FBSD als Member - Server in einer Windows Domäne?

[greg]

Hallo,

weis jemand zufällig ob es möglich ist einen SAMBA Server als Mitglied in eine bestehende Windows 2000 Domäne aufzunehmen?

Die Problemstellung sieht aus wie folgt:

- Es gibt eine Windows Abteilung und eine Linuxabteilung

- Dazwischen soll ein Fileserver eingesetzt werden, der einen Zugriff beider Parteien ermöglichen soll

- Zugriffsrechte sollen dabei lediglich von den Windows 2000 basierenden PDCs delegiert werden

d.h. die in der Domäne vorhandenen Benutzer sollen eben auch gegenüber dem SAMBA Server
authentifiziert werden und dort entsprechende Zugriffsrechte auf Freigaben erhalten.

Die Frage die sich nun ergibt ist, ob es möglich ist windows Domänenaccounts mit Benutzern auf der SAMBA Maschine zu synchronisieren. Andernfalls müsste man separate Benutzerkonten auf beiden Systemen erstellen, was die Arbeit nicht gerade verringert.

Sollte ich keine Lösung finden, habe ich geplant, dass die Windowsbenutzer sich wie gewohnt an
der Domäne anmelden und per Skript die Freigaben des SAMBA Servers zugewiesen bekommen.
Die Linuxbenutzer erhalten Accounts auf der SAMBA Maschine mit entsprechenden Rechten und Freigaben deren sie sich per SMBMOUNT bedienen.


Sollte jemand einen besseren Lösungsvorschlag parat haben, so möge er mir diesen mitteilen.

Vielen Dank!

 

[snaketown]

Klar geht das. Du brauchst Samba3 mit winbind und acl support. Allerdings habe ich es mit FreeBSD 5.4 und 6.0 nicht sauber zum laufen bekommen. Es gab ständig zugriffsprobleme. Hab dann Debian genommen. läuft seit 6 Wochen problemlos bei uns in der Firma.

Die User werden vom Win-Server authentifiziert, synchronisieren brauchst Du nicht. Winbind übernimmt die User-Accounts temporär vom Win-Server und aktualisiert automatisch die temporären Accounts. Die Shares vom Samba kannst Du dann mit einem login-script (login.bat) beim anmelden der clients automatisch mappen.

 

[greg]

aha, sehr schön! vielen dank für die antwort.

ich habe mich schon gefragt wie das im hintergrund mit der benutzerauthentifizierung funktioniert.
nachdem ich unter freebsd rel. 6 samba 3x inkl. winbind, acl, ldap bzw. ad support installiert hatte,
habe ich die konfiguration mittels webmin vorgenommen. dort habe ich dann namentlich identische
benutzerkonten eingerichtet und diese anschließend als samba benutzer konvertiert.
der zugriff von windows geht nun reibungslos, nur war mir bislang nicht klar, was dafür verantwortlich zeichnet, bzw.
wie das technisch umgesetzt wird. ich werde mir mal bei gelegenheit winbind genauer zu gemüte führen.

ein problem habe ich allerdings noch. der zugriff von windows clients dauert verdammt lange. angenommen ich füge ein netzlaufwerk mittels net use hinzu, dann vergehen da gerne mal 15 sekunden bis etwas passiert. die ursache hierfür könnte allerdings alles mögliche sein...

 

[snaketown]

Um Winbind zu nutzen gehst du wie folgt vor.

Die smb.conf fuer ADS anpassen. Ich haenge Dir meine noch mit dran.

In der /etc/nsswitch.conf die Eintraege: password : compat in password : Winbind Files
group : compat in group : Winbind Files aendern.

Du brauchst eine krb5.conf. Ich haenge Die auch diese mit dran.

Smbd und Nmbd stoppen und neu startetn, darauf achten das alle smbd gestoppt werden (killall smbd) und
winbind starten, am besten "winbindd -B" damit werden zwei daemonen gestartet, dadurch ist die Authentifiezierung etwas schneller, da einer der daemonen immer die User-Account vom Windows-Server aktuell
haelt, waehrend der andere User gegen den Windows-Server authentifiziert.

kerberos testen: z.b. kinit Administrator@MYLAN.LOCAL MYLAN.LOCAL "MUSS GROSSGESCHRIEBEN WERDEN" !
mit "klist" pruefen ob Du ein Kerberos-Ticket bekommen hast, die Ausgabe ist etwa:
Default Principal: Administrator@MYLAN.LOCAL, 1 entry found
[1] Service Principal: krntgt/MYLAN.LOCAL@MYLAN.LOCAL
valid starting: Dez 18, 2005 16:23
Expires: Dez 19, 2005 01:23
Wenn Du kein Ticket hast musst Du erstmal den Fehler suchen, sonst geht es eh nicht weiter.


Wenn alles OK ist dann:
net ads join -UAdministrator
Dann kommt die password abfrage.
Wenn alles geklappt hat bekommst Du eine Ausgabe wie diese:
Joined 'Rechnername' to realm 'MYLAN.LOCAL'
Jetzt ist Dein Samba-Server ein Mitglied Deine Win-2000-ADS-Domaene.

Mit wbinfo -u siehst Du jetzt alle User auf Deinem Samba, auch die Windows User, erkannbar an "Workgroup/benutzername" wenn Du in der smb.conf winbind use default domain = no gesetzt hast

Mit wbinfo -g siehst Du die Gruppen.




OK nu die smb.conf:
realm = Deine Domaene z.B. MYLAN.LOCAL (GROSS SCHREIBEN)
password server = die IP_Adresse des Windows DC, ist sicherer als der Hostname
security = ADS # da Windows die User authentifizieren soll
encrypt passwords = yes
workgroup = z.b MYLAN
netbios name = Samba

winbind enum users = yes
winbind enum groups = yes
winbind use default domain = no # wenn Deine Domaene die gleiche ist wie wie bei Windows kannst Du auch yes nehmen.
winbind nested groups = yes # Damit kann Samba verschachtelte Gruppen benutzen !
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind separator = / nicht wie bei Windows ueblich den Backslash nehmen, das koennte Probleme geben !

map to guest = Bad Users
wins support = no
interfaces = eth0,lo
bind interfaces only = yes
admin user = administrator # Damit ist der Admin Root!


[user]
path = /samba
read only = no
browseable = yes
create mask = 0700
directory mask = 4700



Und hier die krb5.conf:
[libdefaults]
default_realm = EXAMPLE.COM # Im Beispiel ist es MYLAN.LOCAL, aendern in Deine Domaene

[realms]
EXAMPLE.COM = { # Aendern in Deine Domaene
kdc = kserver.example.com # Dein Windows DC
kpasswd_server = kserver.example.com# besser die IP-Adreese angeben !
}

[domain_realm]
.example.com = EXAMPLE.COM # Aendern in Deine Domaene


Die Probleme die ich hatte lagen am kerberos-client von FreeBSD, nach etwa 1-2 Stunden konnte kein Client mehr auf die Samba Shares zugreifen. Nach eineigen neustarts von smbd nmbd und winbind ging es dann wieder kurz.
Die Steigerung war das der Samba kein Ticket mehr bekam und ein erneutes "net ads join" war auch nicht mehr moeglich. Selbst nach einer neuinstallation von FreeBSD hab ich es nicht wieder zum laufen bekommen. Liegt laut einigen Mailinglisten am Kerberos-Client, ich tippe mehr auf den Windows 2003-Server bzw. dessen Kerberos.
Ich habe das ganze dann mit Slackware und Suse 9.0/1/2 erfolglos getsetet. Debian lief auf anhieb problemlos.
Es laeft wie bereits erwaehnt seit 6 Wochen bei uns in der Firma ohne probleme.
Die Clients mappen die Samba-Shares ueber eine login.bat, das geht ohne zeitverzoegerungen.

Zu Deinem Net use zeitproblem: hast Du den Samba im DNS-Server eingetragen? Oder mappst Du ueber die IP-Adressen? Wenn der Samba im DNS fehlt kann es schon etwas dauern bis der Netbiosname gefunden wird.



Ansonsten wuensche ich Dir viel erfolg und vile spass mit Deinem Samba.
Wenn Du es sauber zum laufen bekommst, schreibe doch mal was Du gemacht hast.

gruss
snaketown

p.s.: trage den Windows DC in hosts ein und den Windows DC als nameserver in resolv.conf

 

[greg]

@snaketown

vielen dank fuer deine bemuehungen. ich werde es gleich morgen in die tat umsetzen und über meinen gewonnenen erfahrungsschatz berichten!

bis dahin,
greg

 

[greg]

ok, ich wollte soeben die sog. krb5.conf datei editieren, musste allerdings feststellen, dass sich diese datei nicht auf meinem system befindet. weder unter /etc noch unter /usr/local/etc.

ein kurzer hilferuf richtung pkg_info brachte hervor, dass ich das krb5-1.4.3 paket installiert habe.

nach einer kurzen suche mit "find / -name krb5.conf -print" stellte ich fest, dass sich unter

/usr/local/share/examples/krb5/

die datei krb5.conf befindet.

eigentlich kann ich gleich eine neue datei erstellen. mich wundert nur warum per default keine
krb5.conf im /etc verzeichnis vorhanden ist.

ist die konfiguration damit dann eigentlich abgeschlossen oder muss noch ein eintrag in die rc.conf? ist zwar kein kdc server, aber mir kommt es ein wenig seltsam vor, dass außer einer beispieldatei nichts
von kerberos zu sehen ist.

naja, wird schon seine richtigkeit haben...

bis dann

 

[snaketown]

@greg
Die Krb5.conf brauchst nur wenn deine box ein kdc-server oder client ist.
normalerweise ist dies ja nicht der fall, dewegen wird sie wohl nicht im system sein.
habe dehalb auch eine gepostet. diese kannst du ja übernehmen und editieren wenn du magst. in die rc.conf muss nichts eingetragen werden. werde den thread die nächsten tage noch verfolgen, bin gespannt ob es bei dir sauber läuft. morgen wird es allerdings nichts mit dem verfolgen. bis mittwoch.

gruss
snaketown

 

[greg]

puhh....also irgendwas stinkt hier gewaltig zum himmel.

wie schon erwaehnt befindet sich keine /etc/krb5.conf datei auf meinem system. kein grund zur panik dachte ich. die neueste MIT implementierung von kerberos, also krb5, bedarf keiner konfiguration, da allein schon durch die DNS konfiguration schon die verbindung zu den sog. realm besteht.

beim aufruf von kinit user@DOMAIN.DE passiert es dann -> cant find kdc usw.

probier ich es mit kinit user@domain.de (man achte auf die kleinschreibung der domain) gelange ich zur passwortabfrage, jedoch ganz gleich welches passwort ich eingebe, es erscheint immer die fehlermeldung "password incorrect"
....da holt mich doch echt der teufel!

bei den oberen beispielen ist es ganz gleich, ob ich jetzt eine krb5.conf datei unter /etc angelegt habe oder nicht. das interessiert den kerberos client nicht die bohne.

DNS und host Einträge stimmen. ein ping auf den kdc namen wird beantwortet. ich bin der meinung, kerberos funktioniert (mit oder ohne /etc/krb5.conf), aber scheinbar fehlt irgendwo irgendein parameter, der den unterschied zwischen "funktioniert" und "funktioniert nicht" ausmacht.

ich für meine begriffe bin schon extrem ratlos. da wird man schon neidisch wenn man sich die linux howtos durchliest, bei denen vorausgesetzt wird, dass bei der installation des krb5 paketes automatisch die krb5.conf datei generiert wird.

@snaketown wie lief das bei dir ab? hattest du die /etc/krb5.conf automatisch, oder hast du jene selbst erstellt? beim manuellen erstellen müsste man doch eine variable definieren, z.b. krb5-config=/etc/krb5.conf export $krb5-config. ansonsten kann ich mir nicht erklären, woher sich kerberos die infos saugt, die es benötigt.

vielleicht kannst du mir sagen wie man denn genau vorgeht um kerberos5 auf freebsd(6) zu installieren bzw. konfigurieren.

mfg
greg

 

[snaketown]

Hi greg,
hier mein vorgehen aus dem gedaechtnis( ist schon min. 10 Wochen her), werde aber gleich nochmal FreeBSD 6 aufsetzen, alles durchspielen und mich verbessern falls notwendig.

1. Samba3 aus den ports installiert, zu den default einstellungen habe ich noch ads und acl support gewaehlt.
2. eine krb5.conf aus dem netz besorgt und angepasst.
3. nsswitch.conf wie beschrieben angepasst.
4. smb.conf erstellt(ich habe die gepostet die ich verwende!!)
5. kinit Administrator@DOMAENE.MEINE, du musst den Administrator nehmen um ein ticket zu bekommen!!
6. klist, ticket war da, also weiter
7. net ads join -UAdministrator, auch hier den Administrator nehmen!! warum ? weil an dieser stelle ein Computerkonto auf dem DC erstellt wird !! Das kann nur der Administrator !!
8. ich glaube ich habe jetzt nochmal alle nmd's uns smbd's ind winbindd's gekillt und neu gestartet.
9. kurz gewartet und auf den samba zugegriffen.

kerberos habe ich nicht INSTALLIERT !!
ich habe hier eine "saubere FreeBSD installation" unter /etc/rc.d ist kerberos schon vorhanden, samba laeuft nicht auf diese maschine, nur der smbclient!!

hier noch zwei links zum samba 3 howto, wonach ich auch vorgegangen bin (unter anderm).

http://tr.samba.org/samba/docs/man/Samba-HOWTO-Collection/domain-member.html#ads-member
http://tr.samba.org/samba/docs/man/Samba-HOWTO-Collection/index.html

ok setze jetzt FreeBSD neu auf und melde mich im laufe des abends nochmal.

gruss
snaketown

 

[snaketown]

hi greg,
da bin ich wieder.

hier erstmal domainname, ip-adresse, nameserver usw. die ich benutzt habe

domainname: dom.local
hostname: BSD
nameserver: 212.7.18.65(mein Provider) 192.168.10.200(win-2003-dc)
ip-adresse: 192.168.10.220
workgroup: dom
realm: DOM.LOCAL




das habe ich gemacht:

1. freebsd neu installiert.
2. samba3 aus den ports mit folgenden optionen installiert: LDAP, ADS, WINBIND, ACL_SUPPORT, UTMP, POPT.
3. smb.conf nach /usr/local/etc kopiert (das ist die selbe die ich gepostet habe und die auch auf dem debian-samba bei uns in der firma laeuft)

4. krb5.conf aus dem netz kopiert und editiert
5. nsswitch.conf editiert: passwd : winbind files group : winbind files
6. kinit Administrator@DOM.LOCAL -> password eingegeben -> ticket bekommen
7. net ads join -UAdministrator -> password eingegeben -> die uebliche fehlermeldung

ads_connect: Unknown error -1765328332

das wars, samba ist kein memberserver geworden !!
kein computerkonto auf dem DC zu sehen !!

ich bin mir sicher das mein problem am Windows 2003 Small Buisness Server liegt.
in einigen mailinglisten habe ich zu diesem fehler gelesen das es am kerberos von freebsd liegen soll.
glaube ich nicht, eine loesung fuer mein problem habe ich aber auch nicht, ausse debian zu nehmen.


hier nochmal meine smb.conf und krb5.conf:



smb.conf:

realm = DOM.LOCAL
password server = 192.168.10.200
security = ADS
encrypt passwords = yes
workgroup = DOM
netbios name = FREEBSD

winbind enum users = yes
winbind enum groups = yes
winbind use default domain = no
winbind nested groups = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind separator = /

map to guest = Bad Users
wins support = no
interfaces = sis0,lo0
bind interfaces only = yes
#admin user = administrator


[user]
path = /daten
read only = no
browseable = yes
create mask = 0700
directory mask = 4700



krb5.conf:

[libdefaults]
default_realm = DOM.LOCAL

[realms]
DOM.LOCAL = {
kdc = 192.168.10.200
kpasswd_server = 192.168.10.200


}
[domain_realm]
.dom.local = DOM.LOCAL
dom.local = DOM.LOCAL


ok greg
aendere einfach DOM und DOM.LOCAL in deine workgroup/domaene und probiere es nochmal.
bin heuet bis ca. 22.00Uhr online, morgen bin ich nicht zu hause, falls ich heute nichts mehr von dir hoehre versuch ich es am freitag wieder.



hier noch ein link fuer die krb5.conf
auf der seite geht es primaer darum einen kerberos server unter freebsd aufzusetzen.
http://segment7.net/projects/FreeBSD/kerberos.html

gruss
snaketown

 

[greg]

@snaketown
ahh, cool! vielen dank! werds gleich ausprobieren.

das sagenhafte ist ja, dass ich zufällig auf einem suse 9.2 samba server eine KRB5.CONF datei gefunden habe. so ganz ohne weiteres. da kriegt man echt nen hals!

du meintest in deiner firma wird ein windows 2003 small business server verwendet. dieser sbs
tolleriert keinen weiteren domämen controller außer sich selbst. deshalb eventuell der unknown error.
komisch jedoch, dass die debian kiste astrein läuft. aber ich bin mir sicher der fehler ist auf den sbs
server zurückzuführen.

ich melde mich bald wieder, bis dann

greg

 

[greg]

so, hab jetzt samba und kerberos komplett neu installiert und die konfiguration entsprechend angepasst.

immer noch der selbe fehler.

kinit user@DOMAIN.LOCAL - Fehler: kdc wird nicht gefunden

kinit user@domain.local - Fehler: password incorrect

ich hab ehrlich keine ahnung woran es scheitert. ich kann mir vorstellen, dass kerberos die krb5.conf
nicht einliest. wie auch immer. zum glück habe ich nächste woche urlaub. da werde ich dann daheim
das ganze szenario nochmal durchspielen. ich werde einen w2k domain controller installieren und dann versuchen mit einer frischen freebsd installation die verbindung irgendwie herzustellen.

sollten alle stricke reißen, werd ich auf ein linux umsteigen MÜSSEN



@snaketown
du meintest mit debian soll das ganze funktionieren, oder ? ich werds probieren.
ich werde mich regelmäßig hier im forum melden und über vor-/ bzw rückschritte bericht erstatten! ;-)

jedenfalls schonmal herzlichen dank für deine hilfe!

bis dann
greg

 

[snaketown]

@greg
Wenn man auf Suse 9.x einen Samba installiert wird automatisch der kerberos-client installiert und die krb5.conf generiert.

Der Samba ist ein Member-Server und kein DC, das geht auch mit SBS-2003.

Hast Du alles so gemacht wie ich gepostet habe??
Wieso hast Du Kerberos installiert? Ist ab FreeBSD 5.x per default installiert, siehe link: http://segment7.net/projects/FreeBSD/kerberos.html

Ist Dein DC in der /etc/hosts eingetragen ??
Mit IP-Adressen geht es auch, statt dem FQDN.

Ist Deine user@DOMAIN.LOCAL der Administrator ??

gruss
snaketown

 

[greg]

ja, stimmt. kerberos ist standardmäßig installiert. nur weil es nie funktioniert hatte, dachte ich die neueste version zu installieren wäre keine schlechte idee.

ansonsten bin ich exakt nach anweisung vorgegangen. nur dass es sich nicht um das administrator - konto handelt, sondern um einen anderen benutzer, der ansonsten jedoch admin - rechte in der domäne hat. ein "administrator" account ist in der domäne gar nicht vorhanden, hab ich mir von einem
admin sagen lassen. ich werd da nochmal nachfragen.

die netzwerkkonfiguration passt. der dc name kann via dns problemlos aufgelöst werden.

ich melde mich wieder, spätestens wenn ich dann ein komplett neues system aufgesetzt habe.

so long..
greg

 

[snaketown]

Hi greg,
werde jetzt mal einen Windows 2000 Server aufsetzen und mit FreeBSD 6 testen.
Danach noch einen 2003 Enterprise Server mal sehen was passiert.
Melde mich im laufe des Tages wieder.
Falls wir uns heute nicht mehr hoehren, schon mal ein schoenes Weihnachtsfest und bis Sonntag.

gruss
snaketown.

 

[greg]

hi snaketown,

ich komme frühestens am sonntag bzw. anfang nächster woche dazu ein testsystem auf die beine zu stellen. ich werde mich dann so bald als möglich mit neuen erkenntnissen wieder melden.

bis dann und ebenfalls schöne feiertage!

greg

 

[snaketown]

Hi greg,
habe nen 2000er Server aufgesetz, und FreeBSD erfolgreich als Member-Server in die Domäne integriert.

Das habe ich gemacht:

1. Windows 2000 Server installiert, als DC und DNS konfiguriert.
Servername : Win2k Domänenname : DOMAIN.LOCAL

2. FreeBSD_6 habe ich nicht verändert, lediglich den nameserver in /etc/resolv.conf
geändert, die krb5.conf habe ich vom Debian-Samba genommen und angepasst.
Die smb.conf auch geändert.
3. kinit Administrator@DOMAIN.LOCAL -> Passwort eingegeben -> Ticket bekommen.
4. nmbd -D smbd -D und winbindd -B aufgrufen.
5. net ads join -UAdministrator -> Passwort eingegeben -> Use short Domainname
'DOAMIN' Joined 'FREEBSD' to realm 'DOMAIN.LOCAL'
FreeBSD ist jetzt ein Mitgliedsserver in der Win2k-Domäne DOMAIN.LOCAL.
Das bestätigt meinen Verdacht das der SBS2003 nicht mit dem FreeBSD-Kerberos-Client klar kommt.

Ich habe danach einen User angelegt und in die Gruppe 'Administratoren' eingefügt, das Computerkonto für FreeBSD gelöscht, FreeBSD neu hochgefahren und mit dem neuen User 'Meister' nochmal kinit und net .... ausgeführt.
Alles ohne Probleme. Danach habe ich Service Pack 4 installiert.
Wieder Computerkonto gelöscht FreeBSD -> Reboot, kinit und net ... ausgeführt.
Wieder alles ohne Probleme.
Ich habe danach noch mal die krb5.conf genommen die ich gepostet hatte, geht auch problemlos.

Ich denke Du solltest Dein FreeBSD nochmal neu aufsetzen, nur Samba aus den Ports mit den default Einstellungen + ADS und ACl_Support kompilieren. Kein Kerberos-Client extra installieren. Damit hätten wir dann eine identische Ausgangsbasis. Ich weiß nicht ob ich es erwähnt habe, aber die Linux-Binaries habe ich auch nicht installiert.

Eins habe ich bis jetzt leider vergessen, den ACL_Support. Damit Du den nutzen kannst musst Du Deine Partition die Du für Deine Samba-Shares angelegt hast(Du hast doch eine extra Partition oder ?) unmounten und dann : tunefs -a enable /dev/Deine-Samba-Partition -> enter.
Dann die Samba-Partition einfach mounten. Mit 'mount' kannst Du dann sehen das acl aktiv ist.

OK jetzt werde ich noch den Windows 2003 Enterprise Server aufsetzen und mal testen. Bin mir sehr sicher das FreeBSD mit dem auch geht. Ich werde bei diesem Server auch alle Patches, Sicherheits-Updates und den Service-Pack 1 installieren,
damit die Ausgangsbasis so ähnlich wie möglich zu dem SBS ist. Auf dem Win2k habe ich nur Service-Pack-4 installiert, da die Server-Software nur zum testen geliehen ist.

Bis denne.

snaketown

 

[greg]

@snaketown

nochmals vielen dank für deine bemühungen! ich werde morgen nochmal alles bei mir daheim neu aufsetzen und ausprobieren.

ich muss sagen, dass ich die freebsd installation schon ein wenig modifiziert habe. ich habe diverse features in den kernel einkompiliert, z.b. für den betrieb von ipfw usw.
Vielleicht ging da irgendwas in die hose. anyway...ich melde mich eventuell schon morgen wieder mit hoffentlich guten neuigkeiten .

schöne feiertage

greg

 

[snaketown]

@greg
Ich hoffe Du hattest einen schoenen Heiligenabend, bei mir war es sehr nett und stresslos.

Das einzige was vielleicht Probleme machen koennte waere wohl IPFW, wenn Du sie falsch konfiguriert hast (Zugriff auf den FreeBSD-Samba verboten, Port 137 und 139). Am besten mal abschalten und testen.
Mit dem 2003-Enterprise-Server hatte ich auch keine Probleme. Alle Patches/Updates und SP1 sind installiert, laeuft bis jetzt problemlos. Ich werde aber noch ein bischen "rumspielen", da es mit dem SBS auch mal ging.

Wir hoeren uns.

snaketown

 

[greg]

hi snaketown,

ja, weihnachten war ganz ok, dummerweise hatte ein verwandter "rein zufällig" sein
virenverseuchtes laptop dabei. ich sag nur dial in verbindung via isdn + windows xp home ohne updates, und dann der spruch: "aber ich bin nur einmal kurz online gewesen" ARGH! Ich hätt ihm beinah den kopf abgebissen!

naja, ich sitze also schon seit heut mittag vor dem teil und mittlerweile geht es wieder, auch ohne neuinstallation, da es sich um son gebrauchtes noname produkt
handelt ohne recovery cd´s usw. ich benutze dieses schrottige dingens gerade um diesen post zu schreiben...

morgen setze ich wie geplant nen 2000er domain controller auf und ein frischgebackenes freebsd rel. 6.0. ich hoffe alles wird so klaglos gehen wie bei dir. in der firma muss ich aber dennoch auf suse 9.2 umsatteln. wollen die abteilungsleiter so, da die backupsoftware speziell auf suse angepasst ist.

ich meld mich wieder, bis dahin noch erholsame und besinnliche feiertage!

greg

 

[greg]

hi snaketown,

endlich mal eine erfolgsmeldung. habe testweise einen w2k server aufgesetzt, als domain controller heraufgestuft und siehe da, ohne weitere zwischenfälle konnte ich mich nach manuellem generieren einer krb5.conf unter /etc der domäne anschließen.

da ich genauso vorgegangen bin wie in der arbeit, komme ich zu dem schluss, dass die domäne dort in irgendeiner weise verändert worden ist. jedenfalls ist es mir nicht gelungen die domäne dort zu konnektieren. die erwähnte fehlermeldung
"password incorrect" (obwohl das passwort natürlich richtig war) sorgte bei mir für große verzweiflung.

ich gehe der sache weiter auf dem grund und melde mich so bald als möglich.

bis dann
greg

 

[snaketown]

Hi greg,
ich drücke Dir die Daumen.
Vielleicht hast Du ja mit Suse 9.2 mehr erfolg.
Hast Du bei Deinem "neuen" DC auch den Administrator-Account gelöscht wie bei Euch in der Firma ?
Teste mal was dann passiert( nicht vergessen einen User mit Administratorrechten einzurichten). Ich hatte nur einen zusätzlichen User erstellt der zu der Gruppe Administratoren gehörte, den Admin hatte ich nicht entfernt.

gruss
snaketown

 

[greg]

hallo, hier bin ich wieder... also. ich muss an dieser stelle zusammenfassend berichten, das kerberos V nahtlos in freebsd rel. 6 implementiert ist. zur konfiguration braucht man also lediglich manuell eine krb5.conf unter /etc erstellen mit den optionen die snaketown mehrmals erwähnt hatte.

ansonsten kann ich dieses howto hier empfehlen: http://www.pro-linux.de/work/server/samba3-domaene.html
die integration von samba 3.x als member server in eine windows 2k(3) domäne ist somit überhaupt kein problem mehr. das praktische an der ganzen sache ist, das man die verzeichnisse unter dem samba server ganz easy für windows benutzer oder gruppen freigeben kann und das mit unix spezifischen filesystem parametern, also "rwx".

in der arbeit habe ich jetzt nur noch das problem mit dem besagten "password incorrect" fehler.
darüber werde ich allerdings auch noch berichten, sowie ich eine lösung / ursache gefunden habe.

@snaketown

das administrator - konto ist ja "bultin" und somit nicht entfernbar. nachdem ich es unbenannt hatte, konnte ich mich immer noch mit jedem beliebigen privilegierten user authentifizieren. daran kann es also nicht liegen, dass die admins bei mir in der arbeit am administratorkonto herumgepfuscht haben. ich vermute, dass entweder meine fbsd installation unbrauchbar ist, oder die domäne mit kerberos 4 / mixed mode oder sich in einem sonstig unbrauchbaren zustand befindet. ich poste wieder, sowie ich der sache auf den zahn gefühlt habe.

so long
greg

ps: einen guten Rutsch ins neue Jahr!!!!

 

[greg]

so, wie schon mehrmals erwähnt war es mir unter freebsd rel. 6 nicht gegönnt einer windows 2000 domäne beizutreten. es scheiterte bereits an der kerberos authentifizierung mittels kinit.
wobei ich dazu sagen muss, dass kerberos 5 nahtlos unter fbsd 6 implementiert ist.

wie dem auch sei, brauchte ich bis heute einen funktionierenden samba server als mitglied in einer windows domäne. ich habe es nach anfänglichen schwierigkeiten schlussendlich mit opensuse 10.0 berwerkstelligt.

neben einer minimalen ftp installation habe ich zusätzlich nur die pakete

winbind
samba
samba-client
kerberos

installiert. über yast lässt sich kerberos sehr einfach konfigurieren. yast mag vielleicht "gay" sein, aber man kann eigentlich keinen fehler machen. bei suse sollte man eh vorsichtig sein, da man nie weis ob irgendwelche parameter in irgendwelchen sysconfig dateien angepasst werden müssen. yast erledigt das quasi von selbst.

sollte jemand probleme mit der thematik haben, so möge er hier bescheid geben. neben diversen ratschlägen habe ich auch mehrere dutzend bookmarks gesammelt...

bis dahin

greg

 

[snaketown]

@greg
Schade das es bei Dir auch nicht geklappt hat und Du auch auf Linux ausweichen musstest.
OpenSuse habe ich mir auch schon angeschaut, gefiehl mir etwas besser als Suse 8.0 - 9.3. Yast/ Suse finde ich eh etwas "eigenwillig". Na egal hauptsache der Samba läuft.

Mein Debian-Samba in der Firma ist letzte Woche abgeschmiert ! Da fast alle Urlaub hatten war es nicht so tragisch, aber schon seltsam, mir ist noch nie ein Linux-Rechner abgeschmiert. Heute ist der Debian-Samba von unseren Linux Software-Entwicklern abgeschmiert ! Das Problem bei mir war anscheinend zu wenig Arbeitsspeicher, er hat nur 1GB, deswegen wurden Winbindd, der Nmbd, der Smbd und der Portmapper vom Kernel gekillt! Da der Samba weder Monitor noch Tastatur hat und ich über SSH nicht mehr reinkam musste ich ihn schweren Herzens ausschalten.
Seit dem schickt der Samba die System-Mails nicht mehr an meinen Email-Account auf dem Exchange, das aliasing klappt nicht mehr. Im moment ist Inventur und alle müssen mit ran, wenn wieder Luft ist werde ich die Kiste erstmal genau untersuchen. Hoffentlich macht er nicht wieder schlapp.

Na gut Greg, ich hoffe Dein Samba hält durch. Wäre nett wenn Du in 2-3 Wochen hier nochmal Deine Erfahrungen postest.

Danke und bis denne.

snaketown