On 17.04.2009, at 11:42, Thomas Kosch wrote:
On 16.04.2009, at 22:32, Ralf Oertner wrote:Wolfgang Hotwagner formulierte Donnerstag :Mich wundert es nur dassdieses Problem überhaupt besteht. Es muss doch viele Leute geben die ihrSamba in eine Windowsdomain hängen..Das würde mich auch interessieren. Zumal gerade bei Debian sowas doch kaum passieren kann.Oder liegt das Problem doch nicht an der Samba-Version?Zumindest gegen einen W2k8 ohne Combatibilitätslayer macht Lenny keine Probleme. Und es würde mich wundern wenn es bei W2k3 anders wäre, denn das einzige was von samba benötigt wird ist samba-common. Und das enthält gerade mal/usr/bin/net /usr/bin/nmblookup /usr/bin/smbpasswd /usr/bin/testparm
Ah. Jetzt fällt es wie Schuppen von den Augen. Im Prinzip bist du auf https://bugs.launchpad.net/ubuntu/+source/samba/+bug/236830 hereingefallen. Allerdings ist bei lenny schon alles an Bord
Das Ganze in aller Kürze, vor allem da in dem HOWTO einiges an überflüssigen Paketen bei ist, für lenny aber auch Pakete fehlen.
krb5-config
krb5-user
libkrb53
libpam-krb5
samba-common
winbind
smbfs
keyutils
Im Folgenden die name bitte entsprechend anpassen.
In der krb5.conf braucht du:
[libdefaults]
default_realm = UPL.NOVIRDATA.COM
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
[realms]
UPL.NOVIRDATA.COM = {
kdc = dopey.upl.novirdata.com
admin_server = dopey.upl.novirdata.com
}
[domain_realm]
.upl.novirdata.com = UPL.NOVIRDATA.COM
upl.novirdata.com = UPL.NOVIRDATA.COM
Das ist alles.
In common-auth möchtest du:
auth sufficient pam_winbind.so krb5_auth krb5_ccache_type=FILE
cached_login
auth required pam_unix.so nullok_secure use_first_passDamit du dich um die Tickets nicht selbst kümmern musst. Dazu gehört noch eine Zeile in der smb.conf.
In der common-account reicht: auth sufficient pam_winbind.so account required pam_unix.so Fals du lokale Homedirctories benutzt möchtest du: session required pam_unix.so session required pam_mkhomedir.so skel=/etc/skel umask=022damit du dich nicht selbst um die Anlage der Homedirectories kümmern musst.
In der smb.conf möchte man normalerweise: [global] netbios name = LENNY workgroup = UPL realm = UPL.NOVIRDATA.COM preferred master = no server string = Samba file and print server security = ADS encrypt passwords = true log level = 3 log file = /var/log/samba/%m max log size = 50 winbind uid = 10000-20000 winbind gid = 10000-20000 winbind enum users = yes winbind enum groups = yes winbind nested groups = yes winbind use default domain = yes winbind offline logon = true winbind refresh tickets = yes client use spnego = yes template shell = /bin/bash template homedir = /home/%D/%U nt acl support = yes idmap uid = 10000-20000 idmap gid = 10000-20000Einiges davon entspricht zwar dem default Verhalten, aber so hat man die wichtigsten Informationen auf einem Blick. Außerdem erlebt man keine Überraschungen wenn sich der Default ändert.
Kommen wir zu spaßigen Teil. Damit jetzt der mount auch mit krb auth funktioniert braucht es noch
create cifs.spnego * * /usr/sbin/cifs.upcall - c %k
create dns_resolver * * /usr/sbin/cifs.upcall %k in der request-key.conf.Damit müsste im Prinzip dann ein smbmount //$SERVICE/$SHARE / $MOUNTPOINT -osec=krb5i funktionieren...
Wenn da nicht eine strunzdumme Eigenart von mount.cifs währe. Bekommt das nämlich kein password als Option übergeben dann präsentiert es dem User einen Password Prompt auch wenn das wegen sec=krb5i selten dämlich ist.
Aber auch dem kann abgeholfen werden. Als erstes ergänzen wir die pam_env.conf um:
PASSWD DEFAULT="" und ändern dann die common-auth in auth required pam_env.soauth sufficient pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login
auth required pam_unix.so nullok_secure use_first_passUnd um die Zicken von "net ads join" kümmern wir uns dann nach dem Wochenende, falls das nicht nur ein kosmetischer Schluckauf gewesen sein sollte.
ttyl8er, t.k.
Attachment:
smime.p7s
Description: S/MIME cryptographic signature