Am Samstag, 20. November 2004 10:59 schrieb Michael Raab:

Am Sa, den 20.11.2004 schrieb Mathias Homann um 10:51:

...

Folgendes ist vorhanden: p3-450 mit 384M ram und SCSI, Plattenplatz: genug ;)

Folgendes muß _unbedingt stabil_ drauf laufen: - SuSEfirewall2 am t-dsl - samba als PDC - dns - dhcp (so, daß der dhcpd die vergebenen adressen in den dns einträgt) - postfix - spamassassin - avmailgate - sieve - cyrus imapd - apache mit php4 - mysql - leafnode - tripwire

Und aus updateverfügbarkeitsgründen würd ich eigentlich nix älteres als ne 9.0 nehmen wollen... Welche SuSE nehm ich da nur... die neueren ham ja alle an einer dieser ecken geklemmt, ich sag nur tripwire oder apache2...

Hat irgendwer tips für mich?

Wie wärs mit einem Debian?

Wäre auch mein Vorschlag. Debian stable mit automatischem Sicherheitsupdate - und er läuft und läuft und läuft ... :-) -- Gruß                 MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu

nein danke. wie du geflissentlich ignoriert hast fragte ich nach suse. ich möchte nämlich alles möglichst schnell wieder am laufen haben und nicht wochenlang rumfummeln bis alles läuft...

Trotz meines Rates habe ich vor ca. 3 Monaten nen Router mit FW, Apache2, Mailserver und Faxserver aufgesetzt. Version: 9.1. Zufriedenheit: TOP! Nur irgendwann gibts keine Updates mehr dafür ;-( Das selbe Problem hatte ich mit 8.0! Das ist ärgerlich. Und wenn Du von 8 auf 9.1 gehst, dann ist alles anders :-( was bei Debain nicht unbedingt der Fall ist... Deshalb beiße ich mich wirklich einwenig in den Hintern, dass ichs nicht genommen habe... Grund? Wie bei Dir... es sollte schnell gehen... Aber wenn Du Zeit hast kannst Dus ja mal auf nem Testserver machen... Stück für Stück. Gruß Bernd

Wie wärs mit einem Debian?

Genau das wollte ich eben auch sagen! :D Mit Debian ist man nicht so eingefahren, bekommt lange Updates und kann sich alles aussuchen... einziger Nachteil... wer schon immer SuSE benutzt hat tut sich anfags einwenig schwer... Aber man darf auch hier den Lern-Faktor nicht vergessen ;-) Gruß Bernd

Rainer Bendig aka Ny writes:

Hi Dieter Kluenter, *,

Dieter Kluenter wrote on Sat Nov 20, 2004 at 12:03:01PM +0100:

...

Samba als PDC geht prinzipiell nicht, aber das ist ein anderes Thema, da hier Terminologien durcheinander gebracht werden. Wenn du aber

Dann frage ich mich was bei uns im Firmennetz eigentlich laeuft...

Dann frage dich, oder einen Anderen, ich kann das nicht erraten :-) -Dieter Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53

Hallo,

-----Original Message----- From: Dieter Kluenter [mailto:dieter@dkluenter.de] Sent: Saturday, November 20, 2004 12:03 PM To: suse-linux@suse.com Subject: Re: Welche SuSE für server?

SuSE-9.2 wagen. Es könnte aber Probleme mit dem 2.6er Kernel geben, daher würde ich bei einem Server lieber noch bei 2.4.x bleiben. Samba als PDC geht prinzipiell nicht, aber das ist ein anderes Thema, da hier Terminologien durcheinander gebracht werden.

Samba geht nur als PDC. SDC ist nur möglich, wenn der PDC auch ein Samba ist. Was (leider) nicht geht, ist Samba als SDC neben einem MS-PDC einzusetzen. Gruss Jens

Hallo Dieter, Dieter Kluenter wrote :

Samba geht *nicht* als Primary Domain Controller, sondern nur als Meber Server in einer Domain. Die Gründe dazu habe ich schon oft genug auf dieser Liste dargelegt.

Ohne Dir persönlich auf die Füße treten zu wollen, so ist Deine Antwort grundsätzlich nicht richtig ;-) Auch wenn Samba 2/3 grundsätzlich nicht die volle Funktionalität eines echten Windows NT4-Primary Domain Controllers darstellen kann, so kenne ich aus dem Arbeitsumfeld meines Windows-Arbeitgebers genügend Firmen, die sehr wohl Samba2/3 als PDC in Betrieb haben und damit völlig ausreichend zufrieden sind. Windows NT4: Samba *geht* als PDC. Samba *geht* als BDC, wenn der PDC auch Samba ist. Samba *geht nicht* als BDC, wenn der PDC windows ist. Samba *geht* als Member-Server. Windows 2000/2003 Samba *geht nicht* als DC. Samba *geht* als Member-Server. Vielleicht spalte ich nur Haare, die von den Zähnen in die Suppe gefallen sind. Imho ist jedoch folgende Aussage besser: "Samba 2/3 kann in spezialisierten Umgebungen nicht als PDC eingesetzt werden, weil ..." bis dahin - kind regards Martin Mewes -- Member of the Webmin Translation Team http://www.webmin.com/ http://webmin.mamemu.de/ Debian, SuSE, Securityfocus and Webmin - Mailinglist mboxes http://www.mewes.tv/mbox/

Hallo Dieter, Dieter Kluenter wrote :

Wenn man davon ausgeht, daß das Konzept des Primary Domain Controllers bei einem NT4 Server nur begrenzt verfügbar ist, also nur Fileserver, Anmeldeserver, ohne KRB5 und ohne LDAP, ohne ausgeklügelte Gruppenkontrollen usw., hast du hier Recht. Der Anspruch von Samba war immer, nur Fileserver- und Printserver- Dienste bereitzustellen und nicht primär eine zentale Anwenderverwaltung bereitzustellen (obwohl das mit Samba3 als NT4 Ersatz heute möglich ist).

*unterschreib*

...

Windows 2000/2003 Samba *geht nicht* als DC. Samba *geht* als Member-Server.

etwas anderes habe ich auch nie gesagt.

Habe ich auch nur der Vollständigkeit halber dabei geschreibselt.

...

"Samba 2/3 kann in spezialisierten Umgebungen nicht als PDC eingesetzt werden, weil ..."

Einfacher, Samba kann in einer W2K+ Umgebung nicht als PDC eingesetzt werden, weil wichtige Anforderungen, wie z.B. Kerberos Authentifizierung und die damit verbundene Gruppenkontrolle und Trust Relation nicht erbracht werden können und W2K Clients Samba daher nicht als PDC akzeptieren.

*unterschreib* // dann haben wir uns ja wieder lieb ;-) // bis dahin - kind regards Martin Mewes -- Member of the Webmin Translation Team http://www.webmin.com/ http://webmin.mamemu.de/ Debian, SuSE, Securityfocus and Webmin - Mailinglist mboxes http://www.mewes.tv/mbox/

"Mathias Homann" writes:

Dieter Kluenter sagte:

...

Einfacher, Samba kann in einer W2K+ Umgebung nicht als PDC eingesetzt werden, weil wichtige Anforderungen, wie z.B. Kerberos Authentifizierung und die damit verbundene Gruppenkontrolle und Trust Relation nicht erbracht werden können und W2K Clients Samba daher nicht als PDC akzeptieren.

komisch. sowohl der w2k client in einer vmware als auch die wxp pro clients akzeptieren den samba 2.2.5 auf meinem alten server als PDC. komplett mit roaming profiles, zentraler benutzerverwaltung, group policies und netlogon script...

Das ist noch keine Windows Domain und daher betreibst du auch keinen Primary Domain Controller. Eines der wichtigsten Merkmale des Konzeptes der Windows Domain ist die Trust Relation und die wird bei dir zwischen W2K,WXP und Samba nicht hergestellt. -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53

Matthias Houdek writes:

Am Sonntag, 21. November 2004 08:47 schrieb Dieter Kluenter:

...

"Mathias Homann" writes:

...

Dieter Kluenter sagte:

...

Einfacher, Samba kann in einer W2K+ Umgebung nicht als PDC eingesetzt werden, weil wichtige Anforderungen, wie z.B. Kerberos Authentifizierung und die damit verbundene Gruppenkontrolle und Trust Relation nicht erbracht werden können und W2K Clients Samba daher nicht als PDC akzeptieren.

komisch. sowohl der w2k client in einer vmware als auch die wxp pro clients akzeptieren den samba 2.2.5 auf meinem alten server als PDC. komplett mit roaming profiles, zentraler benutzerverwaltung, group policies und netlogon script...

Das ist noch keine Windows Domain und daher betreibst du auch keinen Primary Domain Controller. Eines der wichtigsten Merkmale des Konzeptes der Windows Domain ist die Trust Relation und die wird bei dir zwischen W2K,WXP und Samba nicht hergestellt.

Ähm, da misch ich mich doch auch noch mal ein :-)

Nun bin ich nicht unbedingt der Windows-Guru (Linux auch nixht ;-), aber ich hab es bisher immer so gesehen, dass letztendlich jeder W-NT/2k-Client eine eigene "lokale" Domain aufbaut (deswegen kann ich mich ja auch bei Domain-Authentifizierung lokal anmelden) und bei einer Verbindung mit einem PDC nichts anderes als eine trust relation mit dem PDC als vertrauter und dem Client als vertrauender Domain erstellt wird. Und da ich mich problemlos mit einem W2K-Client an einer Samba-Domain anmleden kann, werden offensichtlich Vertrauensbeziehungen bei Samba hergestellt. [...]

Das was Microsoft als Vertrauensbeziehung bezeichnet, sind eigentlich Kerberos Tickets und die Windows Domain ist mit dem Kerberos Realm vergleichbar, wenn auch nicht identisch.Ein PDC ist gleichzeitig auch Key Distribution Center (KDC). -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53

Andreas Winkelmann writes:

Am Sonntag, 21. November 2004 11:21 schrieb Dieter Kluenter:

...

...

Nun bin ich nicht unbedingt der Windows-Guru (Linux auch nixht ;-), aber ich hab es bisher immer so gesehen, dass letztendlich jeder W-NT/2k-Client eine eigene "lokale" Domain aufbaut (deswegen kann ich mich ja auch bei Domain-Authentifizierung lokal anmelden) und bei einer Verbindung mit einem PDC nichts anderes als eine trust relation mit dem PDC als vertrauter und dem Client als vertrauender Domain erstellt wird. Und da ich mich problemlos mit einem W2K-Client an einer Samba-Domain anmleden kann, werden offensichtlich Vertrauensbeziehungen bei Samba hergestellt.

[...]

Das was Microsoft als Vertrauensbeziehung bezeichnet, sind eigentlich Kerberos Tickets und die Windows Domain ist mit dem Kerberos Realm vergleichbar, wenn auch nicht identisch.Ein PDC ist gleichzeitig auch Key Distribution Center (KDC).

Ein PDC (Primary Domain Controller) ist ein Ding aus Windows-NT4 Zeit und hat nichts mit Kerberos zu tun. Das Konzept seit Active Directory ist ein Multi-Master Modell. Dort gibt es zwar noch DCs aber keinen Primary DC (1) mehr.

http://www.microsoft.com/resources/documentation/windowsserv/2003/all/techre... -Dieter -- Dieter Klünter | Systemberatung http://www.dkluenter.de GPG Key ID:01443B53

Am Sonntag, 21. November 2004 11:21 schrieb Dieter Kluenter:

Matthias Houdek writes:

...

Am Sonntag, 21. November 2004 08:47 schrieb Dieter Kluenter:

...

"Mathias Homann" writes:

...

Dieter Kluenter sagte:

...

Einfacher, Samba kann in einer W2K+ Umgebung nicht als PDC eingesetzt werden, weil wichtige Anforderungen, wie z.B. Kerberos Authentifizierung und die damit verbundene Gruppenkontrolle und Trust Relation nicht erbracht werden können und W2K Clients Samba daher nicht als PDC akzeptieren.

komisch. sowohl der w2k client in einer vmware als auch die wxp pro clients akzeptieren den samba 2.2.5 auf meinem alten server als PDC. komplett mit roaming profiles, zentraler benutzerverwaltung, group policies und netlogon script...

Das ist noch keine Windows Domain und daher betreibst du auch keinen Primary Domain Controller. Eines der wichtigsten Merkmale des Konzeptes der Windows Domain ist die Trust Relation und die wird bei dir zwischen W2K,WXP und Samba nicht hergestellt.

Ähm, da misch ich mich doch auch noch mal ein :-)

Nun bin ich nicht unbedingt der Windows-Guru (Linux auch nixht ;-), aber ich hab es bisher immer so gesehen, dass letztendlich jeder W-NT/2k-Client eine eigene "lokale" Domain aufbaut (deswegen kann ich mich ja auch bei Domain-Authentifizierung lokal anmelden) und bei einer Verbindung mit einem PDC nichts anderes als eine trust relation mit dem PDC als vertrauter und dem Client als vertrauender Domain erstellt wird. Und da ich mich problemlos mit einem W2K-Client an einer Samba-Domain anmleden kann, werden offensichtlich Vertrauensbeziehungen bei Samba hergestellt.

[...]

Das was Microsoft als Vertrauensbeziehung bezeichnet, sind eigentlich Kerberos Tickets und die Windows Domain ist mit dem Kerberos Realm vergleichbar, wenn auch nicht identisch.Ein PDC ist gleichzeitig auch Key Distribution Center (KDC).

Was hat ein PDC mit Kerberos zu tun? Ich dachte immer, das verwendet M$ erst im Active Directory. Dort wird ja auch dieser PDC- und WINS-Kram nur noch aus Kompatibilitätsgründen mitgeschleift (emuliert?). IMHO wird der Begriff "Domäne" als Ersatz für die oberste(n) OU-Ebene auch nur noch aus Gewohnheit beibehalten. Damit weiß der halt der eingefleischte NT-Admin sofort was anzufangen ;-). Immerhin kann ja hier auch eine Domäne selbst weitere Domänen enthalten - unter NT undenkbar. -- Gruß                 MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu

Am Sonntag, 21. November 2004 15:15 schrieb Dieter Kluenter:

Matthias Houdek writes:

...

Am Sonntag, 21. November 2004 11:21 schrieb Dieter Kluenter:

...

Matthias Houdek writes:

...

Am Sonntag, 21. November 2004 08:47 schrieb Dieter Kluenter:

...

"Mathias Homann" writes:

Das was Microsoft als Vertrauensbeziehung bezeichnet, sind eigentlich Kerberos Tickets und die Windows Domain ist mit dem Kerberos Realm vergleichbar, wenn auch nicht identisch.Ein PDC ist gleichzeitig auch Key Distribution Center (KDC).

Was hat ein PDC mit Kerberos zu tun? Ich dachte immer, das verwendet M$ erst im Active Directory. Dort wird ja auch dieser PDC- und WINS-Kram nur noch aus Kompatibilitätsgründen mitgeschleift (emuliert?). IMHO wird der Begriff "Domäne" als Ersatz für die oberste(n) OU-Ebene auch nur noch aus Gewohnheit beibehalten. Damit weiß der halt der eingefleischte NT-Admin sofort was anzufangen ;-). Immerhin kann ja hier auch eine Domäne selbst weitere Domänen enthalten - unter NT undenkbar.

Active Directory ist nur der LDAP Teil des W2K/W2003 Servers, Kerberos wird von Microsft auch Identity Service bezeichniet

Hm, Active Directory ist doch aber noch etliches mehr. Die komplette Verwaltungsstruktur ist gewaltig erweitert, und im reinen W2k-Betrieb (also ohne die Komplatibilität zu NT) kann man z.B. auch mit den zusätzlichen "universal groups" ausgefeilte Rechte-Strukturen basteln. Außerdem ist doch Kerberos auch erst seit W2k eingesetzt, oder? NT-PDC verschlüsseln doch mit MD5 (IIRC? - ich bin hier nur Halbäugiger unter Blinden; ich erfreue mich dran, dass es klappt. *g*)). -- Gruß                 MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu