'nabend :D

damit ich keine doppelten SIDs durch meine SAMBA Server und Win-Clients im netz habe, wollte ich von euch wissen, ob ihr nen Netzwerkscanner kennt, der das gesamte netz (workgroups, domains) nach SIDs scant und listet...

any ideas?

thx&greez

*push*

keiner ne idee? :rolleyes:

greez

Wenn Du einen DC hast und die windows-büchsen (ab NT4) sind Domänenmitglieder, dann ist der erste Teil ohnehin gleich. Verschieden sein muss bei den usern und damit auch den Maschinen nur die RID.
Da die RID bei samba meist algorithmisch bestimmt wird (2*uid+1000), solltest Du ermitteln, ob Du gleiche uid-nummern hast. Befrage also Deine Unix-Benutzerverwaltung. Da ich LDAP verwende, kann ich Dir da wahrscheinlich nicht helfen, ich hatte mir mal ein kleines Java-programm geschrieben, dass auf gleiche uid/rid im Verzeichniss testet.

mamue

hi

verwende ja auch ldap und samba 3.0
wenn es nur ein pdc wäre, wäre es mir ja egal

nur schwirren in unserem netz mehrere pdc´s rum, welche logischerweise unterschiedliche SID´s haben müssen - das wollte ich halt testen, welche quasi frei ist, um nicht in schwierigkeiten zu geraten ;)

greez

Ich kann das verstehen und möglicherweise kann man auch mit einem scanner die SID auffangen, nur wie willst Du - rein theroretisch - sicherstellen, dass Du _alle_ SID gefunden hast? Ich fürchte, Du wirst wohl von allen PDC die SID dokumentieren und je PDC sicherstellen müssen, dass alle RID eindeutig sind.

mamue

P.S.: Ach ja, ich hatte schon doppelte RID, das ist wirklich ziemlich übel :mad:

jo, danke mamue...

wie sehe ich denn am besten die SID's an den NT/2k PDC's ein?
gibt es da ein windows tool?

das wäre ne lösung, denn so viele sind es auch wieder nicht....
das problem könnten höchstens die weiteren zahlreichen arbeitsgruppen und "road warriors" sein :rolleyes:

ps: ja, und ich hatte aus versehen die falsche DOMAIN-SID im LDAP-Tree und mich gewundert, warum sich die clients nicht anmelden können - ein kleiner zahlendreher und stunden arbeit :D

greez

Hi!

Windows: PsGetSid
http://www.sysinternals.com/ntw2k/freeware/pstools.shtml

Linux: rpcclient

Grüße

Manx

@wcm

ja, die tools sind bekannt, nur leider bedürfen sie hohen aufwands, da sie für jeden rechner einzeln ausgeführt werden müssen - für die paar pdc's kein prob, aber die ganzen rechner, die in (meist eigenen) workgroups hängen, einfach zu aufwendig :(

das tool sollte so wie die WLAN-sniffer arbeiten - das gesamte netz nach paketen und schlüsseln durchsuchen - soviel zur theorie

thx trotzdem
greez

vielleicht:
http://www.oxid.it/cain.html

... schaut ned unbedingt 100% seriös aus, also be careful!

Manx

hey, jo der scheint wahrlich was zu sein - leider trifft es das


schaut ned unbedingt 100% seriös aus, also be careful!

auf den punkt

nicht für den unternehmenseinsatz geeignet
riesen dank für deine mühen!

greez

Hi!

Vielleicht kennst Du auch hyena von:
http://www.systemtools.com/

Hab das vor einiger Zeit mal ausprobiert (Trial), weiß aber nicht mehr ob da die SID auch angezeigt wird.

=> seriös, aber vom preis her heftig!

Manx

Manchmal sehe ich die Dinge falsch, aber die Workstations sind doch auch nur Benutzer im Verzeichniss, oder? Also werden die, da SambaSamAccount auch eine SID im Eintrag haben. Damit müsstest Du doch ohnehin die einzelnen clients nicht mehr anzufassen, oder?

mamue

@mamue

was ich gerade festgestellt habe ist, dass die workstation, die in einer samba-pdc-domain steht, dennoch eine andere eigene SID hat, als die domain-sid

das kann doch eigentlich net sein, oder?
im ldap hat die maschine eine eigene eindeutige sid nach dem schema

$DOMAINSID-RID

die maschine wird ordentlich via pam_ldap authentifiziert
jedoch weicht die SID der maschine (via psgetsid herausgefunden) von jener o.g. ab - vllt. muss das aber auch so sein? ich dachte immer, die maschine bekommt, wenn sie in eine domäne gefahren wird, was ich ordentlich gemacht habe, jene $DOMAINSID-RID ?

muss ma in der samba-mailinglist fragen, evtl. wissen die mehr

@wcm
bei gelegenheit werde ich das tool mal testen, wenn es denn noch trail gibt?

danke

greez

Original geschrieben von emba
@mamue

was ich gerade festgestellt habe ist, dass die workstation, die in einer samba-pdc-domain steht, dennoch eine andere eigene SID hat, als die domain-sid

das kann doch eigentlich net sein, oder?
im ldap hat die maschine eine eigene eindeutige sid nach dem schema

$DOMAINSID-RID

die maschine wird ordentlich via pam_ldap authentifiziert
jedoch weicht die SID der maschine (via psgetsid herausgefunden) von jener o.g. ab - vllt. muss das aber auch so sein? ich dachte immer, die maschine bekommt, wenn sie in eine domäne gefahren wird, was ich ordentlich gemacht habe, jene $DOMAINSID-RID ?


... das ist bei mir auch so:
Im LDAP hat die Maschine test$: $DOMAINSID-RID und die ist NICHT die gleiche wie lokal auf test$ mit psgetsid.

Manx

so, zur SID-Frage hier Andrew aus der Samba Crew


Each machine is it's own domain, and has it's own domain sid. It's
trust account on the DC has a different SID, on the server's domain.

Andrew Bartlett

sollte alles klären

greez