Hallo Listenleser, habe ein kleines Problem mit den UserZugriffen auf die Sambafreigaben, wenn ich nur die Domänenuser aus der NT Domäne zulassen möchte. Als wir eine guest Freigabe hatten, war alles in Ordnung: Schreiben, lesen... Alles ok. Leider konnten aber auch Rechner die nicht in unserer Domäne sind darauf zugreifen. Also haben wir die smb.conf mit folgenden Parametern versehen: [global] security = domain netbios name = fileserver domain logons = yes workgroup = domain passwort server = server2 anschliessend haben wir bei dem DomainController den "fileserver" hinzugefügt und anschliessend mit dem Befehl: smbpasswd -j domain -r server2 -U administrator Jetzt kommt zwar ein Passwort beim Zugriff auf den fileserver, aber kein Passwort stimmt und kein User kann sich da einloggen. Danach haben wir einen User im Samba und im Linux eingerichtet der auch in der Domäne existiert und dann klappte das auch. Ist es notwendig jetzt alle User doppelt auf der Linux Maschine anzulegen? Geht das nicht, dass man KEINEN User auf der Linux Maschine anlegt und die das dann mit dem DomainController macht? Wenn ja, wie? Danke Mit freundlichen Grüßen David
DavidKlein@eggheads, Montag, 29. März 2004 14:53:
Hallo Listenleser,
habe ein kleines Problem mit den UserZugriffen auf die Sambafreigaben, wenn ich nur die Domänenuser aus der NT Domäne zulassen möchte.
Als wir eine guest Freigabe hatten, war alles in Ordnung: Schreiben, lesen... Alles ok. Leider konnten aber auch Rechner die nicht in unserer Domäne sind darauf zugreifen.
Also haben wir die smb.conf mit folgenden Parametern versehen:
[global] security = domain netbios name = fileserver domain logons = yes workgroup = domain passwort server = server2
Ist "server2" der NetBIOS-Name des NT-Servers? Und ist dieser Server in der lokalen lmhosts-Datei eingetragen?
anschliessend haben wir bei dem DomainController den "fileserver" hinzugefügt und anschliessend mit dem Befehl:
smbpasswd -j domain -r server2 -U administrator
Was soll dieser Befehl bewirken?
Jetzt kommt zwar ein Passwort beim Zugriff auf den fileserver, aber kein Passwort stimmt und kein User kann sich da einloggen.
Danach haben wir einen User im Samba und im Linux eingerichtet der auch in der Domäne existiert und dann klappte das auch. Ist es notwendig jetzt alle User doppelt auf der Linux Maschine anzulegen?
Nein, die Authentifizierungs-Weitergabe an den NT-Server sollte normaler Weise funxen. -- Gruß MaxX 8-) Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
Hallo User, wenn ich die Anforderung von David richtig verstanden habe, sollte winbind die Lösung sein:
habe ein kleines Problem mit den UserZugriffen auf die Sambafreigaben, wenn ich nur die Domänenuser aus der NT Domäne zulassen möchte.
[global] security = domain netbios name = fileserver domain logons = yes workgroup = domain passwort server = server2
Zusätzliche Einträge in smb.conf: winbind uid = 10000-65000 winbind gid = 10000-65000 winbind separator = + Anpassen von /etc/nsswitch.conf: passwd: files winbind group: files winbind Danach winbind starten.
anschliessend haben wir bei dem DomainController den "fileserver" hinzugefügt und anschliessend mit dem Befehl:
smbpasswd -j domain -r server2 -U administrator Den Samba wie oben in die NT-Domäne einbinden, bis die Meldung "Joined Domain" kommt.
Was soll dieser Befehl bewirken? Das Anmelden des Samba-PC in der Domäne domain am PDC server2 als Administrator.
Jetzt kommt zwar ein Passwort beim Zugriff auf den fileserver, aber kein Passwort stimmt und kein User kann sich da einloggen. Dann gib mal "wbinfo" ein, das solle Dir die NT-User auflisten. Mit "getent passwd" werden die NT-User auf die Samba-Kiste gemappt und mit "getent group" auch die vorhandenen Gruppen.
Für Samba-Freigaben "valid users = domain+Gruppenname" eintragen, damit nur die entsprechenden NT-Benutzer den Zugriff auf das jeweilige Verzeichnis erhalten.
Danach haben wir einen User im Samba und im Linux eingerichtet der auch in der Domäne existiert und dann klappte das auch. Ist es notwendig jetzt alle User doppelt auf der Linux Maschine anzulegen?
Nein, die Authentifizierungs-Weitergabe an den NT-Server sollte normaler Weise funxen.
Und dann muss kein Eintrag in smbpasswd vorgenommen werden :-) Gruß, Bernd
Bernd Walda, Montag, 29. März 2004 20:52:
Hallo User,
wenn ich die Anforderung von David richtig verstanden habe,
sollte winbind die Lösung sein:
Winbind ist erst seit Samba 3.0 dabei, oder? Es sollte aber auch ohne gehen (zumindest geht es mit der 2er Version ohne ;-)
habe ein kleines Problem mit den UserZugriffen auf die Sambafreigaben, wenn ich nur die Domänenuser aus der NT Domäne zulassen möchte.
[global] security = domain netbios name = fileserver domain logons = yes workgroup = domain passwort server = server2
Zusätzliche Einträge in smb.conf:
winbind uid = 10000-65000 winbind gid = 10000-65000 winbind separator = +
Anpassen von /etc/nsswitch.conf:
passwd: files winbind group: files winbind
Danach winbind starten.
Hm, mit password server = <PDC> übergibt doh aber Samba die Authentifizierung schon an den NT-Server, und wenn von dort bestätigt wird, darf der User auch hier agieren (wg. security = domain). Ggf. kann man dann noch mit "add user script = ..." den User nach erfolgreicher Authentifizierung im eigenen Userstamm zusätzlich anlegen, dann entfällt die Anfrage beim nächsten Mal. Persönlich halte ich das aber nicht für so günstig (Problem der Datenpflege). (Alles für Samba 2.x, bei Samba 3.0 scheint sich da wohl doch einiges geändert zu haben).
anschliessend haben wir bei dem DomainController den "fileserver" hinzugefügt und anschliessend mit dem Befehl:
smbpasswd -j domain -r server2 -U administrator
Den Samba wie oben in die NT-Domäne einbinden, bis die Meldung "Joined Domain" kommt.
Was soll dieser Befehl bewirken?
Das Anmelden des Samba-PC in der Domäne domain am PDC server2 als Administrator.
Den Parameter -j kenne ich nicht, und auch in meiner Manpage der 3.0er finde ich ihn nicht. Was macht "-j" genau?
Jetzt kommt zwar ein Passwort beim Zugriff auf den fileserver, aber kein Passwort stimmt und kein User kann sich da einloggen.
Dann gib mal "wbinfo" ein, das solle Dir die NT-User auflisten. Mit "getent passwd" werden die NT-User auf die Samba-Kiste gemappt und mit "getent group" auch die vorhandenen Gruppen.
Für Samba-Freigaben "valid users = domain+Gruppenname" eintragen, damit nur die entsprechenden NT-Benutzer den Zugriff auf das jeweilige Verzeichnis erhalten.
Ja, sehr sinnvoll.
Danach haben wir einen User im Samba und im Linux eingerichtet der auch in der Domäne existiert und dann klappte das auch. Ist es notwendig jetzt alle User doppelt auf der Linux Maschine anzulegen?
Nein, die Authentifizierungs-Weitergabe an den NT-Server sollte normaler Weise funxen.
Und dann muss kein Eintrag in smbpasswd vorgenommen werden :-)
Wozu auch, wenn es der NT-PDC macht. -- Gruß MaxX 8-) Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
* Montag, 29. März 2004 um 23:05 (+0200) schrieb Matthias Houdek:
Bernd Walda, Montag, 29. März 2004 20:52:
Winbind ist erst seit Samba 3.0 dabei, oder?
Der 'winbindd' ist seit Samba-2.2.2 dabei.
Den Parameter -j kenne ich nicht, und auch in meiner Manpage der 3.0er finde ich ihn nicht. Was macht "-j" genau?
Der Samba-Server "bittet" um Aufnahme in die Domain.
Bei Samba-3.0.X wird das mit 'net join ...' gemacht.
Gruß
Andreas
--
Andreas Könecke "Andreas Koenecke
Andreas Koenecke, Dienstag, 30. März 2004 11:51:
* Montag, 29. März 2004 um 23:05 (+0200) schrieb Matthias Houdek:
Bernd Walda, Montag, 29. März 2004 20:52:
Winbind ist erst seit Samba 3.0 dabei, oder?
Der 'winbindd' ist seit Samba-2.2.2 dabei.
Jepp, ich hab auch nachgeschaut. Da sieht man mal, wie alt meine Samba-Server schon sind (Never touch a running system ;-).
Den Parameter -j kenne ich nicht, und auch in meiner Manpage der 3.0er finde ich ihn nicht. Was macht "-j" genau?
Der Samba-Server "bittet" um Aufnahme in die Domain. Bei Samba-3.0.X wird das mit 'net join ...' gemacht.
Jepp, ich hab heute auf Arbeit nachgeschaut. Auf meinem System zu Hause ist halt inzwischen schon die 3.0 (automatische Updates) drauf, aber da ist es eh der 0-8-15-File-Server für die Windows-Clients meiner beiden Söhne. -- Gruß MaxX 8-) Hinweis 1: PMs an diese Adresse werden automatisch vernichtet. Hinweis 2: Bitte unbedingt beachten: http://www.suse-etikette.de.vu
* Montag, 29. März 2004 um 14:53 (+0200) schrieb DavidKlein@eggheads:
Danach haben wir einen User im Samba und im Linux eingerichtet der auch in der Domäne existiert und dann klappte das auch. Ist es notwendig jetzt alle User doppelt auf der Linux Maschine anzulegen? Geht das nicht, dass man KEINEN User auf der Linux Maschine anlegt und die das dann mit dem DomainController macht?
Aus "help/DOMAIN_MEMBER.html", die jedem samba-2.X.X-Paket beiliegt:
"Currently, domain security in Samba doesn't free you from having to create
local Unix users to represent the users attaching to your server. This
means that if domain user DOM\fred attaches to your domain security
Samba server, there needs to be a local Unix user fred to represent that
user in the Unix filesystem. [...]"
Es geht also so ohne Weiteres nicht.
Aber, wenige Zeile später im gleichen Text:
"Please refer to the Winbind paper for information on a system to
automatically assign UNIX uids and gids to Windows NT Domain users
and groups. [...]"
Gruß
Andreas
--
Andreas Könecke "Andreas Koenecke
participants (4)
-
Andreas Koenecke
-
Bernd Walda
-
DavidKlein@eggheads
-
Matthias Houdek