Re: Debian als Client an Samba-Domäne

[Hans-Dietrich Kirmse <hd.kirmse@gmx.de>]

Hallo Rico,

Am 04.08.2011 19:51, schrieb Rico Koerner:
> Am 04.08.2011 14:42, schrieb Hans-Dietrich Kirmse:
> > Hallo Rico, hallo Martin,
> >
> > Vorab wegen die libnss-ldapd und libpam-ldapd: Ich hatte hier vor
> > geraumer Zeit (1,5 Jahre?) wegen Problemen mit dem Start des LDAPs
> > nachgefragt und da gab es leider nur den Verweis auf einen (großen)
> > Thread ohne Ergebnis. Durch einen anderen Mitstreiter unserer Gruppe
> > wurde aber ein Lösung angegeben, die ich hier auch gepostet hatte (es
> > müssen dazu nur bestimmte Accounts und Gruppen angelegt werden) und seit
> > dem ist das Problem bzw. sind die Fehlermeldungen weg.
>
>
> Bei einer Übernahme der LDAP-Benutzerdaten für Debian aus SuSE hatte ich
> früher auch mal solche Probleme, ohne sie lösen zu können.
>
> > Die Fehlermeldungen kamen durch irgendwelche udev-Regeln, die nicht
> > erfüllt waren.
>
> Ich kann mir nur schwer vorstellen, daß das etwas mit LDAP zu tun hatte.

Es müssen die Systemgruppen nvram, rdma, kvm, fuse, scanner und tss 
angelegt werden, außerdem der Systemuser tss in der Gruppe tss. Es ist 
dann so, dass dadurch diese Boot-Probleme mit dem LDAP weg sind - definitiv.

 :

> Sollen sich dieselben Benutzer aus dem Server-LDAP auch auf Linuxebene
> an dem Linuxclient anmelden dürfen, so ist die Variante über
> lib[pam|nss]-ldap(d) auf dem Client die Sinnvollste.

Das habe ich nun verstanden, hier sehe ich auch kein Problem.

> Damit sich der Client dann direkt am LDAP übers Netz anmelden darf, muß
> dies natürlich dafür freigegeben werden, wo der Sambaserver sonst nur
> per localhost bzw. Socket darauf zugreift. Das betrifft aber eher die
> Interface-Einstellung des LDAP-Servers und/oder die Firewall, an den
> ACLs muß dazu nichts geändert werden.

Verstehe ich das richtig, dass dann auf dem Server in der ldap.conf, 
libnss-ldap.conf und pam_ldap.conf (eine slapd.conf haben wir nicht 
mehr) dann nicht mehr 'localhost' bzw. '127.0.0.1' stehen sollten?

 :

> > die Anleitung für Debian/Ubuntu ist nicht passend, weil die Probleme,
> > die dieser Server an dieser Stelle hat, bei uns einfach nicht relevant
> > sind. Die UIDs der User (im LDAP) fangen bei uns erst bei 10000 an, die
> > GIDs ab 1000.
> >
> > http://arktur.schul-netz.de/wiki/index.php/Installationshandbuch:DebianLinux
>
> Squeeze fängt bei den User/GroupIDs erst bei 1000/1000 an, Lenny hatte
> da noch 1000/100 als Standard.
>
> Interessante Aussage, daß sich Debian bzgl. GroupIDs nicht an die LSB
> hält. Die sind dort nicht mal spezifiziert. Lediglich zu den UserIDs
> gibt es dort eine Festlegung:
> http://refspecs.freestandards.org/LSB_4.1.0/LSB-Core-generic/LSB-Core-generic/tocusersgroups.html

Mir geht es nicht darum, die nicht mehr gepflegte Doku des seit Jahren 
nicht mehr betreuten Schulservers Arktur4 hier zu kritisieren oder zu 
verbessern. Aber m.E. hat genau diese Doku bzw. diese Seite(n) das 
beschrieben, wodurch ich einen Zugang zu meinem Anliegen finden konnte.

> > wir verwalten im LDAP nur die User, Gruppen, Rechner und die festen IPs
> > (also DHCP). Die User, Gruppen und Rechner werden bei uns so angelegt,
> > wie es die smbldap-Tools machen (würden), allerdings wurden ein paar
> > Kleinigkeiten von smbldap-populate korrigiert und der root-Account in
> > 'Administrator' umbenannt. Aber ansonsten alles kompatibel zu den
> > smbldap-Tools.
>
> Kompatibel wozu?

wie ich geschrieben habe: kompatibel zu den smbldap-tools.

> Hier scheint es keinen Standard zu geben. Ich habe mir
> dazu verschiedene Admin-Tools angeschaut und festgestellt, daß jedes die
> Daten etwas anders ablegt. Es mögen die smbldaptools auf der jeweiligen
> Distri damit klarkommen, das stellt aber noch nicht sicher, daß das
> distributionsübergreifend auch funktioniert.

Da bin ich mir aber sehr sicher. Wenn der LDAP-Baum über die 
smbldap-Tools aufgebaut wird (smbldap-populate), dann kann man diesen 
auch mit den smbldap-Tools verwalten, egal ob auf Debian, SuSE, Solaris 
oder was auch immer. Und wenn man sich mal den Quelltext dieser Tools 
anschaut, dann wird deutlich, dass da praktisch alle Möglichkeiten und 
Eventualitäten erfasst werden.

> (Was aber nicht heißt, daß es grundsätzlich nicht funktioniert.)

warum nur grundsätzlich?

> > in der oben genannten Anleitung für die Debian-Clients wird ja deutlich,
> > dass PAM und NSS angepasst werden muss.
> > mir geht es jetzt überhaupt erstmal um eine brauchbare Konfiguration
> > eines Debian-Clients an den Server. Wenn möglich genauso einfach zu
> > händeln (also möglichst menügeführt) wie hier in der Anleitung zu den
> > SuSE-Clients. Eine Anleitung komplett ohne Menüs, damit die
> > Konfiguration in ein Script/Paket gesteckt werden kann, wird natürlich
> > auch noch gebraucht  - später. ;)
>
> Debian ist nun mal kein SuSE, d.h. hier wird es nicht so viel bunte
> Menus zum konfigurieren geben. Eine bunt bebilderte Anleitung wie bei
> SuSE wird bei Debian nicht so häufig zu finden sein, aber während der
> Installation werden die wesentlichen Informationen ähnlich abgefragt und
> die Debiananleitung zum Arktur ist ansonsten auch gut zu gebrauchen. Sie
> ist eben "debian-like" und enthält die relevanten Informationen, nur
> eben ohne Bilder.

es war ja nur eine Wunschvorstellung. Ich habe selbst keine Angst for 
einem Editor, sofern ich weiss, was man ändern muss - oder anders 
gesagt, sofern ich eine (deutschsprachige) Anleitung habe.

> Für den Rest mußt du etwas lesen und ein wenig verstehen.

Man kann ja nur etwas lesen, wenn es etwas zu lesen gibt. Und da ich 
kein Englisch spreche (das tue ich mir mit weit über 50 Jahren auch 
nicht mehr an), frage ich in dieser deutschsprachigen Liste nach.

> Bei
> auftretenden Problemen kannst du gern weitere Fragen stellen, wenns geht
> mit genauen Fehlerbeschreibungen.

Da ich erst seit wenigen Jahren (ca. 4 Jahre) mich intensiv mit Linux 
und da mit Debian beschäftige und ansonsten nur Windows nutze/kenne, 
habe ich das eigentliche Problem, die Philosophie hinter Linux zu 
verstehen. Konkret:

bei uns wird beim Anmelden an der Domäne dem User 4 Laufwerke zur 
Verfügung gestellt:

Laufwerk u:  Homeverzeichnis                /home/<gruppe>/<user>
Laufwerk t:  Tauschverzeichnis              /home/all
Laufwerk r:  Gruppenverzeichnis (Klassen)   /home/groups
Laufwerk p:  Programme (serverbasiert)      /home/software

zusätzlich gibt es weitere Shares, auf die aber nur über die 
Netzwerkumgebung zugegriffen werden kann.

In Hinblick darauf, dass die User an den Linux-Clients nicht schlechter 
gestellt sein sollten als an Windows-Clients und in einer vorherigen 
Mail geschrieben wurde, dass die Nutzung von Samba nicht das Gelbe von 
Ei sei, stellt sich für mich schon die Frage, wie wird sowas dann 
linuxtypisch gelöst? Und ich habe dazu recherchiert - leider nichts 
gefunden und konnte deshalb dazu nichts lesen und auch nichts verstehen.

Würde mich über weitere Antworten freuen.

Viele Grüße
Hans-Dietrich