Re: Samba 3 als PDC
Am Samstag 02 Oktober 2004 18:04 schrieb Roland M. Kruggel:
> Am Samstag 02 Oktober 2004 16:37 schrieb Matthias Houdek:
> > > > Ne, nicht? Du arbeitest nicht wirklich als root?
> > >
> > > Nein, nicht der User mit dem gearbeitet wird. Der user mit dem
> > > ich den zutritt in die Domäne authentifiziere.
> >
> > Der heißt root? Interessant.
> > Warum hat der User nicht auch unter Samba seinen User-Namen? root
> > ist ein Administrator-Account und sollte nirgends für
> > irgendwelche Remote- oder Netzwerkanmeldungen verwendet werden
> > (auch nicht Admin, Superuser o.ä.). Es verwirrt und kann auch
> > schnell zu ungewollten Konfigurationen führen (der Samba-root
> > entspricht doch wohl nicht dem lokalen root des Linux?).
>
> Ich glaube da herrscht ein Missverständmiss.
> Der User mit dem ich Arbeite und mit dem ich mich in der Domäne
> anmelden will ist natürlich nicht root.
>
> Aber wenn ich die XP-WS in die Domäne hineinbringen will wird doch
> ein Benutzer und passwort verlangt. Dort soll es root sein. So sind
> zu mindestens die Aussagen der Literatur.
OK, Grundsätzliches:
Wenn man sich mit einer Windows-Workstation (egal, welches Windows) an
einer Windows-Domäne (auch Samba) anmelden will, brauchen sowohl der User
als auch die Workstation (WS) eine Authentifizierung (Anmeldename und
Passwort).
Bei einem Windows-PDC kann man, wenn man eine WS das erste Mal an eine
Domäne anmeldet, mit dieser WS "der Domäne beitreten". Das bedeutet nix
anderes, als dass über das Netz ein Account für diese WS auf dem PDC
anlegt. Dafür benötigt man bei dieser erstmaligen Anmeldung der WS (nicht
eines Users!) natürlich Administrator-Rechte auf dem PDC.
Bei einem Samba-PDC war es lange Zeit nicht möglich, eine WS über die
Anmeldeprozedur (quasi "on-the-fly" neu in den PDC einzutragen. Das geht
IMHO erst Samba 3.0. Dafür braucht es aber einiger wichtiger Vorarbeiten
(Siehe unten). Und dann muss man für dieses erste Anmelden root sein (man
muss ja schließlich einen Linux-User neu anlegen.
Da du aber geschrieben hast, der Maschinen-Account existiert schon, kannst
du dir das sparen (IMHO ist das sowieso die bessere Methode, die
zugelassenen Rechner vorher selbst anzulegen. Zur Not macht das ein
Script, wenn es sehr viele sind).
> > Schick mal bitte die [global]-Section deiner smb.conf. Es gibt ja
> > verschiedene Arten, die User zu authentifizieren.
> >
> > BTW: Ist root auch als Samba-User enabled? (smbpasswd -e root)
>
> ja.
>
>
>
> smb.conf
> --snip
> # Global parameters
> [global]
> workgroup = SAMBA
> netbios name = SAMBAPDC
> server string = Samba %v (PDC) @ samba.netz
> browseable = no
> public = no
> writeable = no
> guest account = nobody
> guest ok = no
> log file = /var/log/samba/samba.log.%m
> domain master = yes
> preferred master = yes
> local master = yes
> prefered domain = yes
> domain logons = yes
> os level = 33
> security = user
> #add machine script = /usr/sbin/useradd -d /dev/null -g clientpc
> -s /bin/false %u
Diese Zeile sollte natürlich scharf sein, wenn du "on-the-fly" einer
Domäne beitreten willst. Außerdem solltest du vor das "%u" ein "-M"
setzen.
> logon drive = X:
> logon path = \\%N\profiles\%u
> logon home = \\%N\%U\profiles
> logon script = logon.cmd
> encrypt passwords = yes
> update encrypted = yes
> #password level = 4
> password level = 3
> username level = 16
> unix password sync = yes
Willst du das wirklich?
Wenn ein User sein Windows-Passwort ändert, ändert sich automatisch auch
sein Linux-Passwort. Prinzipiell keine schlechte Idee, aber alle User
sollten es wissen und verstehen.
> passwd program = /usr/bin/passwd %u
> passwd chat = *password* %n\n *password* %n\n *successfull*
> domain admin users = root
Wie du siehst, könnte man hier euch einen anderen User verwenden (der
natürlich über die entsprechende Rechte verfügen muss, aber halt nicht
über alle, die root hat).
> [...]
Außerdem habe ich mal rausgesucht, was du in der Registry ändern/eintragen
musst, damit das mit dem Beitritt klappt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\parameters
"RequireSignOrSeal"=dword:00000000
--
Gruß
MaxX
Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter
nach /dev/null).
Reply to: