Hallo zusammen!

Ich bin gerade dabein einen Linux-Rechner mit SLES 10 in eine W2k3-Domäne einzubinden. Ziel ist es, das ganze später bei uns ins Firmennetzwerk zu übertragen damit sich die admins mit ihren Windows-Benutzerkennungen auf den Linux-Servern anmelden können.
Zur Zeit läuft das ganze noch in einer kleinen Test-Domäne, die ich eingerichtet habe.

Ich habe es bereits geschafft, dass man sich mit den Benutzernamen aus dem Active Directory anmelden kann. Auch Home-Verzeichnisse usw. werden angelegt. Vieles Googlen hat mich da schon recht weit gebracht.

mit wbinfo -u und wbinfo -g kann ich die User bzw. Gruppen anzeigen lassen.
getent passwd zeigt alle user (lokal+ads) an, getent groups zeigt auch alle gruppen an.

Aber bisher habe ich es noch nicht geschafft eine Beschränkung einzurichten, sodass sich nur User einer bestimmten Gruppe auf den Servern anmelden können. Zum test habe ich eine Gruppe namens "LinuxUser" angelegt, welche eben zum Anmelden an den Linux-Maschinen berechtigt sein soll, alle anderen jedoch nicht.

Wo kann ich das bestimmen?

mit dem attribut

valid users = @DOMAENE/LinuxUsers (separator ist auf "/")

ging es jedenfalls nicht. das hat auch keine Wirkung gezeigt, wenn ich dort einen bestimmten User angegeben habe.

Also wo kann ich das fest legen, oder geht das gar nicht?

Danke schonmal für eure Hilfe.

valid users ist schon richtig dafuer (wenn du hier von samba logins sprichst). erhoehe mal das debug level, dann siehst du, warum er den parameter nicht auswertet

greez

ja, ich denke schon, dass es dabei um die Samba-Logins geht.
Die User werden eben auf dem W2k3-Server im Active Directory angelegt und man soll sich dann auf dem Linux-Rechner mit den normalen Windows-Benutzernamen anmelden können.
Und das Anmelden funktioniert eben, nur die Beschränkung der User noch nicht. Das Debuggen werd' ich mal ausprobieren.
Aber spontan fällt mir gar ned ein wie ich das genau Anstelle (bin Linux-technisch noch sehr grün hinter den Ohren).
Naja, ich versuch's mal mit googlen, aber man darf es mir hier auch gerne hin schreiben :)

ich habe nun eine Lösung gefunden die funktioniert

in der Datei /etc/security/pam_winbind.conf

kann man ein paar Dinge einstellen, wenn man in /etc/pam.d/login (oder den anderen files) für die Authentifizierung pam_winbind.so angegeben hat.

in der pam_winbind.conf gibt es u.a. auch die Option

require_membership_of =

Hier kann man angeben, dass zur erfolgreichen authentifizierung der User einer bestimmten SID zugehören muss. Statt der SID kann man auch den Namen der Gruppe in der Form DOMÄNE\Gruppe angeben.

Nur so ich was sehe (hab ja auch bisschen rum probiert) kann man da immer nur eine Gruppe angeben. Für mich wird das aber warscheinlich reichen.

Die Gruppen-Beschränkung greift überall dort, wo man bei pam
auth ... pam_winbind.so
drin hat.

Ich werd mal noch weiter sehen, ob es eine möglichkeit gibt das ganze für mehrere Gruppen zu machen

haettest du dich klarer ausgedrueckt, haettest du die info eher bekommen koennen ;)

es handelt sich hierbei nicht um samba logins sondern lokale logins

greez