PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba / Kerberos - Windows Domäne



Cordial
06.10.10, 23:54
Moin,

Benutze Open Suse 11.3 in Verbindung mit einem Windows 2003 Server mit der Domäne: Domäne.local

Ich bin per Winbind und Kerberos mit dem AD bereits verbunden, sprich ich sehe die User der Domäne in der "Passwd", aber leider nicht in "Group" die Domänengruppen (Wbinfo -g zeigt mir die Gruppen an), . Nun möchte ich gerne auf die Freigabe auf dem Linux drauf, aber ich komme schon garnicht auf den Linuxserver vom Windows 2003 Server aus drauf, denn hier kommt schon eine Benutzerabfrage mit Passwort...

Hier meine krb5.conf:


[logging]
default = FILE:SYSLOG:NOTICE:DAEMON
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log

[libdefaults]
default_realm = Domain.LOCAL
clockskew = 300

[realms]
DOMAIN.LOCAL = {
default_domain = domain.local
kdc = SRVEASY.DOMAIN.LOCAL
admin_server = SRVEASY.DOMAIN.LOCAL
}

[domain_realm]
.domain.local = DOMAIN.LOCAL

[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
minimum_uid = 1
clockskew = 300
external = sshd
use_shmem = sshd
}


Hier meine SMB.Conf:

[global]
idmap gid = 10000-15000
client use spnego = yes
encrypt passwords = yes
winbind use default domain = yes
realm = DOMAIN.LOCAL
netbios name = OffSRV
server string = OFFSRV
idmap uid = 10000-15000
winbind enum users = yes
password server = srveasy.domain.local
workgroup = DOMAIN
winbind enum groups = yes
security = ads
winbind separator = /

[daten]
browseable = yes
create mask = 0770
directory mask = 0770
comment = Daten Honsberg
writeable = yes
path = /srv/daten
valid users = Administrator
read only = no
guest ok = no

Hier meine nsswitch.conf:

passwd: files winbind
group: files winbind

hosts: files mdns4_minimal [NOTFOUND=return] dns
networks: files dns

services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files nis
publickey: files

bootparams: files
automount: files nis
aliases: files


Wie gesagt, auf dem Linuxserver werden mir die User von der Domäne angzeigt, aber nicht die Gruppen der Domäne (Wbinfo -g zeigt mir die Gruppen an), aber ich scheitere schon über Windows, über das Windows-Netzwerk auf den Linuxserver zuzugreifen. Weiss jetzt irgendwie auch nicht mehr weiter. Jemand eine Idee?

MFG
Peter

Cordial
07.10.10, 10:01
So, ich kann nun per getent passwd + group alle Benutzer und Gruppen sehen :) Musste die smb.confg etwas ändern, aber..

Ich komme zwar, vom Windows Server, auf die Freigabe, aber wenn ich dort was erstellen möchte, bekomme ich die Fehlermeldung "Zugriff verweigert" :(

Hier meine SMB.Conf nur mit der Dateifreigabe:

[daten]
browseable = yes
create mask = 0770
directory mask = 0770
comment = Daten
writeable = yes
path = /srv/daten
valid users = Administrator
read only = no
guest ok = no

Jemand eine Idee? Eigentlich müsste es doch nun so gehen...

Stormbringer
07.10.10, 11:14
Hier meine SMB.Conf nur mit der Dateifreigabe:

[daten]
browseable = yes
create mask = 0770
directory mask = 0770
comment = Daten
writeable = yes
path = /srv/daten
valid users = Administrator
read only = no
guest ok = no

Jemand eine Idee? Eigentlich müsste es doch nun so gehen...

Stimmen denn die Berechtigungen auf Dateisystemebene?

Cordial
07.10.10, 11:22
@Stormbringer

Hallo,

also ich habe einfach einen Ordner /daten unter /srv angelegt und zwar als "root" und dann habe ich die SMB.Conf angepasst und den Server gestartet. Mehr habe nicht gemacht. Dachte Samba übernimmt nun die Berechtigungssteuerung?

Cordial
07.10.10, 11:56
@Stormbringer

Das wars! Die lokalen Berechtigungen! Ich habe einfach mal mit chown administrator /srv/daten eingegeben und nun kann ich in der freigabe als administrator alles anlegen :) ABER...

möchte nicht doppelt pflegen, sprich die lokalen Berechtigungen und dann nochmal die Samba. Wäre es so machbar:

Lokalen Ornder /srv/daten mit dem User + Gruppe "nobody" vom Linux voll berechtigen und den Zugriff mit Benutzer + Gruppen über Samba dann nur noch steuern?

Mit der Gruppe "nobody" kann doch jeder auf den Ordner lokal zugreifen, der auch in der passwd gesehen wird oder nicht?

Cordial
08.10.10, 11:22
Moin,

Ich habe eigentlich nur noch ein Problem.

Wenn ich "valid users = @Alle" für die Freigabe angebe, dann bekomme ich vom Windows keinen Zugriff drauf? Mit einzelnen Users klappt es wunderbar. Hab schon allmögliche Variationen versucht:

@DOMAIN+alle
@DOMAIN\alle
@"DOMAIN+alle"
@alle

Die Gruppe alle wird mit "getent group" korrekt angzeigt. Ich weiss hier nicht meher weiter. Jemand eine Idee?

pibi
14.10.10, 12:09
Die Gruppe alle wird mit "getent group" korrekt angzeigt. Ich weiss hier nicht meher weiter. Jemand eine Idee?Wie bereits Strombringer schrub, muessen auch die Berechtigungen auf Linux-Ebene stimmen. Das heisst, wenn die Gruppe "@DOMAIN\alle" zugreifen koennen soll, muss sie auch dazu berechtigt werden.
chgrp "DOMAIN\alle" <directoryname>Sieht zwar auf den ersten Blick ungewohnt aus, funktioniert aber. Alternativ kannst Du auch das entsprechende Directory mal testhalber "worldwide" freigeben.

Gruss Pit.