PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba ADS Join mit differenzierten Domänen-Rechten



a_gabriel
16.05.06, 13:15
Hallo,

ich habe ein Problem, unseren Samba Server (3.0.22, deb-Pakete von samba.org) unter Debian 3.1 Sarge in eine Windows AD-Domäne einzubinden. Dazu gibt es ja auch genügend Anleitungen im Netz. Allerdings ist unser AD speziell konfiguriert (worauf ich keinen Einfluss habe!). Es können nämlich normale Benutzer Computer zu Domäne hinzufügen, so dass die lokalen Administratoren keine Admin-Rechte in der Domäne haben. Dies klappt mit Windows-Computern auch akzeptabel. Mit Samba funktioniert der Standard-Weg aber nicht:


server:~# net ads join "Germany\Computers"
[2006/05/14 21:49:50, 0] libads/ldap.c:ads_join_realm(1772)
ads_join_realm: ads_add_machine_acct failed (server): Insufficient access
ads_join_realm: Insufficient access

Ich kann mich mit "kinit user" erfolgreich an Kerberos anmelden und dann z. B. mit "smbclient -k ..." ohne Passwort, d.h. über Kerberos / AD auf Server zugreifen.

In einem Testnetz habe ich die Anleitungen zu Joinen auch befolgen können. Es scheint mit an den begrenzten Domänen-Rechten zusammen zu hängen.

Mich wundert, dass offensichtlich das Joinen eines Windows-Computers ganz anders abläuft.

Hat da jemand Erfahrungen? Oder weiß, wo ich weiter suchen kann? Google erschlägt mich mit Lösungen, bei der man auch in der Domäne Admin-Rechte hat (d. h. das hilft nicht).

Vielen Dank für Eure (hoffentlich eintreffenden :-) ) Tipps.
Armin

bla!zilla
16.05.06, 18:21
Es können nämlich normale Benutzer Computer zu Domäne hinzufügen, so dass die lokalen Administratoren keine Admin-Rechte in der Domäne haben.

Die Gruppe der lokalen Administratoren, bzw. deren Mitglieder, haben nie Admin-Rechte in der Domäne. Aber du brauchst min. die Rechte eines Domänenadministrators damit du Rechner zu einer Domäne hinzufügen kannst. Ich verstehe daher dein Problem nicht. Was ist bei euch so speziell?

a_gabriel
17.05.06, 00:30
Hallo bla!zilla,

das war vielleicht etwas mißverständlich. Mit "lokale Administratoren" sind Personen gemeint. Diese haben Benutzerkonten in der Domäne mit "Benutzer"-Rechten, und sind auch zu der lokalen "Administratoren"-Gruppe hinzugefügt.

Mit "speziell" meine ich, dass jeder normale Benutzer in unserem AD das Recht hat, Computer zur Domäne hinzuzufügen, ohne in der Domain-Administratorengruppe zu sein. Dies funktioniert auch mit Windows-Computern, aber nicht mit Samba. Genau das ist mein Problem.

Viele Grüße,
Armin

bla!zilla
17.05.06, 08:20
Was habt ihr denn da geändert, wenn normale Benutzer die Rechte eines Domänen-Administrators haben? Supported ist das ganze sicher nicht.

a_gabriel
17.05.06, 10:16
Hallo bla!zilla,

die Benutzer haben keine Domänenadministrator-Rechte. Das wäre dann zuviel des Guten. Man kann aber im AD das Recht "Computer zur Domäne hinzufügen" über die AD-Verwaltung auch an beliebige Benutzer / Gruppen vergeben. Eine Beschreibung dazu findet sich z. B. unter [1].

Zum Thema Support: Warum sollte das nicht supportet sein? Unter Windows klappt das ja auch. Ob Microsoft allerdings Samba supported, weiß ich eh nicht :-) .

Viele Grüße,
Armin

[1] http://docs.hp.com/en/7212/ADSJoinMinimumPerms.pdf

bla!zilla
17.05.06, 21:48
Ich weiß das sowas geht....:rolleyes: Aber das weicht doch vom Standard ab. Ich würde einen Bug beim Samba Team melden, in der Hoffnung das der nicht gleich wieder geschlossen wird - weil das nicht wirklich standardkonform ist.

a_gabriel
19.05.06, 10:28
Hallo bla!zilla,

darüber hatte ich auch schon nachgedacht. Zuerst wollte ich nur die Erfahrungen anderer einholen, denn vielleicht habe ich ja etwas übersehen.

Bei der Standardkonformität sehe ich das übrigens nicht so kritisch wie Du, das ist ein offiziell von Microsoft dokumentiertes Verfahren (die Join-Rechte auch an Benutzer zu vergeben). Ich weiß aber nicht, ob es nicht protokolltechnisch unterschiedliche Möglichkeiten zum Joinen gibt, von denen Samba eine andere benutzt.

Trotzdem danke für die Hilfe. Anhand der Meldungen auch auf der Samba-Mailingliste scheint das wirklich problematisch zu sein.

Viele Grüße,
Armin

bla!zilla
19.05.06, 11:53
Bei der Standardkonformität sehe ich das übrigens nicht so kritisch wie Du, das ist ein offiziell von Microsoft dokumentiertes Verfahren (die Join-Rechte auch an Benutzer zu vergeben). Ich weiß aber nicht, ob es nicht protokolltechnisch unterschiedliche Möglichkeiten zum Joinen gibt, von denen Samba eine andere benutzt.


Von MS abgenickt? Nun gut... wenn das so ist. Mir ist zwar kein Usecase bekannt in dem ich einem User das Recht geben müsste Rechner zu einer Domäne hinzuzufügen, aber gut. Hast du da mal einen Link?



Trotzdem danke für die Hilfe. Anhand der Meldungen auch auf der Samba-Mailingliste scheint das wirklich problematisch zu sein.


Ich denke einfach das Samba wegen den geänderten Rechten auf die Nase fällt. Aber da kann dir das Samba Team sicherlich mehr helfen.

a_gabriel
25.05.06, 10:15
Hallo bla!zilla,


Hast du da mal einen Link?

Ich habe zwar im Moment keine Links zur Hand, aber ich denke, dass unsere Domainadmins das mit Microsoft geklärt haben. Die haben da einen guten Kontakt (behaupten sie wenigstens :) ) Außerdem erscheint diese Möglichkeit in einigen MS-Knowledgebase-Dokumenten. Auf jeden Fall scheint die neue Samba-Version 3.0.23 das Problem zu lösen, wenn ich die Ankündigung richtig interpretiere:


Rewritten 'net ads join' to mimic Windows XP without
requiring administrative rights to join a domain.

Ich werde die neue Version mal testen, und falls es dann noch nicht geht, muss ich wohl die Samba-Mailingliste kontaktieren.

Danke für Deine Mühen,
Armin