Hi !

Ich habe schon vieles probiert, aber ich kann meinem WinXP Pro Client einfach nicht zu meiner Domäne SMB3 hinzufügen. Windows meint am Ende der Netzwerkerkennung immer nur:

"Der Benutzername konnte nicht gefunden werden."

und in der Datei /var/log/samba/log.frodo (mein Client) steht:

[2004/07/04 22:43:33, 0] smbd/service.c:set_admin_user(321)
root logged in as admin user (root privileges)

Aber wenn ich absichtlich ein falsches Passwort angebe kommt:

"Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort"

Jetzt wird auch kein Eintrag im log.frodo angelegt, denn das Passwort stimmt ja nicht. Aber den root Login mit dem richtigen Passwort erkennt Samba ja einwandfrei wie man im Logfile sehen kann.

Ich kann mich mit root auch einwandfrei über die Netzlaufwerke anmelden und auf die Daten zugreifen.

Und auf dem Client habe ich sogar schon in der Registry die Werte für
requiresignorseal und signsecurechannel auf 0 gesetzt.

Ich benutze für das automatische Anlegen von Machine Accounts und der User die smbldap-tools. Die scheinen auch super zu funktionieren, denn mein Client wird automatisch angelegt.

Ich weiß nicht mehr wo ich den Fehler suchen soll, aber das kann nur was kleines sein da ja alles andere zu funktionieren scheint.

Ein testparm gibt folgendes aus:

# Global parameters
[global]
dos charset = 850
unix charset = ISO8859-1
workgroup = SMB3
server string = Samba Server %v
min passwd length = 3
map to guest = Bad User
passdb backend = ldapsam:ldap://127.0.0.1/
username map = /etc/samba/smbusers
log level = 1
syslog = 0
log file = /var/log/samba/log.%m
max log size = 100000
deadtime = 10
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
printcap name = cups
add user script = /usr/local/sbin/smbldap-useradd -m "%u"
add group script = /usr/local/sbin/smbldap-groupadd -p "%g"
add user to group script = /usr/local/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/local/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/local/sbin/smbldap-usermod -g "%g" "%u"
add machine script = /usr/local/sbin/smbldap-useradd -w "%u"
logon script = logon.bat
logon path =
logon drive = Z:
logon home =
domain logons = Yes
os level = 65
preferred master = Yes
domain master = Yes
wins support = Yes
ldap suffix = dc=lokales,dc=netz
ldap machine suffix = ou=Computers
ldap user suffix = ou=Users
ldap group suffix = ou=Group
ldap idmap suffix = ou=Idmap
ldap admin dn = cn=admin,dc=lokales,dc=netz
ldap ssl = no
ldap passwd sync = Yes
ldap delete dn = Yes
admin users = '@Domain Admins', root, administrator
printer admin = '@Print Operators'
create mask = 0640
directory mask = 0750
nt acl support = No
printing = cups
dont descend = /proc,/dev,/etc,/lib,/lost+found,/initrd

[homes]
comment = Homeverzeichnis von %U, %u
read only = No
create mask = 0644
directory mask = 0775
browseable = No

[netlogon]
path = /home/netlogon/
browseable = No

[profiles]
path = /home/profiles
valid users = %U, 'Domain Admins'
force user = %U
read only = No
create mask = 0600
directory mask = 0700
guest ok = Yes
profile acls = Yes
browseable = No
csc policy = disable

[printers]
comment = Netzwerkdrucker
path = /home/spool/
guest ok = Yes
printable = Yes
print command = /usr/bin/lpr -P%p -r %s
lpq command = /usr/bin/lpq -P%p
lprm command = /usr/bin/lprm -P%p %j
browseable = No

[print$]
path = /home/printers
valid users = '@Print Operators'
write list = '@Print Operators'
create mask = 0664
directory mask = 0775

[public]
comment = Oeffentlicher Ordner
path = /home/public
read only = No
create mask = 0664
directory mask = 0775
guest ok = Yes

[tmp]
comment = Temporäre Dateien - TEST
path = /tmp

Hat da eventuell irgendjemand eine Idee?

Danke!

Gruß
Thorsten

in meiner bedienungsanleitung gab es einen fehler. Falls du diese verwendest, dann musst du noch einen gid0 und rid 0 user anlegen, damit dieser root gleich ist. Ausserdem ist bei mir in der slapd.conf die eintragung:

access to *
by * write

angetragen. Dadurch wird gewührleistet, dass erstmal jeder in der base vom openldap schreiben darf. was sagt die smb.conf, die slapd.conf und die /etc/ldap.conf..?

hier ist die bedienungsanleitung.. Der Fehler ist aber auch noch drin. Werde erst heute abend das korrigieren...

Hallo !


hier ist die bedienungsanleitung..

Wo denn? ;-)
Ich kenne deine Anleitung aber nicht. :rolleyes:

Gruß
Thorsten

Zweiter versuch.. Hatte diese auf dem USB stick..


Aufsetzen eines Suse Linux 9.1 Servers +
Samba 3.0.4(NT 4 Schema +PDC) + LDAP
Server 2.x Revision 1.7
1.0.0 Nachdem aufsetzen des Linux Servers müssen noch einige Packeges installiert werden.
Hierbei handelt es sich um die:

• make(per yast2)
• webmin((per yast2) danach aus dem webmin upgraden..)
• locate(per yast2)
• nss_ldap(per yast2)
• pam_ldap(per yast2)
• net::ssley(Suse unclude Perl Script(per yast2))
• net::ldap(Suse unclude Perl Script(per yast2))
• samba(server)(per yast2)
• samba(client)(per yast2)
• openldap Server 2.x(per yast2)
• crypt::smbhash(externes perl modul, ebenfalls ist zip da. Nur noch installieren.)
• smbldap-tools(vorbereites package ist schon da als zip. Bei neuer struktur neu anpassen)

!!!!!!!!!!!!!!!!Wichtig nach der installation ein YastOnlineUpdate zu machen und ein init 6
!!Samba noch in ruhe lassen, bis alles notwenigen Files drüben sind, sonst wird's kompliziert..

1.1.0Jetzt geht es dem OpenLDAP Server an den kragen mit dem Pfad /etc/openldap/slapd.conf:

################################################## #############################
# Die Include Files #
################################################## #############################

include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/samba3.schema

################################################## #############################
# Die pid Files #
################################################## #############################

pidfile /var/run/slapd/run/slapd.pid
argsfile /var/run/slapd/run/slapd.args

################################################## #############################
# Load dynamic backend modules: #
################################################## #############################

modulepath /usr/lib/openldap/modules



################################################## ##############################
# Die Access Definitions wer darf was.. #
################################################## ##############################

access to attrs=userPassword
by self write
by anonymous auth
by * none

access to attrs=sambaLMPassword
by self write
by anonymous auth
by * none

access to attrs=sambaNTPassword
by self write
by anonymous auth
by * none

access to *
by * read

################################################## ##############################
# bdb database definitions #
################################################## ##############################

database ldbm
suffix "dc=berlin-home,dc=local"
rootdn "cn=Manager,dc=berlin-home,dc=local"
# Cleartext passwords, especially for the rootdn, should
# be avoid. See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
rootpw secret
directory /var/lib/ldap
# Indices to maintain
index objectClass,uidNumber,gidNumber eq
index cn,sn,uid,displayName pres,sub,eq
index memberUid,mail,givenname eq,subinitial
index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq

1.1.1 Das war der OpenLDAP Server. Jetzt nur noch die Datei /etc/openldap/ldap.conf bearbeiten

################################################## ##############################
# Hier kommen die Base als Standardsuchpfad #
################################################## ##############################

BASE dc=berlin-home, dc=local
HOST 10.0.0.140

1.1.1.1 Den OpenLDAP Server starten mit /etc/init.d/ldap start

Der Server sollte ohne irgendwelche Probleme starten. Sollte es nicht der Fall sein, Fehler
ansehen und entsprechend versuchen zu beheben. Sonst kann man sich den Rest sparen.

1.1.2 Und jetzt kommt Samba dran(!! Aber den Samba noch nicht neu starten) mit der Datei
/etc/samba/smb.conf

# Samba config file created using SWAT
# from 10.0.0.139 (10.0.0.139)
# Date: 2004/06/18 20:13:45
# Global parameters

[global]
unix charset = ISO8859-1
workgroup = berlin-home
server string = Samba Server %v
interfaces = 10.0.0.140/255.255.255.0
bind interfaces only = Yes
client schannel = No
server schannel = No
map to guest = Bad User
passdb backend = ldapsam:ldap://10.0.0.140/
passwd program = /usr/local/sbin/smbldap-passwd %u
smb ports = 445 139 137
printcap cache time = 750
add user script = /usr/local/sbin/smbldap-useradd -m %u
add group script = /usr/local/sbin/smbldap-groupadd -p %g
add user to group script = /usr/local/sbin/smbldap-groupmod -m %u %g
delete user from group script = /usr/local/sbin/smbldap-groupmod -x %u %g
set primary group script = /usr/local/sbin/smbldap-usermod -g %g %u
add machine script = /usr/local/sbin/smbldap-useradd -w %u
logon path = \\linux2\profiles\%U
logon drive = X:
logon home = \\%L\%U\.9xprofile
domain logons = Yes
os level = 65
log level = 10
preferred master = Yes
domain master = Yes
wins support = Yes
# Ldap Suffix & Co.#
ldap suffix = dc=berlin-home,dc=local
ldap machine suffix = ou=Computers
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap admin dn = cn=Manager,dc=berlin-home,dc=local
ldap ssl = no
ldap delete dn = Yes
valid users = nobody, testuser1, root, Administrator
printer admin = @ntadmin, root, administrator
cups options = raw
store dos attributes = Yes

[homes]
comment = Home Directories
path = /home/%U
valid users = %U

[profiles]
comment = Network Profiles Service
path = /home/samba/profiles
valid users = %U, '@Domain Admins'
force user = %U
read only = No
create mask = 0600
directory mask = 0700
nt acl support = yes
csc policy = disable
profile acls = yes

[netlogon]
path = /home/samba/netlogon
write list = ntadmin
guest ok = Yes

[users]
comment = All users
path = /home
read only = No
inherit permissions = Yes
veto files = /aquota.user/groups/shares/

[groups]
comment = All groups
path = /home/groups
read only = No
inherit permissions = Yes

[pdf]
comment = PDF creator
path = /var/tmp
create mask = 0600
printable = Yes

[printers]
comment = All Printers
path = /var/tmp
create mask = 0600
printable = Yes
browseable = No

[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @ntadmin, root
force group = ntadmin
create mask = 0664
directory mask = 0775

[ldap]
path = /home/ldap
read only = No
guest ok = Yes

!!!!!!!!!! EXTREM WICHTIG fürs XP.. Über SWAT folgende Variablen anpassen:

map system = No
map hidden = No
map archive = No

Sonst werden die Profile IMMER schreibgeschützt geöffnet... Da wird man noch zum Affen..

Auch wichtig für die homes. Damit die Homes des Users gleich ins korrekte verzeichnis gemappt werden, wurde /home durch /home/%U ergänzt. Dafür aber muss beim smbldap configurationsscript die freigabe des Homes auf \\<Homeshare – Server>\%U angegeben werden.

!!!!!!!!!!Wichtig ist auch folgende Pfade gemäß der smb.conf zu erstellen:

mkdir /home/samba
mkdir /home/samba/netlogon
mkdir /home/samba/profiles
chmod 1777 /home/samba/profiles

1.1.3 Das war Samba(feel free to define your own new definitions). Jetzt müssen wir die nur noch
das Passwort aus der /etc/openldap/slapd.conf in die secrets.tdb schreiben. Das passiert mit dem
Befehl:

smbpasswd -w <passwort>

Dann einfach kucken, ob der eingetragen „cn=<manager>,dc=<erster wert>,dc=<zweiter wert> mit
dem übereinstimmt, dass in der smb.conf „ldap admin dn =“ + in der slapd.conf. Das Passwort was
wir eingetragen haben ist das, was Samba zur authentication mit LDAP benötigen wird, um die
Daten vom LDAP Server anzufordern.

1.1.4 Wer möchte kann noch die lmhosts unter /etc/samba füttern. Besser fürs Netbios.

# This file provides the same function that the lmhosts file does for
# Windows. It's another way to map netbios names to ip addresses.
# See section 'name resolve order' in the manual page of smb.conf for
# more information.
127.0.0.1 localhost
10.0.0.140 Linux2.TUX-NET
10.0.0.143 erfcl20001-xpp.TUX-NET

1.1.5 Wir kommen nun zu den wichtigsten Parts. Die /etc/ldap.conf:

################################################## #############################
# Host ist wohl jedem klar.. muss übereinstimmen.. Man kann auch LINUX2.TUX-NET machen.#
# Allerdings muss Linux2.TUX-NET DNS mässig auflösbar sein.Das ist der Hacken.. #
################################################## #############################

host 10.0.0.140

################################################## ##############################
# The distinguished name of the search base. Erleutrn muss man dies nicht.. Die Base-Adresse #
# worauf der Server zuerst gesucht werden soll #
################################################## ##############################

base dc=berlin-home,dc=local
ldap_version 3

# Das Binddn muss nicht unbedingt rein. Wenn was nicht funktionieren sollte, kann man es #
# rausnehmen, da die Accesscontroll vom Server auf * steht. #
binddn cn=nssldap,ou=DSA,dc=berlin-home,dc=local
bindpw nssldapsecret

port 389

scope sub

pam_password md5

nss_base_passwd ou=Users,dc=berlin-home,dc=local?one
nss_base_shadow ou=Users,dc=berlin-home,dc=local?one
nss_base_group ou=Groups,dc=berlin-home,dc=local?one

ssl No

1.1.6 Nun ist auch die Zauberdatei /etc/nsswitch.conf. In der müssen die fett folgenden Einträge
angepasst sein.

#
# /etc/nsswitch.conf
#
# For more information, please read the nsswitch.conf.5 manual page.
#
passwd: compat
shadow: files ldap
group: compat
passwd_compat: ldap
group_compat: ldap

hosts: files dns
networks: files dns
services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files
publickey: files
bootparams: files
automount: files nis
aliases: files

1.1.7 Und the last but not least.. Die wichtigsten Dateien überhaupt /etc/pam.d/login und /
etc/pam.d/passwd. Vorsicht ist angesagt.. Es gibt keine Config-Tools dafür(ausser füs Red Hat
Linux)

Als erstes schnappen wir uns die datei /etc/pam.d/login:

auth requisite pam_unix2.so nullok #set_secrpc
auth sufficient pam_ldap.so
auth required pam_securetty.so
auth required pam_nologin.so
auth required pam_env.so
auth required pam_mail.so

account sufficient pam_ldap.so
account required pam_unix2.so

password sufficient pam_ldap.so
password required pam_pwcheck.so nullok
password required pam_unix2.so nullok use_first_pass use_authtok

session sufficient pam_ldap.so
session required pam_unix2.so none # debug or trace
session required pam_limits.so

Und nun kommt die /etc/pam.d/passwd

#%PAM-1.0
auth sufficient pam_ldap.so
auth required pam_unix2.so nullok

account sufficient pam_ldap.so
account required pam_unix2.so

password sufficient pam_ldap.so
password required pam_pwcheck.so nullok
password required pam_unix2.so nullok use_first_pass use_authtok

session sufficient pam_ldap.so
session required pam_unix2.so

1.1.8 Jetzt müssen wir noch das Package crypt::SmbHash falls noch nicht installiert noch
installieren.

perl Makefile.PL
make
make test
make install

1.1.9 Wir sind nun fertig und doch nur am anfang. Jetzt kümmern wir ums füttern des LDAP
Servers.

Erstmal mit ./configure.pl die smbldap.conf und smbldap_bind.conf neu schreiben lassen.
Die darin angeforderten anfragen immer neu bestätigen.. Habe es nicht testen wollen, was
das Programm macht, wenn man nur enter drückt bei sachen, wo er den pfad zeigte. Sollte
die smbldap-tools sollte immer unter /usr/local/sbin drin sein, sonnst pfade anpassen. Wenn
das ./configure durchgelaufen ist, kann man sich dem script smbldap-populate widmen.
Dieses macht die ersten einträge. Es muss ohne Fehler durchlaufen.. Ansonsten wird 100%
Ärger/Probleme geben.

Beendet wird das ganze indem wir noch ein Zusatzscript laufen lassen. Es beinhaltet
folgende Einträge(ansich brachen wir auch nur die einträge mit dem nssldap):

dn: ou=DSA,dc=berlin-home,dc=local
objectClass: top
objectClass: organizationalUnit
ou: DSA
description: security accounts for LDAP clients

dn: cn=samba,ou=DSA,dc=berlin-home,dc=local
objectclass: organizationalRole
objectClass: top
objectClass: simpleSecurityObject
userPassword: defaultpwd
cn: samba

dn: cn=nssldap,ou=DSA,dc=berlin-home,dc=local
objectclass: organizationalRole
objectClass: top
objectClass: simpleSecurityObject
userPassword: defaultpwd
cn: nssldap

dn: cn=smbldap-tools,ou=DSA,dc=berlin-home,dc=local
objectclass: organizationalRole
objectClass: top
objectClass: simpleSecurityObject
userPassword: defaultpwd
cn: smbldap-tools

Jetzt wäre ein guter Zeitpunkt den Samba Server neu zu starten mit den Befehlen:
/etc/init.d/smb restart
/etc/init.d/nmb restart

1.2.0 Damit aber auch die Account laufen und richtig müssen noch die Passwörter richtig gesetzt
werden mit den folgenden commands:

ldappasswd -x -h 10.0.0.140 -D "cn=Manager,dc=berlin-home,dc=local" -s sambasecretpwd -W \
cn=samba,ou=DSA,dc=berlin-home,dc=local

Das Passwort was der LDAP Server euch fragt ist das Passwort, was in der slapd.conf drinsteht und
auch was ihr in der secrets.tdb verewigt habt.

ldappasswd -x -h 10.0.0.140 -D "cn=Manager,dc=berlin-home,dc=local" -s nssldapsecret \
-W cn=nssldap,ou=DSA,dc=berlin-home,dc=local

Bei diesem Account müsst ihr mit den Passwörtern vorsichtig sein, da dieser Account auch in
der /etc/ldap.conf als „binddn=“ samt Klartextpasswort eingetragen ist und dies auch
geändert werden muss, wenn ihr die Passwörter fü den Account ändert.

Das Passwort was der LDAP Server euch fragt ist das Passwort, was in der slapd.conf drinsteht und
auch was ihr in der secrets.tdb verewigt habt.

ldappasswd -x -h 10.0.0.140 -D "cn=Manager,dc=berlin-home,dc=local" -s smbldapsecretpwd \
-W cn=smbldap-tools,ou=DSA,dc=berlin-home,dc=local

Mal nach den SID nachkucken mit net groupmap ob alles ok ist.. das kommt raus wenn alles ok ist.

Domain Admins (S-1-5-21-1356524046-1554731702-4227933625-512) -> Domain Admins
Domain Users (S-1-5-21-1356524046-1554731702-4227933625-513) -> Domain Users
Domain Guests (S-1-5-21-1356524046-1554731702-4227933625-514) -> Domain Guests
Print Operators (S-1-5-32-550) -> Print Operators
Backup Operators (S-1-5-32-551) -> Backup Operators
Replicators (S-1-5-32-552) -> Replicators

1.2.0 Auch mit dem Tool von Pegacat Jxplorer die ID vom guest/nobody prüfen. Die
SambaSID muss auf 501 und die SambaPrimaryGroupSID muss auf 513 sein. Dann erst lässt
euch der Samba an dem LDAP ran. Ansonsten gibt es die schicke meldung: „Can't become
connected user“..

!!!!!!!!!!!!!!!!!Wichtig.. Beim Script die SID UNBEDINGT DER SYSTEMSID ANPASSEN.

Nun müssen auch noch einpaar Sachen beim XP gechanged werden... Und dass noch vor dem „In Domain einbinden“:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Netlogon\Parameters]
"requiresignorseal"=dword:00000000
"signsecurechannel"=dword:00000000

Und auch noch über den gpedit.msc als lokaler Administrator:

„Do not check for user ownership of Roaming Profile Folders“

Eigentlich sollte nun alles funktionieren. Sowohl das joinen der Domains als auch das Anmelden an
der Domain. Viel Spass noch.....

Danke für die Anleitung.
Ich werde mir das alles mal ansehen. Eventuell liegt das ja alles nur an diesen dummen WinXP Einstellungen.

Aber mal zwei andere Fragen:

1) In den Anleitungen steht immer man soll in die smb.conf eintragen:

ldap user suffix = ou=Users

Ist das ein extra Eintrag nur für die Samba User?
Weil bei mir die ganzen POSIX Accounts unter ou=People laufen.
Und macht es Probleme wenn ich die Samba Accounts von den
normalen Accounts trenne?

2) Ich habe einen POSIX Account über den sich die Benutzer per
SSH und von anderen Linux Clients anmelden können. Möchte ich
diesem User einen Samba Account anlegen muss ich was machen?

Ohne LDAP war das ja einfach. Den User in die Gruppe "samba" aufnehmen und per smbpasswd ein Passwort verpassen. Aber wie geht das jetzt mit LDAP und den smbldap-tools und ohne (!) SWAT?

Das steht nämlich auch nirgendwo.

Gruß
Thorsten

zum punkt 1.. Du kannst auch

ldap user suffix = ou=People

verwenden.. Hauptsache ist, dass du alle meine einträge wo ou=Users ist bzw. der verweis auf die Users zeigt mit deinem People ändern.

zum zweiten.. Damit die ssh leute auch über das ldap gescannt werden, müsstest du die in den pam.d rumschrauben(glaube ich), wird aber um einiges komplizierter..

punkt 2 subpunkt.. smbldap-useradd -a <name des users> und enter..

Ok, dann schmeisse ich alle LDAP Einträge vom Samba wieder raus und mache das alles mit People.

Das mit SSH ist kein Problem. Das läuft ja alles ohne Probleme und auf den Clients werden auch alle LDAP Benutzer im Loginfenster angezeigt. In der passwd gibt es nur noch zwei Benutzer (root und admin), alle anderen existieren nur in LDAP.

Aber SAMBA will einfach nicht.


Wofür ist denn das hier?


dn: cn=nssldap,ou=DSA,dc=berlin-home,dc=local
objectclass: organizationalRole
objectClass: top
objectClass: simpleSecurityObject
userPassword: defaultpwd
cn: nssldap

dn: cn=smbldap-tools,ou=DSA,dc=berlin-home,dc=local
objectclass: organizationalRole
objectClass: top
objectClass: simpleSecurityObject
userPassword: defaultpwd
cn: smbldap-tools

Also LDAP läuft bei mir auch ohne cn=nssldap usw. super. Sogar mit TLS und SASL Verschlüsselung.

Und wenn ich 'net groupmap list' eingebe spuckt mein System mir folgendes aus:


Domain Admins (S-1-5-21-1579901544-1957658197-3152043611-512) -> Domain Admins
Domain Users (S-1-5-21-1579901544-1957658197-3152043611-513) -> Domain Users
Domain Guests (S-1-5-21-1579901544-1957658197-3152043611-514) -> Domain Guests
Print Operators (S-1-5-32-550) -> Print Operators
Backup Operators (S-1-5-32-551) -> Backup Operators
Replicators (S-1-5-32-552) -> Replicators

Scheint alles in Ordnung zu sein.
Wie ist das denn bei Suse mit den smbldap-tools?
Macht Yast das alles automatisch oder muss man da wie bei Debian "smbldap-populate" aufrufen?

Ich kann ja mal meine Samba Logfiles posten.
Welches Loglevel ist denn sinnvoll?
Auf 10 wird die Datei ja ekelhaft groß.

Och verdammt. Wieso habe ich immer solche Probleme? :-(

Gruß
Thorsten

Gut das du es sagst.. Das ist ein überbleibsel aus den alten idealx bedienungsanleitung fürs redhat system.. Sind zusatzaccounts zur Administration.. Sind aber *******e, weil zumindest bei mir hat es nicht so ganz funktioniert. muss ich aus meiner manual mal rausknallen.



dn: cn=nssldap,ou=DSA,dc=berlin-home,dc=local
objectclass: organizationalRole
objectClass: top
objectClass: simpleSecurityObject
userPassword: defaultpwd
cn: nssldap

dn: cn=smbldap-tools,ou=DSA,dc=berlin-home,dc=local
objectclass: organizationalRole
objectClass: top
objectClass: simpleSecurityObject
userPassword: defaultpwd
cn: smbldap-tools


Stimmt!.


Und wenn ich 'net groupmap list' eingebe spuckt mein System mir folgendes aus:

Domain Admins (S-1-5-21-1579901544-1957658197-3152043611-512) -> Domain Admins
Domain Users (S-1-5-21-1579901544-1957658197-3152043611-513) -> Domain Users
Domain Guests (S-1-5-21-1579901544-1957658197-3152043611-514) -> Domain Guests
Print Operators (S-1-5-32-550) -> Print Operators
Backup Operators (S-1-5-32-551) -> Backup Operators
Replicators (S-1-5-32-552) -> Replicators


neee.. Das Yast macht in sachen ldap garnichts.. oder es ist so kompliziert, dass ich es nicht geraft habe(oder man muss sich suse samt buch kaufen, um es zu begreifen).

Die smbldap-tools sind auch unter suse verdammt gut zu gebrauchen, jedoch braucht man vorher vernünftige Informationen, da man bei suse ansonsten bei den /etc/pam.d/login & /etc/pam.d/passwd für die saubere ldap authentifikation sich auf die schnauze packt.. Alles andere heißt testen. Ich habe z.B. herrausgefunden

lt. samba-manual von idealx in der smb.conf die add script ... schreiben die %u mit "%u". Swat mag aber die "" garnicht.. Wenn später dir deine config übers swat machen willst, wird er die "%u" samt %u rausnehmen. Aber, man kann anstelle von ""(gänsefüsschen) ''(Hochgestelltes Komma) nehmen.. Dann geht es.

und ausserdem muss unter Suse 9.1 einige Sachen wie in meiner manual zusammenkommen, damit es mit den smbldap-tools klappt. Aber auch nur erst ab der version 0.8.5

und wenn schon. egal wie gross deine log.smbd ist.. schick sie doch mal per mail an petertzvetanov@web.de.. auch die smb.conf wäre toll. Und achja.. hast du mit
smbpasswd -w <das passwort in der slapd.conf rootpw definiert würde.>

gesetzt..?