Hallo Ihr Linux Fans da draussen

Ich bin hier neu in diesem Forum, deswegen kenne ich mich
nicht so recht hier aus. LAMP-Server oder Linux als Anmeldeserver,
das weiss ich zu realisieren. Nun sitze ich daran einen
Linux Fileserver in eine bestehende W2K-Domaene zu implementieren.
Als PDC dient der W2K-Server, der LinuxFileserver ist an dieser
Domaene aufgenommen und bietet individuelle eingerichtete
Freigaben an. Unter der /etc/samba/smb.conf sind in diesen Freigaben,
Lese/Schreib/Ausfuehrende Rechte kreiert, natuerlich individuell fuer
verschieden eingerichtete Gruppen und User. Nun muss man ja
bekanntlich auf der Linuxmaschine, Benutzer und Ihr Passwort anlegen.
Bloss, wenn der W2K-Server die User unter der Active Directory
verwaltet,und deren Passwoerter, wie realisiere bzw. synchronisiere
ich denn dann die passwd beim Linux Fileserver, ohne dort die aktuellen
Passwoerter zu kennen? Soweit ich weiss kommt dort LDAP und/oder
Kerberos ins Spiel, aber wie funzt das nun genau?? Praktisch soll
die AD von Windows dies verwalten. Sicherlich ist das nicht nur allein
ein Linuxthema. Aber bei der derzeitigen Lizenzpolitik und Marktlage
von BillyBoy wohl zeitgemaess. Nun habe ich schon gemerkt das viel
halbwissen im Internet floriert, aber trotzdem bin ich fuer jeden
Tip, Doku's, links dankbar, denn ganz so einfach ist dies auch nicht,
aber sicherlich nicht unmoeglich.

Wer weiss wie's geht, Antworte doch bitte, denn dieses ewige alleinige
suchen,sich belesen, umsetzen und krampfigen ausprobieren ist auch nicht
immer effektiv.

Gruss eines geplagten LinuxFans,
ich hoffe das mir jemand helfen kann

Cris

Hi,

wie so oft, nun noch einmal: es gibt keinen W2K PDC!!!
Mit W2K kann nur ein AD eingerichtet werden, oder aber ein Kerberos DC.

Was hast Du nun?
Eine NT Domäne mit W2K Servern (aber nicht durch diese gebildet), oder einen AD, oder gar nur eine Arbeitsgruppe aus mehreren W2K Systemen?

Um einen samba in eine NT4 Domäne hinzuzufügen, erstelle man auf dem PDC ein Maschinenkonto, starte das samba System, und führe als root folgendes aus:
smbpasswd -j %DOMÄNE%
U.U. muß ein:
smbpasswd -j %DOMÄNE% -R %ip-Adresse-des-PDC% -U%Domänenadmin% genutzt werden.

Gruß

Hi Stormbringer,

bitte nicht zu überheblich!! Wenn ich das mein Chef erklären täte würde er mich verbal
ziemlich Platt machen. In unserer W2k-Domäne mit meheren Filialen Deutschlandweit muß es einen PDC geben (selbst wenn das fachlich nicht richtig ist) du schlaumeier!!:)

Was du mir erklärst, steht in der samba-doku von Oreily. Um Samba in der Domäne zuzufügen muß ich nicht unter Umständen sondern auf jeden Fall dies tun was du beschrieben hast!!

Dies tat ich schon *gäähn*, hast du dir meine Frage richtig durchgelesen?? Sehr effektiv ist deine Antwort nicht und vor allem nicht sehr beeindruckend, schlecht drauf oder was??

Greets

Du ape ..... dann mach Dich mit W2K vertraut!
Es gibt keinen W2K PDC ..... ein W2K System kann nur ein BDC für eine NT Domäne sein, aber kein PDC.
Wenn ein PDC (und die gibt es lediglich bei Windows NT3, Windows NT3.5, Windows NT 3.51 & Windows NT4) auf Windows 2000 up-ge-graded wird, wird er (im native mode) ein W2K DC.
Aber auch nur dann! Dieser native mode generiert einen AD, in welchem der DC läuft, und die vorher genutzte SAM wird Bestandteil des AD trees (mixed mode).
Dies kannst und solltest Du dann evtl. für die Begrifflichkeiten einfach einmal bei MS nachlesen ... ebenso die TechNet Artikel dazu.
Der W2K Server hat halt keine SAM mehr für die Domäne, sondern nur einen Teil davon aus dem AD tree heraus "emuliert darstellt". Dies kann per serving sein, und wird mittels dcpromo
erreicht. http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnntmag00/html/migrating0299.asp

Also, was hast Du nun?
Einen W2K AD, oder einen W2K DC?

Hey Stormbringer mach mal halblang...
Die eigentliche Frage war nicht ob es ein PDC oder AD oder "wasauchimmer" es bei w2k gibt sondern ob der SAMBA-Server die Konten von der Domain benutzen kann. Vielleicht solltest du mal die Probleme komplett durchlesen und nicht schon beim "W2K PDC" aussteigen.

@Cris: Es gibt durchaus Lösungen für dein Problem. Du hast sicherlich bei deinen Recherchen auch mal über das Thema winbind in Verbindung mit SAMBA gestolpert ?! Also ich hab diese Möglichkeit schon mal eingesetzt und die hat wunderbar funktioniert (bis auf ein Paar Kleinigkeiten... http://www.linuxforen.de/forums/showthread.php?s=&threadid=55411&highlight=samba+winbind)

Gruß
vitek

Hallo Stormbringer

kann mich vitek's aussage nur anschließen.

Habe einen W2K-Server mit der Version 5.0+SP2, dieser ist als DC eingerichtet mit AD.
Dies gibt Windows unter, rechte Maus=>Eigenschaften=>Netzwerkidentifikation jedenfalls so aus(Domänenkontroler). *g*
Hast du dir meine Frage denn bis zum ende durchgelesen? Du scheinst ja einiges zu wissen und kannst ja durchaus recht haben, aber wie du das rüberbringst; ist wie bei den Windowsfreaks die sich gegenseitig nichts gönnen! Dachte das ist unter Linuxern anders?

Hab ich jedenfalls so gehört. Allso lass uns nicht streiten, sondern Diskutieren, denn es kann durchaus daran liegen was du erklärt hast. Mir ist dann nicht klar ob ich das mit ein Anmeldeskript (programmieren), LDAP und/oder Kerberos realisiere oder wie Vitek meinte mit winbind. Dachte das sich da schon mal jemand beschäftigt hatte und Tipps geben kann.

Natürlich muß ich eine korrekte Ist-Analyse abliefern (ob AD o.Kerberos DC mit letzteren hab ich mich noch nicht beschäftigt) um auf die Lösung zu kommen. Wenn ich alles so genau wüßte, würde ich ja nicht fragen! Also sei nicht zu hart zu mir denn ich denke du weißt wie's geht, oder?

Ich habe Deine Frage sehr gründlich gelesen! Auch das mit dem "überheblich" ..... und da braucht sich niemand, egal in welcher Szene, über entsprechende Antworten zu wundern.

Grundsätzlich gilt aber:
ist Dir der Unterschied zwischen PDC & BDC & DC wirklich bekannt?

Die Frage ist halt immer noch, ob da ein AD über einen im mixed mode arbeitenden W2K Server benutzt werden soll (wäre dann ein W2K DC) oder ob es ein reiner AD ist - das wird nämlich in der Beschreibung nicht klar.

Mittels winbind kannst Du, zumindest soweit mir bis dato aus der 2er Serie bekannt, nicht gegen einen AD arbeiten.

Nochmals zu winbind. Ich habe unter anderem mit diesem Tutorial gute Ergebnise erzielt: SAMBA+WINBIND (http://www.heise.de/ix/artikel/2001/04/148/).
Die Samba Ver. war glaub ich 2.2.5 ?! Ich habe eine w2k Domain (AD !!!) eingerichtet mit ein Paar globalen Konten und konnte mittels winbind die Konteninformationen (Name, Gruppe, Passw...) auf den SAMBA Server holen.
Einfach mal probieren !!!

Das funzt nun???
Denn in http://de.samba.org/samba/docs/man/winbindd.8.html wird explizit nur von Windows NT domains geschrieben .....
Gab es ein upgrade von einer NT Domäne zu einem AD mit bereits existierenden Konten?
Oder ist die Doku auf samba.org nur noch nicht aktualisiert worden?

Habe es in der Vergangenheit mit einer früheren winbindd Version unter HP-UX 11.00 getestet, und dort lief es halt nicht, und anschließend lediglich die samba.org Doku auf Neuerungen gecheckt ....

Das ganze lief auf einer SuSE 8.1 maschine. Ich weiss nicht ob es dort eine aktualisierte Ver. von winbind gibt ?!
Die Doku von samba.org hab ich auch durchgelesen und alles auch so befolgt. Es hat alles ganz gut geklappt bis auf diese Kleinigkeiten die ich schon mal erwähnt habe...
Es gab kein Upgrade, sondern eine Neuinstallation von w2k mit komplett neuer AD und globalen Konten.

@Vitek + @Stormbringer

tja Vitek soweit hab's mir durchgelesen, Winbindd sollte funzt.
Hab schon mal auf einige SambaDoku's vertraut die nicht
so gut waren und mich nur aufgehalten haben, aber dein link zu
Volker Lendecker überzeugt schon weil er ist schon lange dabei,
hab recht herzlichen Dank dafür!! Toll!!

Auch dir Stormbringer recht herzlichen Dank, für deine Geduld und
dein Engangement. Hattest ja recht mit der korrekten Ist-Analyse.
Ich bin am Arbeiten daran *g*. Toll auch von dir, das du so darauf
eingehst auch wenn man sich nicht gleich Fachlich korrekt ausdrückt.

An euch beiden weiter so! Konnte noch nicht checken ob's funzt,
hab nur zwei Rechner zu Hause und bin im gerade Urlaub. In der Firma
sind genug Rechner, dies geht ab 6.1.03 wieder weiter. Falls noch
fragen auftauchen meld ich mich hier wieder. Wenn Ihr eine
Mail-Adresse hinterlasst schick ich euch ne Doku davon, ansonsten
wünsch euch einen guten Rutsch in's neue Jahr.

Grüße Chris