PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Debian Server in AD einbinden



rolandb
31.07.15, 10:08
Hallo,
ich habe ein Windows Netzwerk mit Active Directory. Ich habe einen Debian Server, den ich als FTP Server nutze. Benutzer von "außen" greifen per FTP Client auf den Server zu. Für die internen Benutzer habe ich alle Verzeichnis unterhalb von /var/www/ftp mittels smb.conf freigegeben. Nun möchte ich das ändern. Die internen Benutzer sollen sich über AD am Debian Server anmelden und entsprechend ihrer Berechtigung auf die Unterverzeichnisse in /var/www/ftp zugreifen können. Ich habe mir schon einiges im Netz durchgelesen komme aber irgendwie nicht so recht weiter. Kann mir jemand behilflich sein?

DrunkenFreak
31.07.15, 10:17
Rechner in AD einbinden, Rechte anpassen und freuen. Das sollte ausreichen.

muell200
31.07.15, 11:36
Ich habe mir schon einiges im Netz durchgelesen komme aber irgendwie nicht so recht weiter.

wie weit bist du?
config?
bzw. was geht nocht nicht?

rolandb
03.08.15, 14:29
Entschuldigt,
die Sache liegt nun zunächst auf Eis. Habe aber noch ein paar sehr interessante Seiten im Netz gefunden. Sobald ich fertig bin erstatte ich Bericht.

rolandb
05.08.15, 16:11
Das Thema hat mich doch schneller wieder eingeholt. Ich habe mir einen Testserver installiert und ins Active Directory eingebunden. Ich habe eine Freigabe erstellt. Wenn ich mich nun an einem Windows Rechner mit net use * \\server\freigabe mit der Freigabe verbinden möchte, dann funktioniert das nur mit dem Domänen Administrator. Bei jedem anderen Benutzer erhalte ich die Meldung "Das angegebene Netzwerkkennwort ist falsch". Rufe ich am Debian Server wbinfo -u auf werden mir alle Active Directory Benutzer angezeigt. Da stehe ich nun ein wenig auf dem Schlauch. Ich habe gelesen, dass getent passwd auch die Active Directory Benutzer anzeigen müssten, dass ist bei mir nicht der Fall.

BetterWorld
05.08.15, 16:17
getent passwd liest lediglich die /etc/passwd.
Das hat mit AD garantiert gar nichts zu tun(, falls du nicht AD-Konten aus welch obskuren Gründen auch immer, ZUSÄTZLICH als Linuxuser anlegst).

rolandb
06.08.15, 07:19
Das bedeutet hier http://tuxclouds.org/index.php?/archives/38-Debian-7-Wheezy-und-MS-Windows-Active-Directory.html steht Quatsch. So ist es nicht nur hier beschrieben sondern auch auf vielen anderen Seiten. Das ist nun ein wenig verwirrend für mich.

L00NIX
06.08.15, 08:42
getent passwd liest lediglich die /etc/passwd.
Das hat mit AD garantiert gar nichts zu tun(, falls du nicht AD-Konten aus welch obskuren Gründen auch immer, ZUSÄTZLICH als Linuxuser anlegst).

Das stimmt nicht und hängt ganz davon ab, wie man den Rechner an das Active Directory anbindet.

Ein

$ getent passwd

kann sehr wohl Benutzer aus dem Active Directory anzeigen.

Bei diesen Benutzern müssen aber 4 LDAP-Attribute gesetzt sein. Diese sind seit Windows 2k8 aber nicht mehr über den Reiter "UNIX-Attribute" direkt zu setzen, sondern über den Reiter Attribut-Editor (vorher Ansicht -> Erweiterte Features im AD-Benutzer und Computer anhaken).

Hier die 4 LDAP-Attribute in alphabetischer Reihenfolge:

gidNumber: GID (darf in /etc/group noch nicht vergeben sein)

loginShell: /bin/bash

uidNumber: UID (darf in /etc/passwd noch nicht vergeben sein)

unixHomeDirectory: /home/benutzername


Eine Anleitung für die AD-Anbindung (ohne winbind) gibt es z.B. hier
http://meinit.nl/user-authentication-centos-6-active-directory-based-hosts-and-groups
(Anm. GID und UID müssen bei dieser Anleitung über 10000 liegen, ist aber konfigurierbar)

Gruß
L00NIX