PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Administrative Rechte zuweisen



HardHat
10.01.03, 14:57
Hallo,

ich möchte Windows2000 Benutzerprofile zentral auf einem Linux-Server speichern. Dazu habe ich Samba als PDC konfiguriert. Soweit funktioniert das alles ganz gut. Für jeden Benutzer habe ich einen Unix-Account angelegt, der mit dem Windows-Login identisch ist.

Nun möchte ich aber einigen dieser Benutzer administrative Rechte für die Windows-Workstation zuweisen. Also z.B. einen Benutzer in die Gruppe der Administratoren aufnehmen.

Wie geht das??

BedriddenTech
10.01.03, 16:05
Du musst deine Windows-Gruppe "Administratoren" auf die Linux-Gruppe "root" mappen (und die Benutzer dann auch der root-Gruppe auf dem Server hinzufügen).
In der Praxis legst du eine Mapping-Datei an, etwa so:

### User/Group map file

@root = @Administratoren
@users = @Hauptbenutzer

Das "@" bezeichnet dabei Gruppen; ohne dieses Zeichen werden nur einzelne Benutzerkonten umgelegt.

Danach musst du die Datei noch in den Konfigurationseinstellungen verknüpfen -

username map = /usr/local/samba/lib/usermap
Wobei ich hier annehme, dass deine Datei so heißt. Der Pfad ist natürlich entsprechend anzupassen. Einzufügen ist das ganze unter "[global]".

P.S.: Die obige ist meine usermap-Datei, in der ich auch gleich noch die Unix-Gruppe "users" auf Windows "Hauptbenutzer" umgeleitet habe.

Hoffe, geholfen zu haben.

Sayonara,
Tech

joey.brunner
10.01.03, 16:12
oder du benutzt kerberos und ldap

joey

Jorge
10.01.03, 16:43
Oder Du machst das über den Benutzermanager für Domänen. Oder über die smb.conf, oder ...

BedriddenTech
10.01.03, 17:15
Original geschrieben von joey.brunner
oder du benutzt kerberos und ldap

joey

Kerberos oder LDAP für das Mappen von Benutzernamen...? Wie das?

Timbo
10.01.03, 17:27
Hi,

also ich habe diesbezgl. folgendes in meiner smb.conf stehen:


domain admin group = @root,@admin,@Administratoren

domain admin users = root

Funzt bei mir einwandfrei.

Timbo

joey.brunner
10.01.03, 17:30
Original geschrieben von BedriddenTech
Kerberos oder LDAP für das Mappen von Benutzernamen...? Wie das?

nicht fuer das mappen, sondern gleich fuer eine zentrale verwaltung. mappen bringt irgendwann immer schwierigkeiten. eine kleine aenderung und nichts geht mehr. deswegen heisst es ja auch SERVER, damit man die Dinge zentral verwalten kann ;)

joey

BedriddenTech
10.01.03, 17:33
Habe mich schon gewundert... ;)

mamue
11.01.03, 11:30
@joey.brunner:
Gibt es irgendwo eine Anleitung, wie man Kerberos mit ldap zusammen zum Laufen bringt?
Ich kenne nicht mehr die Gründe, aber irgendwann gab es mal in der samba-mailingliste einen Kommentar dazu, warum das nicht so ohne weiteres funktionieren kann.
Kerberos mit LDAP zu authentifizierung vielleicht, aber in Zusammenhang mit Samba eher nein, war wohl das resumee.


mamue

joey.brunner
11.01.03, 11:42
http://linuxline.epfl.ch/Doc/rhl-rg-de-7.0/s1-install-authconf.html

hier ist ne schoene sammlung auch mit samba u ldap:
http://www.sendung.de/ldap/wissen/

kbs.cs.tu-berlin.de/teaching/ws2001/ebusiness/ folien4fach/008_Sichere_Arch.pdf

hoffe das hilft dir

joey

mamue
11.01.03, 13:17
Wie gesagt, Kerberos und ldap soll wohl gehen, aber nicht authentifizierung von Samba an ldap mit Kerberos.
Das wird sicherlich kommen, aber bisher habe ich nur gehört, dass das nicht geht.
Hast Du so etwas schon gemacht, oder davon gehört, dass jemand jemanden kennt, der so etwas schon gesehen hat?

Das PDF (008_sicere_arch..) ist interessant, erwähnt aber auch nicht samba, sondern geht, so weit ich das beim Überfliegen feststellen konnte, auch eher nur auf HTTP-auth ein.

mamue