Servercommunity Foren-Übersicht Servercommunity
Das informative Forum für Fragen rund um Server
 
 FAQFAQ   SuchenSuchen   MitgliederlisteMitgliederliste   BenutzergruppenBenutzergruppen   RegistrierenRegistrieren 
 ProfilProfil   Einloggen, um private Nachrichten zu lesenEinloggen, um private Nachrichten zu lesen   LoginLogin 

SuSE 9.1: Samba 3.0 und Authentifizierung über Windows ADS

 
Neues Thema eröffnen   Neue Antwort erstellen    Servercommunity Foren-Übersicht -> How-To's
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Dennis
Junior-Chef


Anmeldedatum: 21.06.2003
Beiträge: 2344
Wohnort: Schömberg (zw. Stuttgart u . Karlsruhe)

BeitragVerfasst am: Mo Sep 27, 2004 15:17    Titel: SuSE 9.1: Samba 3.0 und Authentifizierung über Windows ADS Antworten mit Zitat

So hier mal wieder ein HowTo von mir. Wie im Betreff schon beschrieben geht es hier um Samba 3.0 und die Authentifizierung an einer ADS.

Kommentare und Verbesserungen bitte anhängen, ich bearbeite dann das HowTo.

Voraussetzung

SuSE 9.1 Professional System
Samba 3 (smb, nmb, winbind)
Heimdal
heimdal-lib
heimdal-tools
pam_krb5
xntpd

Beschreibung

Samba soll sich die File- und Userberechtigungen und die gültigen Benutzer von der Windows Active Directory Structure holen, was bedeutet, das weder Samba noch der Linuxrechner eine eigene Benutzerverwaltung fahren müssen -> minimaler Verwaltungsaufwand.

Hierfür muss explizit Samba, Kerberos, die Pam-Module und die /etc/nsswitch.conf angepasst werden. Außerdem sollte auch die Systemzeit mit dem PDC abgeglichen werden, da sonst Kerberos nicht mit diesem zusammenarbeitet.

Vorgehensweise

In der /etc/nsswitch.conf müssen die folgenden Einträge abgeändert werden:

Code:
passwd:      files winbind
group:      files winbind


Dies bewirkt, dass bei Authentifizierungen am System zuerst die lokalen Files (/etc/passwd, /etc/shadow, /etc/groups) und danach die Domäne (per Winbind) abgefragt werden.

/etc/krbs5.conf

Bitte domäne.de und DOMÄNE.DE immer mit dem Domainnamen ersetzten. PDC ist mit der IP-/Netbios-Adresse des Domaincontrollers zu ersetzen.

Code:
[libdefaults]
        default_realm = DOMÄNE.DE
        clockskew = 300
 
[realms]
        DOMÄNE.DE = {
                kdc = PDC
        }
#       OTHER.REALM = {
#               kdc = OTHER.COMPUTER
#       }
 
[domain_realm]
        .domäne.de = DOMÄNE.DE
 
[logging]
        default = SYSLOG:NOTICE:DAEMON
        kdc = FILE:/var/log/kdc.log
        kadmind = FILE:/var/log/kadmind.log
 
[appdefaults]
        pam = {
                ticket_lifetime = 1d
                renew_lifetime = 1d
                forwardable = true
                proxiable = false
                retain_after_close = false
                minimum_uid = 0
                debug = false
        }


/etc/samba/smb.conf

Code:
# smb.conf is the main Samba configuration file. You find a full commented
# version at /usr/share/doc/packages/samba/examples/smb.conf.SuSE
# Date: 2004-04-06
[global]
workgroup = domäne
server string = SERVERNAME
wins server = PDC
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
security = ads
encrypt passwords = true
obey pam restrictions = yes
invalid users = root
socket options = TCP_NODELAY
domain master = no
idmap uid = 10000-40000
idmap gid = 10000-30000
template shell = /bin/bash
dos charset = 850
unix charset = ISO-8859-15
display charset = ISO-8859-15
realm = DOMÄNE.DE
password server = PDC
update encrypted = yes
map to guest = Bad User
local master = no
winbind separator = #
winbind cache time = 10
winbind use default domain = Yes
netbios name = SERVERNAME
winbind enum users = yes
winbind enum groups = yes
admin users = DOMÄNE#DomainAdmins
 
[freigabe]
        comment = Kommentar
        writeable = yes
        path = PFAD
        write list = @smb


/etc/pam.d/samba

Code:
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_nologin.so
auth sufficient /lib/security/pam_winbind.so
account required /lib/security/pam_winbind.so
session required pam_unix.so
password required pam_unix.so


Nun sind alle Konfigurationsfiles angepasst. Als nächstes müssen alle Dienste gestartet/restartet werden:

/etc/init.d/smb restart
/etc/init.d/nmb restart
/etc/init.d/winbind restart


Danach muss ein Maschinenkonto in der ADS erstellt werden. Dies wird folgendermaßen gemacht:

net ads join -U administrator

Domänenpasswort eingeben und der Eintrag wird erstellt. Per wbinfo -g und wbinfo -u können (sollten Wink) die Benutzer und Gruppen der Domäne angezeigt werden.

Nun taucht der Rechner im Windowsnetzwerk auf und dessen Laufwerke können mit gültigem Domänenbenutzer gemountet werden.

Zeitsynchronisation

Für die Zeitsynchronisation muß man sich als root anmelden und per crontab -e:

Code:
05 07 * * * /usr/sbin/ntpdate 192.168.242.222 >> /var/log/timesync.log


Die IP-Adresse mit der des PDC ersetzen. Der Zeitabgleich wird jetzt täglich um 7.05 Uhr gemacht.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
Dennis
Junior-Chef


Anmeldedatum: 21.06.2003
Beiträge: 2344
Wohnort: Schömberg (zw. Stuttgart u . Karlsruhe)

BeitragVerfasst am: Di März 29, 2005 13:42    Titel: Diskussionsthread Antworten mit Zitat

http://www.servercommunity.de/viewtopic.php?t=1543
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen    Servercommunity Foren-Übersicht -> How-To's Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.



Powered by phpBB © 2001, 2005 phpBB Group
Deutsche Übersetzung von phpBB.de