Dark_Wolf
Anmeldungsdatum: 12. August 2006
Beiträge: 2594
Wohnort: Linuxland
|
Guten Morgen allerseits, wir benötigen hier auf unseren Sambaservern Freigaben mit AD-Benutzern. Ich habe hier fürs ersten den leichten Weg gewählt: https://www.powerbrokeropen.org
Die Anbindung funktioniert sofort, nur leider nur für das System selbst, nicht für Samba, ich kann zwar die User dann in Samba mit einem Klick in Webmin einbinden muss aber trotzdem das Passwort einmal manuell setzen. Auch hat sich der Hersteller auf Mails unserer Seite nicht gemeldet. Also muss das wohl selbst erledigt werden. Wie also binde ich Samba ein AD richtig an, so das ich Sambafreigaben von AD-Usern ganz normal erstellen kann, ohne irgendwelche Passwörter neu setzen zu müssen. Ich hier Samba Winbind der richtige Ansatz? Ich hab auch versucht per "Binde Samba an eine Domäne" die User anzusprechen. Die Domänenanbindung selbst hat funktioniert, aber User wurde da überhaupt keine gefunden. Ist wohl auch irgendwie verständlich da ADS ja kein NT Domänenservice ist. Vielen Dank
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
Dark_Wolf schrieb: Also muss das wohl selbst erledigt werden. Wie also binde ich Samba ein AD richtig an, so das ich Sambafreigaben von AD-Usern ganz normal erstellen kann, ohne irgendwelche Passwörter neu setzen zu müssen. Ich hier Samba Winbind der richtige Ansatz?
Ja.
Ich hab auch versucht per "Binde Samba an eine Domäne" die User anzusprechen. Die Domänenanbindung selbst hat funktioniert, aber User wurde da überhaupt keine gefunden. Ist wohl auch irgendwie verständlich da ADS ja kein NT Domänenservice ist.
Doch, die Kernkomponente wird als Active Directory Domain Services (ADDS) bezeichnet. Sind die Server jetzt schon Mitglied der Domäne oder nicht? Wenn ja, was sagt
$ net ads testjoin
$ wbinfo -u
|
Dark_Wolf
(Themenstarter)
Anmeldungsdatum: 12. August 2006
Beiträge: 2594
Wohnort: Linuxland
|
net ads testjoin
ads_connect: No logon servers
Join to domain is not valid: No logon servers
~/ wbinfo -u
Error looking up domain users
Geht natürlich noch nichts, da ich nur die ADSanbindung über Likewise hatte. Hab jetzt ein Rollback gemacht, Pakete laut Wiki installiert:
apt-get install krb5-user libpam-krb5 winbind samba smbclient libnss-winbind libpam-winbind
Ich möchte jetzt nur gerne wissen wo ich ansetzte, da ich nur die Sambaconnection brauche. Nicht die Komplette Anbindung des Systems. Falls das eine überhaupt ohne dem anderen geht. Vielen Dank
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
Dark_Wolf schrieb: Ich möchte jetzt nur gerne wissen wo ich ansetzte, da ich nur die Sambaconnection brauche.
Brauchst du nun AD-Benutzer oder willst du nur ein paar Samba-Shares bereitstellen?
Nicht die Komplette Anbindung des Systems.
Ich verstehe nicht, was du damit meinst.
|
Dark_Wolf
(Themenstarter)
Anmeldungsdatum: 12. August 2006
Beiträge: 2594
Wohnort: Linuxland
|
Ich möchte gerne mit AD-Benutzer Sambashares bereitstellen. Sorry, wenn ich's kompliziert erklärte. lg Nachtrag: Habe nun die Domain/Kerberosanbindung durchführt, hat ohne Probleme funktioniert. Mit Klist sehe mein Tickert und Samba ist an der Domain
wbinfo --trusted-domains
BUILTIN
PVE-TEST
TESTDOMAIN
Mit "wbinfo -g" sehe ich alle ADS Gruppen. Nur die User mit "wbinfo -u" sehe ich nicht, ich bekomme aber auch keine Fehlermeldung.
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
Dark_Wolf schrieb: Ich möchte gerne mit AD-Benutzer Sambashares bereitstellen. Sorry, wenn ich's kompliziert erklärte.
Wenn sich AD-Benutzer authentifizieren sollen, dann gibt es 2 Möglichkeiten:
den Server in die Domäne aufnehmen (siehe die Anleitung) Samba-Nutzer via LDAP am DC authentifizieren
Letzteres geht ohne direkte Domänenintegration, ich weiß allerdings nicht ob es da direkt für Samba eine Anleitung gibt. Für ein Linux-System an sich ist die letztere Methode hier beschrieben.
|
Dark_Wolf
(Themenstarter)
Anmeldungsdatum: 12. August 2006
Beiträge: 2594
Wohnort: Linuxland
|
Ja, es soll über die Domäne gehen. Bin jetzt wieder einen Schritt weiter. Kann mich jetzt mit den Domänenusern auch ganz normal über SSH einloggen, aber in Samba selbst kann ich noch immer keine Shares mit den Gruppen machen, naja und die user, obwohl ich mich einloggen kann, sehe ich mit "wbinfo -u" nicht. lg
|
misterunknown
Ehemalige
Anmeldungsdatum: 28. Oktober 2009
Beiträge: 4403
Wohnort: Sachsen
|
Dark_Wolf schrieb: Kann mich jetzt mit den Domänenusern auch ganz normal über SSH einloggen, aber in Samba selbst kann ich noch immer keine Shares mit den Gruppen machen, naja und die user, obwohl ich mich einloggen kann, sehe ich mit "wbinfo -u" nicht.
Was sagt
klist
net ads testjoin
wbinfo --all-domains
wbinfo -i <irgendein_benutzer_im_AD>
|
cflinux
Anmeldungsdatum: 14. Januar 2013
Beiträge: 685
|
Hallo Da der Samba-Server als Fileserver fungieren soll. Die Freigaben werden auf dem Sambaserver erstellt und
die Berechtigungen für die Freigabe werden normalerweise über das RSAT-Modul von Windows erstellt. Gruß cflinux
|
Dark_Wolf
(Themenstarter)
Anmeldungsdatum: 12. August 2006
Beiträge: 2594
Wohnort: Linuxland
|
Hallo Leute, habs jetzt nochmal mit einer neuen VM von vorn probiert, jetzt funktioniert es einwandfrei. Was auch bei ADS wichtig scheint, man muss seine User und Gruppen bei Freigaben in "write list" und "valid users" eintragen, sonst funktioniert die Freigabe nicht. lg
Dark Wolf
|
Dark_Wolf
(Themenstarter)
Anmeldungsdatum: 12. August 2006
Beiträge: 2594
Wohnort: Linuxland
|
Hallo Leute, ich muss hier nochmal nachhacken: Bekomme jetzt vom Nagios vom ersten Server den ich fix und produktiv angebunden habe immer folgende Fehlermeldung:
CRITICAL SMB anon access: WARNING: The "idmap uid" option is deprecated
Ein Test der Config zeigt folgendes:
WARNING: The "idmap uid" option is deprecated
WARNING: The "idmap gid" option is deprecated
Processing section "[Backup]"
Processing section "[iso-images]"
Processing section "[transfer]"
Loaded services file OK.
WARNING: The setting 'security=ads' should NOT be combined with the 'password server' parameter.
(by default Samba will discover the correct DC to contact automatically).
Server role: ROLE_DOMAIN_MEMBER
Darf ich die idmap und die "password server" Option weglassen? Immerhin haben wir schon Samba 4.3. Oder müssen diese Optionen mit etwas anderem ersetzt werden? Vielen Dank und lg
|
cflinux
Anmeldungsdatum: 14. Januar 2013
Beiträge: 685
|
Hallo idmap uid wurde durch idmap config * : range = Start Bereich-Ende Bereich ersetzt und gilt auch für idmap gid. Gruß cflinux
|
Dark_Wolf
(Themenstarter)
Anmeldungsdatum: 12. August 2006
Beiträge: 2594
Wohnort: Linuxland
|
Nachtrag: Funktioniert alles wunderbar. Hatte einen Tippfehler in der smb.conf. Die Anbindung so wie beschrieben funktioniert korrekt.
|