Hi! Nachdem wir hier vor kurzem eine fuer mich sehr interessante Diskussion ueber Alternativen zu MS Exchange unter Linux hatten, ist bei mir wieder der Gedanke aufgeflammt, es dann doch noch einmal zu versuchen ;-) Ich will einfach unseren W2K Server loswerden und durch Linux ersetzen! Was mich jetzt nur noch etwas irritiert: hat schon jemand praxisnahe Erfahrungen gesammelt, was Samba als PDC fuer WIN XP Prof angeht? Es geht mir dabei v.a. um so Sachen wie Richtlinen! Also ich brauche jetzt nicht die super feinen Spezialrichtlinien, aber ich wuerde halt schon gerne verhindern, dass ein User in die Systemsteuerung kommt oder ihm das Hintergrundbild oder den Desktop vorschreiben oder ein wenig beim IE einschraenken! Also eigentlich nichts superdramatisches! Hat da jemand Erfahrungen gemacht?
Hallo,
Philipp Flesch
Hi! Nachdem wir hier vor kurzem eine fuer mich sehr interessante Diskussion ueber Alternativen zu MS Exchange unter Linux hatten, ist bei mir wieder der Gedanke aufgeflammt, es dann doch noch einmal zu versuchen ;-) Ich will einfach unseren W2K Server loswerden und durch Linux ersetzen! Was mich jetzt nur noch etwas irritiert: hat schon jemand praxisnahe Erfahrungen gesammelt, was Samba als PDC fuer WIN XP Prof angeht? Es geht mir dabei v.a. um so Sachen wie Richtlinen! Also ich brauche jetzt nicht die super feinen Spezialrichtlinien, aber ich wuerde halt schon gerne verhindern, dass ein User in die Systemsteuerung kommt oder ihm das Hintergrundbild oder den Desktop vorschreiben oder ein wenig beim IE einschraenken! Also eigentlich nichts superdramatisches!
Samba kann und will nicht Primary Domain Controller sein, Punkt. Samba kann und will Memberserver einer Microsoft Domain sein. Samba kann und will ein Windows-NT-Domain Server sein. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
Samba kann und will nicht Primary Domain Controller sein, Punkt.
Also obs Samba will oder nicht, kann ich nicht beurteilen. Können tut es Samba sehr wohl! Samba als PDC [Short-HOWTO]: http://www.unixboard.de/vb3/showthread.php?t=97
Hallo,
"Christian Marschalek"
Samba kann und will nicht Primary Domain Controller sein, Punkt.
Also obs Samba will oder nicht, kann ich nicht beurteilen. Können tut es Samba sehr wohl!
Samba als PDC [Short-HOWTO]: http://www.unixboard.de/vb3/showthread.php?t=97
Das ist nicht die Beschreibung eines PDC, sondern die eines NT Servers. Dort wird sogar noch Samba-2.2 beschrieben, d.h. ohne Kerberos Implementierung. Selbst Samba-3.0 einschließlich Kerberos kann nicht die Rolle eines PDC übernehmen. Ich möchte hier nicht das volständige Domain Konzept von Microsoft vorstellen, das realitiv wenig mit dem Domain Name Service zu tun hat, am ehesten noch mit einem Keberos Realm verglichen wrden könnte, obwohl auch dieser Vergleich hinkt. In Windows2000 wurde einerseits das Konzept der multiplen Gruppenzugehörigkeit vervollständigt, andererseits die Anwender -Authentifizierung durch Kerberos-v5 zwingend vorgesehen. Hierbei wurde der Kerberos Session-Key um ein Datenfeld verändert, nämlich das Feld 7, in dem die Gruppenzugehörigkeit übermittelt wird. Der Primary Domain Controller ist die oberste Instanz für alle Anwenderdaten, sei es nun die Schlüsselverwaltung durch Kerberos, oder sonste sonstige Anwenderdaten in LDAP. Samba kann zwar Anwenderdaten in LDAP verwalten und wenn mit krb5lib kompiliert, auch prinzipiell Kerberos sprechen, aber der native MIT Kerberos v5 kann das Feld 7 des Schlüssels nicht mit der Gruppenzugehörigkeit beschreiben. Daneben gibt es noch weitere protokollspezifische Modifikationen im Windows2000 Server, (und 2003 Server) die von W2K Clients benutzt werden, aber von Samba nicht bereitgestellt werden können. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
Hallo,
"Christian Marschalek"
Das ist nicht die Beschreibung eines PDC, sondern die eines NT Servers.
Aha! Dann haben die den falschen Titel für ihr howto gewählt ;) Scheint so als wüsstest du von was du sprichst!
Ja. Als vor ca. 18 Monaten die ersten Samba-3.alpha Versionen verfügbar wurden habe ich auch gedacht, daß dies nun ein Ersatz für W2K PDC sein könnte. Als es mir dann auch gelang, Samba-3.alpha mit krb5lib zu kompiliern und auch meine W2K Clients erfolgreich an meinem MIT Kerberos Realm anzumelden, habe ich auch lauthals geschriehen, Samba-3 kann als W2K PDC eingesetzt werden. Als ich dann vor ca. 6 Monaten mal einen Windows2003 Server in meinem Netz installiert hatte, bemerkte ich den Unterschied. Für ein kleines Heimnetzwerk ist Samba gut als zentraler Anmelde- und Fileserver zu verwenden. In einem Unternehmen mit unterschiedlichen Zugriffsregelungen und Gruppenzugehörigkeiten, ist ein Windows2000 oder Windows 2003 Server als PDC notwendig, aber eben nur einer, dazu dann viele Sambaserver als Memberserver, die die eigentlichen Dienste verrichten.
"I stand corrected"
Das ist eine ehrenwerte Haltung. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
Hallo Dieter, wenn ich Dich dann so zusammenfassen darf, empfiehlst Du mit Deiner Aussage auf Grund der Einschraenkungen Dieter Kluenter schrieb:
Samba kann und will nicht Primary Domain Controller sein, Punkt. Samba kann und will Memberserver einer Microsoft Domain sein. Samba kann und will ein Windows-NT-Domain Server sein.
W2K oder W2003 Server als PDC und BDC, Samba als Memberserver (die dann z.B. weiteren Speicherplatz und usw. anbieten Habe ich das so richtig gesehen? Philipp
Philipp Flesch
Hallo Dieter, wenn ich Dich dann so zusammenfassen darf, empfiehlst Du mit Deiner Aussage auf Grund der Einschraenkungen
Dieter Kluenter schrieb:
Samba kann und will nicht Primary Domain Controller sein, Punkt. Samba kann und will Memberserver einer Microsoft Domain sein. Samba kann und will ein Windows-NT-Domain Server sein.
W2K oder W2003 Server als PDC und BDC, Samba als Memberserver (die dann z.B. weiteren Speicherplatz und usw. anbieten
Habe ich das so richtig gesehen?
Ja. Wie ich in einer andern Mail zu diesem Thread schon geschrieben habe, je nach Anzahl der Clients, 1 W2000 oder W2003 Server als PDC, gegebenenfalls auch noch einen als BDC, dann etliche Samba-3.x die als eigentliche Anmeldeserver und Fileserver Dienst tun. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de
participants (3)
-
Christian Marschalek
-
Dieter Kluenter
-
Philipp Flesch