Samba PDC und Windows 7
Hallo! Ich bin vor wenigen Tagen auf ein Problem bei meinen Kunden aufmerksam geworden: Betreibe etliche Samba Server als PDC mit openLDAP, smbldap-tools usw. Inzwischen Samba in der Version 3.6.x ... Selbstverständlich wollen die Leute, aus mir unbegreiflichen Gründen, Windows 7 auf der Clientseite einsetzen. Soweit geht alles prima. A nmeldung mit allem drum und dran geht grundsätzlich sehr gut. Ich verwende standardmäßig die Richtlinie "vorname.zuname" als Benutzername. Das ganze war eigentlich noch nie großartig in den letzten Jahren ein Thema. Nun habe ich aber bemerkt, dass man sich mit Windows 7 nicht anmelden kann, wenn der Login-Name mehr als 20 Zeichen besitzt. "Früher", unter XP war das nie ein Thema. Nach relativ intensiver Recherche besteht das Problem seit Service Pack 1 von Vista. Es solle sich hierbei wirklich um einen Bug von Windows handeln, den M$ nicht nachkommen will/kann. => Mir ist bewusst, dass ich das eigentlich in einer anderen Liste posten sollte, aber weiß von euch jemand wie man das vielleicht irgendwie mit dem Abändern in einer Schema Datei von openLDAP dem Windows etwas vorspielen kann? Es kann nicht sein, dass man sich im Jahre 2011 mit solchen Sachen auseinandersetzen muss... -- Schöne Grüße, Matthias Praunegger desktop4education http://www.desktop4education.at ping solutions http://www.ping-solutions.at -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Ich dachte das hier ist eine Linux-Mailingliste ? Window$-Ideen liefern Linuxer grundsaetzlich nicht. Ich kann M$ nicht leiden, weil er viel von Linux abgekupfert hat und damit sein Window$ soweit verbessert hat, daß es aber als Basis auf M$-Do$ bleibt. Seit 11 Jahren verwende ich kein Window$, da es auch kein Betriebs-System ist, sondern ein Betriebs-Trojaner in fast jedem Unternehmen einschliesslich $AP. Es schaltet die Wirtschaft gleich und macht sie anfaellig fuer verdeckte Aktionen von M$. Dein Beitrag ist OT ! Aber heftig ... Gruss. Val. cv.schmitt@gmail.com Am 2011-10-11 16:55, schrieb Matthias Praunegger:
Hallo!
Ich bin vor wenigen Tagen auf ein Problem bei meinen Kunden aufmerksam geworden: Betreibe etliche Samba Server als PDC mit openLDAP, smbldap-tools usw. Inzwischen Samba in der Version 3.6.x ...
Selbstverständlich wollen die Leute, aus mir unbegreiflichen Gründen, Windows 7 auf der Clientseite einsetzen. Soweit geht alles prima. A nmeldung mit allem drum und dran geht grundsätzlich sehr gut.
Ich verwende standardmäßig die Richtlinie "vorname.zuname" als Benutzername. Das ganze war eigentlich noch nie großartig in den letzten Jahren ein Thema. Nun habe ich aber bemerkt, dass man sich mit Windows 7 nicht anmelden kann, wenn der Login-Name mehr als 20 Zeichen besitzt. "Früher", unter XP war das nie ein Thema.
Nach relativ intensiver Recherche besteht das Problem seit Service Pack 1 von Vista. Es solle sich hierbei wirklich um einen Bug von Windows handeln, den M$ nicht nachkommen will/kann.
=> Mir ist bewusst, dass ich das eigentlich in einer anderen Liste posten sollte, aber weiß von euch jemand wie man das vielleicht irgendwie mit dem Abändern in einer Schema Datei von openLDAP dem Windows etwas vorspielen kann?
Es kann nicht sein, dass man sich im Jahre 2011 mit solchen Sachen auseinandersetzen muss...
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
On Tue, Oct 11, 2011 at 04:55:33PM +0200, Matthias Praunegger wrote:
Ich bin vor wenigen Tagen auf ein Problem bei meinen Kunden aufmerksam geworden: Betreibe etliche Samba Server als PDC mit openLDAP, smbldap-tools usw. Inzwischen Samba in der Version 3.6.x ...
Sehr schön!
Selbstverständlich wollen die Leute, aus mir unbegreiflichen Gründen, Windows 7 auf der Clientseite einsetzen. Soweit geht alles prima. A nmeldung mit allem drum und dran geht grundsätzlich sehr gut.
Ich verwende standardmäßig die Richtlinie "vorname.zuname" als Benutzername. Das ganze war eigentlich noch nie großartig in den letzten Jahren ein Thema. Nun habe ich aber bemerkt, dass man sich mit Windows 7 nicht anmelden kann, wenn der Login-Name mehr als 20 Zeichen besitzt. "Früher", unter XP war das nie ein Thema.
Nach relativ intensiver Recherche besteht das Problem seit Service Pack 1 von Vista. Es solle sich hierbei wirklich um einen Bug von Windows handeln, den M$ nicht nachkommen will/kann.
Jain. Siehe http://msdn.microsoft.com/en-us/library/ms679635.aspx für die Limits der unterschiedlichen Microsoft Server Systeme. Ich vermute, dass mit Microsoft Vista SP 1 auch die Workstation bewusst dieser Restriktion folgt. Das ist aber eine reine Vermutung.
=> Mir ist bewusst, dass ich das eigentlich in einer anderen Liste posten sollte,
Nein, das passt. Und wem es nicht passt, der soll die Mail ignorieren. Oder sich mal http://www.youtube.com/watch?v=j8uefBUOfgA anschauen. Bisher kannte ich das lediglich von Dieter Nuhr. In diesem Kontext passt der Pinguin aber doch deutlich besser.
aber weiß von euch jemand wie man das vielleicht irgendwie mit dem Abändern in einer Schema Datei von openLDAP dem Windows etwas vorspielen kann?
Es kann nicht sein, dass man sich im Jahre 2011 mit solchen Sachen auseinandersetzen muss...
Doch, doch. Auch in 2011 gibt es noch ausreichend Schmerz. ;) Lars -- Lars Müller [ˈlaː(r)z ˈmʏlɐ] Samba Team SUSE Linux, Maxfeldstraße 5, 90409 Nürnberg, Germany
Am Dienstag, 11. Oktober 2011, 17:28:20 schrieb Lars Müller:
On Tue, Oct 11, 2011 at 04:55:33PM +0200, Matthias Praunegger wrote:
Ich bin vor wenigen Tagen auf ein Problem bei meinen Kunden aufmerksam geworden: Betreibe etliche Samba Server als PDC mit openLDAP, smbldap-tools usw. Inzwischen Samba in der Version 3.6.x ...
Sehr schön!
Selbstverständlich wollen die Leute, aus mir unbegreiflichen Gründen, Windows 7 auf der Clientseite einsetzen. Soweit geht alles prima. A nmeldung mit allem drum und dran geht grundsätzlich sehr gut.
Ich verwende standardmäßig die Richtlinie "vorname.zuname" als Benutzername. Das ganze war eigentlich noch nie großartig in den letzten Jahren ein Thema. Nun habe ich aber bemerkt, dass man sich mit Windows 7 nicht anmelden kann, wenn der Login-Name mehr als 20 Zeichen besitzt. "Früher", unter XP war das nie ein Thema.
Nach relativ intensiver Recherche besteht das Problem seit Service Pack 1 von Vista. Es solle sich hierbei wirklich um einen Bug von Windows handeln, den M$ nicht nachkommen will/kann.
Jain. Siehe http://msdn.microsoft.com/en-us/library/ms679635.aspx für die Limits der unterschiedlichen Microsoft Server Systeme.
Ich vermute, dass mit Microsoft Vista SP 1 auch die Workstation bewusst dieser Restriktion folgt. Das ist aber eine reine Vermutung.
Tja, lustig. Bei einem normalen, lokalen Windows XP schon kann man nicht mehr als 20 Zeichen eingeben, obwohl das Textfeld doppelt so breit wäre. Für Domänenbenutzer gilt diese Regelung nicht so stark. Aber selbst bei einem "aktuellen" Windows 2008 Server kann man zwar einen ganz langen Namen im AD eingeben, für den Login wird er aber automatisch abgeschnitten (pre-2000).
=> Mir ist bewusst, dass ich das eigentlich in einer anderen Liste posten sollte,
Nein, das passt. Und wem es nicht passt, der soll die Mail ignorieren.
Oder sich mal http://www.youtube.com/watch?v=j8uefBUOfgA anschauen. Bisher kannte ich das lediglich von Dieter Nuhr. In diesem Kontext passt der Pinguin aber doch deutlich besser.
aber weiß von euch jemand wie man das vielleicht irgendwie mit dem Abändern in einer Schema Datei von openLDAP dem Windows etwas vorspielen kann?
Es kann nicht sein, dass man sich im Jahre 2011 mit solchen Sachen auseinandersetzen muss...
Doch, doch. Auch in 2011 gibt es noch ausreichend Schmerz. ;)
sAMAccountName ist ja nicht in der samba3.schema enthalten. Hätte bereits eine microsoft.minimal.schema gefunden, aber diese ist ziemlich zerschossen. Damit startet mir der LDAP Server gar nicht. Ich würde mir ja vorstellen, dass ich zu jedem Benutzereintrag ein so ein zusätzliches Attribut hinzufügen, und der Anmeldedienst von Windows sucht sich das. Angeblich sollte ja ein Login mit benutzername@domain auch funktioniert anstatt der alten NetBIOS domain\benutzername Syntax. - Matthias -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 11.10.2011 17:28, schrieb Lars Müller:
On Tue, Oct 11, 2011 at 04:55:33PM +0200, Matthias Praunegger wrote:
Ich bin vor wenigen Tagen auf ein Problem bei meinen Kunden aufmerksam geworden: Betreibe etliche Samba Server als PDC mit openLDAP, smbldap-tools usw. Inzwischen Samba in der Version 3.6.x ...
Sehr schön!
Selbstverständlich wollen die Leute, aus mir unbegreiflichen Gründen, Windows 7 auf der Clientseite einsetzen. Soweit geht alles prima. A nmeldung mit allem drum und dran geht grundsätzlich sehr gut.
Ich verwende standardmäßig die Richtlinie "vorname.zuname" als Benutzername. Das ganze war eigentlich noch nie großartig in den letzten Jahren ein Thema. Nun habe ich aber bemerkt, dass man sich mit Windows 7 nicht anmelden kann, wenn der Login-Name mehr als 20 Zeichen besitzt. "Früher", unter XP war das nie ein Thema.
Nach relativ intensiver Recherche besteht das Problem seit Service Pack 1 von Vista. Es solle sich hierbei wirklich um einen Bug von Windows handeln, den M$ nicht nachkommen will/kann.
Jain. Siehe http://msdn.microsoft.com/en-us/library/ms679635.aspx für die Limits der unterschiedlichen Microsoft Server Systeme.
Ich vermute, dass mit Microsoft Vista SP 1 auch die Workstation bewusst dieser Restriktion folgt. Das ist aber eine reine Vermutung.
=> Mir ist bewusst, dass ich das eigentlich in einer anderen Liste posten sollte,
Nein, das passt. Und wem es nicht passt, der soll die Mail ignorieren.
Oder sich mal http://www.youtube.com/watch?v=j8uefBUOfgA anschauen. Bisher kannte ich das lediglich von Dieter Nuhr. In diesem Kontext passt der Pinguin aber doch deutlich besser.
aber weiß von euch jemand wie man das vielleicht irgendwie mit dem Abändern in einer Schema Datei von openLDAP dem Windows etwas vorspielen kann?
Es kann nicht sein, dass man sich im Jahre 2011 mit solchen Sachen auseinandersetzen muss...
Doch, doch. Auch in 2011 gibt es noch ausreichend Schmerz. ;)
Mein Problem konnte ich inzwischen bereits selbst ein wenig minimieren. Ich habe meine LDAP Datenbank als ldif exportiert (~35700 Zeilen - >700 Benutzer) und bei jedem Block eines normalen Benutzers vor der Zeile uid: vorname.zuname eine neue Zeile jeweils in der Form uid: v.zuname eingefügt. Anschließend habe ich alles wieder neu eingespielt. Klappt. Es gibt zwar nun zwei Namens-Zuweisungen pro uidNumber, aber das stört grundsätzlich nicht. Wichtig ist nur, dass der kurze Namen (<20 Zeichen) vor dem langen steht. Sollte jemand aber noch eine bessere Lösung wissen, wäre ich ihm natürlich nicht böse. -- Matthias -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Tue, 11 Oct 2011 16:55:33 +0200 schrieb Matthias Praunegger <mpraunegger@d4e.at>:
Hallo!
Ich bin vor wenigen Tagen auf ein Problem bei meinen Kunden aufmerksam geworden: Betreibe etliche Samba Server als PDC mit openLDAP, smbldap-tools usw. Inzwischen Samba in der Version 3.6.x ...
Selbstverständlich wollen die Leute, aus mir unbegreiflichen Gründen, Windows 7 auf der Clientseite einsetzen. Soweit geht alles prima. A nmeldung mit allem drum und dran geht grundsätzlich sehr gut.
Bei Windows7 hilft kein Samba 3.x, denn Win7 verlangt einen Kerberos Dienst, den stellt u.a. Samba4 bereit.
Ich verwende standardmäßig die Richtlinie "vorname.zuname" als Benutzername. Das ganze war eigentlich noch nie großartig in den letzten Jahren ein Thema. Nun habe ich aber bemerkt, dass man sich mit Windows 7 nicht anmelden kann, wenn der Login-Name mehr als 20 Zeichen besitzt. "Früher", unter XP war das nie ein Thema.
Das hilft nichts, du mußt den Kerberos realm verwenden.
Nach relativ intensiver Recherche besteht das Problem seit Service Pack 1 von Vista. Es solle sich hierbei wirklich um einen Bug von Windows handeln, den M$ nicht nachkommen will/kann.
Das ist Quatsch
=> Mir ist bewusst, dass ich das eigentlich in einer anderen Liste posten sollte, aber weiß von euch jemand wie man das vielleicht irgendwie mit dem Abändern in einer Schema Datei von openLDAP dem Windows etwas vorspielen kann?
Nein, das hilft nicht, hat auch nichts mit OpenLDAP oder einem anderen Verzeichnisdienst zu tun, du brauchst schlicht Kerberos V5.
Es kann nicht sein, dass man sich im Jahre 2011 mit solchen Sachen auseinandersetzen muss...
Dann hast du moderne, netzbasierte Authentifizierung und Autorisierung nicht begriffen. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (4)
-
Dieter Klünter -
Lars Müller -
Matthias Praunegger -
Schmitt