mercedes_killer 10 Geschrieben 7. Juli 2006 Melden Teilen Geschrieben 7. Juli 2006 Hallo. Wir haben hier eine gemischte Umgebung hier im Haus, 50% Linux (v.a. Redhat), 50% Windows (2003er Domäne). Die Linux-Anwender haben bisher ne lokale /etc/passwd (neben dem gleichnamigen Windows-Konto), d.h. kein NIS. Bevor ich hier NIS einführe, hat mir jemand gesteckt, dass geht auch mit Active Directory "services for unix" (oder so) Die Linux-User-IDs sollten aber möglichst gleich bleiben, sonst müssen die auf über 10 Server geändert werden. Danke. Zitieren Link zu diesem Kommentar
CoolAce 17 Geschrieben 7. Juli 2006 Melden Teilen Geschrieben 7. Juli 2006 Hy, meines Wissens nach brauchst du einen glaub SAMBA Server und Ooen LDAP das des alles so funzt Gruß Coolace Zitieren Link zu diesem Kommentar
GerhardG 10 Geschrieben 7. Juli 2006 Melden Teilen Geschrieben 7. Juli 2006 http://www.linux-club.de/ftopic53916.html welche redhat version? Zitieren Link zu diesem Kommentar
overlord 10 Geschrieben 7. Juli 2006 Melden Teilen Geschrieben 7. Juli 2006 Hi Die Linux-Anwender haben bisher ne lokale /etc/passwd (neben dem gleichnamigen Windows-Konto), d.h. kein NIS. d.h. nur Linux-Clients? Bevor ich hier NIS einführe, hat mir jemand gesteckt, dass geht auch mit Active Directory "services for unix" (oder so) Weniger mit SFU, sondern normal mit nem aktuellen Samba das die Auth gegen ADS führt! Doc, HowTo ausreichend im samba-manual! Im Board wurde das Thema auch schon einige Male angesprochen. Außerdem lesenswert: -> http://www.gruppenrichtlinien.de/index.html?/HowTo/SMB_Signing.htm Die Linux-User-IDs sollten aber möglichst gleich bleiben, sonst müssen die auf über 10 Server geändert werden. Wieso? Was hat die UID mit den Servern zu tun? Btw. eigentlich kommst du auch ohne lokale IDs aus. Du willst ja auf ADS zugreifen un dann werden via winbind die UIDs+GIDs gemapped! Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 7. Juli 2006 Melden Teilen Geschrieben 7. Juli 2006 Du brauchst kein Unix Services for Windows (auch nicht zwingend SAMBA!). Mit der Windows Server 2003 R2 Schemaerweiterung kann man (wird auch) ein 2003 DC als Master NIS Server definiert. Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 7. Juli 2006 Melden Teilen Geschrieben 7. Juli 2006 Kuckst du auch hier: UNIX Interoperability in Microsoft Windows Server 2003 R2 Zitieren Link zu diesem Kommentar
WolverineJR 10 Geschrieben 7. Juli 2006 Melden Teilen Geschrieben 7. Juli 2006 Hi, dem Thema habe ich mich vor ein paar Tagen auf zugewendet und vor ca. 1 Stunde hinbekommen. Was Du brauchst ist - Samba (ich in der Version 3.0.20) - Kerberos (ist bei Redhat normalerweise standardmäßig dabei) - PAM (ist bei Redhat normalerweise standardmäßig dabei) als erstes: Samba herunterladen und am besten kompilieren. Folgende Syntax (im /source-Verzeichnis des Binary-Verzeichnis des heruntergeladenen Samba): ./configure --with-ads --with-pam --> wenn Du noch ACL´s und User-Quotas haben willst, noch --with-acl-support --with-quotas mitgeben) make make install --> Samba wird in /usr/local/samba installiert danach: /usr/local/samba/lib/smb.conf anpassen (hier meine aktuelle... kann aber bei belieben angepasst werden: [global] unix charset = ISO8859-1 display charset = ISO8859-1 workgroup = [hier der Name der Domäne] realm = [DNS-REALM] netbios name = [Netbios-Name des lokalen Servers] server string = [beschreibung des Servers] security = ADS password server = [DC deiner Domäne] log level = 2 log file = /var/log/samba/%m.log max log size = 50 keepalive = 0 ldap ssl = no idmap uid = 10000-20000 idmap gid = 10000-20000 winbind separator = + winbind use default domain = yes winbind enum users = no winbind enum groups = no inherit permissions = Yes inherit acls = Yes use sendfile = No smb ports = 139 template shell = /bin/bash dann: Kerberos anpassen: liegt unter /etc/krb5.conf hier meine eigene: [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = [REALM der Domäne] dns_lookup_realm = false dns_lookup_kdc = false [realms] [REALM der Domäne] = { kdc = [DC] admin_server = [DC] } [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false } dann: PAM anpassen: hierbei habe ich mich auch auf Neuland bewegt. Inzwischen bin ich soweit durchgestiegen, dass unter /etc/pam.d/ Dateien vorhanden sind, welche nach den Diensten benamt sind, auf die PAM reagieren soll. Also wenn Du per SSH dich auf die Linux-Maschinen verbinden willst, nimmst du die Datei "sshd" (das ist der Dienstname von SSH unter Linux --> ps -ef | grep ssh). Dort trägst Du folgende Zeilen ZUSÄTZLICH(!!) am Anfang der Datei ein: (ACHTUNG: Wenn Du hier einen Fehler machst, kann es sein, dass Du Dich und auch kein anderer mehr einloggen kannst!! also SICHERHEITSKOPIE der Datei!!!!!) auth sufficient pam_winbind.so account sufficient pam_winbind.so danach: Sichere die Dateien /lib/security/pam_winbind.so . Danach kopiere die gleiche Datei aus dem Binary-Verzeichnis deiner Samba-Version unter source/nsswitch in /lib/security danach: passe die Datei /etc/nsswitch.conf folgendermaßen an: passwd: files winbind group: files winbind danach: füge die Linux-Maschine in die Domäne ein: /usr/local/samba/bin/net ads join -U Administrator --> Passwort des Domänen-Admins nun ist die Linux-Kiste in der ADS-Domäne integriert (Maschinenkonto wurde erzeugt) danach: starte den winbind-Daemon: nohup /usr/local/samba/sbin/winbindd & danach: Teste die Verbindung mit: /usr/local/samba/bin/wbinfo -u --> User der Domäne sollten angezeigt werden /usr/local/samba/bin/wbinfo -g --> Gruppen der Domäne sollten angezeigt werden getent passwd --> zuerst lokale passwd und dann User der Domäne werden angezeigt Nun sollte es eigentlich funktionieren.... bei Problemen (welche erfahrungsgemäß mit hoher Wahrscheinlichkeit auftreten, einfach fragen) Zitieren Link zu diesem Kommentar
mercedes_killer 10 Geschrieben 7. Juli 2006 Autor Melden Teilen Geschrieben 7. Juli 2006 welche redhat version? Ziemlich alle, dort Enterprise, dort uralt-Fedora, ... SuSE auch irgendwo Mit der Windows Server 2003 R2 Schemaerweiterung kann man (wird auch) ein 2003 DC als Master NIS Server definiert. Wir haben aber "nur" 2003 Standard Edition. Ist das "R2" ein freies Update? Vorgabe der GL: keine Invests in MS. d.h. nur Linux-Clients? Nein, auch Server. Wieso? Was hat die UID mit den Servern zu tun? Datei xxx.tar auf Server A1 gehört Benutzer 555. Benutzer 555 soll immer Mayer sein, Benutzer 444 immer Schmidt, .... dem Thema habe ich mich vor ein paar Tagen auf zugewendet und vor ca. 1 Stunde hinbekommen. Was Du brauchst ist - Samba (ich in der Version 3.0.20) - Kerberos (ist bei Redhat normalerweise standardmäßig dabei) - PAM (ist bei Redhat normalerweise standardmäßig dabei) Mal schauen, hab gerade keine freie Maschine zum testen. Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 7. Juli 2006 Melden Teilen Geschrieben 7. Juli 2006 Wir haben aber "nur" 2003 Standard Edition. Ist das "R2" ein freies Update? Vorgabe der GL: keine Invests in MS. Kann ich nicht sagen, kommt auch auf deinen Lizenzvertrag an. Einfach den Vetriebspartner fragen. Hier stehen die unterstützten Upgrade Pfade: http://www.microsoft.com/windowsserver2003/evaluation/whyupgrade/supportedpaths.mspx Zitieren Link zu diesem Kommentar
overlord 10 Geschrieben 7. Juli 2006 Melden Teilen Geschrieben 7. Juli 2006 Ziemlich alle, dort Enterprise, dort uralt-Fedora, ... SuSE auch irgendwo ...wenn nur irgendwie möglich, tut euch einen gefallen und schafft SuSE ab ;) Zitieren Link zu diesem Kommentar
mirki 10 Geschrieben 7. Juli 2006 Melden Teilen Geschrieben 7. Juli 2006 Ich kann mich dem nur anschliessen, SuSe ist mittlerweile unter aller Sau. macht ne portierung nach Debian. Zusatz an die Ausführung von Wolverine : Wichtig ist die namenauslösung, zumindestens sollte der DC in der hosts stehen. Zudem ist es sehr wichig die REALM namen in GROSSbuchstaben zu schreiben !!! Zitieren Link zu diesem Kommentar
soldi01 10 Geschrieben 7. Juli 2006 Melden Teilen Geschrieben 7. Juli 2006 Ich bin auch keine Heul SuSe... meine Empfehlung wenn RC2 nicht in Frage kommt (mein Tip nutze niemals die Windows eigenen Server für Unix haben mir immer ärger bereitet) dann die SFU installieren (glaube selbst das RC2 nur normal win2k3 mit SFU integriert ist) um das LDAP Schema auf den W2k3 Server zuerweitern und dann mit Samba, OpenLDAP & Kerberos wie oben beschrieben durchführen und dann sollte es klappen ;-) Wenn du das SchemaUpdate durchgeführt hast brauchst du auch nicht das Lokale Mapping von UID & GID zu benutzen sondern kannst die Einstellungen zentral vom AD übernehmen bzw. steuern... Meine Empfehlung wäre noch alle Serverdienste die von SFU installiert wurden zu deaktivieren. Zitieren Link zu diesem Kommentar
wiesel83 10 Geschrieben 11. März 2011 Melden Teilen Geschrieben 11. März 2011 (bearbeitet) Hallo , befasse mich auch grade mit diesem Thema Und habe noch ne Frage: winbind kann ja die UID und GID vom LDAP Server abfragen , sprich vom AD. Da in unserer Linux Umgebung bereits einige Berechtigungen auf lokale Freigaben gesetzt sind benötige ich die UID und GID von den alten lokalen Konten. kann ich manuell die UID und GID bei der Schemaerweiterung eintragen?? Werden die UID und GID neuer User automatisch ins AD eigetragen wenn bei winbind als LDAP Server der DC eingetragen ist ? Gruß Jens bearbeitet 11. März 2011 von wiesel83 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.