Re: Samba 3 als PDC

To: debian-user-german@lists.debian.org
Subject: Re: Samba 3 als PDC
From: Matthias Houdek <linux@houdek.de>
Date: Sat, 2 Oct 2004 19:41:13 +0200
Message-id: <[🔎] 200410021941.13240.linux@houdek.de>
In-reply-to: <[🔎] 200410021804.40033.rk-liste@gmx.de>
References: <[🔎] 200410021114.23692.rk-liste@gmx.de> <[🔎] 200410021637.24946.linux@houdek.de> <[🔎] 200410021804.40033.rk-liste@gmx.de>

Am Samstag 02 Oktober 2004 18:04 schrieb Roland M. Kruggel:
> Am Samstag 02 Oktober 2004 16:37 schrieb Matthias Houdek:
> > > > Ne, nicht? Du arbeitest nicht wirklich als root?
> > >
> > > Nein, nicht der User mit dem gearbeitet wird. Der user mit dem
> > > ich den zutritt in die Domäne authentifiziere.
> >
> > Der heißt root? Interessant.
> > Warum hat der User nicht auch unter Samba seinen User-Namen? root
> > ist ein Administrator-Account und sollte nirgends für
> > irgendwelche Remote- oder Netzwerkanmeldungen verwendet werden
> > (auch nicht Admin, Superuser o.ä.). Es verwirrt und kann auch
> > schnell zu ungewollten Konfigurationen führen (der Samba-root
> > entspricht doch wohl nicht dem lokalen root des Linux?).
>
> Ich glaube da herrscht ein Missverständmiss.
> Der User mit dem ich Arbeite und mit dem ich mich in der Domäne
> anmelden will ist natürlich nicht root.
>
> Aber wenn ich die XP-WS in die Domäne hineinbringen will wird doch
> ein Benutzer und passwort verlangt. Dort soll es root sein. So sind
> zu mindestens die Aussagen der Literatur.

OK, Grundsätzliches:

Wenn man sich mit einer Windows-Workstation (egal, welches Windows) an 
einer Windows-Domäne (auch Samba) anmelden will, brauchen sowohl der User 
als auch die Workstation (WS) eine Authentifizierung (Anmeldename und 
Passwort). 

Bei einem Windows-PDC kann man, wenn man eine WS das erste Mal an eine 
Domäne anmeldet, mit dieser WS "der Domäne beitreten". Das bedeutet nix 
anderes, als dass über das Netz ein Account für diese WS auf dem PDC 
anlegt. Dafür benötigt man bei dieser erstmaligen Anmeldung der WS (nicht 
eines Users!) natürlich Administrator-Rechte auf dem PDC.

Bei einem Samba-PDC war es lange Zeit nicht möglich, eine WS über die 
Anmeldeprozedur (quasi "on-the-fly" neu in den PDC einzutragen. Das geht 
IMHO erst Samba 3.0. Dafür braucht es aber einiger wichtiger Vorarbeiten 
(Siehe unten). Und dann muss man für dieses erste Anmelden root sein (man 
muss ja schließlich einen Linux-User neu anlegen.

Da du aber geschrieben hast, der Maschinen-Account existiert schon, kannst 
du dir das sparen (IMHO ist das sowieso die bessere Methode, die 
zugelassenen Rechner vorher selbst anzulegen. Zur Not macht das ein 
Script, wenn es sehr viele sind).

> > Schick mal bitte die [global]-Section deiner smb.conf. Es gibt ja
> > verschiedene Arten, die User zu authentifizieren.
> >
> > BTW: Ist root auch als Samba-User enabled? (smbpasswd -e root)
>
> ja.
>
>
>
> smb.conf
> --snip
> # Global parameters
> [global]
>  workgroup = SAMBA
>  netbios name = SAMBAPDC
>  server string = Samba %v (PDC) @ samba.netz
>  browseable = no
>  public = no
>  writeable = no
>  guest account = nobody
>  guest ok = no
>  log file = /var/log/samba/samba.log.%m
>  domain master = yes
>  preferred master = yes
>  local master = yes
>  prefered domain = yes
>  domain logons = yes
>  os level = 33
>  security = user
>  #add machine script = /usr/sbin/useradd -d /dev/null -g clientpc
>         -s /bin/false %u

Diese Zeile sollte natürlich scharf sein, wenn du "on-the-fly" einer 
Domäne beitreten willst. Außerdem solltest du vor das "%u" ein "-M" 
setzen.

>  logon drive = X:
>  logon path = \\%N\profiles\%u
>  logon home = \\%N\%U\profiles
>  logon script = logon.cmd
>  encrypt passwords = yes
>  update encrypted = yes
>  #password level = 4
>  password level = 3
>  username level = 16
>  unix password sync = yes

Willst du das wirklich?
Wenn ein User sein Windows-Passwort ändert, ändert sich automatisch auch 
sein Linux-Passwort. Prinzipiell keine schlechte Idee, aber alle User 
sollten es wissen und verstehen.

>  passwd program = /usr/bin/passwd %u
>  passwd chat = *password* %n\n *password* %n\n *successfull*
>  domain admin users = root

Wie du siehst, könnte man hier euch einen anderen User verwenden (der 
natürlich über die entsprechende Rechte verfügen muss, aber halt nicht 
über alle, die root hat).

> [...]

Außerdem habe ich mal rausgesucht, was du in der Registry ändern/eintragen 
musst, damit das mit dem Beitritt klappt:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\parameters
 	"RequireSignOrSeal"=dword:00000000
 

-- 
Gruß
		MaxX
Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter 
nach /dev/null).

Reply to:

Follow-Ups:
- Re: Samba 3 als PDC
  - From: Joerg Jaspert <joerg@debian.org>

References:
- Samba 3 als PDC
  - From: "Roland M. Kruggel" <rk-liste@gmx.de>
- Re: Samba 3 als PDC
  - From: Matthias Houdek <linux@houdek.de>
- Re: Samba 3 als PDC
  - From: "Roland M. Kruggel" <rk-liste@gmx.de>

Prev by Date: Re: kphone ???
Next by Date: firefox nur als root
Previous by thread: Re: Samba 3 als PDC
Next by thread: Re: Samba 3 als PDC
Index(es):
- Date
- Thread