

Es können jetzt die Benutzer und Gruppen aus der Domäne im Unix-Dateisystem integriert werden.

Z.B.
Code: 
chgrp domänen-benutzer, chown testuser

Es gibt diese Benutzer unter Unix nicht. Es werden keine Domänenbenutzer in /etc/passwd oder /etc/samba/smbpasswd benötigt. Nur ein Mapping von root auf Administrator scheint sinnvoll (in /etc/samba/smbusers)

Bernd
 
OP
trapper

trapper

Done!

Code: 
kinit Administrator@MYGROUP.INTERN

gibt:
KDC reply did not match expectations while getting initial credentials


Code: 
net ads join -U administrator

gibt:
libads/ldap.c:ads_add_machine_acct(1405)
ads_add_machine_acct: Host account for dateiserver already exists - modifying old account
Using short domain name -- MYGROUP
Joined 'DATEISERVER' to realm 'MYGROUP.INTERN'

Ich muss aber an dieser Stelle anmerken, dass mir vormals die Anmeldung am PDC bereits gelungen war (Administrator hat sein ticket), und der Samba-Server bereits in die Domäne integriert worden war.


Code: 
testparm

gibt:
Load smb config files from /etc/samba/smb.conf
Processing section "[homes]"
Processing section "[profiles]"
Processing section "[printers]"
Processing section "[print$]"
Processing section "[backupserver]"
Processing section "[dateiserver]"
Processing section "[projekte]"
Loaded services file OK.
Server role: ROLE_STANDALONE


Den Parameter read size = 1024 in der smb.conf habe ich übrigens zwischenzeitlich auskommentiere, weil der anscheinend nicht interpretiert wurde (testparm -> Unknown parameter encountered: "read size", Ignoring unknown parameter "read size").


Viele Grüße,

trapper
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben