Hallo Leute

Betreibe schon eine Zeit lang nen SAMBA PDC ohne gravierende Probleme. (bis auf ein paar Kleinigkeiten).

Aus Resourcenmangel muss aber ein weiterer Fileserver her. (natürlich wieder SMB)
Habe mich diesbezüglich informiert.
Der SMB auf dem zweiten Rechner muss unter dem Sicherheitsmodi "Domain" laufen.
Der einzige Nachteil ist das die Benutzer auch lokal am zweiten Sambaserver existieren müssen.

Bei zwei SMB Server noch kein Problem - aber was ist wenn man 20 oder 100 SMB server verwalten muss.
Da ist die Benutzerverwaltung ein Horror wenn man auf jedem SMB die Benutzer anlegen und verwalten muss.

Meine Frage ist daher.
Gibt es eine Alternative mit der die Benutzerverwaltung erleichtert aber die Sicherheit nicht vernachlässigt wird.
(also so wie beschrieben nur ohne den Aufwand dass man an jedem SambaServer die Benutzer anlegen muss. So quasi ne zentrale Benutzerverwaltung)

Danke für die Antworten oder Hinweise (Links, Dokus, Howto usw.)

fG Steve


:)

Du könntest einfach ein Skript schreiben, dass per cron regelmäßig über scp die Benutzerdaten synchronisiert/kopiert.

Hi,

suche mal hier und z.B. bei Google nach Samba und LDAP. Da wird Ihnen geholfen ;)

Schönen Dank für die Antworten.


1. Ich weiß das man mit scp (etwas) kopieren kann, aber was wäre da genau zum kopieren/synchronisieren.

2. Und LDAP ist irgendwie undurchsichtig. Finde zwar etwas darüber aber leider nicht wirklich vollständig. Das man mit ldap ne Art Benutzerverwaltung bzw. Verzeichnissstruktur anlegen kann weiß ich schon aber geht das auch tatsächlich als Zentrale Verwaltung.

Genau das wäre auch meine Frage.
Kann man mit LDAP über einen Zentralen Server (zentrale Stelle) verschiedene andere Datei/Druckerserver verwalten ohne bei jedem System die Benutzer einzeln anlegen zu müssen ??

Danke für die Antwort.

fG Steve

Du hast mit LDAP eine zentrale Benutzerverwaltung.
Genau genommen ist LDAP bzw. OpenLDAP ein Verzeichnissdienst, in dem Du so alle möglichen Daten ablegen kannst. Für Adressbücher gerne genommen ebenso wie für mail-routing Informationen. Lässt sich auch als DNS-Backend verwenden.
Du könntest die anderen PDC anweisen, diesen einen LDAP-Server zur authentifizierung zu verwenden.
In Samba 2.2.7 kann man aber auch direkt in der smb.conf angeben, welcher andere PDC denn für die authentifizierung zuständig ist. Das kann ein W2k server mit einem active-directory (auch eine Art ldap) oder eben ein anderer samba PDC sein. Ich bin mir aber nicht sicher, ob dieser andere samba-PDC dann doch LDAP verwenden muß (ich glaube aber nicht).

Viel Spass,
mamue

Es ist aber nicht ganz trivial im professionellen Umfeld (sprich: Unternehmen) einen OpenLDAP Verzeichnisdienst einzurichten, wenn er auch für zukünftige Bedarfe ausgelegt sein soll. Das Verzeichnis sollte möglichst die Unternehmensstruktur widergeben. Ich habe schon viel Doku zum Design gelesen und letztendlich nur wenig Praktisches erfahren.

Danke für die Aufklärung. Hat meine Frage beantwortet.

Wenn auf einem Rechner ein LDAP Server läuft ist das die zentrale Verwaltungsschnittstelle.
Das heißt: 1 mal Benutzer anlegen, 1 mal PW vergeben und das wars(einfach ausgedrückt).
Der Benutzer hat dann gemäß der vergebenen Sicherheitsrichtlinien zugriff auf die Shares auf verschiedenen anderen Servern(SMB) die die Benutzerdaten vom LDAP Server abrufen und kontrollieren.

Dann nehme ich mal an das auf den Servern die über LDAP verwaltet werden eine Client Software benötigt wird. (bzw muss LDAP von den verschiedenen diensten unterstützt werden.)

Falls wer eine detailierte Doku (oder ein E-book) weiß, bitte melden, wäre sehr dankbar dafür.
(hab mich schon selber informiert, aber diese Materie ist wie gesagt sehr undurchsichtig, zumindest für einen Neueinsteiger, und die angebotenen Bücher (zB bei Amazon) sind auch nicht aktuell).

Schöne Woche noch

fG Steve



:p

hm,

das bringt mich auf eine idee..... kann ich ldap auch als zentrale Benutzerverwaltung für meine Linuxrechner nehmen?

wäre ja hammergeil, aber ich denke da hat die passwd noch was mitzureden oder?

cya

DaemonB

Hallo und so

An und für sich schon, aber für konkrete Hinweise hab ich leider auch zuwenig Info über diese Materie.

fG Steve

Es gibt ein LDAP-Modul für PAM. Damit lassen sich dann auch alle User über die zentrale Verwaltung authentifizieren.

jo danke wird angetestet :-)

Hy,

Also LDAP unterstütz auch replicierung mit anderen LDAP Servern habe ich im Einsatz. In unserem Unternehmen gibt es ca 120 Rechner W2k die in 8 Filialen geteilt sind. In jeder Filiale steht ein Linux SAmba bdc mit ldap der vom Haupt Server auch mit ldap seine Infos bekommt. So habe ich nur einmal 150 User angelegt und sie werden automatisch auf die Anderen bdc verteilt.

Ich habe mich damals auch zu tote gesucht nach einem Gescheiten HOW-To und habe ein sehr gutes gefunden http://samba.idealx.org/ dort gibt es auch ein paar scripte die das anlegen der benutzer erleichtern.

Ich habe auch mal das HOW-TO mit hochgeladen.

Hallo Proton100

Danke für die Antwort. Feine Seite.
Werde mich gleich dranmachen.

Eine Frage hätte ich noch.
Werden die Userdaten vom PDC -->> BDC verschüsselt übermittelt ??
Werden die Userdaten von den Win Clients -->> BDC verschlüsselt übermittelt ??

Nettes Wo-Ende Wünsche ich.

fG Steve

Hy Steve,


Werden die Userdaten vom PDC -->> BDC verschüsselt übermittelt ??
Vom PDC zum BDC werden die Daten unverschlüsselt übermittelt aber ich kopiere sie per ssh.


Werden die Userdaten von den Win Clients -->> BDC verschlüsselt übermittelt ??
Die Passwörter werden von haus aus von Windows verschlüsselt, zumindestens wenn man dies nicht per Regestrie Patch oder Direkt in der Registry ausgeschaltet hat

Ganz wichtig wenn der Samba eine verbindung zum Ldap aufbaut dann ist das ja die Verschlüsselung in der smb.conf mit ldap ssl = no ausgeschaltet und dann wird es über das netzt alles mit plain Text übermittelt.
Wenn man ssl = yes setzt dann muß man natürlich auch SSL Installieren und Konfigurieren

Bei mir ist das nicht der Fall weil ich den BDC oder PDC und der LDAP auf dem Gleichen Rechner ist.

Wenn aber SAMBA über das Netzwerk mit dem LDAP komuniziert dann sollte man das ssl protokol mit benutzen.

Wenn unser Haupt LDAP Server sich repliziert dann machen wir das mit einer ssh verbindung