Servercommunity Foren-Übersicht Servercommunity
Das informative Forum für Fragen rund um Server
 
 FAQFAQ   SuchenSuchen   MitgliederlisteMitgliederliste   BenutzergruppenBenutzergruppen   RegistrierenRegistrieren 
 ProfilProfil   Einloggen, um private Nachrichten zu lesenEinloggen, um private Nachrichten zu lesen   LoginLogin 

Diskussion: HowTo Samba 3 und ADS
Gehe zu Seite Zurück  1, 2, 3  Weiter
 
Neues Thema eröffnen   Neue Antwort erstellen    Servercommunity Foren-Übersicht -> Alles andere
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
SkyHigh



Anmeldedatum: 29.03.2005
Beiträge: 22
Wohnort: München

BeitragVerfasst am: Di Apr 05, 2005 11:42    Titel: Antworten mit Zitat

naja ich wollt damit eher fragen ob ich mit authconfig (system-auth) nichts verändern muss ?

da is halt noch "über LDAP" eingestellt.

____________________________________________
EDIT:

Hier nochma meine momentanen configfiles:

smb.conf

Code:

[global]
workgroup = ISYS-GROUP.DE
server string = dcserver
wins server = dcserver.isys-software.de
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
security = ADS
encrypt passwords = true
obey pam restrictions = yes
invalid users = root
socket options = TCP_NODELAY
domain master = no
idmap uid = 10000-40000
idmap gid = 10000-30000
template shell = /bin/bash
dos charset = 850
unix charset = ISO-8859-15
display charset = ISO-8859-15
realm = ISYS-GROUP.DE
password server = dcserver.isys-software.de
update encrypted = yes
map to guest = Bad User
local master = no
winbind separator = #
winbind cache time = 10
winbind use default domain = Yes
netbios name = dcserver.isys-software.de
winbind enum users = yes
winbind enum groups = yes
admin users = ISYS-GROUP#DomainAdmins


krb5.conf

Code:

[logging]
 default = SYSLOG:NOTICE:DEAMON
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = ISYS-GROUP.DE
 dns_lookup_realm = false
 dns_lookup_kdc = false
 clockskew = 300

[realms]
 ISYS-GROUP.DE = {
  kdc = 192.168.2.202
  admin_server = 192.168.2.202
  default_domain = ISYS-GROUP.DE
 }

[domain_realm]
 .isys-group.de = ISYS-GROUP.DE
 isys-group.de = ISYS-GROUP.DE

[kdc]
 profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
 pam = {
   debug = false
   ticket_lifetime = 1d
   renew_lifetime = 1d
   forwardable = true
   proxiable = false
   retain_after_close = false
   minimum_uid = 0
   debug = false
   krb4_convert = false
 }


kdc.conf

Code:

[kdcdefaults]
 acl_file = /var/kerberos/krb5kdc/kadm5.acl
 dict_file = /usr/share/dict/words
 admin_keytab = /var/kerberos/krb5kdc/kadm5.keytab
 v4_mode = nopreauth

[realms]
 ISYS-SOFTWARE.DE = {
  master_key_type = des-cbc-crc
  supported_enctypes = arcfour-hmac:normal arcfour-hmac:norealm arcfour-hmac:onlyrealm des3-hmac-sha1:normal des-hmac-sha1:normal des-cbc-md5:normal des-cbc-crc:normal des-cbc-crc:v4 des-cbc-crc:afs3
 }


nsswitch

Code:

passwd:     files winbind
shadow:     files winbind
group:      files winbind

#hosts:     db files nisplus nis dns
hosts:      files nis dns

# Example - obey only what nisplus tells us...
#services:   nisplus [NOTFOUND=return] files
#networks:   nisplus [NOTFOUND=return] files
#protocols:  nisplus [NOTFOUND=return] files
#rpc:        nisplus [NOTFOUND=return] files
#ethers:     nisplus [NOTFOUND=return] files
#netmasks:   nisplus [NOTFOUND=return] files

bootparams: nisplus [NOTFOUND=return] files

ethers:     files
netmasks:   files
networks:   files
protocols:  files nis
rpc:        files
services:   files nis

netgroup:   files nis

publickey:  nisplus

automount:  files nis
aliases:    files nisplus


Zuletzt bearbeitet von SkyHigh am Di Apr 05, 2005 12:07, insgesamt 3-mal bearbeitet
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Dennis
Junior-Chef


Anmeldedatum: 21.06.2003
Beiträge: 2344
Wohnort: Schömberg (zw. Stuttgart u . Karlsruhe)

BeitragVerfasst am: Di Apr 05, 2005 11:52    Titel: Antworten mit Zitat

Ne hat damit eigentlich nichts zu tun. Kommst nicht weiter ?
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
SkyHigh



Anmeldedatum: 29.03.2005
Beiträge: 22
Wohnort: München

BeitragVerfasst am: Di Apr 05, 2005 12:04    Titel: Antworten mit Zitat

ne, irgendwie überhaupt net.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Dennis
Junior-Chef


Anmeldedatum: 21.06.2003
Beiträge: 2344
Wohnort: Schömberg (zw. Stuttgart u . Karlsruhe)

BeitragVerfasst am: Di Apr 05, 2005 12:19    Titel: Antworten mit Zitat

Kurz zum Verständnis:

dcserver ist die Unix-Kiste ?
192.168.2.202 ist der Domaincontroller ?

Edit: Da stimmt definitiv was nicht...du gibst als domaincontroller den dcserver an, benennst den Unixserver in der smb.conf aber auch mit dcserver

Meiner Einschätzung nach hast du dich in der smb.conf ein wenig verzettelt...
krb5.conf
Zitat:
[libdefaults]
default_realm = ISYS-GROUP.DE
clockskew = 300

[realms]
ISYS-GROUP.DE = {
kdc = 192.168.2.202
}

[domain_realm]
.isys-group.de = ISYS-GROUP.DE

[logging]
default = SYSLOG:NOTICE:DAEMON
kdc = FILE:/var/log/kdc.log
kadmind = FILE:/var/log/kadmind.log

[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}


smb.conf (evtl. server string und netbios name noch anpassen)
Zitat:

[global]
workgroup = isys-group
server string = dcserver
wins server = 192.168.2.202
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
security = ads
encrypt passwords = true
obey pam restrictions = yes
invalid users = root
socket options = TCP_NODELAY
domain master = no
idmap uid = 10000-40000
idmap gid = 10000-30000
template shell = /bin/bash
dos charset = 850
unix charset = ISO-8859-15
display charset = ISO-8859-15
realm = ISYS-GROUP.DE
password server = 192.168.2.202
update encrypted = yes
map to guest = Bad User
local master = no
winbind separator = _
winbind cache time = 10
winbind use default domain = Yes
netbios name = dcserver
winbind enum users = yes
winbind enum groups = yes
admin users = ISYS-GROUP_DomainAdmins

[files]
comment = Austauschverzeichnis
writeable = yes
path = /files
write list = @smb
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
SkyHigh



Anmeldedatum: 29.03.2005
Beiträge: 22
Wohnort: München

BeitragVerfasst am: Fr Apr 08, 2005 10:57    Titel: Antworten mit Zitat

ach, hab mir doch gedacht das ich da irgendwas verpeilt hab ^^

dcserver is der Domaincontroller (IP: 192.168.2.202)

gleich mal ändern Smile
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
SkyHigh



Anmeldedatum: 29.03.2005
Beiträge: 22
Wohnort: München

BeitragVerfasst am: Mo Apr 11, 2005 10:27    Titel: Antworten mit Zitat

also nun bin ich in der Domäne.

Ich konnte mich per "net ads join -U administrator" hinzufügen und werde auch im Windowsnetzwerk angezeigt.

Doch, kinit bringt mir noch diesen Fehler:

kinit(v5): Client not found in Kerberos database while getting initial credentials


Und nun stellt sich mir die Frage wie die Verwaltung läuft. Ich kann per wbinfo -u und -g, user und groups sehen.
Wie kann ich nun verschiedenen Domainusern Rechte auf meinem Rechner geben ?
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Dennis
Junior-Chef


Anmeldedatum: 21.06.2003
Beiträge: 2344
Wohnort: Schömberg (zw. Stuttgart u . Karlsruhe)

BeitragVerfasst am: Mo Apr 11, 2005 12:33    Titel: Antworten mit Zitat

Mach eine Gruppe in der Domäne. Das Freigabe-Verzeichnis sollte dieser Gruppe gehören. Dann kannst du ja Mitglieder in die Gruppe packen. In der smb.conf mußt du einstellen, dass diese Gruppe Zugriff bekommen soll.

Zitat:
[files]
comment = Austauschverzeichnis
writeable = yes
path = /files
write list = @gruppe
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
SkyHigh



Anmeldedatum: 29.03.2005
Beiträge: 22
Wohnort: München

BeitragVerfasst am: Mo Apr 11, 2005 13:41    Titel: Antworten mit Zitat

hmm, dann kann ich ja wohl nicht wirklich die vorzüge einer domäne nutzen !?

Das heißt ich muss für jede Freigabe verschiedene Gruppen machen, je nach dem wer auf was zugreifen darf.

Dann hab ich im Endeffekt ja garkeinen Vorteil aus dem ganzen, oda ?
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Dennis
Junior-Chef


Anmeldedatum: 21.06.2003
Beiträge: 2344
Wohnort: Schömberg (zw. Stuttgart u . Karlsruhe)

BeitragVerfasst am: Mo Apr 11, 2005 13:45    Titel: Antworten mit Zitat

Hm..du hast keine doppelte Authetifizierung ? Deine User brauchen sich nur 1 Passwort merken ? Was wolltest du denn erreichen ? Du kannst die Berechtigungen auch über Windows regeln
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
SkyHigh



Anmeldedatum: 29.03.2005
Beiträge: 22
Wohnort: München

BeitragVerfasst am: Di Apr 12, 2005 12:12    Titel: Antworten mit Zitat

^^

Zuletzt bearbeitet von SkyHigh am Di Apr 12, 2005 12:14, insgesamt einmal bearbeitet
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
SkyHigh



Anmeldedatum: 29.03.2005
Beiträge: 22
Wohnort: München

BeitragVerfasst am: Di Apr 12, 2005 12:13    Titel: Antworten mit Zitat

Mein Ziel ist, die Linuxserver unserer Firma in die Domäne aufzunehmen damit man z.B. um auf den Filesersver zu kommen nicht jedesmal das PW eingeben muss.
Sprich: die Linuxfreigaben funktionieren wie die Windowsfreigaben.

Naja ich hab nun eine Gruppe "Mitarbeiter" erstellt in der ich und ein Kollege drin sind. Nun hab ich das Problem das ich die Freigabe nicht verwalten kann. Wenn ich ihm über Freigabeberechtigungen die Gruppe Mitarbeiter mit Vollzugriiff hinzufügen will, bringt er mir die Nachricht "Kein Zugriff"

Eintrag in smb.conf:

Code:

[TestShare]
   comment = TestShare
   writable = yes
   path = /
   write list = @Mitarbeiter


Ist es auch Möglich auf dem Linuxrechner eine Freigabe für einen einzelnen Domänenbenutzer freizugebn ? (z.B. in der smb.conf: valid users = domainuser@DOMAIN.DE, oder so ^^)
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Dennis
Junior-Chef


Anmeldedatum: 21.06.2003
Beiträge: 2344
Wohnort: Schömberg (zw. Stuttgart u . Karlsruhe)

BeitragVerfasst am: Di Apr 12, 2005 12:57    Titel: Antworten mit Zitat

Probier mal bite write list= @smb. Könnte auch schon reichen...danach die Zugriffe über die ADS
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
SkyHigh



Anmeldedatum: 29.03.2005
Beiträge: 22
Wohnort: München

BeitragVerfasst am: Di Apr 12, 2005 13:48    Titel: Antworten mit Zitat

bringt leider auch nix...
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
SkyHigh



Anmeldedatum: 29.03.2005
Beiträge: 22
Wohnort: München

BeitragVerfasst am: Di Apr 12, 2005 15:38    Titel: Antworten mit Zitat

So schaut meine gesamte smb.conf aus:

Code:

[global]
   workgroup = isys-group
   server string = Jupo
   wins server = 192.168.2.202
   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   security = ads
   obey pam restrictions = yes
   invalid users = root
   socket options = TCP_NODELAY
   domain master = no
   idmap uid = 10000-40000
   idmap gid = 10000-30000
   template shell = /bin/bash
   dos charset = 850
   unix charset = ISO-8859-15
   display charset = ISO-8859-15
   realm = ISYS-SOFTWARE.DE
   password server = 192.168.2.202
   update encrypted = yes
   map to guest = Bad User
   local master = no
   winbind separator = #
   winbind cache time = 10
   winbind use default domain = Yes
   netbios name = Jupo
   winbind enum users = yes
   winbind enum groups = yes
   admin users = ISYS-GROUP#DomainAdmins




#============================ Share Definitions ==============================
[TestShare]
   comment = TestShare
   writeable = yes
   path = /
   write list = @Mitarbeiter


Ich hab echt null peil was da noch sein kann Sad
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
SkyHigh



Anmeldedatum: 29.03.2005
Beiträge: 22
Wohnort: München

BeitragVerfasst am: Mi Apr 13, 2005 08:48    Titel: Antworten mit Zitat

kann des was mit kerberos zu tun haben ?

ich bekomm ja nach wie vor kein ticket vom kdc, wegen:

kinit(v5): Client not found in Kerberos database while getting initial credentials
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen    Servercommunity Foren-Übersicht -> Alles andere Alle Zeiten sind GMT + 1 Stunde
Gehe zu Seite Zurück  1, 2, 3  Weiter
Seite 2 von 3

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.



Powered by phpBB © 2001, 2005 phpBB Group
Deutsche Übersetzung von phpBB.de