Bernd Walda, Montag, 29. März 2004 20:52:
Hallo User,
wenn ich die Anforderung von David richtig verstanden habe,
sollte winbind die Lösung sein:
Winbind ist erst seit Samba 3.0 dabei, oder? Es sollte aber auch ohne gehen (zumindest geht es mit der 2er Version ohne ;-)
habe ein kleines Problem mit den UserZugriffen auf die Sambafreigaben, wenn ich nur die Domänenuser aus der NT Domäne zulassen möchte.
[global] security = domain netbios name = fileserver domain logons = yes workgroup = domain passwort server = server2
Zusätzliche Einträge in smb.conf:
winbind uid = 10000-65000 winbind gid = 10000-65000 winbind separator = +
Anpassen von /etc/nsswitch.conf:
passwd: files winbind group: files winbind
Danach winbind starten.
Hm, mit password server = <PDC> übergibt doh aber Samba die Authentifizierung schon an den NT-Server, und wenn von dort bestätigt wird, darf der User auch hier agieren (wg. security = domain). Ggf. kann man dann noch mit "add user script = ..." den User nach erfolgreicher Authentifizierung im eigenen Userstamm zusätzlich anlegen, dann entfällt die Anfrage beim nächsten Mal. Persönlich halte ich das aber nicht für so günstig (Problem der Datenpflege). (Alles für Samba 2.x, bei Samba 3.0 scheint sich da wohl doch einiges geändert zu haben).
anschliessend haben wir bei dem DomainController den "fileserver" hinzugefügt und anschliessend mit dem Befehl:
smbpasswd -j domain -r server2 -U administrator
Den Samba wie oben in die NT-Domäne einbinden, bis die Meldung "Joined Domain" kommt.
Was soll dieser Befehl bewirken?
Das Anmelden des Samba-PC in der Domäne domain am PDC server2 als Administrator.
Den Parameter -j kenne ich nicht, und auch in meiner Manpage der 3.0er finde ich ihn nicht. Was macht "-j" genau?
Jetzt kommt zwar ein Passwort beim Zugriff auf den fileserver, aber kein Passwort stimmt und kein User kann sich da einloggen.
Dann gib mal "wbinfo" ein, das solle Dir die NT-User auflisten. Mit "getent passwd" werden die NT-User auf die Samba-Kiste gemappt und mit "getent group" auch die vorhandenen Gruppen.
Für Samba-Freigaben "valid users = domain+Gruppenname" eintragen, damit nur die entsprechenden NT-Benutzer den Zugriff auf das jeweilige Verzeichnis erhalten.
Ja, sehr sinnvoll.
Danach haben wir einen User im Samba und im Linux eingerichtet der auch in der Domäne existiert und dann klappte das auch. Ist es notwendig jetzt alle User doppelt auf der Linux Maschine anzulegen?
Nein, die Authentifizierungs-Weitergabe an den NT-Server sollte normaler Weise funxen.
Und dann muss kein Eintrag in smbpasswd vorgenommen werden :-)
Wozu auch, wenn es der NT-PDC macht. -- Gruß MaxX 8-) Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu