Die Linux-Anwender haben bisher ne lokale /etc/passwd (neben dem gleichnamigen Windows-Konto), d.h. kein NIS.
d.h. nur Linux-Clients?
Bevor ich hier NIS einführe, hat mir jemand gesteckt, dass geht auch mit Active Directory "services for unix" (oder so)
Weniger mit SFU, sondern normal mit nem aktuellen Samba das die Auth gegen ADS führt!
Doc, HowTo ausreichend im samba-manual! Im Board wurde das Thema auch schon einige Male angesprochen.
Außerdem lesenswert:
-> http://www.gruppenrichtlinien.de/ind...MB_Signing.htm
Die Linux-User-IDs sollten aber möglichst gleich bleiben, sonst müssen die auf über 10 Server geändert werden.
Wieso? Was hat die UID mit den Servern zu tun?
Btw. eigentlich kommst du auch ohne lokale IDs aus. Du willst ja auf ADS zugreifen un dann werden via winbind die UIDs+GIDs gemapped!
Du brauchst kein Unix Services for Windows (auch nicht zwingend SAMBA!). Mit der Windows Server 2003 R2 Schemaerweiterung kann man (wird auch) ein 2003 DC als Master NIS Server definiert.
dem Thema habe ich mich vor ein paar Tagen auf zugewendet und vor ca. 1 Stunde hinbekommen. Was Du brauchst ist
- Samba (ich in der Version 3.0.20)
- Kerberos (ist bei Redhat normalerweise standardmäßig dabei)
- PAM (ist bei Redhat normalerweise standardmäßig dabei)
als erstes:
Samba herunterladen und am besten kompilieren. Folgende Syntax (im /source-Verzeichnis des Binary-Verzeichnis des heruntergeladenen Samba):
./configure --with-ads --with-pam --> wenn Du noch ACL´s und User-Quotas haben willst, noch --with-acl-support --with-quotas mitgeben)
make
make install
--> Samba wird in /usr/local/samba installiert
danach:
/usr/local/samba/lib/smb.conf anpassen
(hier meine aktuelle... kann aber bei belieben angepasst werden:
[global]
unix charset = ISO8859-1
display charset = ISO8859-1
workgroup = [hier der Name der Domäne]
realm = [DNS-REALM]
netbios name = [Netbios-Name des lokalen Servers]
server string = [Beschreibung des Servers]
security = ADS
password server = [DC deiner Domäne]
log level = 2
log file = /var/log/samba/%m.log
max log size = 50
keepalive = 0
ldap ssl = no
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind separator = +
winbind use default domain = yes
winbind enum users = no
winbind enum groups = no
inherit permissions = Yes
inherit acls = Yes
use sendfile = No
smb ports = 139
template shell = /bin/bash
hierbei habe ich mich auch auf Neuland bewegt. Inzwischen bin ich soweit durchgestiegen, dass unter /etc/pam.d/ Dateien vorhanden sind, welche nach den Diensten benamt sind, auf die PAM reagieren soll. Also wenn Du per SSH dich auf die Linux-Maschinen verbinden willst, nimmst du die Datei "sshd" (das ist der Dienstname von SSH unter Linux --> ps -ef | grep ssh). Dort trägst Du folgende Zeilen ZUSÄTZLICH(!!) am Anfang der Datei ein: (ACHTUNG: Wenn Du hier einen Fehler machst, kann es sein, dass Du Dich und auch kein anderer mehr einloggen kannst!! also SICHERHEITSKOPIE der Datei!!!!!)
Sichere die Dateien /lib/security/pam_winbind.so . Danach kopiere die gleiche Datei aus dem Binary-Verzeichnis deiner Samba-Version unter source/nsswitch in /lib/security
danach:
passe die Datei /etc/nsswitch.conf folgendermaßen an:
passwd: files winbind
group: files winbind
danach:
füge die Linux-Maschine in die Domäne ein:
/usr/local/samba/bin/net ads join -U Administrator --> Passwort des Domänen-Admins
nun ist die Linux-Kiste in der ADS-Domäne integriert (Maschinenkonto wurde erzeugt)
danach:
starte den winbind-Daemon:
nohup /usr/local/samba/sbin/winbindd &
danach:
Teste die Verbindung mit:
/usr/local/samba/bin/wbinfo -u --> User der Domäne sollten angezeigt werden
/usr/local/samba/bin/wbinfo -g --> Gruppen der Domäne sollten angezeigt werden
getent passwd --> zuerst lokale passwd und dann User der Domäne werden angezeigt
Nun sollte es eigentlich funktionieren.... bei Problemen (welche erfahrungsgemäß mit hoher Wahrscheinlichkeit auftreten, einfach fragen)
Ziemlich alle, dort Enterprise, dort uralt-Fedora, ... SuSE auch irgendwo
Zitat von Velius
Mit der Windows Server 2003 R2 Schemaerweiterung kann man (wird auch) ein 2003 DC als Master NIS Server definiert.
Wir haben aber "nur" 2003 Standard Edition. Ist das "R2" ein freies Update? Vorgabe der GL: keine Invests in MS.
Zitat von overlord
d.h. nur Linux-Clients?
Nein, auch Server.
Zitat von overlord
Wieso? Was hat die UID mit den Servern zu tun?
Datei xxx.tar auf Server A1 gehört Benutzer 555.
Benutzer 555 soll immer Mayer sein, Benutzer 444 immer Schmidt, ....[/QUOTE]
Zitat von WolverineJR
dem Thema habe ich mich vor ein paar Tagen auf zugewendet und vor ca. 1 Stunde hinbekommen. Was Du brauchst ist
- Samba (ich in der Version 3.0.20)
- Kerberos (ist bei Redhat normalerweise standardmäßig dabei)
- PAM (ist bei Redhat normalerweise standardmäßig dabei)
Mal schauen, hab gerade keine freie Maschine zum testen.
