Hallo zusammen,
ich versuche gerade einem Linux Server (Red Hat Enterprise release 4) beizubringen sich seine Benutzerdaten von einem AD Server mit Windows 2003 SP1 zu holen. Als Anleitung diente mir die Seite "http://blog.scottlowe.org/2005/12/22/complete-linux-ad-authentication-details/".
"Kerberos" und "LDAP" scheinen soweit ich es verstanden habe zu funktionieren. Ich kann mir mit "kinit" ein Ticket holen und danach mit "ldapsearch" die ADS abfragen. Der vollständigkeit halber hier meine Konfigurationen:
Meine smb.conf sieht so aus:
Nachdem "winbind" gestartet wurde, kann ich mir die Benutzer und Gruppen mit "wbinfo -u" bzw. "wbinfo -g" anzeigen lassen.
Was ich nun aber nicht verstehe ist, dass mir die Befehle "getent password testuser" oder "id testuser" andere Werte für die "uid" und "gid" liefen, als in der AD eingetragen sind!? Mit "ldapsearch" sehe ich die korrekten Werte.
Kann mir das vielleicht jemand erklären?
Gruß+Dank,
dremke
ich versuche gerade einem Linux Server (Red Hat Enterprise release 4) beizubringen sich seine Benutzerdaten von einem AD Server mit Windows 2003 SP1 zu holen. Als Anleitung diente mir die Seite "http://blog.scottlowe.org/2005/12/22/complete-linux-ad-authentication-details/".
"Kerberos" und "LDAP" scheinen soweit ich es verstanden habe zu funktionieren. Ich kann mir mit "kinit" ein Ticket holen und danach mit "ldapsearch" die ADS abfragen. Der vollständigkeit halber hier meine Konfigurationen:
Code:
#krb5.conf
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = TEST.DOMAIN.NET
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
TEST.DOAMIN.NET = {
kdc = testknecht.DOMAIN.net:88
admin_server = testknecht.test.domain.net:749
default_domain = testknecht.domain.net
}
[domain_realm]
.test.domain.net = TEST.DOMAIN.NET
test.domain.net = TEST.DOMAIN.NET
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
Code:
[quote]#ldap.conf:
host testknecht.domain.net
base dc=test,dc=domain,dc=net
binddn Admin@test.domain.net
bindpw secret
scope sub
nss_base_passwd dc=test,dc=domain,dc=net
nss_base_shadow dc=test,dc=domain,dc=net
nss_base_group dc=test,dc=domain,dc=net
nss_map_objectclass posixAccount user
nss_map_objectclass shadowAccount user
nss_map_objectclass posixGroup group
nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute loginShell msSFU30LoginShell
nss_map_attribute gecos name
nss_map_attribute userPassword msSFU30Password
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_attribute uniqueMember msSFU30PosixMember
nss_map_attribute cn cn
ssl noMeine smb.conf sieht so aus:
Code:
# Global parameters
[global]
unix charset = ISO-8859-15
display charset = ISO-8859-15
workgroup = TEST.DOMAIN
realm = TEST.DOAMIN.NET
server string = CIFS-TEST-01
security = ADS
password server = testknecht
log file = /var/log/samba/%m.log
max log size = 1000
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
printcap name = /etc/printcap
dns proxy = No
wins server = 172.1.1.1
idmap uid = 10000-29999
idmap gid = 10000-29999
template homedir = /home/%U
winbind use default domain = Yes
[homes]
comment = Home Directories
valid users = %S, SysAdmin
read only = No
create mask = 0664
directory mask = 0775
browseable = NoNachdem "winbind" gestartet wurde, kann ich mir die Benutzer und Gruppen mit "wbinfo -u" bzw. "wbinfo -g" anzeigen lassen.
Was ich nun aber nicht verstehe ist, dass mir die Befehle "getent password testuser" oder "id testuser" andere Werte für die "uid" und "gid" liefen, als in der AD eingetragen sind!? Mit "ldapsearch" sehe ich die korrekten Werte.
Kann mir das vielleicht jemand erklären?
Gruß+Dank,
dremke