PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : samba pdc & w2k maschine



Seiten : [1] 2

DVD
19.05.03, 18:13
Ich setzt gerad nen samba server auf (meinen ersten !) . Jetzt will ich die w2k maschine in die domain fahren lassen. Es kommt sogar die abfrage, aber ich weis nicht mit welchen user ich sie einnehmen kann, denn wenn ich root + passwort eingebe jkommt ne schöne fehlermeldung.

Ich habe den computerknoten mit


useradd -d /dev/null -s /bin/false wks/$

hinzugefügt

Pronitron
21.05.03, 11:43
Der Ansatz ist schon ganz richtig, allerdings muss root dafür in der smbpasswd eingetragen sein (nicht zwangsläufig mit dem normalen Passwort) :

smbpasswd -a root

Ausserdem muss zu dem Rechner-Account auch das Passwort gesetzt werden:

useradd -d /dev/null -s /bin/false -p wks wks$

Für z.B. Debian muss wegen des $ zusätzlich --force-badname mit angegeben werden.

Frage: Der Slash in 'wks/$' war doch nicht beabsichtigt, oder?

Viel Erfolg,
Robert

oafish
21.05.03, 19:46
Hi,
müsste wenn schon ein backslash sein oder du verwendest -m für Maschinenkonto!

oafish

larsb
22.05.03, 08:42
Du solltest in Deiner smb.conf auch einen Domainadmin angeben, mit dem Du die Domainaufnahme der Clients machen kannst, sonst geht das nicht (das muss nicht zwangsläufig root sein!).

DVD
26.05.03, 15:53
hmm danke für die Tips. Bin jetzt in der domain, aber beim anmelden bekomm ich immer prifil schweirigkeiten! Weiß jemand woher das kommen könnete? Sind ungefähr diese Meldungen

"Server gespeichertes Profil ist nicht verfügbar... "

"Das Benutzer Profil wurde nicht gefunden... "
Im übrigen hier mal meine conf dateien

[global]
workgroup = samba
netbios name = Sambaserver
interfaces = eth0
encrypt passwords = yes
security = user
domain master = yes
domain logons = yes
os level = 100
username map = /etc/samba/smbusers
logon home = \\Sambaserver\profile
logon path = \\Sambaserver\profile
logon drive = z:
username map = /usr/local/samba/user.map
message command = /bin/mail -s 'message from %f on %m' root < %s;rm %s
#[pub]
#path = /home/öffentlich
#read only = no
#create mask = 0777
#comment = Global
#force create mode = 0777
#directory mask = 0777
#force directory mode = 0777
[homes]
command = Heimat
read only = No
create mask = 0750
valid users = %S
writeable = yes
browseable = no
[netlogon]
path = /data/netlogon
#browseable = YES





//////netlogon

@echo off^M

netuse h: \\Sambaserver\homes^M

Pronitron
26.05.03, 16:26
Hallo,

die netlogon-Freigabe ist nur die halbe Miete, irgendwo muss das Profil ja auch hin:

[profiles]
comment = User Profiles
path = /users/samba/profiles
browseable = No
writeable = Yes
create mask = 0600
directory mask = 0700
guest ok = no

Der entsprechende Ordner muss für alle (potentiellen Nutzer) beschreibbar sein, damit sie beim ersten Anmelden auch ein Profil anlegen können. Das wiederum sollte wie oben 'mask'iert werden.
Wenn unter Windows Gäste erlaubt sind, dann haben sie zwar Zugang zur Netlogon-Freigabe, allerdings bekommen sie kein eigenes Profil (Ausnahme: höchstens ein schreibgeschütztes).
Bei netlogon handelt es sich um ein Verzeichnis, keine Datei. Unterhalb davon lassen sich dann Batch/Registry/Policy-Dateien abspeichern, zum Beipiel eine logon.bat. Bei denen sollte man dann dringed auf die Zeilenumbrüche achten (UNIX vs. DOS).
Den schreibenden Zugang zu netlogon sollte man sinnvollerweise einschränken, allerdings sollte anschliessend jeder von dort lesen können.

[global]
logon script = logon.bat

[netlogon]
comment = Network Logon Service
path = /users/samba/netlogon
share modes = No
browseable = No
guest ok = Yes
write list = ntadmin
create mask = 0644
directory mask = 0755


Robert

PS: 'netuse' wird genau in der Mitte getrennt.

DVD
26.05.03, 16:48
Danke für die fixe antwort.

hab darauf hin immer noch Fragen, weil ich jetzt experimentiert habe und es bei mir nicht so hinhaut.

die [netlogon] wird bei mir nicht in der [global] angegeben... Ist das richtig?

Muss im abschnitt logon path der samba netbios name stehen;ein %L oder der server name?

sollte ich in /users/samba/profiles ein unterordner mit dem entspechenden user anlegen?

Was meinst du mit netuse? das war bei mir bis jetzt in der DATEI netlogon jetzt ist daraus ja ein verzeichnis geworden.

hmm. Wäre echt dankbar wenn du oder * noch nen kleinen Tip für mich hättet!

Pronitron
26.05.03, 17:22
Hello again,

> die [netlogon] wird bei mir nicht in der [global] angegeben... Ist das richtig?
Ich verstehe leider die Frage nicht.
Du hast verschiedene Abschnitte in der smb.conf. Der erste beginnt mit [global], die anderen geben Freigaben an. Und für einen PDC müssen unterhalb von global folgende Sachen stehen (nebst anderem):

security = user
domain master = yes
domain logoins = yes
logon path = \\%L\profiles\%u

Bei letzterem gibt es ein paar Schwierigkeiten, wenn man ausserdem Win9X-Clients versorgen will, aber das ist hier ja nicht der Fall.
Bei samba.org gibt es übrigens eine PDC-Doku, viel mehr hatte ich eigenltich auch nicht.

> Muss im abschnitt logon path der samba netbios name stehen;ein %L oder der server name?
Kommt darauf an, ... . Theoretisch möglich ist, dass Dein Samba-Server auf mehrere Namen reagiert (netbios aliases = ...). Dann hast Du die Möglichkeit, mit %L verschiedene Pfade vorzusehen.

> sollte ich in /users/samba/profiles ein unterordner mit dem entspechenden user anlegen?
Nein, das passirt bei richtig gesetzten Rechten automatisch.

> Was meinst du mit netuse?
Es muss 'net use ...' heissen, statt 'netuse ...'

Robert

DVD
26.05.03, 17:35
meine postings sind unverständlich. Sorry!!!

Hab jetzt [profiles] [netlogin] --> und das Verzeichnis. in der [global] den path auf \\%L\profiles\%u

hmm kann es sein das ich den neu in die domain fahren muß damit er die änderungen übernimmt? Oder muß ich auf der win seite noch einstellen das er server gespeicherte profiles nehen soll?

beißt evt irgendjemand der fehler direkt ins auge so wie letzte woche?

DVD
26.05.03, 18:37
hmm jetzt wollte ich neu in die domaine fahren und er meldet mir :"Das verwendete Konto ist ein Arbeitsstationskonto..":rolleyes:

Pronitron
26.05.03, 20:29
Hallo,

ein erneutes Hinzufügen zur Domäne kann auch einfach an einem bereits geänderten Passwort liegen. Also einfach nochmal den Account setzen Nutzer: rechnername$, Passwort: Rechnername und dann erneut zur Domäne hinzufügen.
Dabie darf aber noch keine Netzwerkverbindung zum PDC existieren (also über's Netzwerk auf denPDC zugegriffen worden sein). Außerdem gibt es Schwierigkeiten, wenn man in eine Domäne gleichen Namens wechseln will (auch von Arbeitsgruppe 'test' nach Domäne 'test') - vorher einfach nochmal den Umweg über eine andere Arbeitsgruppe wählen.
Wenn ein Rechner ersteinmal erfolgreich zur Domäne hinzugefügt wurde, dann schau Dir einfach ganz gründlich die Log-Files an. Sinnvollerweise sollte man dabei 'log level' erhöhen. Da steht in der Regel, welche Dateien/Verzeichnisse der Client vermisst oder was Samba sonst noch so stört.

Meldet sich ein Nutzer an einem Rechner einer Domäne an, schaut der Client ob auf dem Server ein Profil gespeichert ist und wenn ja, kopiert es z.B. nach 'Dokumente und Einstellungen'. Meldet man sich ab, wird das lokale Profil zurückkopiert. Wenn sich nun ein Mensch von einem nagelneuen Domänenmitglied anmeldet, kann es durchaus sein, dass das Profil auch erst beim Abmelden angelegt wird.
Vielleicht weiss da jemand genaues?

Robert

DVD
31.05.03, 12:43
So bin jetzt an einer anderen umgebung(zu hause) . Hier läuft jetzt ein Samba server und ich will mit einem xp Professional client(hab im gesagt er soll ner nt server beiträten...) der domaine beitäten. Hab jetzt nochmal genau überlegt und auch rechearschiert, aber hier kommt folgende fehler meldung mit der ich eigentlich mal wieder gar nichts anfangen kann.

Bei dem versuch der domaine , trat ein fehler auf:, weil ein identischer Name bereits vorhaden ist..


Kann das daran daran liegen

verbindung wurde nicht hergestellt ebeizutreten
Dabie darf aber noch keine Netzwerkverbindung zum PDC existieren (also über's Netzwerk auf denPDC zugegriffen worden sein). Außerdem gibt es Schwierigkeiten, wenn man in eine Domäne gleichen Namens wechseln will (auch von Arbeitsgruppe 'test' nach Domäne 'test') - vorher einfach nochmal den Umweg über eine andere Arbeitsgruppe wählen.

gebe mal mein smb.conf mit


[global]

# workgroup = NT-Domain-Name or Workgroup-Name
workgroup = smbdomain
server string = SambaDomainController

printcap name = /etc/printcap
load printers = yes
printing = cups

log file = /var/log/samba/%m.log
max log size = 100

security = user


encrypt passwords = yes
smb passwd file = /etc/samba/smbpasswd
username map = /etc/samba/smbusers

local master = yes
os level = 100

domain master = yes
preferred master = yes
domain logons = yes

logon script = %m.bat
logon script = %U.bat
logon path = \\%L\Profiles\%U

wins support = yes
wins proxy = yes
dns proxy = no

#============================ Share Definitions ==============================
[homes]
comment = Home Directories
browseable = no
writable = yes
valid users = %S
create mode = 0664
directory mode = 0775
# If you want users samba doesn't recognize to be mapped to a guest user
map to guest = bad user


# Un-comment the following and create the netlogon directory for Domain Logons
[netlogon]
comment = Network Logon Service
path = /usr/local/samba/lib/netlogon
guest ok = yes
writable = no
share modes = no


# Un-comment the following to provide a specific roving profile share
# the default is to use the user's home directory
[Profiles]
path = /usr/local/samba/profiles
browseable = no
guest ok = yes


# NOTE: If you have a BSD-style print system there is no need to
# specifically define each individual printer
[printers]
comment = All Printers
path = /var/spool/samba
browseable = no
# Set public = yes to allow user 'guest account' to print
guest ok = no
writable = no
printable = yes

# This one is useful for people to share files
[tmp]
comment = Temporary file space
path = /tmp
read only = no
public = yes

# A publicly accessible directory, but read only, except for people in
# the "staff" group
[public]
comment = Public Stuff
path = /home/samba
public = yes
writable = yes
printable = no
write list = @staff


# The following two entries demonstrate how to share a directory so that two
# users can place files there that will be owned by the specific users. In this
# setup, the directory should be writable by both users and should have the
# sticky bit set on it to prevent abuse. Obviously this could be extended to
# as many users as required.
[myshare]
comment = Mary's and Fred's stuff
path = /usr/somewhere/shared
valid users = mary fred
public = no
writable = yes
printable = no
create mask = 0765

DVD
31.05.03, 14:59
ich hab mir jetzt mal ne win 2k maschine aufgebaut um zu testen... Der meldet : "ein gleicher rechner name ist bereits vorhanden"

Kann mir das jemand näherbringen?

larsb
02.06.03, 09:27
..... das sagt doch schon die Fehlermeldung:

Da werden Deine Rechner den gleichen Namen haben!!!!

Thomas Mitzkat
02.06.03, 09:34
mir war nicht bekannt, dass der maschinenaccount ein passwort benötigt. bei mir läuft das super ohne.

DVD
02.06.03, 09:52
ok

ich habe im faq bereich nach pdc gesucht und einen schönen thread gefunden in dem con

domain admin users


gesprochen wird, hab mit mit dem autor gemailt und alls antwort bekamm ich, dass es

domain admin user

heissen muss. Bei mir gibt testparm aber bei beiden den fehler ignoring unkonow paratmeter "domain admin user"

zurück. Kann mir jemand sagen wie ich den domain admin zuweise? Wäre echt super.

DVD
02.06.03, 12:10
Ich weis wer wer lesen ist ist klar im Vorteil, aber verstehen muss mans halt auch.

Allso die fehler meldung lautet unter w2k

"Das verwendete Konto ist ein Arbeitsstationskonto. verwenden sie ihr normales benutzerkonto oder lakales benutzerkonto, um auf diesen Server zuzugreiffen."

ich verstehe das nicht. habe den benutzter root durch

smbpasswd -a -e root

aktiviert im ein smbpasswd root

passwort vergeben. Warum ist das domain passwort dann ein arebitsstationskonto? Bitte bin echt amverzweifeln, dass kann doch nicht daran liegen das ich kein swat drauf habe!?

larsb
02.06.03, 12:35
dann lösche mal das jeweilige Profil auf Deiner Arbeitsstation und melde Dich dann an der Domäne an. Dann müsste er das servergespeicherte Profil auch auf dem Server anlegen (ich glaube aber erst beim Abmelden)

DVD
02.06.03, 12:48
nein ich komme erst gar nicht auf die domain. Wenn ich jetzt auf Computer namen ändern gehe und ihn die domain fahren will. Kommt die Abfrage nach dem doamin admin + passwort hier gebe ich root und passwort ein und es kommt die fehlermeldung...

larsb
02.06.03, 12:54
probier mal bei Login: Domänenname\root und dann als Passwort natürlich das Passwort!
Gibt es root auch als lokalen Benutzer auf der Arbeitsstation? Kannste mal löschen und dann probieren!

DVD
02.06.03, 13:09
Original geschrieben von larsb
probier mal bei Login: Domänenname\root und dann als Passwort natürlich das Passwort!
Gibt es root auch als lokalen Benutzer auf der Arbeitsstation? Kannste mal löschen und dann probieren!


danke für die hillfe,a ber a geht nicht und b auf der lokalen win2k Maschine gibt es nur den benutzter administartor. das es root auf der Linux Maschine gitb ist klar, aber es gibt ihn sogar in der smbpasswd .

Fellt dir nochwas ein warum es diesen merkwürdigen fehler gibt?

larsb
02.06.03, 13:23
haste mal mit einem anderen Benutzer probiert? muss ja nicht root sein!

DVD
02.06.03, 13:35
ja dazu hab ich ein benutzer admin in der gruppe root angelegt in in smb hinzugefügt und in der global sektion der smb.conf

domain admin group = root

stehen gehabt

genau gesagt hab ich

useradd -g root admin
smbpasswd -a -e admin
smbpasswd admin

Selbe fehler. Ich gehe mitlerwiele davon aus das es die zeile domain admin user nicht gibt. noch nen Tip?

larsb
02.06.03, 13:53
... dann wärst Du aber der einzigste, bei dem es die Zeile nicht gibt ;-)

Ich habe zu hause eine Anleitung, nach der ich das gemacht habe - ich werde sie Dir mal zukommen lassen, aber kannst auch selber mal nach einer suchen, es gibt einige davon im Netz (nimmt immer sehr viel zeit in Anspruch, aber da musst Du durch!)

Wird aber erst heute abend oder morgen, bin nämlich gerade beim umzug ....


was für ein System hast Du eigentlöich?

DVD
02.06.03, 14:09
Ich bin an der arbeit und dort muß ich redhat nehmen . Hab mir die 9 gezogen. allso hab jetzt definitv nochmal gestestet was mit´testparm mit domain admin user spuckt!

der sagt unkown parameter encountered :"domain admin user"
ignoring unkonow parameter "domain admin user"


Was soll ich sagen die firewall ist auch ganz abgeschaltet... und Zeit hab ich sehr viel reingesteckt. Hat nicht jemand nochmal nen tip, weil workshops, tutorials smb.conf haben mir die luete jetzt genug geggebn. Was ich auch sehr nett finde. danke schonmal. Könnte es sein das die redhat leute irgendein patch geschrieben haben so das die sache redhat spezifisch total anders konfiguriert werden muss? Wenn ja wäre es nett wenn mir jemand sagen könnte wie ich den domain administartor dort angeben kann.

burn
02.06.03, 16:45
Hallo

also deinen befehl "domain admin users =" kenne ich nicht!

es sollte "admin users = " heißen.

cu burn

DVD
02.06.03, 16:54
aah werd ich gleich mal testen zur zeit kompieliere ich mir gerade die orginal sourcen. Die rotz dinger von redhat nerven mich jetzt. Aber vielen dank schonmal

LKH
02.06.03, 17:23
Hi,

die aktuelle Manpage zu smb.conf kennt keine "domain admin user(s)" sondern nur die "domain admin group". Dort lassen sich sowohl Gruppen (@wheel z.B.) oder Benutzer (root z.B.) eintragen. Die "admin users" greifen nur mit den entsprechenden Rechten auf die Freigaben, haben also mit der Domainadministration nichts am Hut.

Interessant wäre immer noch, ob der Client wenigstens in einer Arbeitsgruppe mitmachen darf. Dann müsste man nicht so viel raten, an was es liegen könnte.

DVD
02.06.03, 18:15
ok - falls das der Fall sein sollte... wäre irgendjemand so nett und würde siche erbamen mir den fehler mitzuteilen?

edit

os level = 500

es geht!!!

DVD
02.06.03, 19:13
JA da macht er mit. Falls das eben zu erheblich geglungen hat. Bitte sitzte das ganze wochenende dran.

immer noch der gleiche fehler. nach der eingabe des domain admins!