PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : LDAP "ROOT" für Samba



pnuernbe
22.11.03, 22:36
...So geschafft...
Der LDAP Server läuft...und Samba auch.
Möchte aber nun meinen W2K Client in die smb Domäne einfügen.
Da das ja nur mit dem root Benutzer geht und ich außerdem ein
ComputerKonto benötige...würde ich mich sehr freuen, wenn Ihr mir sagen könntet,
welche Schritte zum einrichten eines Benutzer und Computerkontos in LDAP nötig sind, um meinen W2K Client an der smb Domäne anzumelden.

Danke

Gruß

Peter

mamue
22.11.03, 22:46
Original geschrieben von pnuernbe
...So geschafft...
Der LDAP Server läuft...und Samba auch.
Möchte aber nun meinen W2K Client in die smb Domäne einfügen.
Da das ja nur mit dem root Benutzer geht und ich außerdem ein
ComputerKonto benötige...würde ich mich sehr freuen, wenn Ihr mir sagen könntet,
Peter
Für das Einrichten der Computerkonten etc gibt es hinreichend Anleitung.
Um von W2k aus den Rechner in die Domäne einzufügen muss dort im Dialog beim Eintreten der adminDN und dessen Passwort eingegeben werden, nicht root.

mamue

pnuernbe
23.11.03, 15:28
Sorry...glaub hab da en kleinen Denkfehler.
Muss das Comuterkonto in LDAP existieren und per ldif eingeügt werden ?
Oder leg ich diese folgendermaßen an ?

useradd COMPUTER$
smbpasspd -a -m COMUTER$

Habe dabei aber immer folgenden Fehler :
useradd test
pdbedit -a -u test
passwort ...
retype password ...
LDAPS option Set ...!
ldap connect system : Binding to LDAP as "cn=ldapadmin,dc=linuc,dc=de"
Bind failed : Can't connect to LDAP Server
Unabel to add User

-----------------------------------------

Du schreibst, das ich nicht den root brauche, sondern die adminDN, um der Domäne beizutreten.
Admindn ist doch der, welcher in der slapd.conf unter rootdn angelegt worden ist...?
oder hab ich da etws verpasst ?

Danke für die Hilfe

Gruß
Peter

mamue
23.11.03, 20:19
Original geschrieben von pnuernbe
Sorry...glaub hab da en kleinen Denkfehler.
Muss das Comuterkonto in LDAP existieren und per ldif eingeügt werden ?


Ich lege die Compi-konten per ldif an (PosixAccount und account). Danach smbpasswd -a -m COMPINAME (_hier_ ohne "$").


LDAPS option Set ...!
ldap connect system : Binding to LDAP as "cn=ldapadmin,dc=linuc,dc=de"
Bind failed : Can't connect to LDAP Server
Unabel to add User


Du musst samba vorher noch das Passwort des adminDN mitteilen, smbpasswd -w, glaube ich, siehe manpage. In der smb.conf hast Du ja stehen, wie der adminDN lautet, richtig?
Hast Du ldaps konfiguriert oder das nur aus Versehen in der smb.conf eingetragen?



Du schreibst, das ich nicht den root brauche, sondern die adminDN, um der Domäne beizutreten.
Admindn ist doch der, welcher in der slapd.conf unter rootdn angelegt worden ist...?


Yep, genau der.

mamue

swen1
24.11.03, 08:30
Hi,

da gibt es sicher wieder viele Möglichkeiten! Ich habe z.B. root angelegt und benutze diesen um mit den Rechnern der Domäne beizutreten. Könnte mir auch vorstellen das dies etwas sicherer ist, weil der ja nicht so viele Rechte hat wie der LDAP-Manager. Die Computerkonten legt Samba bei mir selber an, dafür nutze ich die smbldap-Tools (bei Samba dabei).

Gruß Swen

pnuernbe
24.11.03, 23:13
SWEN : smbldap-Tools...hört sich gut an...wie kann man die nutzen ?

mamu :
smbpasswd -w steht für ldap admin passwort (man)
Bei mir ausgeführt :
smbpasswd - w geheim
Setting stored password for......in secrets.tdb
Hört sich erst mal gut an :)

Weiß ich leider immer noch weiß, ob die ComputerKonten nur in LDAP existieren müssen (Wobei sich die Frage stellt, ob es egal ist (OU) wo man sie anlegt)...oder ob diese auch local existieren müssen.
Bin aber trotzdem folgendermaßen fortgefahren:

***ldif*********************************
dn: cn=clientx$,ou=people,dc=linux,dc=local
objectClass: posixAccount
objectClass: account
cn: clientx$
uid: clientx$
uidNumber: 1000
gidNumber: 100
loginShell: /bin/bash
homeDirectory: /home/clientx
***ldif*********************************

***ldif einfügen*****************************
cn=ldapadmin,dc=linux,dc=local _x _W_fclientx.ldif
Enter LDAP Password:
adding new entry "cn=clientx$,ou=people,dc=linux,dc=local"
***ldif einfügen*****************************
Hört sich bis jetzt immer noch toll an...


Aber beim passwort ist was schiefgelaufen.Warum wird noch local in der passwd gesucht ? Oder interpretiere ich die Fehlermeldung falsch ?

***passwort setzen*****************************
linux:/etc/openldap # smbpasswd _-a _-m clientx

User clientx$ does not exist in system password file (usually /etc/passwd).
Cannot add account without a valid local system user.
Failed to modify password entry for user clientx$
***passwort setzen*****************************

Freu mich über Eure Beiträge
Danke Peter

P.S. Denke das LDAPS was mit SSL zu tun hat...oder...? Hab auf jeden Fall in der smb.conf ldap ssl auf false gesetzt.

mamue
25.11.03, 10:23
Original geschrieben von pnuernbe
SWEN : smbldap-Tools...hört sich gut an...wie kann man die nutzen ?

mamu :
smbpasswd -w steht für ldap admin passwort (man)
Bei mir ausgeführt :
smbpasswd - w geheim
Setting stored password for......in secrets.tdb
Hört sich erst mal gut an :)


Soweit, so gut.




Weiß ich leider immer noch weiß, ob die ComputerKonten nur in LDAP existieren müssen (Wobei sich die Frage stellt, ob es egal ist (OU) wo man sie anlegt)...


Die ou kannstDu ganz nach eigenen Wünschen einrichten, musst den Rest aber dementsprechend anpassen.
Samba3 bietet mir in der smb.conf die Trennung der Accounts für Lebendvieh (user), Computer und Gruppen (von Lebendvieh) an. Das nutze ich, denn sonst wird es bei vielen Einträgen, etwa ab 200 mühselig in der Verwaltung.




***ldif*********************************
dn: cn=clientx$,ou=people,dc=linux,dc=local
objectClass: posixAccount
objectClass: account
cn: clientx$
uid: clientx$
uidNumber: 1000
gidNumber: 100
loginShell: /bin/bash
homeDirectory: /home/clientx
***ldif*********************************


Ich würde ja nicht die armen Compis zu den usern packen, aber nun denn.
Loggen sich Deine PC auch mal gerne selber ein? Wenn nicht, brauchen die eigentlich keine Shell. Im Ernst, das ist ein unnötiges Sicherheitsrisiko (/bin/false).




Aber beim passwort ist was schiefgelaufen.Warum wird noch local in der passwd gesucht ? Oder interpretiere ich die Fehlermeldung falsch ?

***passwort setzen*****************************
linux:/etc/openldap # smbpasswd _-a _-m clientx

User clientx$ does not exist in system password file (usually /etc/passwd).
Cannot add account without a valid local system user.
Failed to modify password entry for user clientx$
***passwort setzen*****************************


Schau mal nach mit getent passwd, ob der Account dort auftaucht. Wenn nicht, hast Du vergessen, nss zu konfigurieren. Siehe dazu Artikel in der iX, online verfügbar, Suche nach PDC bei Heise->iX-suche.

mamue

xstevex22
25.11.03, 10:52
Hi!
Hier der Link:

http://www.heise.de/ix/artikel/2002/04/148/

swen1
26.11.03, 08:24
nochmal kurz zu den smbldap tools:

Die sind, glaube ich, bei Samba dabei. Sind alles perl-Skripte, welche Du nur in ein Verzeichnis kopieren, und die smbldap_conf.pm anpassen mußt. Ist schon ne Weile her, daß ich daran was gemacht habe. Man kann damit sehr viel machen, aber ich nutze die nur für die Passwort Änderung und eben zum Computeraccounts anlegen. Dazu in der smb.conf die Zeile

"add user script = /usr/local/sbin/smbldap-useradd.pl -d /dev/null -s /bin/false -w %u"

einfügen. Nutze Samba 2.2.8 und trenne in LDAP auch nach Usern, Gruppen und Rechnern. Keine Ahnung ob es die Tools bei Samba3 noch gibt.

Gruß Swen

pnuernbe
26.11.03, 19:17
HMM hört sich gut an...
Werde die Tools testen sobald der Server richtig läuft
(Und ich auch verstehe was passiert)
Kann nicht lange dauern, da der Heise Artikel echt gut ist.

Aber trotzdem noch ne Frage...
Du legst ja die Comuterkonten automatisch an...
kann man die Profile der LDAP User, welche Win2K
nutzen auch auf dem Linux Server speichern
und deren Homeverzeichnisse dort anlegen...
bzw Gruppenrichtlinien vergeben.
Möchte mit den Features so nah wie möglich an einen
W2K Server kommen...


Gruß
Peter


P.S. Mein DirectoryAdministrator gibt immer ein Protocol Error aus,
kann aber mit anderen Tools auf das Verzeichniss zugreifen.
Schon mal von dem Fehler gehört ?

[WCM]Manx
26.11.03, 20:07
Original geschrieben von pnuernbe

1.) kann man die Profile der LDAP User, welche Win2K
nutzen auch auf dem Linux Server speichern
2.) deren Homeverzeichnisse dort anlegen...
3.) Gruppenrichtlinien vergeben.
4.) kann aber mit anderen Tools auf das Verzeichniss zugreifen.
5.) Schon mal von dem Fehler gehört ?

1.) ja, nennt sich "roaming profiles" und das funktioniert natürlich, auch "mandatory"
siehe "sambaProfilePath" im User-ldif
2.) ja, sambaHomePath
3.) GPOs gehen nicht, mit poledit erzeugte ntconfig.pol geht
4.) ja,
http://www.ldapbrowser.com/ => Browser kostenlos, Administrator nicht
http://biot.com/gq/
http://www.iit.edu/~gawojar/ldap/
5.) Openldap 2.1 (EINS!)? Wenn ja, das mag mein gq auch nicht :(, mal updaten versuchen.

Grüße

Manx

[WCM]Manx
26.11.03, 20:40
kurzer Nachtrag zu 4.)

"The gentleman's LDAP Client" GQ 0.6.0 funktioniert prächtig!
(... ist viel schöner als JAVA und hat auch mehr Features ;) )

Grüße

Manx

mamue
26.11.03, 23:19
Original geschrieben von [WCM]Manx
1.) ja, nennt sich "roaming profiles" und das funktioniert natürlich, auch "mandatory"
siehe "sambaProfilePath" im User-ldif
2.) ja, sambaHomePath
3.) GPOs gehen nicht, mit poledit erzeugte ntconfig.pol geht
4.) ja,
http://www.ldapbrowser.com/ => Browser kostenlos, Administrator nicht
http://biot.com/gq/
http://www.iit.edu/~gawojar/ldap/
5.) Openldap 2.1 (EINS!)? Wenn ja, das mag mein gq auch nicht :(, mal updaten versuchen.

Grüße

Manx
Ich selber habe ebenfalls sambaHomePath und sambaProfilePath in den entries stehen. Mittlerweile halte ich das für eine blöde Idee. Wenn Du einen BDC hast und der soll den PDC übernehmen, klappt das nicht, weil immer noch der ausgefallenen PDC referenziert wird.
Neben poledit gibt es auch neue, freie tools, die einges ausgleichen, wpkg (dpkg für windows).
Derzeit ist openldap 2.1.22 stable.

mamue

pnuernbe
27.11.03, 01:12
O.K. der Heise Bericht war war gut und die ersten Bücher sind auch schon da.

Kann mich jetzt unter NETWZERKUMGEBUNG-EIGENSCHAFT-NETZWERKIDENT
an der Domäne SAMBA anmelden. Als Anmeldename gibt's den root
(geht erst nach pdbedit -a -u root)...musste den noch nicht mal mit ldif einfügen...

Der Rechner startet neu, und ich möchte mich jetzt unter der Domäne SAMBA einloggen.

1. Problem : Fehlermeldung : Die Domäne SAMBA ist nicht verfügbar...

O.K hab wohl vergessen den Client in ldif einzutragen...client ind ldap rein (ldif)...
pdbedit -a -m -u Clientx$

Versuch die Anmeldung nochmals.
Fehlermeldung : Das Comuterkonto der primären Domäne fehlt oder das Kennwort für das Computerkonto ist falsch.

Was könnte da schief gelaufen sein...???

Danke für Eure Antworten...

Gruß

Peter

mamue
27.11.03, 08:46
Original geschrieben von pnuernbe

Versuch die Anmeldung nochmals.
Fehlermeldung : Das Comuterkonto der primären Domäne fehlt oder das Kennwort für das Computerkonto ist falsch.

Was könnte da schief gelaufen sein...???

Gute Frage. Was steht denn in den logfiles von Samba?

mamue

[WCM]Manx
27.11.03, 08:56
... entfern den Rechner nochmal aus der Domäne, und häng ihn dann neu rein.

Manx

[WCM]Manx
27.11.03, 12:00
@mamue

> Um von W2k aus den Rechner in die Domäne einzufügen muss dort im Dialog beim Eintreten der adminDN und dessen Passwort eingegeben werden, nicht root.

Das nütze ich gleich mal für einen generellen Erfahrungsaustausch. Wenn ich's richtig verstanden habe, braucht man für Samba 3 folgende 3 Gruppen zwingend:
Domain Admins RID 512
Domain Users RID 513
Domain Guests RID 514
Um mit Workstations der Domain beitreten zu können, braucht's einen Account mit Unix UID 0 (das ist ein Root Account), als Unix UND Samba Benutzer.
Die Passwörten müssen NICHT übereinstimmen, sollten es meiner Meinung nach auch nicht, aus Sicherheitsgründen.
Das erklärt auch warum ein "pdbedit -a -u root" funktioniert.
pdbedit setzt einen existierenden Unix-Account voraus (egal ob LDAP oder /etc/passwd).
Sinnvoll ist es auch einen Administrator-Benutzer anzulegen (Mitglied der Gruppe Domainadmins RID 512, eigene RID 500). Diese Adminrechte beziehen sich auf CLIENTSEITE (Netzwerkeinstellungen zu verändern usw.), die Unixrechte diese Benutzers bleiben natürlich von den Unixdateirechten abhängig.

Zu der BDC Problematik müssen wir uns noch mal näher unterhalten ;)
Diese "wpkg-Tools" muss ich mir anschauen.

Schönen Tag noch & Auf Wiederlesen

Manx

pnuernbe
28.11.03, 00:00
So sieht das log beim Eintritt in die Domäne aus.
ldap_connect_system: Binding to ldap server as "cn=admin,dc=samba,dc=org"
[2003/11/27 22:19:46, 0] rpc_server/srv_netlog_nt.c:get_md4pw(188)
get_md4pw: Workstation client6$: no account in domain
No account in domain hab ich mit pdbedit überprüft:
Ergebniss:
linux:/etc/openldap # pdbedit -a -m -u client6$
pdb_getsampwuid: getpwuid(60000) return NULL. User does not exist in Unix accounts!
ldap_connect_system: Binding to ldap server as "cn=admin,dc=samba,dc=org"
User already in the base, with samba properties
Unable to add machine! (does it already exist?)
linux:/etc/openldap #

Hört sich doch na em account an ???
************************************************** *****************
So sieht das log (vermutlich) aus wenn ich mich nun nach neuem
hochfahren des Rechners anmelden will.

Fehlermeldung: Die Domäne SAMBA ist nicht verfügbar.

[2003/11/27 22:22:38, 0] passdb/pdb_ldap.c:ldap_connect_system(316)
ldap_connect_system: Binding to ldap server as "cn=admin,dc=samba,dc=org"
[2003/11/27 22:22:38, 0] passdb/pdb_ldap.c:pdb_getsampwnam(940)
LDAP search "(&(uid=administrator)(objectclass=sambaAccount))" returned 0 entries.

Hab zum testen mal (&(uid=administrator)(objectclass=sambaAccount)) aus der smb.conf herausgenommen.

Versuch mich nun wieder neu in der Domäne anzumelden (erfolgreich)
Log
[2003/11/27 22:37:09, 0] passdb/pdb_ldap.c:ldap_connect_system(316)
ldap_connect_system: Binding to ldap server as "cn=admin,dc=samba,dc=org"
[2003/11/27 22:37:09, 0] passdb/pdb_ldap.c:ldap_connect_system(316)
ldap_connect_system: Binding to ldap server as "cn=admin,dc=samba,dc=org"
[2003/11/27 22:37:09, 0] passdb/pdb_ldap.c:ldap_connect_system(316)
ldap_connect_system: Binding to ldap server as "cn=admin,dc=samba,dc=org"
[2003/11/27 22:37:09, 0] passdb/pdb_ldap.c:ldap_connect_system(316)
ldap_connect_system: Binding to ldap server as "cn=admin,dc=samba,dc=org"
[2003/11/27 22:37:09, 0] rpc_server/srv_samr.c:api_samr_set_userinfo(670)
api_samr_set_userinfo: Unable to unmarshall SAMR_Q_SET_USERINFO.
[2003/11/27 22:37:09, 0] passdb/pdb_ldap.c:ldap_connect_system(316)
ldap_connect_system: Binding to ldap server as "cn=admin,dc=samba,dc=org"
[2003/11/27 22:37:09, 0] passdb/pdb_ldap.c:ldap_connect_system(316)
ldap_connect_system: Binding to ldap server as "cn=admin,dc=samba,dc=org"
[2003/11/27 22:37:09, 0] passdb/pdb_ldap.c:ldap_connect_system(316)
ldap_connect_system: Binding to ldap server as "cn=admin,dc=samba,dc=org"
[2003/11/27 22:38:10, 0] passdb/pdb_ldap.c:ldap_connect_system(316)
ldap_connect_system: Binding to ldap server as "cn=admin,dc=samba,dc=org"
[2003/11/27 22:38:10, 0] rpc_server/srv_netlog_nt.c:get_md4pw(188)
get_md4pw: Workstation client6$: no account in domain

Gleicher Fehler bei Windows Anmeldung
Log
ldap_connect_system: Binding to ldap server as "cn=admin,dc=samba,dc=org"
[2003/11/27 22:43:30, 0] rpc_server/srv_netlog_nt.c:get_md4pw(188)
get_md4pw: Workstation client6$: no account in domain

Bin echt verzweifelt. Dürfte mich doch eigentlich gar nicht an der
Domäne anmelden, wenn ich kein ComputerKonto hätte...oder...
Gruß
Peter

P.S.
So sieht der Client6 im LDAP Browser aus:
#-------------------------------------------------------------------------------

# This file has been generated on 11.27.2003 at 23:46 from 192.168.0.7:389
# by Softerra LDAP Browser 2.2
(www.ldapbrowser.com)
#-------------------------------------------------------------------------------

version: 1
dn:
cn=client6$,dc=samba,dc=org

objectClass: posixAccount

objectClass: account

objectClass: sambaAccount
uidNumber: 1000

gidNumber: 1000

homeDirectory: /home/client6

uid: client6$

pwdLastSet: 1069966190

logonTime: 0
logoffTime: 2147483647

kickoffTime: 2147483647

pwdCanChange: 0

pwdMustChange: 2147483647
displayName: client6$

cn: client6$
rid: 3000

primaryGroupID: 3001

lmPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXX
ntPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXX
acctFlags: [NDW ]

[WCM]Manx
28.11.03, 09:47
Hi!

Poste Deine smb.conf bzw. wenn Du in der smb.conf
"ldap filter = (&(uid=%u)(objectclass=sambaSamAccount))" hast LÖSCHEN!

Grüße

Manx

mamue
28.11.03, 11:16
Zeig doch bitte mal den entry von cient6$:
ldapsearch -x -D cn=adminDN,... -W cn=client6* -LLL

Hattest Du eigentlich schon erwähnt welche Sambaversion Du verwendest?
OpenLDAP? Distribution?

mamue

pnuernbe
28.11.03, 18:34
Folgende Versionen unter einem SuSE 9.0
linux:~ # rpm q samba
samba2.2.8a107

linux:~ # rpm q openldap2
openldap22.1.2265


Ergeniss von ldapsearch :
dn: cn=client6$,dc=samba,dc=org
objectClass: posixAccount
objectClass: account
objectClass: sambaAccount
cn: client6$
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/client6
uid: client6$
pwdLastSet: 1069973393
logonTime: 0
logoffTime: 2147483647
kickoffTime: 2147483647
pwdCanChange: 0
pwdMustChange: 2147483647
rid: 121000
primaryGroupID: 121001
lmPassword: E8D3E8A4F12CF1D0AAD3B435B51404EE
ntPassword: 09BB1926CE61F29B83FC44B78D95CACC
acctFlags: [W ]

Gruß

Peter

[WCM]Manx
28.11.03, 20:00
... ooops, ich war auf Samba 3 eingeschossen (mamue, und Du bist schuld ;) ), sorry.

Manx

pnuernbe
28.11.03, 23:15
Tja...hab mir samba 3 mal installiert...weißt Du vielleicht wie ich bei em SuSE 9.0
die Pfade änder muss um "rcsmb start" ausführen zu können...
Gruß

Peter

[WCM]Manx
28.11.03, 23:18
... wie installiert?
RPM oder von den Sourcen?

Manx

mamue
29.11.03, 10:24
Der Eintrag sieht korrekt aus.
Allerdings fehlt noch der sambaAccount (samba3: sambaSamAccount). Diesen legt man oder lege ich zumindest mit smbpasswd an.
1.: Hast Du sicher daran gedacht, die /etc/sysconfig/samba anzupassen und dort ldap einzutragen, richtig?
2.: Dies getan und smb gestartet, muss smbpasswd -a -m client6 funktionieren. Wenn das nicht klappt, weil ldap nicht gefunden oder falsches Passwort, dann hast Du vielleicht smbpasswd -w "ldapAdminDN-passwd" vergessen?

Danach solltest Du für den Eintrag neben account und posixAccount auch den sambaAccount sehen. pdbedit ist nicht zwingend erforderlich. Ich persönlich nutze das gelegentlich für user-accounts, andere sind da vielleicht gewiefter ;-)
Danach kanst Du versuchen, der Domäne beizutreten. Sieh Dir dabei das logfile an. tail -f kennst Du sicher.

mamue

xstevex22
29.11.03, 18:19
Hi!
Habe SuSE (SuSE Linux Enterprise 8 - UL 1.0) bei Kunden im Einsatz, die auch ein Samba mit LDAP Anbindung einsetzen. Vorsichtig muss man sein, bei den Aufrufen der Programme wie smbpasswd oder smbclient, etc.
Die Executables mit ldap Unterstützung liegen unter /usr/lib/samba/ldap/. Dieses Verzeichnis ist nicht im Pfad und trotz Einstellungen von ldap in /etc/sysconfig/samba weder trotzdem die falschen Tools verwendet. Vielleicht ist das SuSE 9 korrigiert, aber besser mal prüfen.

pnuernbe
01.12.03, 10:28
Hey,Hey,Hey :) :)

endlich geschafft...hab einfach den Client neu aufgesetzt und die Sache läuft...
Trotzdem wie immer ein parr Fragen und Infos.

Nimmt man als ldapadmin (root dn) einfach das Benutzerkonto root und gibt
pdbedit -a -u root ein, kann man sich in der Domäne anmelden...
Was macht pdbedit also genau...und meine Benutzter sind doch in ldap gespeichert, wozu benötige ich also noch smbpasswd -w <password>..

Wie könnte man einen anderen Benutzer außer root anmelden...

Die comuterkonten legt Samba automatisch an...Wenn ich die nun nur in LDAP anlege...wird dann das Passwort bei der Anmeldung automatisch vergeben ?


Wie Ihr seht, hat's zwar nachb viel geschaffe hingehauen, aber von einem echten Durchblick kann ich noch nicht sprechen. Mach das ganze einfach nochmal...
Gruß

Peter

pnuernbe
01.12.03, 10:30
Original geschrieben von [WCM]Manx
... wie installiert?
RPM oder von den Sourcen?

Manx


Galub SAMBA 3.0 gibt's für SuSE noch nicht als rpm.

[WCM]Manx
01.12.03, 10:48
> Nimmt man als ldapadmin (root dn) einfach das Benutzerkonto root und gibt
pdbedit -a -u root ein

Ja, ich hab's so gemacht. Mit Benutzerdaten in LDAP ist aber höchste Vorsicht geboten! Ich mache immer zum Debuggen in einem Ldapbrowser (gq z.B.) verschieden Profile (LDAP-Admin, einen Testuser, ein anonymes Profil) um kontrollieren zu können, welche Attribute von wem gelesen werden können.

> Was macht pdbedit also genau

man pdbedit, sorry

> wozu benötige ich also noch smbpasswd -w <password>

-w setzt das Passwort für den LDAP-Admin DN => man smbpasswd

> Die computerkonten legt Samba automatisch an...Wenn ich die nun nur in LDAP anlege...wird dann das Passwort bei der Anmeldung automatisch vergeben?

IMHO, legt Samba den windowsrelevanten Teil automatisch an, ein Posix-Account muss bestehen, möglicherwesie kann man das über ein "add machine script" auch noch automatisieren.

Wie Ihr seht, hat's zwar nachb viel geschaffe hingehauen, aber von einem echten Durchblick kann ich noch nicht sprechen. Mach das ganze einfach nochmal...

;)

Manx