• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Samba mit Active Directory

P

peshay

jaja, das gute alte Thema, immer wieder ein Problem damit :)

Ich hab einen Active Directory Server Windows 2003 und möchte, dass sich die User an meinem Samba Linux Server darüber anmelden können. Die Authentifizierung an sich läuft auch an sich gut, aber NUR beim Benutzer die auch lokal angelegt in der /etc/passwd stehen, bei welchen die darin nicht stehen funktioniert das nicht.
Ich habe Samba 3.0.37 und hier mal meine Konfiguration:
Code: 
[global]
        workgroup = ABC
        realm = ABC.DE
        server string = Samba Server
        security = ADS
        map to guest = Bad User
        password server = ABCDC01.abc.de ABCDC02.abc.de
        use kerberos keytab = Yes
        log file = /var/log/samba/log.%m
        max log size = 50
        time server = Yes
        os level = 65
        local master = No
        domain master = No
        wins support = Yes
        idmap uid = 10000-20000
        idmap gid = 10000-20000
        winbind separator = +
        winbind use default domain = Yes

[test]
        comment = test
        path = /test
        valid users = ABC+corpus, ABC+ahu
        read only = No

Der User ABC+corpus gibt es auch lokal und ich kann mich mit ihm anmelden und zwar mit dem Passwort aus dem Active Directory, nicht mit dem lokalen! Der Benutzer ABC+ahu existiert nur im Active Directory und mit dem kann ich mich nicht anmelden. Wenn ich
Code: 
useradd ahu
mache, kann ich mich auch mit dem anmelden.
Was mache ich falsch? Ich will eigentlich auch, dass alle Benutzer die sich anmelden, auf den lokalen Benutzer corpus gemappt werden von den Zugriffsrechten her. Dafür hätte ich bei der Freigabe force user = corpus benutzt. Ist das so richtig?
 
ThomasF

ThomasF

Hmm,

ein bischen wenig Infos um überhaupt etwas sagen zu können ... ;)

* Hast du ein Join gemacht ? Fehler ?
* Funktioniert wbinfo -t / wbinfo -u / wbinfo -g ???
* Steht winbind in der /etc/nsswitch.conf
* Was ist mit getent passwd ?
* Hast du die SFU auf dem Domain Controller installiert ?
* Hast du die Doku zu winbind studiert ... und welche Variante willst du nutzen ?

So long

ThomasF
 
OP
P

peshay

Naja, leider ist das Problem nicht mehr aktuell, weil die mittendrin auf Windows 2008 R2 geupdatet haben, ich aber unter Solaris 10 nur Samba 3.0.37 hab und selberkompilieren mit allen Abhängigkeiten ein zu großer Aufwand wäre.
ThomasF schrieb:
* Hast du ein Join gemacht ? Fehler ?
Zum Vergrößern anklicken....
Ja, net ads join .... - Kein fehler hat funktioniert
ThomasF schrieb:
* Funktioniert wbinfo -t / wbinfo -u / wbinfo -g ???
Zum Vergrößern anklicken....
Ja
ThomasF schrieb:
* Steht winbind in der /etc/nsswitch.conf
Zum Vergrößern anklicken....
Anfangs nicht, habe es dann aber mit "winbind", "compat" und "ldap" (man nsswitch.conf unter Solaris) probiert.
ThomasF schrieb:
* Was ist mit getentm passwd ?
Zum Vergrößern anklicken....
Naja, wenn ich das m weg lasse wird mir die /etc/passwd angezeigt
ThomasF schrieb:
* Hast du die SFU auf dem Domain Controller installiert ?
Zum Vergrößern anklicken....
Ist das nicht für NFS Freigaben gut? Etwa auch noch für was anderes?
ThomasF schrieb:
* Hast du die Doku zu winbind studiert ... und welche Variante willst du nutzen ?
Zum Vergrößern anklicken....
Ne, weiß ich nicht, was gibts für Varianten? :) Naja, ist nun leider auch alles egal :(

Trotzdem danke für deine Antwort.
 
ThomasF

ThomasF

Moin

ich aber unter Solaris 10 nur Samba 3.0.37 hab und selberkompilieren mit allen Abhängigkeiten ein zu großer Aufwand wäre.
Zum Vergrößern anklicken....

Ja das Problem kenne ich durchaus ... mit Opensolaris ist es das gleiche Spiel ...
Obwohl ich nach langem experimentieren (mit Teilen von OPENCSW) dort Samba 3.4.6 zum laufen bekommen habe ...

Nein, die SFU haben nicht nur etwas mit NFS zu tun ... prinzipiell erweitert ein Teil der SFU eben auch die ADS um die Unix-Attribute ( uid, gid, usw)

Die Varianten von winbind beziehen sich genauer gesagt auf die Möglichkeiten des IDMAP
http://samba.org/samba/docs/man/Samba-HOWTO-Collection/idmapper.html

Meine bevorzugte Variante in einem heterogenen Netz mit Linux und Windows Clients speichert eben alle Infos in der ADS ( siehe oben SFU)
Für einen einzelnen Samba Server der nur Windows Clients bedient, könnte ich mir auch vorstellen das Mapping per "RID based IDMAP" durchzuführen ...

Aber ich könnte mir für dein Problem auch vorstellen mit dem NSS die Infos aus der ADS zu holen und die Authentifizierung über Kerberos .. dann sieht Samba die User aus der ADS als "lokal" ...

Wenn ich mich recht entsinne braucht man beim 2008er Server bei den Features "nur" die NIS Tools zu installieren ...
Das bedeutet aber auch das man in der ADS die Unix-Attribute für die User pflegen muss ...

Aber ich bin mir bewusst das dieses Thema sehr komplex ist ...

So long

ThomasF
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben