PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Linux Client in WinNT Domäne



Webdude
07.12.01, 12:10
Hallo
Ich habe glaube ein etwas komplizierteres Problem.
Ich schildere erstmal die Situation.

Ich habe einen Linuxrechner in eine NT4 Domäne eingebunden.
Nun will ich mich mit den Benutzern der NT Domäne am Linuxrechner anmelden. Linux soll die Benutzer also mit dem NT PDC authentifizieren.
Nur, ich weiss nicht genau wie das gehen soll und ob das überhaupt möglich ist.

Ich habe es mit winbind und pam_smb versucht, beide male erfolglos.
Mit pam_smb war ich immerhin schon soweit, das Linux die User mit dem PDC authentifiziert hat, es hat also dort nachgeschaut ob der User exisitiert und ob sein Passwort stimmt.
Nur, ich will die User ja nicht vorher lokal auf dem Linuxrechner anlegen.
Ich muss mich mit jedem beliebigen NT User am Linux PC anmelden könne, ohne das für diesen User bereits ein lokales Profil erstellt wurde.
Der lokale User soll von Linux bei der ersten Anmeldung automatisch angelegt werden, mit home Verzeichnis.
Ich habe mit pam_mkhomedir.so rumexperimentiert, hat leider auch nichts gebracht.

Ist sowas überhaupt möglich? Hat das schon mal jemand geschafft?
Es geht darum unseren Chefs hier in der Firma zu beweisen, das Linux als Desktopsystem ein gleichwertiger oder besserer Ersatz für Windows ist.
Wenn die Domänenanmeldung nicht klappt, kann man das leider vergessen.

howlcoyote
08.12.01, 14:37
Linux IST ein besserer Ersatz. Soviel mal vorweg.

Wenn Du Linux als BDC einrichtest (habe da noch keine Erfahrung mit), dann musst Du ja auch die Daten vom NT-PDC bekommen. Also:

1) Daten vom NT-PDC exportieren (am besten in Textdatei oder so)
2) Daten per Skript in Linux einlesen (useradd)

Webdude
08.12.01, 16:08
Das ist nicht das was ich vorhabe.
Ich will keinen Linux BDC oder PDC machen. Ich will eine Linux Workstation in eine NT Domäne einbinden und ich will nicht alle User aus der Userdatenbank auf dem Linuxrechner anlegen.
Ich will das, wenn sich ein User mit seinem NT Benutzernamen und Kennwort, zum ersten Mal an dem Linuxrechner anmeldet, sein Profil automatisch erstellt wird.
Ob Benutzername und Kennwort überhaupt stimmen soll der Linuxrechner auf dem PDC oder einem BDC überpüfen.
Also genau so, wie wenn ich mich auf einem NT Rechner in der Domäne anmelde.

Wenn das nicht funktioniert, ist Linux leider kein Ersatz für NT in grossen Netzwerken.

howlcoyote
08.12.01, 16:33
Was heißt hier "kein Ersatz in großen Netzen"? Ein Linuxrechner kann komplette BDC- und PDC-Funktionalität übernehmen. Eine volle Migration von WinNT auf Linux ist möglich! Man kann die Linuxkiste sogar mit den vorhandenen Windows Admintools verwalten! Also was heißt hier "kein Ersatz"? Nur Deine Vorgehensweise ist ungewöhnlich.

Du hast mich offensichtlich falsch verstanden und bist selber etwas auf der falschen Fährte!

Was ich meinte ist nicht, daß Du einen BDC einrichten sollst, sondern nur die Vorgehensweise nutzen sollst, um die Benutzer auf Linux zu portieren.

Und das willst Du nicht? Kannst Du das bitte begründen?

Webdude
08.12.01, 16:43

Webdude
08.12.01, 16:51
Wie genau soll mir das helfen? Bitte erklären.
Ich will keine User auf Linux portieren. Ich will mich einfach nur mit jedem Benutzer der auf dem NT PDC existiert auf dem Linuxrechner anmelden können, ohne das vorher die Benutzer auf dem Linuxrechner angelegt wurden.
Dazu will ich nicht die gesamt Userdatenbank auf den Linuxrechner kopieren so wie das winbind macht, wenn ich mich nicht irre. Bei einigen hundert Clients ist es in einem Netz unmöglich das sich jeder Rechner alle 10, 15 Minuten die komplette Userdatenbank runterlädt.

Was ich hier versuche zu lösen, ist nichts Ungewöhnliches. Linux muss nur genau das können was Windows auch kann.
Wenn das nicht geht ist Linux für mich kein Ersatz für Windows, da ich ein einem grossen Netz (in meinem Fall ca. 500 Rechner) eine zentrale Benutzerdatenbank brauche und auch keine User manuell auf jedem Rechner anlegen kann. Der Administrationsaufwand wäre einfach untragbar.

SpaceRat
10.12.01, 08:27
Ich fuehl mich jetz hier etwas verarscht.
Microsoft wird hier in aller hoechsten Toenen gelobt. Das Domaenenprinzip is eigentlich gerade nur und ausschliesslich fuer kleine Netzwerke gedacht (max 15 Zeichen im Namen iirc).

Tut mir leid, aber vielleicht solltest du die Samba-Doku mal lesen.

Ein genervter,
SpaceRat

Webdude
10.12.01, 19:58
Vielleicht solltest du dir solche unnötigen Kommentare mal sparen und nicht soviel Unsinn labern.
Ich hab die Frage hier nicht gestellt um eine Grundsatzdiskussion anzuregen, sondern weil ich ein Problem zu lösen habe bei dem es um viel Geld und die Zukunft von Linux in unserer Firma geht.
Wenn du den Beitrag aufmerksam gelesen hättest, wäre dir sicher nicht entgangen das dieser pro Linux ist.

Also, in Zukunft bitte nur noch hilfreiche Kommentare oder spar es dir.

Vielleicht kann sich mal ein Mod des ganzen annehmen und dem Unsinn löschen.

frock
16.07.03, 12:49
Original geschrieben von Webdude
Hallo
Ich habe glaube ein etwas komplizierteres Problem.
Ich schildere erstmal die Situation.

Ich habe einen Linuxrechner in eine NT4 Domäne eingebunden.
Nun will ich mich mit den Benutzern der NT Domäne am Linuxrechner anmelden. Linux soll die Benutzer also mit dem NT PDC authentifizieren.
Nur, ich weiss nicht genau wie das gehen soll und ob das überhaupt möglich ist.

Ich habe es mit winbind und pam_smb versucht, beide male erfolglos.
Mit pam_smb war ich immerhin schon soweit, das Linux die User mit dem PDC authentifiziert hat, es hat also dort nachgeschaut ob der User exisitiert und ob sein Passwort stimmt.
Nur, ich will die User ja nicht vorher lokal auf dem Linuxrechner anlegen.
Ich muss mich mit jedem beliebigen NT User am Linux PC anmelden könne, ohne das für diesen User bereits ein lokales Profil erstellt wurde.
Der lokale User soll von Linux bei der ersten Anmeldung automatisch angelegt werden, mit home Verzeichnis.
Ich habe mit pam_mkhomedir.so rumexperimentiert, hat leider auch nichts gebracht.

Ist sowas überhaupt möglich? Hat das schon mal jemand geschafft?
Es geht darum unseren Chefs hier in der Firma zu beweisen, das Linux als Desktopsystem ein gleichwertiger oder besserer Ersatz für Windows ist.
Wenn die Domänenanmeldung nicht klappt, kann man das leider vergessen.


Hi,
ich habe haargenau das gleiche vor. ;-)
Bzw. habe ich auch meine Probleme.
Der Linuxclient ist ein SuSE 8.2, der WINNT-PDC ein WINNT 4.0 Server.

Wie wollen ca. 100 Clienten im Fertigungsbereich auf Linuxclienten umstellen.
Als Installationshilfe habe ich http://www.thonix.net/linux/samba/Installing_Samba_with_Winbind_Support_and_integrat e_into_an_NT_Domain_DE.html
durchgeführt.

Ich kann mich erfolgreich an der Domäne joinen.
Mit Wbinfo -u bekomme ich ne Fehlermeldung "error searching in domain" (oder so).
getent kennt er gar nicht.

Hier hakt es (zunächst mal).

Irgendwo habe ich nen Denkfehler....

Sambaversion ist 2.2.8

Kennt jemand ein Prozedere wie man den Fehler einkreisen kann?

@Webdude
Hast Du mittlerweile etwas erreicht?
Übrigens wird, glaube ich, mittels Winbind nicht die ganze Usergruppe hin und her kopiert, sondern bei der jeweiligen Notwendigkeit (Anmeldung z.B) der Prozess durchgeführt.
Berichtigt mich, wenn ich mich täusche.

MfG
Frock

Webdude
16.07.03, 17:07
Erreicht haben wir, das unsere NT4 Domäne wahrscheinlich durch Samba + LDAP abgelöst wird.
Der führende Verzeichnisdienst wird LDAP bzw. Domino sein, und für alte NT Clients werden die User zu Samba DC's repliziert. Mehr kann ich dazu noch nicht sagen.
Das Ganze wird auch von 2 externen Firmen durchgeführt werden.
Microsoft wollte uns unbedingt Active Directory verkaufen und hat absolute Kampfpreise gemacht (Steve Ballmer hat mit meinem Chef geredet :ugly: ), war aber immer noch viel viel teuerer wie die Opensource Lösung.

frock
25.07.03, 05:48
ich habs hinbekommen.

du mußt, um einen grafischen login zu ermöglichen, das pam module pam_xauth.so (ich glaub die heißt so, bin hier zuhaus, das projekt läuft auf der arbeit) anpassen.

auf jeden fall fehlen die rechte des x11 logins.
einfach die winbind.so einfügen für auth,account und session.

die oft gefragte pam_stack.so für SuSE ist nicht nötig.

mit pam_mkhomedir habe ich dann ein homeveruzeichnis erstellt --> hat geklappt.
ohne homedir schmiert dein kde beim einloggen ab.

jetzt erstelle ich noch ein klasse profil, was beim einloggen geladen wird, und dann sehen wir weiter.

seufz



Gruß Frock


[der sich schämt, das das ein paar tage gedauert hat]

LinuxGimp
29.06.04, 09:04
hat jemand vielleicht eine genauere Anleitung? Ich habe das gleiche Problem bzw vorhaben, allerdings keine Erfahrung mit winbind oder diesem pam...

blauerfuchsfuch
20.11.07, 20:22
Hi,

hatte das gleiche Problem auf 'nem Debian-Samba.


Erst als ich in der /etc/pam.d/common-session das pam_mkhomedir.so VOR pam_unix und pam_winbind gestellt habe gings :)



session required pam_mkhomedir.so skel=/etc/skel/ umask=0022 debug
session sufficient pam_unix.so
session required pam_winbind.so use_first_pass debug

temir
21.11.07, 20:56
@blauerfuchsfuch: Danke für den Tipp! SuSE hatte nur:


session optional pam_mkhomedir.so

in der /etc/pam.d/common-session-pc - gleich nach "... limits.so".
Vorsichtshalber habe ich eben deine Variante benutzt (mit umask=0027) und siehe da:
jeder Domain-Mitglied (AD Server 2003) kann sich an der Kiste zum KDE anmelden.