• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] zweiter Sambaserver (kein DC)

M

magic_halli

Hi,

ich habe bereits einen Sambaserver als PDC (mit LDAP-Authentifizierung) am laufen. Über diesen erfolgt auch die Anmeldung von Windows-Clients.
Nun möchte ich einen weiteren Sambaserver, der kein DC ist, zur Domäne hinzufügen und eine Freigabe einrichten. Die Authentifizierung soll auch über den LDAP erfolgen und er soll in der Domäne vom PDC-Sambaserver mit sein.

Ich weiß jedoch nicht so recht, wie die smb.conf vom zweiten Samba aussehen muss, damit das alles so hinhaut! :cry:

Hier ist mal die smb.conf vom vorhandenen PDC-Sambaserver:
Code: 
[global]
	workgroup = FIRMA.LOCAL
	server string = Samba Server v1
	map to guest = Bad User
	passdb backend = ldapsam:ldap://v1.firma.local
	passwd program = /usr/local/sbin/smbldap-passwd %u
	log level = 2
	log file = /var/log/samba.log
	debug uid = Yes
	printcap name = cups
	add user script = /usr/sbin/smbldap-useradd -m -a "%u"
	delete user script = /usr/sbin/smbldap-userdel "%u"
	add group script = /usr/sbin/smbldap-groupadd -p "%g"
	delete group script = /usr/sbin/smbldap-groupdel "%g"
	add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
	delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
	set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
	add machine script = /usr/sbin/smbldap-useradd -w "%u"
	logon script = admin.bat
	logon path = \\%L\%U	#Win-Profile in /home/<username> speichern
	logon drive = H:
	logon home = \\%L\%U\.9xprofile
	domain logons = Yes
	os level = 65
	preferred master = Yes
	domain master = Yes
	ldap admin dn = cn=Manager,dc=firma,dc=local
	ldap delete dn = Yes
	ldap group suffix = ou=group
	ldap machine suffix = ou=hosts
	ldap passwd sync = Yes
	ldap suffix = dc=firma,dc=local
	ldap ssl = no
	ldap user suffix = ou=people
	cups options = raw

Unsicher bin ich mir, was die Workgroup und die ldap-Eintragungen betrifft... müssen diese beim zweiten Sambaserver genaus mit rein, oder wie mache ich es, dass dieser auch mit zur Domäne gehört und eine Authentifizierung auch über LDAP geschieht??? Gibts hierfür irgendwo ne kurze Erklärung etc. ?

Danke und Gruß.
 
S

stka

Du musst "security = domain" setzen. Die LDAP Einträge kannst du lassen. "Domain Master = No" und "Domain logons = No". Dann musst du noch für eine einheitliche SID sorgen. Also auf dem PDC "net getlocalsid" und das Ergebnis mit "net setlocalsid <SID> " auf dem Server eintragen.
 
OP
M

magic_halli

So, meine smb.conf vom zweiten Sambaserver sieht jetzt so aus:
Code: 
[global]
	workgroup = FIRMA.LOCAL
	server string = Samba Server tk1neu
	security = DOMAIN
	map to guest = Bad User
	passdb backend = ldapsam:ldap://10.0.0.1
	log file = /var/log/samba.log
	printcap name = cups
	logon path = \\%L\profiles\.msprofile
	logon drive = P:
	logon home = \\%L\%U\.9xprofile
	domain master = No
	domain logons = No
	wins server = eth0:10.0.0.6
	ldap admin dn = cn=Manager,dc=firma,dc=local
	ldap suffix = dc=firma,dc=local
	ldap ssl = no
	usershare allow guests = no
	cups options = raw

Allerdings kann ich die SID vom PDC nicht auf den zweiten Samba übernehmen. Mit 'net setlocalsid <SID vom PDC>' erhalte ich keinerlei Fehlermeldungen. Doch wenn ich nun mit 'net getlocalsid' die SID abfrage, ist diese nicht identisch mit der vorher (angeblich) gesetzten SID. Ich kann die einfach nicht übernehmen bzw. ändern!?!

Auch habe ich in der smb.conf die Zeile wins server = eth0:10.0.0.6 - ich habe doch aber keinen wins server eingerichtet! Diese Zeile bekomme ich nicht weg - ist nach smb restart immer wieder da!
Ich benutze auch den SWAT - selbst dort den Eintrag rausgenommen und restartet und er ist wieder drin. Wieso das???

Achso: Muss ich am PDC noch was konfigurieren, damit dieser weiß, dass es einen weiteren Sambaserver mit Freigaben gibt - und diese dann am Win-Client auch sichtbar sind?

Gruß
 
S

stka

Warum dir SID nicht übernommen werden kann, kann ich dir so nicht sagen. Steht denn hinterher was im Logfile? Hast du einen Wins-Server im Einsatz dann trage die IP dort ein.
Das hast doch wohl nicht wirklich eine NetBIOS Domäne mit Punkt angelegt oder:
workgroup = FIRMA.LOCAL
Zum Vergrößern anklicken....
Das ist der aller größte Blödsinn den man machen kann. Wie willst du das in eine DNS integrieren? Dann noch die TLD .local das ist der Schwachsinn aus der Microsoft MOC Unterlage. Die Domäne .local ist für Multicast Adressen reserviert. Wunder dich also nicht, wenn deine Namensauflösung nicht richtig funktioniert.
Der Samba Dienst ändert nichts von alleine wenn du den startest. Es sei denn, du hast den Sambaserver mit dem Yast konfiguriert. Das wäre dann der nächste große Fehler, entweder du konfigurierst den immer mit dem Yast oder immer mit dem swat oder zu Fuß, aber nicht mischen.
 
OP
M

magic_halli

So, ich hab jetzt die Domäne geändert auf FIRMA-LOCAL.
Ich poste hier mal meine smb.conf-Files...
...hier vom PDC Samba:
Code: 
[global]
   workgroup = FIRMA.LOCAL
   server string = Samba Server v1
   map to guest = Bad User
   passdb backend = ldapsam:ldap://10.0.0.1
   passwd program = /usr/local/sbin/smbldap-passwd %u
   log level = 2
   log file = /var/log/samba.log
   debug uid = Yes
   printcap name = cups
   add user script = /usr/sbin/smbldap-useradd -m -a "%u"
   delete user script = /usr/sbin/smbldap-userdel "%u"
   add group script = /usr/sbin/smbldap-groupadd -p "%g"
   delete group script = /usr/sbin/smbldap-groupdel "%g"
   add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
   delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
   set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
   add machine script = /usr/sbin/smbldap-useradd -w "%u"
   logon script = admin.bat
   logon path = \\%L\%U   #Win-Profile in /home/<username> speichern
   logon drive = H:
   logon home = \\%L\%U\.9xprofile
   domain logons = Yes
   os level = 65
   preferred master = Yes
   domain master = Yes
   ldap admin dn = cn=Manager,dc=firma,dc=local
   ldap delete dn = Yes
   ldap group suffix = ou=group
   ldap machine suffix = ou=hosts
   ldap passwd sync = Yes
   ldap suffix = dc=firma,dc=local
   ldap ssl = no
   ldap user suffix = ou=people
   cups options = raw

...und hier jetzt vom Kein-DC-Samba (ist der zweite Samba, welche in der gleichen Domäne wie der PDC ist und seine eigenen Freigaben hat):
Code: 
global]
	workgroup = FIRMA-LOCAL
	server string = Samba Server tk1neu
	security = DOMAIN
	map to guest = Bad User
	passdb backend = ldapsam:ldap://10.0.0.1
	log file = /var/log/samba.log
	printcap name = cups
	logon path = \\%L\profiles\.msprofile
	logon drive = P:
	logon home = \\%L\%U\.9xprofile
	domain master = No
	domain logons = No
	wins server = eth0:10.0.0.6
	ldap admin dn = cn=Manager,dc=firma,dc=local
	ldap suffix = dc=firma,dc=local
	ldap delete dn = yes
	ldap group suffix = ou=group
	ldap machine suffix = ou=hosts
	ldap passwd sync = yes
	ldap user suffix = ou=people
	ldap ssl = no
	usershare allow guests = no
	cups options = raw

[server]
	comment = Serververzeichnis
	path = /server
	read only = No
	inherit acls = Yes
	browseable = Yes

Jetzt soll ja eigentlich nur folgendes passieren:
Ich melde mich am Win-Client an. Die Anmeldung erfolgt über den PDC und LDAP. Die Userprofile werden in den Homes auf dem LDAP abgelegt - funktioniert.
Dann sieht der User im Windows ein Netzlaufwerk mit dem Inhalt seines Homeverzeichnisses auf dem LDAP. Das ist die Freigabe vom PDC-Sambaserver.

Jetzt soll lediglich noch eine weitere Freigabe vom zweiten Sambaserver hinzukommen, die dort auf /server liegt. Also müsste, wenn es ordentlich funktionieren würde, ein weiteres Netzlaufwerk mit dem Inhalt von /server erscheinen?! Tut es aber nicht! Ich sehe nur die Freigabe vom PDC.

Ach ja, der PDC ist mithilfe der smbldap-tools an den LDAP angepasst - sprich, es sind im LDAP die erforderlichen Einträge für Samba geschehen.
Ich sehe bei der jetzigen Konfiguration der smb.conf-Dateien im LDAP unter der BaseDN zwei Einträge. Einmal 'sambaDomainName=FIRMA-LOACL' und zum anderen 'sambaDomainName=TK1NEU' (dieser dürfte aber gar nicht da sein, denn solch eine Domain gibts gar nicht - TK1NEU ist der Hostname meines zweiten Sambaserver!!!).
Die SID ist bei beiden Einträgen die gleiche, nämlich die vom PDC!

Ich versteh´s nicht, warum ich den zweiten Sambaserver nicht einfach in die vorhandene Samba-Domain integriert bekomme!
:cry:
 
OP
M

magic_halli

Nachtrag:

Ich melde mich am Win-Client an. Gehe dann Arbeitsplatz/Netzwerk/Gesamtes Netzwerk... dort sehe ich meine Samba-Domain (FIRMA-LOKAL). In der Domain sehe ich meinen Samba PDC ("Samba Server v1") UND den zusätzlichen Samba ("Samba Server tk1neu"). Den Samba PDC kann ich anwählen und mich durch die freigegebenen Verzeichnisse klicken.
Beim klick auf den zusätzlichen Samba erscheint jedoch eine Windows-Meldung: "Auf \\neuerSamba kann nicht zugegriffen werden. Sie haben eventuell keine Berechtigung, diese Netzwerkressource zu verwenden. Wenden Sie sich an den Administrator des Servers, um herauszufinden, ob Sie +ber Berechtigungen verfügen. Es sind momentan keine Anmeldeserver zum Verarbeiten der Anmeldeanforderung verfügbar."

Da scheint wohl etwas mit den Benutzerdaten nicht hinzuhauen? Was hab ich falsch gemacht?
Was muss ich tun, um einen weiteren Samba die Benutzerdaten der Win-Anmeldung bekannt zu machen - oder wie funktioniert das sonst?
 
OP
M

magic_halli

Haha, ich hab´s endlich hinbekommen... mein zweiter Samba ist jetzt endlich auch DomainMember vom Samba PDC!!!

Dazu musste ich lediglich in der smb.conf die Zeile
Code: 
security = DOMAIN
in
Code: 
security = user
abändern... entgegen dem Rat von stka.
Du musst "security = domain" setzen...
Zum Vergrößern anklicken....

Mh, also nur so klappt es bei mir.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben