PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Suse 9.1 und Aktiv directory



Leberle
27.04.04, 11:20
Hi,

ich habe mir schon ein paar Anleitungen zu Samba durchgelesen, aber nie die richtige antwort gefunden:

Kann ich mich über Samba unter Linux mit einem Benutzer aus einer Windows 2000 Active Directory anmelden, so das ich auch die selben rechte habe?


Hintergrund:
Ich bin gerade dabei zu testen, wie sich ein Linux CLIENT in einem (grossem) Windows 2000 Netzwerk tut. Das gesamte Netzwerk sonst basiert auf Windows.

Es währe nett wenn mir jemand weiterhelfen könnte, auch gerne mit externen links, ich sauge alles an infos auf :)

MfG
Leberle

troubadix
27.04.04, 12:52
Hallo,

das ganze sollte mittels winbind funktionieren. Ende dieser Woche kann ich
Dir sicherlich mehr sagen da meine Suse 9.1 unterwegs ist (freu) ;)

Wenn ich das richtig gesehen habe ist ein Yastmodul mittlerweile dabei um
die Konfiguration durchzuführen (Samba Client) .. war vorher nicht drin.

Troubadix

Terran Marine
27.04.04, 15:35
Hallo,

das ganze sollte mittels winbind funktionieren. Ende dieser Woche kann ich
Dir sicherlich mehr sagen da meine Suse 9.1 unterwegs ist (freu) ;)


Afaik man winbind nur mit NT4-PDCs kommunzieren, in einer reinen ADS ohne PDC-Emulator dürfte dies dann also leider nicht funktionieren.
(Aber ich lasse mich gerne vom Gegenteil überzeugen).

http://de.samba.org/samba/docs/man/winbindd.8.html

Gruß
Terran

Leberle
27.04.04, 15:54
Afaik man winbind nur mit NT4-PDCs kommunzieren, in einer reinen ADS ohne PDC-Emulator dürfte dies dann also leider nicht funktionieren.
(Aber ich lasse mich gerne vom Gegenteil überzeugen).

http://de.samba.org/samba/docs/man/winbindd.8.html

Gruß
Terran
ich hab das hier gefunden. http://gertranssmb3.berlios.de/output/winbind.html Aber irgendwie komm ich mit den ganzen kürzeln nich zurecht.

Weisst du vielleicht wie das geht Terran Marine?

Terran Marine
27.04.04, 16:23
ich hab das hier gefunden. [url]
Weisst du vielleicht wie das geht Terran Marine?

Hab es selbst noch nicht eingerichtet,

aber soviel ist es garnicht, nsswitch einrichten, smb.conf anpassen und der Windows Domäne beitreten.

Bist du sicher das hier noch eine "gemischte" (heisst das glaubich) ADS habt mit PDC-Emulator ?

Gruß
Terran

Leberle
27.04.04, 16:43
Hab es selbst noch nicht eingerichtet,

aber soviel ist es garnicht, nsswitch einrichten, smb.conf anpassen und der Windows Domäne beitreten.

Bist du sicher das hier noch eine "gemischte" (heisst das glaubich) ADS habt mit PDC-Emulator ?

Gruß
Terran


ne, hab grad nachgefragt. Unsere ADS läuft im Native Mode, das heisst kein PDC-Emulator.
Gibt es trozdem ne möglichkeit?

Terran Marine
27.04.04, 16:58
ne, hab grad nachgefragt. Unsere ADS läuft im Native Mode, das heisst kein PDC-Emulator.
Gibt es trozdem ne möglichkeit?

Zumindest nicht über winbind, denke ich.

Eventuell müsste es über ldap gehen, aber da habe ich keine Ahnung.

DanielHH
27.04.04, 17:25
Ich hab mal ein wenig danach gesuch und folgendes HowTo gefunden. Sag mal Bescheid, ob das funktioniert, das steht mir evtl. auch noch bevor. :D

Linux and Active Directory (http://www.pcquest.com/content/linux/104010509.asp)

Leberle
27.04.04, 17:36
Ich hab mal ein wenig danach gesuch und folgendes HowTo gefunden. Sag mal Bescheid, ob das funktioniert, das steht mir evtl. auch noch bevor. :D

Linux and Active Directory (http://www.pcquest.com/content/linux/104010509.asp)
hört sich doch schon einal gut an. Nur scheint es dort nur um das hinzufügen von PC's zur ADS zu gehn, und nicht um das benutzen der User Konten aus ADS.

Aber ich werds morgen mal probieren und mich dann wieder melden.

Vielen dank auf jeden fall schonmal :)

EDIT:
Ich hab jetzt noch etwas gefunden:
http://jaxen.ratisle.net/~jj/nss_ldap-AD_Integration_how-to.html

aber man muss dafür was an der ADS ändern, und ich glaube das ist nur für einen Test PC nicht möglich.
Aber ich suche weiter.

emba
28.04.04, 12:08
oh, hätte besser lesen sollen
aber prinzipiell sollte es doch, wie die anderen sagen, via winbindd gehen



ist das nicht die lösung ?

Both Samba-2.2, and Samba-3 can join an Active Directory domain. This is possible if the domain is run in native mode. Active Directory in native mode perfectly allows NT4-style Domain Members. This is contrary to popular belief. Active Directory in native mode prohibits only the use of Backup Domain Controllers running MS Windows NT4.

If you are using Active Directory, starting with Samba-3 you can join as a native AD member. Why would you want to do that? Your security policy might prohibit the use of NT-compatible authentication protocols. All your machines are running Windows 2000 and above and all use Kerberos. In this case Samba as an NT4-style domain would still require NT-compatible authentication data. Samba in AD-member mode can accept Kerberos tickets.
Example Configuration
realm = your.kerberos.REALM
security = ADS

The following parameter may be required:
password server = your.kerberos.server

Please refer to Domain Membership and Samba ADS Domain Membership for more information regarding this configuration option.

http://de.samba.org/samba/docs/man/howto/ServerType.html#id2517226

greez

Leberle
28.04.04, 16:33
mal ne frage (nicht lachen ich bin anfänger ;) ):

Was ist Kerberos?



Zu meiner erklärung mit dem ändern der Methods in der ADS um mit Linux zugreifen zu können:
Zitat Domänen Admin "Ich tret dich ans Knie!"
:D

Wird also nix mit an der ADS rumkonfigurieren. Damit ich aber trozdem an meinem Projekt weiterarbeiten kann haben wir eine Zwischenlösung erarbeitet: Ich teste erst die ganze software die in unserem Netzwerk laufen soll, mit einem Localem User, da ich damit trozdem auf Domino Server usw zugreifen kann.
Und wenn diese Tests erledigt sind bastel ich mir schnell nen eigenen 2003 server mit ADS und ein paar policies und teste dann ob sie miteinander kommunizieren können.

Terran Marine
28.04.04, 16:38
mal ne frage (nicht lachen ich bin anfänger ;) ):

Was ist Kerberos?

Zu meiner erklärung mit dem ändern der Methods in der ADS um mit Linux zugreifen zu können:
Zitat Domänen Admin "Ich tret dich ans Knie!"
:D


Kerberos ist ein Authentifizierungsmechanismus, welche u.a. einer Windows ADS benutzt wird, gibt auch Implentierungen unter Linux.

http://web.mit.edu/kerberos/www/

Und das dir dein Win Admin ans Bein tritt, wenn du mal eben zu Testen das Schema der ADS ändern willst, hätte ich dir vorher sagen können, damit kannst du nämlich die ganze irreparabel beschädigen ;) (was auch seinen Reiz hat).

Gruß
Terran

Leberle
28.04.04, 16:46
Und das dir dein Win Admin ans Bein tritt, wenn du mal eben zu Testen das Schema der ADS ändern willst, hätte ich dir vorher sagen können, damit kannst du nämlich die ganze irreparabel beschädigen ;) (was auch seinen Reiz hat).

Gruß
Terran
deshalb wollt ichs mal machen :D

Wenn ich dich jetzt richtig verstehe dann ist Kerberos schon in JEDER(?) ADS implementiert? Wenn ja, dann hab ich ja garkein Problem mehr und kann mich ans basteln tun :)

troubadix
30.04.04, 13:35
Afaik man winbind nur mit NT4-PDCs kommunzieren, in einer reinen ADS ohne PDC-Emulator dürfte dies dann also leider nicht funktionieren.
(Aber ich lasse mich gerne vom Gegenteil überzeugen).

http://de.samba.org/samba/docs/man/winbindd.8.html

Gruß
Terran

Hi,

na ja ich konnte das nun mal ausprobieren (bei 9.1 ist ja nun endlich eine Samba client im Yast drin) und das sieht schon mal prima aus.

Ich konnte der Domäne beitreten und bekomme nun im loginfenster alle Domänuser ==> das einzige "plobemchen" ist noch das nicht automatisch das homedirectory angelegt wird (in der form /home/DOMAIN/user).

Nachtrag: ach so ganz vergessen wir haben hier eine W2000 Domain.

troubadix

Leberle
30.04.04, 14:02
Hi,

na ja ich konnte das nun mal ausprobieren (bei 9.1 ist ja nun endlich eine Samba client im Yast drin) und das sieht schon mal prima aus.

Ich konnte der Domäne beitreten und bekomme nun im loginfenster alle Domänuser ==> das einzige "plobemchen" ist noch das nicht automatisch das homedirectory angelegt wird (in der form /home/DOMAIN/user).

Nachtrag: ach so ganz vergessen wir haben hier eine W2000 Domain.

troubadix
im native oder mixed mode?
wenn im native, wie hasde das hinbekommen??

EDIT:
So, ich bin soweit gekommen das ich in der Domäne bin, aber dann sagt er mir, das winbindd nich gestartet werden konnte :(