![](https://seccdn.libravatar.org/avatar/71c84eb753c5845eb1d9071a337e30ce.jpg?s=120&d=mm&r=g)
Hallo,
"Christian Marschalek"
Samba kann und will nicht Primary Domain Controller sein, Punkt.
Also obs Samba will oder nicht, kann ich nicht beurteilen. Können tut es Samba sehr wohl!
Samba als PDC [Short-HOWTO]: http://www.unixboard.de/vb3/showthread.php?t=97
Das ist nicht die Beschreibung eines PDC, sondern die eines NT Servers. Dort wird sogar noch Samba-2.2 beschrieben, d.h. ohne Kerberos Implementierung. Selbst Samba-3.0 einschließlich Kerberos kann nicht die Rolle eines PDC übernehmen. Ich möchte hier nicht das volständige Domain Konzept von Microsoft vorstellen, das realitiv wenig mit dem Domain Name Service zu tun hat, am ehesten noch mit einem Keberos Realm verglichen wrden könnte, obwohl auch dieser Vergleich hinkt. In Windows2000 wurde einerseits das Konzept der multiplen Gruppenzugehörigkeit vervollständigt, andererseits die Anwender -Authentifizierung durch Kerberos-v5 zwingend vorgesehen. Hierbei wurde der Kerberos Session-Key um ein Datenfeld verändert, nämlich das Feld 7, in dem die Gruppenzugehörigkeit übermittelt wird. Der Primary Domain Controller ist die oberste Instanz für alle Anwenderdaten, sei es nun die Schlüsselverwaltung durch Kerberos, oder sonste sonstige Anwenderdaten in LDAP. Samba kann zwar Anwenderdaten in LDAP verwalten und wenn mit krb5lib kompiliert, auch prinzipiell Kerberos sprechen, aber der native MIT Kerberos v5 kann das Feld 7 des Schlüssels nicht mit der Gruppenzugehörigkeit beschreiben. Daneben gibt es noch weitere protokollspezifische Modifikationen im Windows2000 Server, (und 2003 Server) die von W2K Clients benutzt werden, aber von Samba nicht bereitgestellt werden können. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de