SAMBA PDC mit openldap

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

Hinweis: In dem Thema SAMBA PDC mit openldap gibt es 2 Antworten. Der letzte Beitrag () befindet sich ganz unten auf dieser Seite.
  • SAMBA PDC mit openldap

    Hi,
    bin neu hier und habe ein
    Problem, aber das ist wohl logisch.

    OpenSuSE 13.1 als SAMBA-PDC
    mit openLdap-Backend. Alles aus den original Repos. Klappt fast
    alles, bis auf den Beitritt von Windows-Clients zur Domaine, also
    auch keine shared-Profiles. Ich kann auf dem Win-PC die Shares des
    SAMBA-Server nutzen, die User- und Gruppenrechte werden auch übernommen.


    Quellcode

    1. [global]
    2. workgroup = BIH
    3. name resolve order = bcast host
    4. lmhosts wins
    5. dns forwarder = xxx.xxx.xxx.xxx
    6. log file =
    7. /var/log/samba/log.%m
    8. max log size = 50
    9. debug level = 10
    10. debug pid = Yes
    11. bind interfaces only = yes
    12. passdb backend =
    13. ldapsam:ldap://gen.hhi.hamburg.de
    14. printing = cups
    15. printcap name = cups
    16. printcap cache time = 750
    17. cups options = raw
    18. map to guest = Bad User
    19. logon path = \\%L\profiles\.msprofile
    20. logon home = \\%L\%U\.9xprofile
    21. logon drive = P:
    22. usershare allow guests = Yes
    23. add machine script = /sbin/yast /usr/share/YaST2/data/add_machine.rb %m$
    24. domain logons = Yes
    25. domain master = Yes
    26. ldap group suffix = ou=Groups
    27. ldap idmap suffix = ou=Idmap
    28. ldap machine suffix = ou=Machines
    29. ldap passwd sync = Yes
    30. ldap user suffix = ou=Users
    31. local master = Yes
    32. os level = 65
    33. preferred master = Yes
    34. security = user
    35. usershare max shares = 100
    36. wins support = Yes
    37. idmap backend =
    38. ldap:ldap://gen.hhi.hamburg.de
    39. ldap suffix = dc=hhi,dc=hamburg,dc=de
    40. ldap admin dn =cn=Adm,dc=hhi,dc=hamburg,dc=de
    41. [homes]
    42. comment = Home Directories
    43. valid users = %S, %D%w%S
    44. browseable = No
    45. read only = No
    46. inherit acls = Yes
    47. [profiles]
    48. comment = Network Profiles
    49. Service
    50. path = %H
    51. read only = No
    52. store dos attributes = Yes
    53. create mask = 0600
    54. directory mask = 0700
    55. [users]
    56. comment = All users
    57. path = /home
    58. read only = No
    59. inherit acls = Yes
    60. veto files = /aquota.user/groups/shares/
    61. [groups]
    62. comment = All groups
    63. path = /home/groups
    64. read only = No
    65. inherit acls = Yes
    66. ...
    67. [netlogon]
    68. comment = Network Logon Service
    69. path = /var/lib/samba/netlogon
    70. write list = root
    71. [public]
    72. comment = public samba folder
    73. guest ok = Yes
    74. inherit acls = Yes
    75. path = /home/samba/public
    76. read only = Yes
    Alles anzeigen


    Kommunikation zwischen PDC und
    Laps-Server klappt. Sambapassworte der User werden richtig genutzt.
    Wireshark zeigt, das alle Beteiligten mit einander sprechen.

    Maschinen_konto als Ldif von alten
    Samba 3 Server eingespielt, da smbladp nicht mehr im Repo ist. Das
    hat wohl einen Grund. Adduser legt Maschinen-Kontos nur in passwd an,
    nicht im ldap.




    Quellcode

    1. # bremen$, Machines,hhi.hamburg.de
    2. dn: uid=bremen$,ou=Machines,dc=hhi,dc=hamburg,dc=de
    3. sambaLMPassword: XXXXXXXXXXXXXXXXXX
    4. sambaPrimaryGroupSID: S-1-5-21-XXXXXXXXXXXXXXXX-1201
    5. givenName: bremen
    6. objectClass: top
    7. objectClass: posixAccount
    8. objectClass: inetOrgPerson
    9. objectClass: sambaSamAccount
    10. userPassword:: XXXXXXXXXXXXXXXXXXXXX
    11. uid: bremen$
    12. uidNumber: 1002
    13. cn: bremen
    Alles anzeigen













    Beim Beitritt zur Domaine, kommt erst
    die Windows-Meldung: Host existiert schon. Beim zweiten Versuch folgt
    dann die Meldung: Kommunikation mit Domain-Server nicht möglich.

    Wireshark zeigt, das alle Beteiligten
    miteinander sprechen.

    In /var/log/samba/log.bremen endet
    alles mit:


    Quellcode

    1. [2014/06/13 16:12:30.005919, 10, pid=48495, effective(0, 0), real(0, 0)] ../source3/smbd/smb2_server.c:2499(smbd_smb2_request_done_ex)
    2. smbd_smb2_request_done_ex: idx[1] status[NT_STATUS_OK] body[4] dyn[no:0] at ../source3/smbd/smb2_sesssetup.c:793
    3. [2014/06/13 16:12:30.005955, 10, pid=48495, effective(0, 0), real(0, 0)] ../source3/smbd/smb2_server.c:874(smb2_set_operation_credit)
    4. smb2_set_operation_credit: requested 1, charge 1, granted 1, current possible/max 482/512, total granted/max/low/range 31/8192/41/31
    5. [2014/06/13 16:12:30.006589, 10, pid=48495, effective(0, 0), real(0, 0)] ../source3/smbd/smb2_server.c:1002(smbd_server_connection_terminate_ex)
    6. smbd_server_connection_terminate_ex: reason[NT_STATUS_CONNECTION_RESET] at ../source3/smbd/smb2_server.c:3293
    7. [2014/06/13 16:12:30.006660, 4, pid=48495, effective(0, 0), real(0, 0)] ../source3/smbd/sec_ctx.c:316(set_sec_ctx)
    8. setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
    9. [2014/06/13 16:12:30.006694, 5, pid=48495, effective(0, 0), real(0, 0)] ../libcli/security/security_token.c:53(security_token_debug)
    10. Security token: (NULL)
    11. [2014/06/13 16:12:30.006723, 5, pid=48495, effective(0, 0), real(0, 0)] ../source3/auth/token_util.c:528(debug_unix_user_token)
    12. UNIX token of user 0
    13. Primary group is 0 and contains 0 supplementary groups
    14. [2014/06/13 16:12:30.006774, 5, pid=48495, effective(0, 0), real(0, 0)] ../source3/smbd/uid.c:425(smbd_change_to_root_user)
    15. change_to_root_user: now uid=(0,0) gid=(0,0)
    16. [2014/06/13 16:12:30.006812, 4, pid=48495, effective(0, 0), real(0, 0)] ../source3/smbd/sec_ctx.c:316(set_sec_ctx)
    17. setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
    18. [2014/06/13 16:12:30.006842, 5, pid=48495, effective(0, 0), real(0, 0)] ../libcli/security/security_token.c:53(security_token_debug)
    19. Security token: (NULL)
    20. [2014/06/13 16:12:30.006870, 5, pid=48495, effective(0, 0), real(0, 0)] ../source3/auth/token_util.c:528(debug_unix_user_token)
    21. UNIX token of user 0
    22. Primary group is 0 and contains 0 supplementary groups
    23. [2014/06/13 16:12:30.006913, 5, pid=48495, effective(0, 0), real(0, 0)] ../source3/smbd/uid.c:425(smbd_change_to_root_user)
    24. change_to_root_user: now uid=(0,0) gid=(0,0)
    25. [2014/06/13 16:12:30.006953, 5, pid=48495, effective(0, 0), real(0, 0)] ../source3/lib/messages.c:340(messaging_deregister)
    26. Deregistering messaging pointer for type 1536 - private_data=0x7f5a2f0fdc30
    27. [2014/06/13 16:12:30.007051, 3, pid=48495, effective(0, 0), real(0, 0)] ../source3/smbd/server_exit.c:212(exit_server_common)
    28. Server exit (NT_STATUS_CONNECTION_RESET)
    Alles anzeigen



    Der sagt einfach tschüs.




    Leider finde ich im Netz keinen Bericht, dass es irgendwo geklappt hat, SAMBA 4 mit openldap-backend
    als PDC mit WINDOWS-CLIENTS und Roaming-Profiles zu nutzen.

    Hat das schon einer geschafft? Wenn ja,wie?


    Hilfe wäre super.

    Für den Inhalt des Beitrages 70249 haftet ausdrücklich der jeweilige Autor: nowin

  • Zuerst:
    Ich habe keine Ahnung von samba oder ldap.

    Habe nur im Netz etwas gesucht, was Dir möglicherweise helfen könnte:
    Make sure you fully understand what you want and what is possible.

    If you want to run Samba4 as a WinNT-compatible DC you can use OpenLDAP as
    backend (ldapsam) just like with Samba3.

    If you want to run Samba as a full-fledged AD-compatible DC you have to use
    Samba4's internal LDAP server.

    openldap.org/lists/openldap-technical/201308/msg00272.html
    Links in dieser Signatur bitte zum Lesen anklicken!

    Code-Tags <<<Klick mich
    zypper <<<Klick mich
    Netzwerkprobleme <<<Klick mich

    Für den Inhalt des Beitrages 70250 haftet ausdrücklich der jeweilige Autor: Sauerland

  • Hi und willkommen :)
    Maschinen_konto als Ldif von alten

    Samba 3 Server eingespielt, da smbladp nicht mehr im Repo ist. Das

    hat wohl einen Grund. Adduser legt Maschinen-Kontos nur in passwd an,

    nicht im ldap.

    Auf dem Windows-DC hatte ich immer Problemme Domain beizutretten, falls das PC-Konto von diesem Rechner schon im DC existiert (z.B. nach der Neuinstallation vom Windows).

    Normallerweise werden die Rechnerkonten automatisch beim Beitretten erstellt.

    Könntest Du alle importierte Rechner-Kontos wieder entfernen und nochmal das versuchen?

    Für den Inhalt des Beitrages 70254 haftet ausdrücklich der jeweilige Autor: toxa