Hallo Ich habe in einem grösserem Netzwerk eine neue Domäne eingerichtet. Dazu habe ich mir SuSE 8.1 mit Samba 2.2.8 auserkoren. Die gesamte Installation hat prima geklappt und funktioniert soweit prächtig. Nun zu meinem Problem: Ich muss einigen anderern Usern die Möglichkeit geben neue PC's zur Domäne hinzuzufügen. Die Lösung die ich im Moment haben ist ein User-Mapping auf root. Das möchte ich aber so schnell wie möglich abstellen da die betreffenden User damit das root-password kennen. Bisher habe ich keine befriedigende Lösung gefunden. Die User können auf der Box user anlegen und Löschen und sind auch in der Domain Admin Group eingetragen. Hat jemand sowas schon mal hinbekommen??? Grettings Torsten Müller
torsten müller wrote:
Hallo
Ich habe in einem grösserem Netzwerk eine neue Domäne eingerichtet. Dazu habe ich mir SuSE 8.1 mit Samba 2.2.8 auserkoren. Die gesamte Installation hat prima geklappt und funktioniert soweit prächtig. Nun zu meinem Problem: Ich muss einigen anderern Usern die Möglichkeit geben neue PC's zur Domäne hinzuzufügen. Die Lösung die ich im Moment haben ist ein User-Mapping auf root. Das möchte ich aber so schnell wie möglich abstellen da die betreffenden User damit das root-password kennen. Bisher habe ich keine befriedigende Lösung gefunden. Die User können auf der Box user anlegen und Löschen und sind auch in der Domain Admin Group eingetragen. Hat jemand sowas schon mal hinbekommen???
Grettings Torsten Müller
Hallo Torsten, ich glaube, es gibt noch eine Möglichkeit, dass Du sozusagen einen "Blanko-Account" anlegst, d.h. einen Account für [maschinenname]. Und wenn sich dann jemand mit dem PC als [maschinenname] anmeldet, wird der PC in die Domain aufgenommen. Das habe ich allerdings noch nie versucht, aber vielleicht ist's eine Lösung für Dein Problem. Falls es Dir gelingen sollte, bitte Info an die Liste mailen, es würde mich ineressieren, ob das geht. Viel Erfolg Joachim
Hallo, zusammen Am Son, 2003-06-15 um 15.41 schrieb Joachim Kieferle:
Hallo Torsten,
ich glaube, es gibt noch eine Möglichkeit, dass Du sozusagen einen "Blanko-Account" anlegst, d.h. einen Account für [maschinenname]. Und wenn sich dann jemand mit dem PC als [maschinenname] anmeldet, wird der PC in die Domain aufgenommen. Das habe ich allerdings noch nie versucht, aber vielleicht ist's eine Lösung für Dein Problem. Falls es Dir gelingen sollte, bitte Info an die Liste mailen, es würde mich ineressieren, ob das geht.
Viel Erfolg
Joachim
Habe es geschafft!! Mit Hilfe der smb-ldap tools ist es möglich. anderen Usern die Möglichkeit zu geben der Domäne beizutreten. Wer dran interessiert ist kann sich gerne bei mir melden. Ich schreibe nachher noch eine kurze Zusammenfassung, jetzt muss ich erst mal zum Kunden die ganze Geschichte dort ausprobieren. Mfg Torsten Müller PS: PM zu diesen Thema bitte an torsten.mueller@infraserv-wi.de
[torsten müller]:
Hallo
Ich habe in einem grösserem Netzwerk eine neue Domäne eingerichtet. Dazu habe ich mir SuSE 8.1 mit Samba 2.2.8 auserkoren. Die gesamte Installation hat prima geklappt und funktioniert soweit prächtig. Nun zu meinem Problem: Ich muss einigen anderern Usern die Möglichkeit geben neue PC's zur Domäne hinzuzufügen. Die Lösung die ich im Moment haben ist ein User-Mapping auf root. Das möchte ich aber so schnell wie möglich abstellen da die betreffenden User damit das root-password kennen. Bisher habe ich keine befriedigende Lösung gefunden. Die User können auf der Box user anlegen und Löschen und sind auch in der Domain Admin Group eingetragen. Hat jemand sowas schon mal hinbekommen???
Einfach wäre hier vielleicht der Einsatz von Webmin (ja, ich mag es auch nicht besonders). Dort kannst du immerhin jedem Benutzer entsprechende Rechte einrichten. Ansonsten ist es IMHO halt noch immer das Problem, dass Maschinenaccounts vorher im Unix-System angelegt sein müssen und nicht wie bei Windows mit den entsprechenden Rechten auch bei der Erstanmeldung autorisiert werden können. -- Gruß MaxX
torsten müller schrieb:
Hallo
Ich habe in einem grösserem Netzwerk eine neue Domäne eingerichtet. Dazu habe ich mir SuSE 8.1 mit Samba 2.2.8 auserkoren. Die gesamte Installation hat prima geklappt und funktioniert soweit prächtig. Nun zu meinem Problem: Ich muss einigen anderern Usern die Möglichkeit geben neue PC's zur Domäne hinzuzufügen.
Wie wäre es denn mit folgendem Eintrag in der smb.conf: add user script = /usr/sbin/useradd -g nogroup -c "Rechner Account" -d /dev/null -s /bin/false %m$ (natürlich in einer Zeile) Ich weiss ja nicht mit welchen Client-OS du so zu tun hast, aber NT, Win2000 und WinXP Rechner tragen sich dann selbstständig ein. Win95/98 Rechner nicht, aber die brauchen auch keinen Rechner-Account. Grüße Michael Helms
[Michael Helms]:
torsten müller schrieb:
Hallo
Ich habe in einem grösserem Netzwerk eine neue Domäne eingerichtet. Dazu habe ich mir SuSE 8.1 mit Samba 2.2.8 auserkoren. Die gesamte Installation hat prima geklappt und funktioniert soweit prächtig. Nun zu meinem Problem: Ich muss einigen anderern Usern die Möglichkeit geben neue PC's zur Domäne hinzuzufügen.
Wie wäre es denn mit folgendem Eintrag in der smb.conf:
add user script = /usr/sbin/useradd -g nogroup -c "Rechner Account" -d /dev/null -s /bin/false %m$
(natürlich in einer Zeile)
Hm, aber wie richte ich dann wieder neue User ein. Da müsste man wohl ein richtiges Script schreiben, was den User-Namen für eine Maschine (fangen z.B. prinzipiell mit "M_" an) via RegExp erkennt.
Ich weiss ja nicht mit welchen Client-OS du so zu tun hast, aber NT, Win2000 und WinXP Rechner tragen sich dann selbstständig ein. Win95/98 Rechner nicht, aber die brauchen auch keinen Rechner-Account.
Wenn ich Samba als PDC laufen lasse und ich mich mit Win9x an der Domäne anmelden will/muss, brauchen auch diese Rechner einen Maschinen-Account. Und anders herum brauchen NT, W2K und XP auch keinen Maschinen-Account, wenn sie nur in einer Arbeitsgruppe angemeldet werden. -- Gruß MaxX
Matthias Houdek schrieb:
[Michael Helms]:
torsten müller schrieb:
Hallo
Ich habe in einem grösserem Netzwerk eine neue Domäne eingerichtet. Dazu habe ich mir SuSE 8.1 mit Samba 2.2.8 auserkoren. Die gesamte Installation hat prima geklappt und funktioniert soweit prächtig. Nun zu meinem Problem: Ich muss einigen anderern Usern die Möglichkeit geben neue PC's zur Domäne hinzuzufügen.
Wie wäre es denn mit folgendem Eintrag in der smb.conf:
add user script = /usr/sbin/useradd -g nogroup -c "Rechner Account" -d /dev/null -s /bin/false %m$
(natürlich in einer Zeile)
Hm, aber wie richte ich dann wieder neue User ein. Da müsste man wohl ein richtiges Script schreiben, was den User-Namen für eine Maschine (fangen z.B. prinzipiell mit "M_" an) via RegExp erkennt.
Hm, Hm. Das du auch User automatisch anlegen willst habe ich wohl nicht kapiert. Wir legen neue user "von Hand" an (z.B. mit Yast), schliessleich wollen wir nicht jeden im Netz haben. Bei Maschinen-Accounts ist es etwas anderes. Die sind uns so ziehmlich egal. Wenn sich ein autorisierter user an einem nicht bekannten Rechner einloggen will, dann soll er das ruhig tun. Und damit dies klappt benutzen wir obiges script.
Ich weiss ja nicht mit welchen Client-OS du so zu tun hast, aber NT, Win2000 und WinXP Rechner tragen sich dann selbstständig ein. Win95/98 Rechner nicht, aber die brauchen auch keinen Rechner-Account.
Wenn ich Samba als PDC laufen lasse und ich mich mit Win9x an der Domäne anmelden will/muss, brauchen auch diese Rechner einen Maschinen-Account. Und anders herum brauchen NT, W2K und XP auch keinen Maschinen-Account, wenn sie nur in einer Arbeitsgruppe angemeldet werden.
Das ist bei uns definitiv nicht so (Samba 2.2.8a). Win9x Rechner brauchen keinen Account. Sie haben bei uns keinen, und es gibt auch kein Problem bei der Anmeldung. (Bei Win9x gibt es in der Registerkarte "Identifikation" nur eine Arbeitsgruppe und keine Domäne. Domänen gibt es bei MS erst seit NT. Frag mich jetzt bloß nicht nach dem Unterchied). Bei NT und Nachfolgern mag es so sein wie du sagst. Das probier ich jetzt nicht aus. Würde aber Sinn machen. Grüße Michael
[Michael Helms]:
Matthias Houdek schrieb:
[Michael Helms]:
torsten müller schrieb:
Hallo
Ich habe in einem grösserem Netzwerk eine neue Domäne eingerichtet. Dazu habe ich mir SuSE 8.1 mit Samba 2.2.8 auserkoren. Die gesamte Installation hat prima geklappt und funktioniert soweit prächtig. Nun zu meinem Problem: Ich muss einigen anderern Usern die Möglichkeit geben neue PC's zur Domäne hinzuzufügen.
Wie wäre es denn mit folgendem Eintrag in der smb.conf:
add user script = /usr/sbin/useradd -g nogroup -c "Rechner Account" -d /dev/null -s /bin/false %m$
(natürlich in einer Zeile)
Hm, aber wie richte ich dann wieder neue User ein. Da müsste man wohl ein richtiges Script schreiben, was den User-Namen für eine Maschine (fangen z.B. prinzipiell mit "M_" an) via RegExp erkennt.
Hm, Hm. Das du auch User automatisch anlegen willst habe ich wohl nicht kapiert. Wir legen neue user "von Hand" an (z.B. mit Yast), schliessleich wollen wir nicht jeden im Netz haben.
Ähm, ich hab die Eingangsfrage auch nicht gestellt ;-) Doch, eigentlich möchte ich schon, dass nicht nur root (oder jemand mit gleichen Rechten) einen neuen Samba-User anlegen kann. Ich muss aber auch dazu sagen, dass hier ein reges Kommen und Gehen vorherrscht (Schulungsbetrieb). Und nicht jeder Dozent soll hier Administrator-Rechte bekommen, nur um neue Teilnehmer anlegen zu dürfen.
Bei Maschinen-Accounts ist es etwas anderes. Die sind uns so ziehmlich egal. Wenn sich ein autorisierter user an einem nicht bekannten Rechner einloggen will, dann soll er das ruhig tun. Und damit dies klappt benutzen wir obiges script.
Bei mir ist es genau entgegengesetzt. Im Netz haben nur autorisierte Rechner etwas zu suchen. Private/Fremde Notebooks z.B. dürfen keine Chance haben. Neben DHCP und entsprechenden IP-Filtern (in kritischen Netzen werden außerdem ausschließlich bekannte MAC-IDs akzeptiert) bedarf es schon einer gehörigen kriminellen Energie und fachlichen Wissens, sich darüber hinwegzusetzen.
Ich weiss ja nicht mit welchen Client-OS du so zu tun hast, aber NT, Win2000 und WinXP Rechner tragen sich dann selbstständig ein. Win95/98 Rechner nicht, aber die brauchen auch keinen Rechner-Account.
Wenn ich Samba als PDC laufen lasse und ich mich mit Win9x an der Domäne anmelden will/muss, brauchen auch diese Rechner einen Maschinen-Account. Und anders herum brauchen NT, W2K und XP auch keinen Maschinen-Account, wenn sie nur in einer Arbeitsgruppe angemeldet werden.
Das ist bei uns definitiv nicht so (Samba 2.2.8a). Win9x Rechner brauchen keinen Account. Sie haben bei uns keinen, und es gibt auch kein Problem bei der Anmeldung. (Bei Win9x gibt es in der Registerkarte "Identifikation" nur eine Arbeitsgruppe und keine Domäne. Domänen gibt es bei MS erst seit NT. Frag mich jetzt bloß nicht nach dem Unterchied).
W2K brauchen auch keinen Maschinen-Account, wenn sie in einer Arbeitsgruppe mit Netzzugriffen auf Freigabe-Ebene (nicht Benutzer-Ebene) arbeiten (PtP-Netz). In einer Windows-Domäne muss ein PDC laufen, der die Accounts zentral verwaltet. Da braucht jeder, der auf die Ressourcen der Domäne zugreifen will, auch einen Benutzer-Account und der PC obendrein einen Maschinen-Account. Auch Windows95/98. Beides kann übrigens parallel nebeneinader im gleichen Netz und mit den gleichen Rechnern laufen. Die einen haben eben nur mehr Möglichkeiten (so sie angeboten werden). -- Gruß MaxX
participants (4)
-
Joachim Kieferle
-
Matthias Houdek
-
Michael Helms
-
torsten müller