Am Sonntag, 21. November 2004 11:21 schrieb Dieter Kluenter:
Matthias Houdek
writes: Am Sonntag, 21. November 2004 08:47 schrieb Dieter Kluenter:
"Mathias Homann"
writes: Dieter Kluenter sagte:
Einfacher, Samba kann in einer W2K+ Umgebung nicht als PDC eingesetzt werden, weil wichtige Anforderungen, wie z.B. Kerberos Authentifizierung und die damit verbundene Gruppenkontrolle und Trust Relation nicht erbracht werden können und W2K Clients Samba daher nicht als PDC akzeptieren.
komisch. sowohl der w2k client in einer vmware als auch die wxp pro clients akzeptieren den samba 2.2.5 auf meinem alten server als PDC. komplett mit roaming profiles, zentraler benutzerverwaltung, group policies und netlogon script...
Das ist noch keine Windows Domain und daher betreibst du auch keinen Primary Domain Controller. Eines der wichtigsten Merkmale des Konzeptes der Windows Domain ist die Trust Relation und die wird bei dir zwischen W2K,WXP und Samba nicht hergestellt.
Ähm, da misch ich mich doch auch noch mal ein :-)
Nun bin ich nicht unbedingt der Windows-Guru (Linux auch nixht ;-), aber ich hab es bisher immer so gesehen, dass letztendlich jeder W-NT/2k-Client eine eigene "lokale" Domain aufbaut (deswegen kann ich mich ja auch bei Domain-Authentifizierung lokal anmelden) und bei einer Verbindung mit einem PDC nichts anderes als eine trust relation mit dem PDC als vertrauter und dem Client als vertrauender Domain erstellt wird. Und da ich mich problemlos mit einem W2K-Client an einer Samba-Domain anmleden kann, werden offensichtlich Vertrauensbeziehungen bei Samba hergestellt.
[...]
Das was Microsoft als Vertrauensbeziehung bezeichnet, sind eigentlich Kerberos Tickets und die Windows Domain ist mit dem Kerberos Realm vergleichbar, wenn auch nicht identisch.Ein PDC ist gleichzeitig auch Key Distribution Center (KDC).
Was hat ein PDC mit Kerberos zu tun? Ich dachte immer, das verwendet M$ erst im Active Directory. Dort wird ja auch dieser PDC- und WINS-Kram nur noch aus Kompatibilitätsgründen mitgeschleift (emuliert?). IMHO wird der Begriff "Domäne" als Ersatz für die oberste(n) OU-Ebene auch nur noch aus Gewohnheit beibehalten. Damit weiß der halt der eingefleischte NT-Admin sofort was anzufangen ;-). Immerhin kann ja hier auch eine Domäne selbst weitere Domänen enthalten - unter NT undenkbar. -- Gruß MaxX Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu