[linux-l] samba als domain Member in einer Active Domain

Peter Ross Peter.Ross at alumni.tu-berlin.de
Di Mai 4 07:08:53 CEST 2004 

Hallo,

ich habe bereits letzte Woche erfolglos versucht, samba 3.0 als Domain
Member in eine "reine" Active Directory-Umgebung einzupassen. Das Ziel ist
es, einen Fileserver anzubieten, waehrend die Passwortvalidierung beim
Windows-Domain-Server erfolgt.

Es handelt sich um Red Hat AS 3.0 PowerPC, was es etwas schwieriger macht
- es gibt fuer PowerPC nicht so brandaktuelle Pakete, z.B. ist Kerberos V
auf dem Stande 1.2.7. Ich bin versucht, selbstkompilierte Updates
einzupflegen, zoegere aber, da es etwas umstaendlich ist und ich nicht
weiss, ob ich auf dem richtigen Wege bin.

Leider verweisen verschiedene Dokumente auf nicht vorhandene "Advanced
Topics" und "NOTES":-(

Zunaechst ein paar Grundsatzfragen:

Ein Windows 2000 Server verwendet Kerberos 5 und kein NTLM? Wie kann ich
die verwendeten Passwortmethoden auf der Windose verifizieren?

Brauche ich winbindd? (Bis jetzt nahm ich es an, aber die Manpage erwaehnt
immer nur "Windows NT" und ich weiss nicht, ob damit das alte
Domainenkonzept gemeint ist)

Brauche ich nsswitch.conf-Eintraege "winbind" (ich will die Nutzer
eigentlich nur zum Samba-Fileserver-Access und nichts weiter)?

Oder reicht ein Eintrag in /etc/pam.d/samba
(/lib/security/pam_winbind.so)?

Was tut der Default-Eintrag /lib/security/pam_smb_auth.so?

Die Sache ist die, dass Samba laeuft, testparm befindet die smb.conf fuer
OK, , Kerberos scheint zu funktionieren (kinit geht, "net ads join"
ebenfalls, "klist -5" zeigt Tickets) und winbindd ebenfalls ("wbinfo -u"
zeigt Nutzer, wenn ich winbind in nsswitch.conf eintrage, auch "getent
passwd")

Trotzdem liefert

1. ohne laufendem winbindd

a) > smbclient //server/valid_share -U valid_user --kerberos
   session setup failed: NT_STATUS_LOGON_FAILURE

b) ohne "--kerberos" fragt es nach einem Passwort, gibt dann aber den
   gleichen Fehler.

c) waehrend von Win 2000 ein "net use * \\server\valid_share"
   nach dem Passwort fragt und dann sagt:
   Logon failure: unknown user name or bad password

2. mit laufendem winbindd:

a) wie unter 1
b) nach Passworteingabe:
   session setup failed: Call timed out: server did  not respond after
   20000 milliseconds
c) Ewiges Warten, schliesslich
   System error 64 has occurred.
   The specified network name is no longer available.

Da, wenn ich winbind in die nsswitch.conf eintrage, sich am Verhalten
gegenueber 2. gar nichts aendert, vermute ich, dass das fuer Samba
unnoetig ist.

Und ueberhaupt vermute ich, dass ich winbind fuer einrn betrieb in einer
Active Domain nicht benoetige.

Kann jemand die Aussagen bestaetigen oder widerlegen? Bin fuer alle Tips
dankbar.

Es gruesst
Peter

Mehr Informationen über die Mailingliste linux-l