PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : LinuxClient in WinDomäne mit LinuxServer?



jimmy0815
21.12.09, 09:04
hallo,

grrm...grausiger Titel...
Folgende Situation, ein Netzwerk mit einem LinuxServer auf dem eine WinDomäne läuft,
WindowsClients die sich auch wunderbar an der Domäne anmelden. Nun sollen LinuxClients dazu.
Ich arbeite da mit Ubuntu 9.10 und als Grundlage nehme ich dieses Howto:
http://wiki.ubuntuusers.de/Samba_Winbind

Die Configs:
/etc/hosts:

127.0.0.1 localhost testclient
192.168.1.1 DOM2
# The following lines are desirable for IPv6 capable hosts
::1 localhost ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters
ff02::3 ip6-allhosts


/etc/krb5.conf:

[libdefaults]
default_realm = DOM2
ticket_lifetime = 24000
clock_skew = 300
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true



v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true

[realms]

DOM2 = {
kdc = 192.168.1.1:88
admin_server = 192.168.1.1:464
default_domain = DOM2
}



[domain_realm]
.dom2 = DOM2
dom2 = DOM2


[login]
krb4_convert = true
krb4_get_tickets = false


/etc/samba/smb.conf:

[global]
security = ads
realm = DOM2
password server = 192.168.1.1 #IP des Domain Controllers
workgroup = DOM2
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind cache time = 10
winbind use default domain = yes
template homedir = /home/%U
template shell = /bin/bash
client use spnego = yes
client ntlmv2 auth = yes
encrypt passwords = yes
restrict anonymous = 2
domain master = no
local master = no
preferred master = no
os level = 0

Ich glaub das müssten alle relevanten Configs vom Client sein...
Versuche ich nun mit net ads join -U test.admin@DOM2 mich einzuloggen, bekomme ich:

Enter test.admin@DOM2's password:
Failed to join domain: Invalid configuration ("realm" set to 'DOM2', should be '(null)'"security" set to 'ads', should be 'domain') and configuration modification was not requested

Dieser Fehler entspricht ja irgendwie nicht dem Howto, nor?
Versuche ich es ohne ADS, also mit smb.conf:

[global]
workgroup = DOM2
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
template homedir = /home/%U
winbind enum users = yes
winbind enum groups = yes
winbind cache time = 10
winbind separator = +
winbind use default domain = yes
security = domain
password server = *
encrypt passwords = yes
domain master = no
local master = no
preferred master = no
os level = 0
und net join rpc -U test.admin@DOM2
bekomme ich "Joined Domain DOM2"
Also es hakt mit dem ADS.
Allerdings funktioniert das nur mit dem test.admin so. Bei allen anderen Usern, sei es auch mit den selben Rechten bekomme ich:

Enter anderer.admin@DOM2's password:
could not open domain: NT_STATUS_ACCESS_DENIED
Unable to join domain DOM2.

Woran liegts?

grüße
dennis

Stormbringer
21.12.09, 09:22
Folgende Situation, ein Netzwerk mit einem LinuxServer auf dem eine WinDomäne läuft,
Was denn nun?
Eine domain, oder ein ADS? samba3 oder samba4?
Bildet der LinuxServer den domain controller, oder ist obige Aussage von dir nur mangelhaft ausgedrückt?

jimmy0815
21.12.09, 09:38
Hmm, ehrlich gesagt, ich hab von ADS und Domänen keine Ahnung.
Es ist eine Domäne, der LinuxServer ist der DomainController, soviel kann ich sagen.
Auf dem TestClient läuft Samba3

grüße
dennis

Stormbringer
21.12.09, 16:19
Hmm, ehrlich gesagt, ich hab von ADS und Domänen keine Ahnung.
Es ist eine Domäne, der LinuxServer ist der DomainController, soviel kann ich sagen.
Auf dem TestClient läuft Samba3

grüße
dennis
samba3 kann keinen ADS bilden, also ist es schlicht eine (Windows NT-kompatible, oder LanMan-kompatible) domain.
Somit ist als security schon einmal 'user' zu wählen, und nicht ADS.
Für die genauen Daten solltest Du auf jeden Fall mal die entsprechende Doku lesen - denn einiges von den Einträgen in der smb.conf ist somit wahrlich überflüssif, u. U. gar störend.