PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba 3.0.0 als Member Server in einer Windows 2000 Domain



andreas72
29.10.03, 16:17
Mir rennt die Zeit für meine Projektarbeit davon und die Praktikumsfirma hat mich verlassen, d.h. ich zaubere allein bei mir zu Hause rum. Somit erstmal hier meine derzeitige Situation (vielleicht für andere mit ähnlichem Problem interessant) und auch das Problem, vor dem ich stehe (tut mir leid, dass der Text so lang geworden ist, würde mich aber echt freuen, wenns jemand liest und mir ein paar Tips geben kann):

Also ich habe mir einen etwas älteren Rechner besorgt, da ich glaube, einige
Probleme wurden auch durch das Dasein als virtueller Rechner hervorgerufen.
In den nächsten Tagen werde ich mich jetzt mal intensiv dahinter klemmen, da
ich es ja Mitte November einreichen muß und bevor ich anfange die
Projektarbeit zu schreiben, sollte ich erstmal den Inhalt erarbeiten.

Ich arbeite jetzt mit einem Windows2000Server als Domaincontroller
(ActiveDirectory mit neun Usern in drei selbst erstellten Gruppen der Arten
Admin, User, Guest), einem Windows2000Professional Clienten und einem
Linux-Rechner (RedHat 9.0) mit Samba 3.0.0.

Mit dem kleinen Netzwerk zu Hause klappt es schon ein bißchen besser, als
wenn alles virtuell wäre (zumindest habe ich das Gefühl, daß der
Linux-Rechner anders reagiert).

Nun habe ich die Kerberosversionen auf dem RedHat-Rechner aktualisiert
(krb5-workstation-1.2.7-14, krb5-devel-1.2.7-14, krb5-libs-1.2.7-14),
openldap-devel-2.0.27-8 kontrolliert und noch mal geschaut, daß keine
Samba-Version mehr auf dem Rechner existiert. Das sah dann alles so aus:
[root@linux root]# rpm -qa|grep krb5
krb5-workstation-1.2.7-14
krb5-devel-1.2.7-14
pam_krb5-1.60-1
krb5-libs-1.2.7-14
[root@linux root]# rpm -qa|grep openldap
openldap-2.0.27-8
openldap-devel-2.0.27-8
[root@linux root]# rpm -qa|grep samba
[root@linux root]#

Daraufhin habe ich Samba-3.0.0 installiert:
[root@linux RedHat]# rpm -i samba-3.0.0-2_rh9.i386.rpm
Looking for old /etc/smb.conf...
Looking for old /etc/smbusers...
Looking for old /etc/lmhosts...
Looking for old /etc/MACHINE.SID...
Looking for old /etc/smbpasswd...
Moving tdb files in /var/lock/samba/*.tdb to /var/cache/samba/*.tdb
Installing stack version of /etc/pam.d/samba...
[root@linux RedHat]#

Mich als Admin am Server vom Linux-Rechner aus eingeloggt (hier sieht man auch, daß die nötige Zeitsynchronisation mit NTP bereits funktioniert, sonst Fehlermeldung):
[root@linux samba]# kinit administrator@SERVER.DE
Password for administrator@SERVER.DE:
[root@linux samba]#

Nochmal kontrolliert ob ich im richtigen Verzeichnis stehe (/etc/samba):
[root@linux samba]# ls -l
insgesamt 24
-rw-r--r-- 1 root root 20 1. Okt 20:31 lmhosts
-rw-r--r-- 1 root root 74 24. Okt 13:28 smb.conf
-rw-r--r-- 1 root root 10545 24. Okt 13:24 smb.conf.ori
-rw-r--r-- 1 root root 97 1. Okt 20:31 smbusers

Nun bin ich mit folgender smb.conf der Domain beigetreten:
[global]
#general options
workgroup = SERVER0
netbios name = LINUX
#active directory joining
realm = SERVER.DE
password server = SERVER.server.de
security = ADS
encrypt passwords = yes

dannbeigetreten:
[root@linux root]# net ads join
Using short domain name -- SERVER0
Joined 'LINUX' to realm 'SERVER.DE'
[root@linux root]#

Samba startet nun automatisch als Stand-Alone-Daemon nach dem ich folgende
Zeilen in die Datei /etc/rc.d/rc.local eingefügt habe:
#!/bin/sh
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.
#
#Start der Samba 3.0.0 Prozesse als Stand-Alone-Daemons
/usr/sbin/smbd -D
/usr/sbin/nmbd -D
#
touch /var/lock/subsys/local

In einigen Dokus stand, dass man diese Einträge in der Datei /etc/rc.local
einfügen soll und ich als kleiner "Linux-Beginner" habe dann doch noch
festgestellt, dass diese auf /etc/rc.d/rc.local verweist.

Auch erscheint der Rechner mit dem Namen Linux auf dem Windows Server und Clienten in der Netzwerkumgebung unter der Domäne server.de und darufhin folgt schon mein derzeit anstehendes Problem:

Unter dem Punkt SHARES habe ich eine neue
Freigabe erstellt. Eingetragen habe ich da (nicht Erwähntes habe ich leer
gelassen):
path: /tmp/samba-alle
read only: no
guest ok: yes
hosts allow: 192.168.0.
browseable: yes
available: yes


Wenn ich nun vom Server oder vom Clienten aus in der Netzwerkumgebung auf
den Rechner Linux doppelklicke kommt immer ein extra Fenster mit der
Bemerkung, dass dies eine ungültige Benutzerkennung ist. Und darunter gibt
es zwei Felder, wo man einen anderen Benutzernamen/ Passwort eingeben kann.
Nur welches? Ich habe in meiner Verzweiflung mal den Windows Administrator,
den Linux root und einen Windows User versucht, aber dass klappt
logischerweise (warum auch immer) nicht.

Dann habe ich es mal mit der Adresse direkt zur Freigabe versucht
(\\linux\samba-alle) aber da passiert das Selbe.

In der smb.conf steht doch security=ADS. Dürfte das nicht irgendwie zu einer
zentralen Benutzerverwaltung führen.

Ist da einProblem mit fehlendem WINS (dachte eigentlich für NT4) bzw. fehlendem DNS Server. Ich habe die existenden Rechner halt in die jeweiligen host-Dateien eingetragen (nicht optimal, aber beim Projektthema eigentlich nebenan).

Nun ja, vielleicht ist das ja auch ein anderer offensichtlicher Fehler meinerseits. Ich habe bereits einige mir anfänglich unlösbar vorkommende Probleme gelöst, aber hier stehe ich echt auf der Stelle und in drei Wochen muß alles fertig sein.

Bitte gebt mir Bescheid, wenn Ihr eine Idee habt, wo mein Problem liegt.

Danke Andreas

MrIch
29.10.03, 22:54
ich kenne mich mit ADS in Verbindung mit Samba 3 nicht so gut aus, aber vielleicht brauchen die User auch einen lokalen Unix Account der z.B. mit winbind erstellt wird?!

andreas72
30.10.03, 08:53
... aber genau das ist ja das, was ich ändern soll. Die sollen halt anhand der Active Directory Benutzerdatenbank authentifiziert werden.

Verzweiflung total!!!

allsystems
30.10.03, 15:17
In der neuesten HOWTO-Kompilation (erhältlich unter http://samba.org/samba/docs/)
steht auf Seite 41 im Kapitel "Domain Security Mode" der Befehl (in der smb.conf)zum Einbinden des Samba Servers in eine Windows Domäne. Dieser lautet: security = domain.
Du hast security = ads!

Danach auf deinem Linux Rechner folgenden Befehl eingeben:

root# net rpc join -U administrator%password

Versuch's mal mit dieser Änderung!

Gruß

-Dio



PS: Hier der Text auf englisch im besagten Kapitel:




4.3.3._Domain_Security_Mode_(User_Level_Security)
_
When_Samba_is_operating_in_security_=domain_mode,_ the_Samba_server_has_a_domain_security_trust_accou nt_(a_machine_account)_and_causes_all_authenticati on_requests_to_be_passed_through_to_the_Domain_Con trollers._In_other_words,_this_configuration_makes _the_Samba_server_a_Domain_Member_server.
_
4.3.3.1._Example_Configuration_
Samba_as_a_Domain_Member_Server_
This_method_involves_addition_of_the_following_par ameters_in_the_smb.conf_file:
_
security_=_domain_
workgroup_=_MIDEARTH
In_order_for_this_method_to_work,_the_Samba_server _needs_tojoin_the_MS_Windows_NT_security_domain._T his_is_done_as_follows:
_
1._On_the_MS_Windows_NT_Domain_Controller,_using_t he_Server_Manager,_add_a_machine_account_for_the_S amba_server.
_
2._On_the_UNIX/Linux_system_execute:
_
root#_net_rpc_join_-U_administrator%password_

andreas72
30.10.03, 16:34
... wenn ich der Domain mit diesen Zeilen

security = domain
workgroup = MIDEARTH

als Member Server beitrete, gilt folgendes

Use of this mode of authentication does require there to be a standard UNIX account for each user in order to assign a UID once the account has been authenticated by the remote Windows DC. (S.42)

Ich soll aber an der zentralen Benutzerverwaltung arbeiten, damit die derzeit notwendigen und unabhängig gepflegten drei Datenbanken auf eine reduziert werden (Active Directory).

Dazu stehen ja im folgenden Kabitel (4.3.4. ADS Security Mode (User Level Security)) viele Dinge, welche ich auch alle schon mehr oder weniger verändert, ausprobiert habe. Auch in anderen Quellen ist das immer alles schön kurz, einfach und unproblematisch beschrieben aber keine dieser Anleitungen führt zur Lösung.

Habe mich mit dem Problem schon in "alles Himmelsrichtungen" gewandt, aber jemanden zu finden, der sich mit der Problematik Active Directory - Samba 3.0.0 richtig auskennt, zu finden, scheint fast unmöglich.

Nun ja - "Verzweiflung total"

Gruss Andreas

Thomas Ohle
30.10.03, 21:57
Hallo,
ich beabsichtige die Migration von Win2000 Server zu Samba 3.0 in unserem Unternehmen, Samba 3 ist so neu und ich habe noch nicht das Know How dir in diesem Punkt weiterhelfen zu können, aber vielleicht hilft dir dies E-Mail Adresse( Samba@SerNet.DE ) einen Versuch ist es wert.
Grüße
Thomas

allsystems
31.10.03, 09:44
Original geschrieben von andreas72
... wenn ich der Domain mit diesen Zeilen

security = domain
workgroup = MIDEARTH

als Member Server beitrete, gilt folgendes



Der Name der Workgroup sollte natürlich der Name DEINER Domäne sein.
Der Name "MIDEARTH" ist lediglich der Name den der Author für sein Beispiel verwendet hat.

security = domain
workgroup = "deine domäne/workgroup enfügen"

Versuch es damit.