Also ich versuche hier gerade einen Win2k client zum überreden meinem Samba Pdc mit Openldap backend beizutreten.
Ich kann durch die eingabe des mit phpldapadmin eingerichteten Benutzers bereits auf Ordner auf dem Server zugreifen. Bloß das beitreten der Domäne funktioniert nicht.

Ich denke es liegt daran, dass der Benutzer keine root Rechte hat. Nur wie kann ich das ändern?
Habe bei google und mit der Forum suche unterschiedliche Angaben gefunden. Probiert habe ich die uid auf 0 zu setzen was aber nicht geholfen hat.

Gruß
psych

erste anlaufstelle: debug level erhoehen und logs studieren
ohne genauere information hilft hier kaum einer weiter

greez

Also ich versuche hier gerade einen Win2k client zum überreden meinem Samba Pdc mit Openldap backend beizutreten.
Ich kann durch die eingabe des mit phpldapadmin eingerichteten Benutzers bereits auf Ordner auf dem Server zugreifen. Bloß das beitreten der Domäne funktioniert nicht.

Ich denke es liegt daran, dass der Benutzer keine root Rechte hat. Nur wie kann ich das ändern?


Der Benutzer mit dem Du der Domäne beitrittst, braucht AFAIK keine root-Rechte. Es sollte der user sein, den Du samba mit "smbpasswd -w" bekanntgeben hast - meist wohl der ldap-admin.

HTH,
mamue

Es sollte der user sein, den Du samba mit "smbpasswd -w" bekanntgeben hast - meist wohl der ldap-admin.
das würde bedeuten, dass ich für die samba-admin-dn, mit der der smbd die LDAP DB pflegt, sambaattribute benötige, da dies ja auch ein account in der domäne sein muss, damit man überhaupt rechner der domäne joinen kann

das muss man nicht so machen. es reicht, wenn man einen account anlegt und ihm mittels der samba SE-privilegien "net rpc rights ..." das recht einräumt, einer domaene zu joinen (SeMachineAccountPrivilege)

greez

das würde bedeuten, dass ich für die samba-admin-dn, mit der der smbd die LDAP DB pflegt, sambaattribute benötige, da dies ja auch ein account in der domäne sein muss, damit man überhaupt rechner der domäne joinen kann

greez

Ich würde das verneinen wollen. Ich bin da jetzt gerade etwas ins Schwitzen gekommen, da ich nicht ständig samba-ldap server einrichte, aber ich fand noch einen, bei dem folgendes steht:
smb.conf:
ldap admin dn = "cn=manager,dc=geaendert,dc=office"
ldapsearch -x uid=manager:


dn: uid=manager,ou=accounts,dc=geaendert,dc=office
objectClass: top
objectClass: inetOrgPerson
objectClass: posixAccount
cn: manager
sn: manager
uid: manager
uidNumber: 1003
gidNumber: 513
homeDirectory: /home/manager
loginShell: /bin/false

Keine samba-attribute. Ich bezweifle, dass ich diesen Account überhaupt benötige. In der Übersetzung des Howto steht:


Bevor Samba auf den LDAP-Server zugreifen kann, müssen Sie das LDAP-Administrator-Passwort in die Samba-3-Datenbank secrets.tdb speichern:
root# smbpasswd -w secret

Also ist der LDAP-Admin gemeint, nicht ein samba-user mit Admin Rechten, wenn ich das recht verstehe. Man kann sicher auch einen anderen User nehmen, der Schreibzugiffe auf die entsprechenden Zweige hat.

mamue

@mamue
wir wollen doch nicht wieder aneinander vorbeireden :-D

du beziehst deine aussagen komplett auf das backend, ich meine auf den DC
da ich bei deinem ersten post noch nicht wusste, dass du auf das backend fixiert bist, habe ich geschlussfolgert, dass du den account, der ins backend schreibt, auch als account zur authentifizierung in der domaene nimmst

man tritt einer domaene nicht als der nutzer bei, der das backend pflegt, sondern als priviligierter nutzer mit samba attributen

hier wollte ich nur ein wenig klarheit schaffen :-)

btw: hier stimmt doch was nicht ;-)
dn: uid=manager,ou=accounts,dc=geaendert,dc=office
ldap admin dn = "cn=manager,dc=geaendert,dc=office"

den account scheinst du wirklich zu nichts zu gebrauchen :-D