[linux-l] samba als domain Member in einer Active Domain
Guenther Frick
gfrick at gmx.net
Di Mai 4 23:56:37 CEST 2004
Peter Ross wrote:
> Hallo,
>
> ich habe bereits letzte Woche erfolglos versucht, samba 3.0 als Domain
> Member in eine "reine" Active Directory-Umgebung einzupassen. Das Ziel ist
> es, einen Fileserver anzubieten, waehrend die Passwortvalidierung beim
> Windows-Domain-Server erfolgt.
>
> Es handelt sich um Red Hat AS 3.0 PowerPC, was es etwas schwieriger macht
> - es gibt fuer PowerPC nicht so brandaktuelle Pakete, z.B. ist Kerberos V
> auf dem Stande 1.2.7. Ich bin versucht, selbstkompilierte Updates
> einzupflegen, zoegere aber, da es etwas umstaendlich ist und ich nicht
> weiss, ob ich auf dem richtigen Wege bin.
>
> Leider verweisen verschiedene Dokumente auf nicht vorhandene "Advanced
> Topics" und "NOTES":-(
>
> Zunaechst ein paar Grundsatzfragen:
>
> Ein Windows 2000 Server verwendet Kerberos 5 und kein NTLM? Wie kann ich
> die verwendeten Passwortmethoden auf der Windose verifizieren?
>
> Brauche ich winbindd? (Bis jetzt nahm ich es an, aber die Manpage erwaehnt
> immer nur "Windows NT" und ich weiss nicht, ob damit das alte
> Domainenkonzept gemeint ist)
>
> Brauche ich nsswitch.conf-Eintraege "winbind" (ich will die Nutzer
> eigentlich nur zum Samba-Fileserver-Access und nichts weiter)?
>
> Oder reicht ein Eintrag in /etc/pam.d/samba
> (/lib/security/pam_winbind.so)?
>
> Was tut der Default-Eintrag /lib/security/pam_smb_auth.so?
>
> Die Sache ist die, dass Samba laeuft, testparm befindet die smb.conf fuer
> OK, , Kerberos scheint zu funktionieren (kinit geht, "net ads join"
> ebenfalls, "klist -5" zeigt Tickets) und winbindd ebenfalls ("wbinfo -u"
> zeigt Nutzer, wenn ich winbind in nsswitch.conf eintrage, auch "getent
> passwd")
>
> Trotzdem liefert
>
> 1. ohne laufendem winbindd
>
> a) > smbclient //server/valid_share -U valid_user --kerberos
> session setup failed: NT_STATUS_LOGON_FAILURE
>
> b) ohne "--kerberos" fragt es nach einem Passwort, gibt dann aber den
> gleichen Fehler.
>
> c) waehrend von Win 2000 ein "net use * \\server\valid_share"
> nach dem Passwort fragt und dann sagt:
> Logon failure: unknown user name or bad password
>
> 2. mit laufendem winbindd:
>
> a) wie unter 1
> b) nach Passworteingabe:
> session setup failed: Call timed out: server did not respond after
> 20000 milliseconds
> c) Ewiges Warten, schliesslich
> System error 64 has occurred.
> The specified network name is no longer available.
>
> Da, wenn ich winbind in die nsswitch.conf eintrage, sich am Verhalten
> gegenueber 2. gar nichts aendert, vermute ich, dass das fuer Samba
> unnoetig ist.
>
> Und ueberhaupt vermute ich, dass ich winbind fuer einrn betrieb in einer
> Active Domain nicht benoetige.
>
> Kann jemand die Aussagen bestaetigen oder widerlegen? Bin fuer alle Tips
> dankbar.
>
> Es gruesst
> Peter
Samba arbeitet zur Zeit nur in Mixed-Mode Domains. Siehe Samba Howto
Collection. Versuche zwecklos. Kommt vieleicht in Samba 4.
Mehr Informationen über die Mailingliste linux-l