Hallo, ich möchte einen weiteren Server (Verwaltung ) mit Freigaben mit in die Domäne des Schulservers integrieren und dabei die Authentifizierung auch über den Schulserver vornehmen und administrieren. Ich habe dabei den neuen Server als Mitgliedsserver konfiguriert (security=domain). Wichtig ist dabei eine hohe Sicherheit gegen Zugriff über die Clientrechner des Schulservers. Die Anmeldung in die Domäne funktioniert soweit, jedoch nicht auf die Freigaben des neuen Verwaltungsservers für einen auf dem Schulserver angeleten Benutzer "sekretaer" aus der Gruppe "verwaltung". Die Meldung im log.smb des Samba-Verwaltungsservers lautet dann etwa: domain_client_validate: could not fetch trust account password for domain WELT-NETZ [2004/07/07 23:02:02, 1] smbd/password.c:pass_check_smb(545) Couldn't find user 'sekretaer' in passdb. [2004/07/07 23:02:02, 2] smbd/reply.c:reply_sesssetup_and_X(997) NT Password did not match for user 'sekretaer'! [2004/07/07 23:02:02, 2] smbd/reply.c:reply_sesssetup_and_X(1007) Defaulting to Lanman password for sekretaer [2004/07/07 23:02:02, 1] smbd/password.c:pass_check_smb(545) Couldn't find user 'sekretaer' in passdb. Lege ich den Benutzer und das Maschinenkonto auf dem Verwaltungsserver an so klappt es. Müssen auf dem Verwaltungsserver (verw-server) zusätzlich Maschinen- und Benutzerkonten und -Gruppen für Unix/Samba angelegt werden ? Dies wäre sehr umständlich. Grüsse Helmut Tolkmitt smb.conf Schulserver (PDC): [global] <schnip> security = user domain logons = yes domain master = yes preferred master = yes interfaces = 127.0.0.1 192.168.0.5 hosts allow = 192.168.0.0/255.255.0.0 logon path = \\%L\profiles\%U logon script = %G.bat netbios name = welt-server wins support = yes workgroup = WELT-NETZ <schnip> smb.conf Verwaltungsserver (Domänenmitgliedsserver): [global] <schnip> security = domain interfaces = 127.0.0.1 192.168.0.15 hosts allow = 192.168.0.0/255.255.0.0 logon path = \\%L\profiles\%U logon script = %G.bat netbios name = verw-server wins server = welt-server workgroup = WELT-NETZ password server = welt-server <schnip> [allverw] path = /home/verwaltung comment = Ordner fuer die Verwaltung auf %L writable = yes guest ok = no valid users = @verwaltung
Am Donnerstag, 8. Juli 2004 14:56 schrieb Helmut Tolkmitt:
ich möchte einen weiteren Server (Verwaltung ) mit Freigaben mit in die Domäne des Schulservers integrieren und dabei die Authentifizierung auch über den Schulserver vornehmen und administrieren. Ich habe dabei den neuen Server als Mitgliedsserver konfiguriert (security=domain). [...] [2004/07/07 23:02:02, 1] smbd/password.c:pass_check_smb(545) Couldn't find user 'sekretaer' in passdb.
Lege ich den Benutzer und das Maschinenkonto auf dem Verwaltungsserver an so klappt es. Müssen auf dem Verwaltungsserver (verw-server) zusätzlich Maschinen- und Benutzerkonten und -Gruppen für Unix/Samba angelegt werden ? Dies wäre sehr umständlich.
Nein. Dem anderen Samba-Server muß nur mitgeteilt werden, dass er für die Authentifizierung gefälligst den LDAP-Server zu befragen hat. Ansonsten sucht der Gute nämlich in seiner eigenen Passwortdatei nach dem betreffenden Nutzer und kann ihn dort natürlich nicht finden. [global] ldap admin dn = uid=cyrus,dc=Test-Schule,dc=de ldap del only sam attr = Yes ldap filter = (&(uid=%u)(objectclass=sambaAccount) ((disablelogin=yes))(|(!(gidnumber=103))(uid=%m)(uid=%m$))) ldap port = 389 ldap server = ldap ldap ssl = No ldap suffix = dc=Test-Schule,dc=de Die Werte müßten in der Datei /etc/samba/smb.conf des Schulservers stehen. Wenn die auch im Verwaltungsserver eingetragen werden, dann dürfte auch dort die Anmeldung funktionieren. Samba muss halt nur mit LDAP-Unterstützung kompiliert und eingerichtet sein - dann klappts auch mit den Nachbarn... Viele Grüße, Lars -- Lars Rupp, SUSE LINUX AG Maxfeldstr. 5, Lars.Rupp@suse.de D-90409 Nürnberg +49 (0) 911 74053193 -------------------------------------------
Hallo Lars, vielen Dank für die Hilfe, nur noch mal zu Verständnis, das ich dem Slave Samba-Server in der smb.conf sage: password server = domain_des_masterservers reicht also nicht aus. Er schien in dieser Konfiguration zwar Anfragen an den Hauptserver weiterzuleiten ( netlogon skripte, profile, usw.) jedoch nicht die angelegten Benutzer und Maschinenkonten ?!? Grüsse Helmut Lars Rupp schrieb:
Am Donnerstag, 8. Juli 2004 14:56 schrieb Helmut Tolkmitt:
ich möchte einen weiteren Server (Verwaltung ) mit Freigaben mit in die Domäne des Schulservers integrieren und dabei die Authentifizierung auch über den Schulserver vornehmen und administrieren. Ich habe dabei den neuen Server als Mitgliedsserver konfiguriert (security=domain).
[...]
[2004/07/07 23:02:02, 1] smbd/password.c:pass_check_smb(545) Couldn't find user 'sekretaer' in passdb.
Lege ich den Benutzer und das Maschinenkonto auf dem Verwaltungsserver an so klappt es. Müssen auf dem Verwaltungsserver (verw-server) zusätzlich Maschinen- und Benutzerkonten und -Gruppen für Unix/Samba angelegt werden ? Dies wäre sehr umständlich.
Nein. Dem anderen Samba-Server muß nur mitgeteilt werden, dass er für die Authentifizierung gefälligst den LDAP-Server zu befragen hat. Ansonsten sucht der Gute nämlich in seiner eigenen Passwortdatei nach dem betreffenden Nutzer und kann ihn dort natürlich nicht finden.
[global] ldap admin dn = uid=cyrus,dc=Test-Schule,dc=de
ldap del only sam attr = Yes
ldap filter = (&(uid=%u)(objectclass=sambaAccount) ((disablelogin=yes))(|(!(gidnumber=103))(uid=%m)(uid=%m$)))
ldap port = 389
ldap server = ldap
ldap ssl = No
ldap suffix = dc=Test-Schule,dc=de
Die Werte müßten in der Datei /etc/samba/smb.conf des Schulservers stehen. Wenn die auch im Verwaltungsserver eingetragen werden, dann dürfte auch dort die Anmeldung funktionieren. Samba muss halt nur mit LDAP-Unterstützung kompiliert und eingerichtet sein - dann klappts auch mit den Nachbarn...
Viele Grüße, Lars
Hallo Helmut Am Freitag, 16. Juli 2004 12:32 schrieb Helmut Tolkmitt:
nur noch mal zu Verständnis, das ich dem Slave Samba-Server in der smb.conf sage:
password server = domain_des_masterservers
reicht also nicht aus. Er schien in dieser Konfiguration zwar Anfragen an den Hauptserver weiterzuleiten ( netlogon skripte, profile, usw.) jedoch nicht die angelegten Benutzer und Maschinenkonten ?!?
Ja. Da der Slave zwar versucht den anderen Server als Master zu connecten, die Nutzerdaten aber im LDAP liegen. Es ist wesentlich einfacher, die Nutzerdaten direkt über den LDAP-Server zu prüfen. Viele Grüße, Lars (*der hiermit seinen Urlaub beendet, snief*) -- Lars Rupp, SUSE LINUX AG Maxfeldstr. 5, Lars.Rupp@suse.de D-90409 Nürnberg +49 (0) 911 74053193 -------------------------------------------
participants (2)
-
Helmut Tolkmitt -
Lars Rupp