PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Win2k Rechner in Domäne aufnehmen



Seiten : [1] 2

carina
13.01.04, 22:55
Hi,

ich habe mir einen neuen Rechner gekauft und wollte den als eine Art Fileserver für mich und meine Geschwister nutzen. Auf den Rechner hab ich jetzt Suse 9.0 installiert. Samba läuft soweit (wobei ich mir nicht sicher bin, ob auch die Einstellungen passen) und ich würde das ganze gerne über ldap machen. Ldap läuft so weit auch. Gruppen und Benutzer habe ich angelegt. Wobei ich die User mit Hilfe von Yast2 konfiguriert habe. Jetzt würde ich die Rechner von meinen Geschwistern gerne in die Domäne aufnehmen. Unter Win2k kommt dann immer der Benutzername und das Passwort.
Allerdings kommt immer ein Fehler, dass sich die Benutzer nicht die nötigen Berechtigungen haben.
Ich hab das jetzt mit dem root account, mit normalen usern und mit den usern von dem win2k rechner probiert. Ich kann den Rechner nicht aufnehmen.
Kann mir jemand sagen, wie ich entweder in ldap so eine Art Domänen-Admin anlege, oder wie ich die Rechner auf eine andere Art und Weise in die Domäne bekomme. Das wäre super nett.
Ich hab leider noch kaum Erfahrung mit ldap und heterogenen Netzwerken.

Danke
Carina

Thallez
14.01.04, 00:17
Ich finde LDAP ein bischen übertrieben für dich und deine geschwister gehe mal davon aus das es nicht mehr als 10 sind. :-)
Ich denke mal das User adden immer gleich egal.
so sind die richtigen schritte

Linuxuser erstellen
# useradd -s /bin/false -G netuser Admin
# useradd -s /bin/false -G netuser meinbruder

Maschienen Account erstellen
# useradd -s /bin/false -d /dev/null client$ (client = name des Clients)

# smbpasswd -a meinbruder
New SMB password:
Retype new SMB password:
Added user meinbruder.

# smbpasswd -a Admin
New SMB password:
Retype new SMB password:
Added user Admin.

# smbpasswd -a -m client$
Added user client$.

So jetzt kannst du der Domäne betreten wenn alles in der smb.conf richtig ist.

carina
14.01.04, 23:14
hi,

ich hab das mal ausprobiert. Leider kommt bei mir ne Fehlermeldung:

linux:~ # useradd -s /bin/false -G netuser andi (wobei die gruppe netuser schon existiert)
could not open secret file /etc/ldap.secret (No such file or directory)useradd: Cannot add user to groups stored in LDAP database without DN.
useradd: User not added to LDAP group `netuser'.

und der benutzer admin der existiert schon. Die Meldung kommt dann beim smbpasswd Befehl:

linux:~ # smbpasswd -a admin
New SMB password:
Retype new SMB password:
LDAPS option set...!
ldap_connect_system: Binding to ldap server as "cn=Manager,dc=maucher,dc=de"
Bind failed: Can't contact LDAP server
LDAPS option set...!
ldap_connect_system: Binding to ldap server as "cn=Manager,dc=maucher,dc=de"
Bind failed: Can't contact LDAP server
Failed to add entry for user admin.
Failed to modify password entry for user admin

Irgendwas stimmt da glaube ich in meinen Einstellungen nicht. Aber ich hab keine Ahnung was.
Wenn ich mit phpldapadmin am ldapserver anmelde, dann geht das ohne Probleme.

Gruß Carina

P.S. Ich weiß schon dass es eigentlich übertrieben ist. Aber ich interessiere mich dafür, was ldap so kann, und deswegen wollte ich das jetzt daheim eben mal testen :-)

ThoKre
15.01.04, 13:52
Hast du unter /etc/sysconfig in der Datei samba das classic durch ldap ersetzt?

Wenn nicht musst du es noch machen, und danach SuSEconfig.

Dann sollte es eigentlich funktionieren.

carina
15.01.04, 20:01
hi,

also ich hab in /etc/sysconfig in der samba datei das classic durch ein ldap ersetzt und die suseconfig ausgeführt. Allerdings kommen die gleichen Fehler wieder.
Was funktioniert: Wenn ich mit dem Befehl useradd einen neuen User hinzufüge, dann existiert der Linux User hinterher schon, nur kann er ihn nicht unter ldap in der Gruppe netuser anlegen.

Auch der Fehler mit der Connection kommt weiterhin.

Gruß Carina

ThoKre
15.01.04, 20:49
poste mal deine ldap.conf und slapd.conf.

carina
15.01.04, 22:49
ok,

hier die ldap.conf:

# $OpenLDAP: pkg/ldap/libraries/libldap/ldap.conf,v 1.9 2000/09/04 19:57:01 kurt Exp $
#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

host 192.168.1.100

BASE dc=maucher,dc=de
defaultaccess read

#URI ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never

und die sldap.conf:

include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/samba.schema
include /etc/openldap/schema/yast2userconfig.schema

pidfile /var/run/slapd/slapd.pid
argsfile /var/run/slapd/slapd.args
################################################## #####################
# ldbm database definitions
################################################## #####################

database ldbm
suffix "dc=maucher,dc=de"
rootdn "cn=Manager,dc=maucher,dc=de"
rootpw secret
directory /var/lib/ldap
index objectClass eq


ich hab die auskommentierten Teile aus der sldap.conf weggelassen.

Gruß Carina

ThoKre
15.01.04, 22:59
Hast du dem LDAP-Manager ein Passwort vergeben?

Wenn nicht smbpasswd -w <Passwort in klartext>

Damit wird das Password für den LDAP-Manager in die secrets.tdb geschrieben.

CYP
15.01.04, 23:03
du hast nss_ldap und pam_ldap installiert oder ?

die beiden haben unter /etc/ldap.conf eine config datei die angepasst werden muss
und in /etc/ldap.secret muss das cn=Manager,dc=maucher,dc=de passwort

carina
15.01.04, 23:11
ok hab ich gemacht.

dann hab ich nochmal versucht nen user in diese netuser gruppe reinzuschreiben. Es kommt immer noch die Meldung, dass er ihn nicht in ldap schreiben kann.
Und beim smbpasswd Befehl kriegt er keine Verbindung.

Gruß Carina

carina
15.01.04, 23:12
usp sorry hab nicht gleich die nachricht gesehen.
Ich schau mal nach obs die Dateien gibt. Ich hab halt das Ldap benutzt, das bei Suse 9.0 dabei war.

Carina

carina
15.01.04, 23:22
so, also damit hab ich wohl das Problem. Die ldap.secret existiert bei mir auf dem Rechner gar nicht.
Kann man die irgendwie noch herkriegen oder aufbauen lassen?

Der Inhalt der ldap.conf im Verzeichnis /etc passt allerdings. Sie hat die gleichen Einstellungen wie die ander im etc/openldap/ Verzeichnis auch.

Gruß Carina

P.S. Ja, es handelt sich um nss_ldap.

CYP
17.01.04, 10:04
mach einfach mal

echo "das geheime ldap password" > /etc/ldap.secret
chmod 600 /etc/ldap.secret

dann solltest du zum beispiel das benutzer passwort pder passwd ändern können
(vorausgesetzt natürlich du hast die pam angepasst)

diese einträge müssen dahinter stehen (evtl noch mit optionen dahinter siehe dazu
http://www.kernel.org/pub/linux/libs/pam/Linux-PAM-html/pam.html )


auth sufficient /lib/security/pam_ldap.so
account sufficient /lib/security/pam_ldap.so
password sufficient /lib/security/pam_ldap.so
session sufficient /lib/security/pam_ldap.so


zum thema smbpasswd
wie ThoKre schon schrieb
smbpasswd -w <Passwort in klartext>
ohne dem gehts nicht -> wenn das nicht klappt stimmt was in der smb.conf nicht
----------------------------------------------------------------------
smb.conf:
#hier muss die addresse des ldapserver rein
passdb backend = ldapsam:ldaps://localhost

#der heisst ja bei dir so
ldap admin dn = "cn=Manager,dc=maucher,dc=de"
# falls du möchtest das smbpasswd die einträge ganz löscht wenn du smbpasswd -x
# machst
ldap delete dn = no

ldap suffix = "dc=maucher,dc=de"

#die einstellungen entsprechend anpassen
ldap machine suffix = ou=Computer
ldap user suffix = ou=People
ldap group suffix = ou=Group


viel spass :)

Schandi
19.01.04, 12:25
Hab das Problem das beim Anmelden an der Linuxdomäne an meiner W2k Kiste die Fehlermeldung erscheint DNS-Lookupproblem. Hab keinen DNS-Server eingestellt! Hab den Rest mit Webmin konfiguriert. Kann auch ganz normal auf den Linuxrechner zugreifen und auch umgekehrt. Die Rechner tauchen auch in der Netzwerkumgebung auf. Wo liegt das Problem mit der Domainanmeldung? Kann mir jemand helfen?

Hab SuSE 9.0 prof und Samba 2.2.8 und ne Win2000 prof Kiste!

ThoKre
19.01.04, 13:22
Schau Dir mal unter /var/lock/samba die wins.dat an.

Wenn dort der Eintrag 1c fehlt, stimmt in deiner smb.conf etwas nicht.

Schandi
23.01.04, 15:01
Hab unter var/lock/samba, auch unter var/log/samba nirgends den Eintrag wins.dat, und somit auch keinen Eintrag 1c nicht. Wie kann ich den einstellen und bearbeiten?

ThoKre
23.01.04, 15:17
Poste mal deine smb.conf

Schandi
02.02.04, 17:57
Hier mal meine smb.conf.Hoff Du kannst was damit anfangen. Ist alles mit webmin erstellt worden.


# smb.conf is the main Samba configuration file. You find a full commented
# version at /usr/share/doc/packages/samba/examples/smb.conf.SuSE
# Date: 2003-09-23

[global]
printing = CUPS
wins support = No
map to guest = Bad User
local master = yes
security = user
os level = 65
encrypt passwords = yes
printcap name = CUPS
domain master = yes
public = yes
veto files = /*.eml/*.nws/riched20.dll/*.{*}/
socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY
unix extensions = Yes
server string = Samba Server
add user script = /usr/sbin/useradd -c Machine -d /dev/null -s /bin/false %m$
username map = /etc/samba/user.map
time server = Yes
domain logons = yes
workgroup = ALEXDOM
preferred master = yes
writeable = yes

[homes]
directory mode = 0750
browseable = no
valid users = %S
create mode = 0640
printable = no
comment = Home Directories

[printers]
browseable = no
path = /var/tmp
create mask = 0600
printable = yes
comment = All Printers

[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @ntadmin root
force group = ntadmin
create mask = 0664
directory mask = 0775
browseable = yes
guest ok = no
printable = no

[Install]
path = /Install
force user = root
comment = Install_Tools_Sonstiges

[Schmier]
path = /Schmier
force user = root
comment = Verzeichnis für Sonstiges

[Musik]
path = /Musik
force user = root
comment = Musik-Verzeichnis

Schandi
04.02.04, 15:57
Brauch dringend Hilfe bei meinem Problem!!!
Bitte helft mir!!!

ThoKre
09.02.04, 11:38
Setzte mal wins support auf yes.

Bei Windows funktioniert die Auflösung über WINS.

Dann sollte es eigentlich funktionieren.

Schandi
10.02.04, 10:07
Habs umgestellt, aber trotzdem kam das DNS Lookup Problem (gleiche Fehlermeldung wie vorher) und auf die Freigaben von Linux konnte ich auch nicht mehr zugreifen. Habs dann wieder umgestellt und schon konnte ich die Freigaben wieder öffnne. Hast Du noch ne andere Idee?

ThoKre
10.02.04, 10:20
Laufen alle Dienste?

Also smbd und nmbd.

Und füge mal noch einen netbios name hinzu.

Erstellt er das Computerkonto für deinen W2K Client?

Schandi
10.02.04, 11:51
Frage: Muß ich nun beim client den Rechnernamen des W2k eingeben?


Linuxuser erstellen
# useradd -s /bin/false -G netuser Admin

Maschienen Account erstellen
# useradd -s /bin/false -d /dev/null client$ (client = name des Clients)

# smbpasswd -a Admin
New SMB password:
Retype new SMB password:
Added user Admin.

# smbpasswd -a -m client$
Added user client$.

Schandi
10.02.04, 11:53
Kannst Du mir das erklären mit dem netbios namen?

ThoKre
10.02.04, 12:50
Ja du musst bei Client den Rechnernamen der W2K Maschine eingeben.

Zum Thema netbios:

http://www.kleines-lexikon.de/w/n/netbios.shtml

Gib in deiner smb.conf folgendes ein:

netbios name = SambaServer
#Damit sollte dein Rechner dann auch in der W2K Netzwerkumgebung zu sehen sein.

domain admin group = @root
admin users = root Admin

Damit erkennt Windows root und Admin als Domänen-Administratoren an.

Schandi
12.02.04, 07:46
# smbpasswd -a -m client$
Added user client$.


Ist es richtig, daß wenn ich diese Zeile eingebe ein neuer Benutzer erstellt wird? Hab dann den Benutzer client$. Bei eingabe der ersten Zeile kommt dann nur Passwort geändert, aber nicht Added user client$.
Was mach ich falsch?

ThoKre
12.02.04, 09:07
Normalerweise brauchst du das


# smbpasswd -a -m client$

nicht mehr machen, da es schon von deinem add user script in der smb.conf erledigt wird. Das einzigste was bei mir anders ist, ich habe die Beschreibung in Anführungszeichen gesetzt. Also -c "Machine". Hat er deinen W2K Rechner auch angelegt? Schau mal in der Benutzerverwaltung von Linux nach, ob er die Maschine angelegt hat.

Hast du mal geschaut, ob alle Netzlaufwerke getrennt sind.

Auf der W2K Maschine einfach net use eingeben, dann zeigt er dir alle Verbindungen an. SOllten noch welche da sein, dann mit net use * /delete alle löschen.

Kommst du überhaupt auf deinen Linux-Rechner von der W2K Maschine drauf oder verweigert er dir dann schon den zugriff?

Und was sagt deine Logfile von Samba???

Schandi
18.02.04, 07:46
Das mit dem DNS-Lookup Problem hat sich erledigt. Jetzt meckert er aber er kenne den Benutzernamen und das Kennwort nicht. Habs mit root und Administrator versucht aber keinen von beiden wollte er. Hast Du ne Idee?

ThoKre
18.02.04, 20:41
Nimm mal in der smbusers das Semikolion vor root weg und probier es dann nochmal.

Schandi
25.02.04, 17:38
In der Datei war vor root kein Semikolon mehr. Habs nochmal probiert, aber trotzdem sagt er unbekannter Benutzername oder unbekanntes Kennwort.