PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba 3.x als Domänen-Mitglied



isAG.fz
25.04.07, 13:23
Ich habe mich an die Anleitung von Pro-Linux (http://www.pro-linux.de/work/server/samba3-domaene.html) gehalten wie man Linux als Domänenmitglied einbindet, es funktioniert alles perfekt. Nun hab ich noch ein paar Fragen, vielleicht hat jemand von euch schon Erfahrungen damit gesammelt.

Folgende Situation: Der Linuxserver ist komplett eingebunden, kann Benutzer und Gruppen aus dem Windows Katalog abrufen. Wenn nun der Windows Server neustartet muss auf dem Linuxserver winbind neu gestartet werden damit er Benutzer und Gruppen wieder abrufen kann. Gibt es vielleicht einen Script der dies überwacht und per Crontab stündlich checkt ob Benutzer und Gruppen abrufbar sind und dann winbind restartet? Oder gibt es vielleicht eine Möglichkeit in der Samba Konfiguration?

Welche Möglichkeiten gibt es wenn der Windows Server mit der jeweiligen Domänenstruktur ausfällt die Freigaben mittels Samba trotzdem zu ermöglichen? Kann ich die Benutzer, Gruppen und passwörter irgendwie temporär speichern dass eine anmeldung nach wie vor möglich ist auch wenn der Windows Server ausfällt? Wie habt ihr das gelöst?

Ich will die Konfiguration dass Samba nur ein Domänemitglied ist und somit Benutzer und Gruppen über die Datenbank bekommt nicht ändern. Es soll kein PDC oder BDC sein in diesem Sinne will ich im Fall der Fälle, falls der Windows Server ausfallen sollte den Usern trotzdem ermöglichen die Freigaben des Linux Servers verwenden zu können.

Hier mal ein ausschnitt der Konfig dateien:

smb.conf


[global]
workgroup = ISAG
netbios name = suselinuxENT10
realm = ISAG.LOCAL
idmap uid = 10000-15000
idmap gid = 10000-15000
winbind separator = +
winbind use default domain = Yes
security = ADS
encrypt passwords = yes
password server = isag-dc.isag.local
client use spnego = yes
username map = /etc/samba/usermap
server string = Test VM Server

[linux]
comment = rootshare only for admins
path = /
read only = No
browsable = No
writeable = Yes
create mask = 0775
directory mask = 0775
force create mode = 0775
valid users = ISAG+w.baur ISAG+c.schuetz ISAG+f.ziegler
force user = root
force group = root

[user]
comment = user directory
path = /user
valid users = @ISAG+mun
read only = No
browsable = Yes
writeable = Yes
create mask = 0770
directory mask = 0770
force create mode = 0770
force user = service
force group = mun

[homes]
root preexec = /etc/samba/fa_mkhomedir.sh
/home/%U "ISAG+%U" "DOMAIN+Domain Users"
comment = home directory
path = /home/%U
valid users = ISAG+%U
read only = No
create mask = 0770
directory mask = 0770
force create mode = 0770
browsable = No


krb5.conf


[libdefaults]
default_realm = ISAG.LOCAL
clockskew = 300

[realms]
ISAG.LOCAL = {
kdc = ISAG-DC.ISAG.LOCAL
}

[domain_realms]
.isag.local = ISAG.LOCAL

[logging]
default = FILE:/var/log/krb5/krblibs.log
kdc= FILE:/var/log/krb5/kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON

[appdefaults]
pam={
ticket_lifetime = ld
renew_lifetime = ld
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = true
}


nsswitch.conf


passwd: compat winbind
group: compat winbind

emba
30.04.07, 12:05
hm, tricky...

winbindd bietet zwar caching, aber dafuer muesstest du samba gegen pam authentifizieren. moeglich, aber umstaendlich - soweit die theorie

greez