PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba 3 / PDC + LDAP Verständnisfrage



Tshunsh
01.04.06, 13:39
Hallo Leute,

das Thema Samba mit LDAP Benutzerverwaltung wurde hier schon oft angesprochen,
dennoch verstehe ein paar Punkte nicht.
Ich habe Unter Suse 10.0 ein Fileserver mit Samba aufgesetzt und als PDC eingerichtet, funktioniert bestens, sprich die Windows Clients treten in die Domain bei etc, dann habe ich ein LDAP Server eingerichtet und smb.conf
entsprechend erweitert, damit das zusammen Spiel zwischen Samba und LDAP funktioniert und genau da liegt mein Problem.

Die erste Frage lautet:
Mit welchem Benutzer kann man ein Rechner in die Domain aufnehmen?
Wie erstellt man ein root Account im LDAP?

Für das besser Verständnis poste ich hier die smb.comf und meine LDAP Struktur.



[global]
workgroup = TUX-NET
server string = Samba-PDC
netbios name = Myserver
printing = cups
printcap name = cups
printcap cache time = 750
cups options = raw
map to guest = Bad User
include = /etc/samba/dhcp.conf
logon path = \\%L\profiles\.msprofile
logon home = \\%L\%U\.9xprofile
logon drive = X:
logon script = %U.bat
add machine script = /sbin/yast /usr/share/YaST2/data/add_machine.ycp %m$
# add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
domain logons = Yes
domain master = Yes
security = user
local master = Yes
os level = 65
encrypt passwords = yes
update encrypted = yes
# passdb backend = smbpasswd
preferred master = Yes
ldap idmap suffix = ou=Idmap
ldap machine suffix = ou=Computers
ldap suffix = dc=myserver,dc=local
ldap admin dn = cn=Admin,dc=myserver,dc=local
# ldap filter = "(&(uid=%u)(objectclass=sambaAccount))"
ldap ssl = off
passdb backend = ldapsam:ldap://localhost
ldap group suffix = ou=Group
ldap user suffix = ou=People
# idmap backend = ldapsam:ldap://localhost




# ldapsearch -x

# extended LDIF
#
# LDAPv3
# base <> with scope sub
# filter: (objectclass=*)
# requesting: ALL
#

# myserver.local
dn: dc=myserver,dc=local
objectClass: dcObject
objectClass: top
objectClass: namedObject
dc: myserver

# Admin, myserver.local
dn: cn=Admin,dc=myserver,dc=local
objectClass: person
cn: Admin
sn: Admin
description: "LDAP Manager"

# Computers, myserver.local
dn: ou=Computers,dc=myserver,dc=local
objectClass: top
objectClass: organizationalUnit
ou: Computers
description: Computers

# People, myserver.local
dn: ou=People,dc=myserver,dc=local
objectClass: top
objectClass: organizationalUnit
ou: People
description: People and Accounts

# Group, myserver.local
dn: ou=Group,dc=myserver,dc=local
objectClass: top
objectClass: organizationalUnit
ou: Group
description: LAN Groups

# ldapconfig, myserver.local
dn: ou=ldapconfig,dc=myserver,dc=local
objectClass: top
objectClass: organizationalUnit
ou: ldapconfig

# eugen, myserver.local
dn: uid=eugen,dc=myserver,dc=local
cn: eugen
gidNumber: 100
homeDirectory: /home/eugen
loginShell: /bin/bash
objectClass: top
objectClass: posixAccount
objectClass: shadowAccount
objectClass: inetOrgPerson
shadowInactive: -1
shadowLastChange: 13238
shadowMax: 99999
shadowMin: 0
shadowWarning:
sn: eugen
uid: eugen
uidNumber: 1003

# search result
search: 2
result: 0 Success

# numResponses: 8
# numEntries: 7


Für Eure Mühen möchte ich mich schon im Voraus bedanken
mfg Tshunsh

masteryoda1047
01.04.06, 15:52
wenn du Samba in Verbindung mit OpenLDAP Verwenden möchtest, zieh dir unbedingt dieses HowTo rein:

http://samba.idealx.org/smbldap-howto.en.html


Dort sind all deine Fragen gut erklärt.

mfg

Tshunsh
01.04.06, 17:17
Danke für die schnelle Antwort, die Seite habe ich mir schon angeschaut, nur leider mein
Englisch lässt zum wünschen übrig.:rolleyes: Das ist übrigens eine sehr komplizierte Methode einen LDAP Dienst einzurichten und administrieren.
Mit YaST und phpLDAPadmin ist es um einiges einfacher.
Was ich eigentlich wissen möchte ist folgendes:
Wie erstelle ich ein root Account für LDAP(ist das überhaupt nötig?)
Wie wird ein Machinenkonto erstellt und vor allem wo?
Wofür sind smbldap-tools eigentlich gut?

mfg Tshunsh

ramsys
03.04.06, 23:35
Sie smbldaptools erledigen das anlegen für die Benutzerkonten und Maschinenaccounts wenn du es entsprechend in der smb.conf einträgst. Das ganze wird dann über den usrmgr aus nt erledigt. Das Maschinenkonto wird dann beim Domänenbeitritt automatisch angelegt. Siehe mal embas howto dazu. Dort steht alles. Der Ldaprootaccount ist der der die schreibrechte im directory hat. Ohne den können keine Benutzer und Maschinenaccs angelegt werden.

Tshunsh
04.04.06, 15:18
Ehrlich gesagt bin ich mit meinem Latein im Moment am Ende.
Wie LDAP funktionirt habe ich im groben verstanden und kann z.B einen User
einlegen der sowohl ein Systen und Samba Account hat, das gleiche gilt auch für
die Gruppen und Machinen, alles gar kein Problen. Die smbldap-tools sinds auch net und funktioniren,wenn ich die ,als root manuel auf der konsole benutze.
Was ich bis jetzt immer noch nicht kapiere, wie wird ein Adminkonto für LDAP erstellt:confused:
Ich habe mir schon Einleitungen eigeschaut und folgende vorgeensweise ist ersichtlich: In /etc/openldap/slapd.conf definirt man

suffix dc=mydomain,dc=org
rootdn "cn=Admin,dc=mydomain,dc=org"
rootpw {SSHA}CNpEOM8/teaC3jY6wBjF13saNejdngDc

Für samba solte man als root smbpasswd -w eingeben?
Das was, mehr zum Tehma habe ich leider nicht gefunden.

Nun soweit so gut, wenn ich versuche ein Windows Rechner in die Domaine einzuchengen mit oben genantem Account (User=Admin, Passwort=rootpw)
das wird immer mit der Fehlermeldung quitirt das der User nich gefungen worden ist.

mfg Tshunsh:confused:

hauih
06.04.06, 14:17
Also ich administriese LDAP über den LDAP Account manager. Das ist ein sehr schönes grafisches Tool und damit kommen eigentlich keine Fragen mehr auf. Schau dir dsa mal an

emba
09.04.06, 16:18
http://www.linuxforen.de/forums/showthread.php?t=174854

in deutsch

greez

Tshunsh
11.04.06, 01:21
Hallo,

@emba
an dieser stelle möchte ich ein Lob aussprechen für deinen niedergeschriebenes Werk.
Respekt!!! Alles soweit schön und gut aber es gibt ein kleines Problem.
Opensuse 10 ist leider nicht SLES 9, aber nichts desto trotz könnte man aus dem Tutorial
ne menge lernen!!! In zwischen habe ich gravierende Probleme beim LDAP einstig mit
erfolg gelöst und bin sogar ein wenig auf sich. Die hier gestellte Frage über LADP-Admin
war meiner Meinung nach schon berechtigt, weil ich mit LDAP an sich kein Problem hatte.
Die Vorgehensweise unter Opensuse ist leider wesentlich umfangreicher als ein Dreizeiler.
Auf jeden Fall alle Infos haben mich stück für stück zum Ziel gebracht.

Danke an Alle!!!

mfg Tshunsh:cool: