PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Verständnisfrage/Problem mit SMBA(Domain)+LDAP



Bloggy
11.01.08, 12:37
Hallo,

Ich habe hier einen Samba und LDAP Server, die eine Domäne Verwalten sollen, bisher bin ich soweit das ein Client sich schon Anmelden darf/kann.

Hier erstmal meine smb.conf

#======================= Global Settings =======================

[global]
workgroup = GE-TDF
netbiosname = Atlantis
server string = Atlantis Server
wins support = yes
; wins server = w.x.y.z
dns proxy = yes
name resolve order = lmhosts host wins bcast
interfaces = lo eth0
bind interfaces only = true
log file = /var/log/samba/log.%m
max log size = 1000
; syslog only = no
syslog = 0
panic action = /usr/share/samba/panic-action %d
unix charset = "UTF-8"
security = user
encrypt passwords = true
update encrypted = yes
nt acl support = yes
; username map = /etc/samba/smbusers
passdb backend = ldapsam:ldap://127.0.0.1
obey pam restrictions = no
ldap admin dn = cn=admin,dc=gesamtschule,dc=troisdorf,dc=schulnetz
ldap suffix = dc=gesamtschule,dc=troisdorf,dc=schulnetz
ldap group suffix = ou=groups
ldap user suffix = ou=people
ldap machine suffix = ou=machines
ldap idmap suffix = ou=people
; guest account = nobody
; invalid users = root
; unix password sync = no
; passwd program = /usr/bin/passwd %u
; passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n *password\supdated\ssuccessfully* .
ldap passwd sync = yes
passwd program = /usr/sbin/smbldap-passwd "%u"
passwd chat = *New*password* %n\n *Retype*new*password* %n\n *all*authentication*tokens*update*
add user script = /usr/sbin/smbldap-useradd -a -m "%u"
ldap delete dn = yes
;delete user script = /usr/sbin/smbldap-userdel "%u"
add machine script = /usr/sbin/smbldap-userass -a -w "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
;delete group script = /usr/sbin/smbldap-groupdel "%g"
add user to group script= /usr/sbin/smbldap-groupmod -m "%u" "%g"
;delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script= /usr/sbin/smbldap-usermod -g "%g" "%u"
; pam password change = no
domain logons = yes
logon path = \\%L\profiles\%G\%U\windows\%a
logon drive = L:
logon home = \\%L\profiles\%G\%U\data
; logon script = logon.cmd
; add user script = /usr/sbin/adduser --quiet --disabled-password --gecos "" %u
; load printers = yes
; printing = bsd
; printcap name = /etc/printcap
; printing = cups
; printcap name = cups
; printer admin = @ntadmin
; include = /home/samba/etc/smb.conf.%m
socket options = TCP_NODELAY
; message command = /bin/sh -c '/usr/bin/linpopup "%f" "%m" %s; rm %s' &
domain master = yes
; idmap uid = 10000-20000
; idmap gid = 10000-20000
; template shell = /bin/bash
; winbind enum groups = yes
; winbind enum users = yes

#======================= Share Definitions =======================

;[homes]
; comment = Home Directories
; browseable = no
; writable = no
; create mask = 0700
; directory mask = 0700
; valid users = %S

[netlogon]
comment = Network Logon Service
path = /home/samba/netlogon
guest ok = yes
writable = no
share modes = no

[Webserver]
comment = Intranet
path = /home/www
valid users = root, "@Administrators", "@Domain Admins"
force group = www-data
force user = www-data
guest ok = no
writable = yes
create mask = 644
directory mask = 755

[Administration]
comment = Administration
path = /home/samba/administration
valid users = root, "@Administrators", "@Domain Admins"
; force group =
; force user =
guest ok = no
writable = yes
create mask = 640
directory mask = 750


[profiles]
comment = Users profiles
path = /home/
guest ok = no
browseable = no
create mask = 0600
directory mask = 0700
profile acls = yes
default case = lower
preserve case = no
case sensetive = no

;[printers]
; comment = All Printers
; browseable = no
; path = /var/spool/samba
; printable = yes
; public = no
; writable = no
; create mode = 0700

;[print$]
; comment = Printer Drivers
; path = /var/lib/samba/printers
; browseable = yes
; read only = yes
; guest ok = no
; write list = root, @ntadmin

;[cdrom]
; comment = Samba server's CD-ROM
; writable = no
; locking = no
; path = /cdrom
; public = yes
; preexec = /bin/mount /cdrom
; postexec = /bin/umount /cdrom

Also wenn ich
+ einen Machine im LDAP anmelde z.B.: "R110C001" (als Machinenkonto) so kann ich diesen Client in die Domäne aufnehmen (wunderbar!)
+ einen Benutzer erstelle "administrator" mit der Gruppe "Administrators" so darf sich dieser nun an dem eben in die Domäne aufgenomenen Client anmelden (wunderbar!)

Jetzt zu der dummen Sache, aber dazu erstmal ein "ls -l" von /home

4 drwxr-x--- 3 root Administrators 4096 2008-01-11 10:06 Domain Admins
4 drwxr-xr-x 13 dummy dummy 4096 2008-01-11 11:37 dummy
16 drwx------ 2 root root 16384 2007-12-31 12:21 lost+found
4 drwxr-xr-x 4 root root 4096 2008-01-10 11:42 samba
4 drwxr-x--- 2 root Students 4096 2008-01-11 09:15 Students
4 drwxr-x--- 2 root Teacher 4096 2008-01-11 09:20 Teacher
4 drwxr-xr-x 4 www-data www-data 4096 2008-01-10 12:53 www


hier ein "ls -l" von /home/Domain Admins

4 drwx------ 5 ntadmin Domain Admins 4096 2008-01-11 09:32 ntadmin


ein "ls -l" von /home/Administrators/ntadmin

4 drwx------ 2 ntadmin Domain Admins 4096 2008-01-11 09:31 data
4 drwx------ 2 ntadmin Domain Admins 4096 2008-01-11 09:31 linux
4 drwx------ 7 ntadmin Domain Admins 4096 2008-01-11 09:38 windows


Zur Information
+ "Eigene Dateien" unter Linux und Windows speichern in das "./data"
+ "profiele" unter Windows kommen ins "./windows" bzw. "/windows/WinXP oder ./windows/Win2K
+ "Linuxhome" ist das "./linux"

Und jetzt zu meinem Problem!

Auf dem Windowsclient anmelden funktioniert! zwar kann noch kein Profiel gespeichert oder gelesen werden (es gibt auch noch keins!) doch wenn ich als Benutzer "ntadmin" aus der Gruppe "Domain Admins" nun auf "\\Atlantis\profiles\Domain Admins\ntadmin\data" gehe darf ich nichts Speichern, er sagt ich hätte keine Zugriffsrechte, und wenn ich auf dem Windowsclient Rechtsklick auf "/profiles.../data" mache -> "Eigenschaften" -> "Sicherheit" so zeigt er mir an das "GE-TDF/ntadmin" eigentlich hier schreiben dürfen müsste... aber leider geht es nicht <- und das ist mein Problem, was habe ich falsch gemacht? die Zugriffsrechte sind doch richtig oder irre ich mich?

PS: Wenn ihr für Antworten noch auszüge aus Configs benötigt sagt bescheid, so liefer ich sie nach!

Bloggy
11.01.08, 12:38
BITTE ENTSCHULDIGT, ich bin "ja" so richtig DUMM

writable = yes <- das unter [profiles] einfügen wirkt wunder :ugly:

hab es gerade gesehen :(