Hallo ich habe hier ein paar Linux-Server mit Samba 2.2.8a zu verwalten. Jetzt sollen Win2k und XP Rechner in die Domänen eingebunden werden. Dies klappt auch ohne Probleme. Leider sind die Linux-Server Deutschland weit verteilt und haben jeweils eine Domäne. Damit der Win2k/XP Rechner sich an der jeweiligen Domäne anmelden kann, muss ja bekanntermassen für den Rechner ein "Trusted Account" eingerichtet werden. Dies geschieht ja über den Client selbst. Da ich aber nicht jedesmal mit einem neuen PC an den Standort fahren möchte, dachte ich so bei mir, dass es vielleicht eine Möglichkeit gibt diesen Account auch auf Linuxebene einzutragen und den Rechner dann einfach per Post zu verschicken, ohne dass der User dann als Administrator den Domänenbeitrag durchführen muss. Da wir hier kein LDAP-Konzept haben kann ich das alles auch nicht zentral verwalten. Auch das logfile von Samba zeigt mir beim Domänenbeitritt nichts an, was ich irgendwie verwenden könnte. Hat da vielleicht jemand Erfahrung mit ? Meine Umgebung: SuSE 7.2 Samba 2.2.8a W2K und XP Rechner -- Regards, Jens Strohschnitter ------------------------------------- *!!!LINUX LINUX LINUX LINUX LINUX!!!* * http://www.jens-strohschnitter.de * ------------------------------------- Set the controls for the heart of the sun -------------------------------------
Hallo Jens, On Tue, Sep 23, 2003 at 11:12:32AM +0200, Jens Strohschnitter wrote:
ich habe hier ein paar Linux-Server mit Samba 2.2.8a zu verwalten. Jetzt sollen Win2k und XP Rechner in die Domänen eingebunden werden. Dies klappt auch ohne Probleme.
schön zu hören. :)
Leider sind die Linux-Server Deutschland weit verteilt und haben jeweils eine Domäne. Damit der Win2k/XP Rechner sich an der jeweiligen Domäne anmelden kann, muss ja bekanntermassen für den Rechner ein "Trusted Account" eingerichtet werden. Dies geschieht ja über den Client selbst.
IIRC nicht zwingend.
Da ich aber nicht jedesmal mit einem neuen PC an den Standort fahren möchte, dachte ich so bei mir, dass es vielleicht eine Möglichkeit gibt diesen Account auch auf Linuxebene einzutragen und den Rechner dann einfach per Post zu verschicken, ohne dass der User dann als Administrator den Domänenbeitrag durchführen muss.
Schau Dir mal das Samba PCD Howto an, wenn ich mich recht erinnere stand da noch ein zweiter Weg wie Du das Problem lösen kannst. Greetings Daniel -- "Gna, schon wieder Seti [...] Dabei ist es schon schwierig genug, auf *diesem* Planeten intelligentes Leben zu finden." -- Charly Kuehnast in dasr
Hallo, Jens Strohschnitter schrieb:
[Machine-Accounts vorab auf dem Samba-PDC eintragen]
Hat da vielleicht jemand Erfahrung mit ?
Ich glaub ein einziges mal hab ich das so gemacht... steht hier [1] ganz gut beschrieben. Dann hab ich auf die automatisierte Methode mit dem Administrator-Login von der Windows-Kiste aus umgestellt... Ein (Sicherheits-)Problem ist allerdings, daß sich von dem Zeitpunt an, an dem du das Machine-Trust-Account erstellt hast, bis zum wirklichen hinzufügen des Rechners in die Domäne, dieses Machine-Trust-Account ohne Passwort ist... jeder Rechner dessen Namen auf den Rechnernamen des neuen Computers umstellt (und prinzipiell Zugang zum Samba-Server hat), kann der Domäne beitreten (ist auch in [1] erwähnt). Gruß, Dieter [1]: http://de.samba.org/samba/docs/man/Samba-HOWTO-Collection.html#AEN1343
[Machine-Accounts vorab auf dem Samba-PDC eintragen]
Hat da vielleicht jemand Erfahrung mit ?
Ich glaub ein einziges mal hab ich das so gemacht... steht hier [1] ganz gut beschrieben. Dann hab ich auf die automatisierte Methode mit dem Administrator-Login von der Windows-Kiste aus umgestellt...
Ein (Sicherheits-)Problem ist allerdings, daß sich von dem Zeitpunt an, an dem du das Machine-Trust-Account erstellt hast, bis zum wirklichen hinzufügen des Rechners in die Domäne, dieses Machine-Trust-Account ohne Passwort ist... jeder Rechner dessen Namen auf den Rechnernamen des neuen Computers umstellt (und prinzipiell Zugang zum Samba-Server hat), kann der Domäne beitreten (ist auch in [1] erwähnt).
Hi, habe mir die Doku mal durchgelesen, aber so wie dort beschrieben verfahre ich ja bereits. Den Maschinen-Account kann ich zwar mit useradd foo$ und smbpasswd -m -a foo$ anlegen, aber den Rechner muss ich dann noch immer vor Ort als Administrator in die Domäne bringen. Gibt es da keine Möglichkeit das Ganze so auf Linuxebene vorzubereiten, dass ich den Rechner vor Ort direkt mit dem Usernamen starten kann ? -- Regards, Jens Strohschnitter ------------------------------------- *!!!LINUX LINUX LINUX LINUX LINUX!!!* * http://www.jens-strohschnitter.de * ------------------------------------- Set the controls for the heart of the sun -------------------------------------
Hallo, Wednesday, September 24, 2003, 3:20:06 PM, Jens S. wrote:
[Machine-Accounts vorab auf dem Samba-PDC eintragen]
habe mir die Doku mal durchgelesen, aber so wie dort beschrieben verfahre ich ja bereits. Den Maschinen-Account kann ich zwar mit useradd foo$ und smbpasswd -m -a foo$ anlegen, aber den Rechner muss ich dann noch immer vor Ort als Administrator in die Domäne bringen. Gibt es da keine Möglichkeit das Ganze so auf Linuxebene vorzubereiten, dass ich den Rechner vor Ort direkt mit dem Usernamen starten kann ?
Ähm... da sind eigentlich zwei Wege beschrieben (Kapitel 9.4): ===================================================================== There are two ways to create machine trust accounts: - Manual creation. Both the Samba and corresponding Unix account are created by hand. - "On-the-fly" creation. The Samba machine trust account is automatically created by Samba at the time the client is joined to the domain. (For security, this is the recommended method.) The corresponding Unix account may be created automatically or manually ===================================================================== In 9.4.1 wird der Manuelle Weg beschrieben (Linux-User namens [Rechnername]$ erstellen, per "smbpasswd -a -m" ein Samba-Machine-Account erstellen. In 9.4.2 wird der automatische Weg per "add user script" beschrieben. -- Gruß, Dieter
habe mir die Doku mal durchgelesen, aber so wie dort beschrieben verfahre ich ja bereits. Den Maschinen-Account kann ich zwar mit useradd foo$ und smbpasswd -m -a foo$ anlegen, aber den Rechner muss ich dann noch immer vor Ort als Administrator in die Domäne bringen. Gibt es da keine Möglichkeit das Ganze so auf Linuxebene vorzubereiten, dass ich den Rechner vor Ort direkt mit dem Usernamen starten kann ?
Ähm... da sind eigentlich zwei Wege beschrieben (Kapitel 9.4):
In 9.4.1 wird der Manuelle Weg beschrieben (Linux-User namens [Rechnername]$ erstellen, per "smbpasswd -a -m" ein Samba-Machine-Account erstellen. In 9.4.2 wird der automatische Weg per "add user script" beschrieben.
Hallo, sorry für die späte Rückmeldung. Habe das Ganze nun ein paar mal durchgespielt, leider habe ich es bisher nicht geschafft den Rechner ohne dass ich als lokaler Administrator unter Win2000 der Domäne beitrete geht es scheinbar nicht. Mittels dem o.g. add user script kann ich ja nur den User automatisch anlegen lassen, wenn der Client bereits in der Domäne bekannt ist. Da die User und auch die Maschinenaccounts bereits in der betreffenden Domäne bekannt sind nutzt mir der add user script parameter leider nichts. Zumindest habe ich es laut Doku so verstanden, dass ich erst mittels Admin die Maschine (also den Client) in die Domäne bringen muss und anschliessend kann der User sich dann (auch wenn er als Unixaccount noch nicht exisitiert) in der Domäne anmelden: Auszug aus der Samba-PDC-HOWTO: The second [...] needed when the client is joined to the domain. ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ Das aber ist ja nicht das Problem. Ich möchte dass ich den "join" in die Domäne von einem anderen Standort bereits auf dem Client vorbereite und der Anwender in der anderen Domäne (so wie unter W9x Clients bekannt) direkt beim Login seinen Usernamen nebst Passwort und Domäne angeben kann, ohne den root/Admin Account nutzen zu müssen. Ist das möglich oder muss der Rechner wirklich in die Domäne mittels Administrator und root beitreten ? -- Regards, Jens Strohschnitter ------------------------------------- *!!!LINUX LINUX LINUX LINUX LINUX!!!* * http://www.jens-strohschnitter.de * ------------------------------------- Set the controls for the heart of the sun -------------------------------------
participants (3)
-
Daniel Lord -
Dieter.Guthmann@t-online.de -
Jens Strohschnitter