Samba 3 / PDC + LDAP Verständnisfrage

**Tshunsh** · 01.04.06, 12:39

Hallo Leute,

das Thema Samba mit LDAP Benutzerverwaltung wurde hier schon oft angesprochen,
dennoch verstehe ein paar Punkte nicht.
Ich habe Unter Suse 10.0 ein Fileserver mit Samba aufgesetzt und als PDC eingerichtet, funktioniert bestens, sprich die Windows Clients treten in die Domain bei etc, dann habe ich ein LDAP Server eingerichtet und smb.conf
entsprechend erweitert, damit das zusammen Spiel zwischen Samba und LDAP funktioniert und genau da liegt mein Problem.

Die erste Frage lautet:
Mit welchem Benutzer kann man ein Rechner in die Domain aufnehmen?
Wie erstellt man ein root Account im LDAP?

Für das besser Verständnis poste ich hier die smb.comf und meine LDAP Struktur.

Code:

[global]
        workgroup = TUX-NET
        server string = Samba-PDC
        netbios name = Myserver
        printing = cups
        printcap name = cups
        printcap cache time = 750
        cups options = raw
        map to guest = Bad User
        include = /etc/samba/dhcp.conf
        logon path = \\%L\profiles\.msprofile
        logon home = \\%L\%U\.9xprofile
        logon drive = X:
        logon script = %U.bat
        add machine script = /sbin/yast /usr/share/YaST2/data/add_machine.ycp %m$
#      add machine script = /usr/sbin/useradd  -c Machine -d /var/lib/nobody -s /bin/false %m$
        domain logons = Yes
        domain master = Yes
        security = user
        local master = Yes
        os level = 65
        encrypt passwords = yes
        update encrypted = yes
#       passdb backend = smbpasswd
        preferred master = Yes
        ldap idmap suffix = ou=Idmap
        ldap machine suffix = ou=Computers
        ldap suffix = dc=myserver,dc=local
        ldap admin dn = cn=Admin,dc=myserver,dc=local
#       ldap filter = "(&(uid=%u)(objectclass=sambaAccount))"
        ldap ssl = off
        passdb backend = ldapsam:ldap://localhost
        ldap group suffix = ou=Group
        ldap user suffix = ou=People
#       idmap backend = ldapsam:ldap://localhost

Code:

# ldapsearch -x

# extended LDIF
#
# LDAPv3
# base <> with scope sub
# filter: (objectclass=*)
# requesting: ALL
#

# myserver.local
dn: dc=myserver,dc=local
objectClass: dcObject
objectClass: top
objectClass: namedObject
dc: myserver

# Admin, myserver.local
dn: cn=Admin,dc=myserver,dc=local
objectClass: person
cn: Admin
sn: Admin
description: "LDAP Manager"

# Computers, myserver.local
dn: ou=Computers,dc=myserver,dc=local
objectClass: top
objectClass: organizationalUnit
ou: Computers
description: Computers

# People, myserver.local
dn: ou=People,dc=myserver,dc=local
objectClass: top
objectClass: organizationalUnit
ou: People
description: People and Accounts

# Group, myserver.local
dn: ou=Group,dc=myserver,dc=local
objectClass: top
objectClass: organizationalUnit
ou: Group
description: LAN Groups

# ldapconfig, myserver.local
dn: ou=ldapconfig,dc=myserver,dc=local
objectClass: top
objectClass: organizationalUnit
ou: ldapconfig

# eugen, myserver.local
dn: uid=eugen,dc=myserver,dc=local
cn: eugen
gidNumber: 100
homeDirectory: /home/eugen
loginShell: /bin/bash
objectClass: top
objectClass: posixAccount
objectClass: shadowAccount
objectClass: inetOrgPerson
shadowInactive: -1
shadowLastChange: 13238
shadowMax: 99999
shadowMin: 0
shadowWarning: 
sn: eugen
uid: eugen
uidNumber: 1003

# search result
search: 2
result: 0 Success

# numResponses: 8
# numEntries: 7

Für Eure Mühen möchte ich mich schon im Voraus bedanken
mfg Tshunsh

**masteryoda1047** · 01.04.06, 14:52

wenn du Samba in Verbindung mit OpenLDAP Verwenden möchtest, zieh dir unbedingt dieses HowTo rein:

http://samba.idealx.org/smbldap-howto.en.html

Dort sind all deine Fragen gut erklärt.

mfg

**Tshunsh** · 01.04.06, 16:17

Danke für die schnelle Antwort, die Seite habe ich mir schon angeschaut, nur leider mein
Englisch lässt zum wünschen übrig.

Das ist übrigens eine sehr komplizierte Methode einen LDAP Dienst einzurichten und administrieren.
Mit YaST und phpLDAPadmin ist es um einiges einfacher.
Was ich eigentlich wissen möchte ist folgendes:
Wie erstelle ich ein root Account für LDAP(ist das überhaupt nötig?)
Wie wird ein Machinenkonto erstellt und vor allem wo?
Wofür sind smbldap-tools eigentlich gut?

mfg Tshunsh

**ramsys** · 03.04.06, 22:35

Sie smbldaptools erledigen das anlegen für die Benutzerkonten und Maschinenaccounts wenn du es entsprechend in der smb.conf einträgst. Das ganze wird dann über den usrmgr aus nt erledigt. Das Maschinenkonto wird dann beim Domänenbeitritt automatisch angelegt. Siehe mal embas howto dazu. Dort steht alles. Der Ldaprootaccount ist der der die schreibrechte im directory hat. Ohne den können keine Benutzer und Maschinenaccs angelegt werden.

**Tshunsh** · 04.04.06, 14:18

Ehrlich gesagt bin ich mit meinem Latein im Moment am Ende.
Wie LDAP funktionirt habe ich im groben verstanden und kann z.B einen User
einlegen der sowohl ein Systen und Samba Account hat, das gleiche gilt auch für
die Gruppen und Machinen, alles gar kein Problen. Die smbldap-tools sinds auch net und funktioniren,wenn ich die ,als root manuel auf der konsole benutze.
Was ich bis jetzt immer noch nicht kapiere, wie wird ein Adminkonto für LDAP erstellt

Ich habe mir schon Einleitungen eigeschaut und folgende vorgeensweise ist ersichtlich: In /etc/openldap/slapd.conf definirt man

suffix dc=mydomain,dc=org
rootdn "cn=Admin,dc=mydomain,dc=org"
rootpw {SSHA}CNpEOM8/teaC3jY6wBjF13saNejdngDc

Für samba solte man als root smbpasswd -w eingeben?
Das was, mehr zum Tehma habe ich leider nicht gefunden.

Nun soweit so gut, wenn ich versuche ein Windows Rechner in die Domaine einzuchengen mit oben genantem Account (User=Admin, Passwort=rootpw)
das wird immer mit der Fehlermeldung quitirt das der User nich gefungen worden ist.

mfg Tshunsh

hauih · 06.04.06, 13:17

Also ich administriese LDAP über den LDAP Account manager. Das ist ein sehr schönes grafisches Tool und damit kommen eigentlich keine Fragen mehr auf. Schau dir dsa mal an

**emba** · 09.04.06, 15:18

http://www.linuxforen.de/forums/showthread.php?t=174854

in deutsch

greez

**Tshunsh** · 11.04.06, 00:21

Hallo,

@emba
an dieser stelle möchte ich ein Lob aussprechen für deinen niedergeschriebenes Werk.
Respekt!!! Alles soweit schön und gut aber es gibt ein kleines Problem.
Opensuse 10 ist leider nicht SLES 9, aber nichts desto trotz könnte man aus dem Tutorial
ne menge lernen!!! In zwischen habe ich gravierende Probleme beim LDAP einstig mit
erfolg gelöst und bin sogar ein wenig auf sich. Die hier gestellte Frage über LADP-Admin
war meiner Meinung nach schon berechtigt, weil ich mit LDAP an sich kein Problem hatte.
Die Vorgehensweise unter Opensuse ist leider wesentlich umfangreicher als ein Dreizeiler.
Auf jeden Fall alle Infos haben mich stück für stück zum Ziel gebracht.

Danke an Alle!!!

mfg Tshunsh