staging.inyokaproject.org

Das Howto ist IMHO fertig.

Konstruktive Kritik ist stets wilkommen.

Hallo Bournless,

• Thema dieses Artikels ist IMO "Hinzufügen eines Ubuntu-Desktop-Clients zu einem Samba-AD mittels SSSD"

• Zeitserver: Wichtig ist, dass die Clients mit dem AD-Server zeitlich synchron sind. Da auch das Internet mal ausfallen kann, ist es IMO schon sinnvoll im Subnetz des AD-Servers einen vom Internet "unabhängigen" Zeitserver zu haben, der auch noch erreichbar ist, wenn das Internet mal ausfällt. Der muss nicht unbedingt auf dem AD-Server laufen, auf manchen Routern läuft ein solcher ja auch bereits. Es ist aber schon sinnvoll, den lokalen Zeitserver auf den Clients einzutragen. Jedenfalls sollte man da mal mindestens darauf hinweisen, zumal Du den Artikel ja auch explizit an das HowTo anlehnst. Und dort wird ja ein Zeitserver auf dem AD eingerichtet. Dann sollte man den auch auf den Clients eintragen. Es ist zudem auch denkbar, dass der Zeitserver auf dem AD-Server (temporär) nicht mehr mit einem NTP im Internet synchronisiert, die Clients dann aber schon, wenn sie "am Server vorbei" NTP selbständig über das Internet beziehen. Damit könnte es dann auch zu Zeitabweichungen zum Server kommen.

• Ich müsste es noch mal untersuchen, aber ich meine, dass das manuelle Setzen des DNS im Live-System bei mir nicht (immer) auch zu einem statischen DNS-Eintrag im installierten System führt. D.h. die Installation einschließlich des Hinzufügens zum AD funktioniert, aber nach einem Neustart und Booten des frisch installierten Ubuntus, ist der DNS-Server erst mal wieder auf automatisch per DHCP und damit unter Umständen dann falsch. Ich weiß, dass ich solche Fälle schon hatte, ob sie die Regel sind, weiß ich aber nicht. Funktioniert das bei Dir immer so, wie im Artikel beschrieben?

• Die GptTmpl.inf fehlt auf dem AD-Server nicht, sondern sie wird fälschlicherweise von SSSD auf dem Server vorausgesetzt. Windows-Clients hängen vom Vorhandensein dieser Datei auf dem Server z.B. nicht ab und wenn man einen Ubuntu-Desktop per winbind anbindet, braucht es die Datei auf dem Server auch nicht. Deshalb ist der primäre Workaround, ad_gpo_access_control = permissive in der /etc/sssd/sssd.conf zu setzen. Hast Du bezüglich des Workarounds beim Erstellen der leeren GptTmpl.inf auf dem Server auch mal untersucht, wie sich das z.B. auf Windows-Clients auswirkt oder auch die weitere Bearbeitung von GPOs mittels GPO-Edit? Ich finde es auch nicht unbedingt sauber konfiguriert, wenn man auf dem Server ein Workaround setzt, der dann unter Umständen auf alle Clients Auswirkungen hat, gleichzeitig aber nur für bestimmte Clients - nämlich solche mit SSSD - tatsächlich "notwendig" ist. Jedenfalls sollte man auch da wenigstens darauf hinweisen. Du solltest hier auch schon auf die entsprechenden BUG-Meldungen verlinken.

• Ist es tatsächlich so, dass es bei einem Ubuntu-Client < 20.04.4 zusätzlich zum Erstellen der GptTmpl.inf dann noch das Setzen der Option ad_gpo_access_control = permissive in der /etc/sssd/sssd.conf braucht? Weil Sinn ergibt das ja nicht.

LG, Newubunti

Hallo Newubunti,

vielen Dank für deine Hinweise und Anmerkungen.

• zu Punkt 1: Thema des Artikels

Ja, das ist soweit richtig - aber eben nicht nur! Die Hinweise auf die Alternativen zu RSAT (Samba-Tool und PowerShell als Snap) sind meiner Meinung nach nicht minder wichtig. Den Titel des Artikels habe ich extra so gewählt, damit er (nach der Veröffentlichung) direkt unter deinem Howto gelistet wird, damit ihn künftige Lesern leichter finden. Wenn Dir das aber aus persönlichen Gründen nicht zusagt, kann der Titel meines Howtos gerne noch umbenannt werden.

• zu Punkt 2: Zeitserver

Ich kann deiner Argumentation zwar nicht zu 100% folgen, werde aber dennoch einen Link zu timesyncd einbauen.

Zu Punkt 4:

Die GptTmpl.inf fehlt auf dem AD-Server nicht, sondern sie wird fälschlicherweise von SSSD auf dem Server vorausgesetzt.

Somit fehlt sie, wenn man einen neuen Ubuntu-Desktop-PC (ab 20.04.4) schon bei der Installation ins AD bringen möchte und man sich nach Abschluss der Installation inkl. Reboot sofort mit einen AD-Benutzerkonto anmelden möchte.

Ich finde es auch nicht unbedingt sauber konfiguriert, wenn man auf dem Server ein Workaround setzt, der dann unter Umständen auf alle Clients Auswirkungen hat, gleichzeitig aber nur für bestimmte Clients - nämlich solche mit SSSD - tatsächlich "notwendig" ist.

Da es die Windows Clients eh nicht stört, bleibt nur zu ergründen, ob winbind damit Probleme bekommen könnte! 1. Ich denke zwar nicht und 2. können auch Serverversionen SSSD benutzen. 😉

Evtuell ändert sich das ja noch mal, wenn Ubuntu die künftigen Versionen mit SSSD in der Version 2.7 ausliefert.

• Zu Punkt 5: Ubuntu-Client < 20.04.4 zusätzlich zum Erstellen der GptTmpl.inf dann noch...

Ja, es ist wirklich so. Ich habe es heute extra erneut gestestet. Eine Erklärung dafür kann ich nicht nennen - nur den Workaround. Bitte gegentesten, falls Du mal Zeit dafür hast.

Zum Punkt 3 kann ich heute leider noch keine umfassende Antwort liefern, da mir in dem Zuhammenhang (DHCP-Server und Ubuntu <20.04.4) noch andere Sachen aufgefallen sind.

Gruß
Bournless

Bournless schrieb:

Den Titel des Artikels habe ich extra so gewählt, damit er (nach der Veröffentlichung) direkt unter deinem Howto gelistet wird, damit ihn künftige Lesern leichter finden. Wenn Dir das aber aus persönlichen Gründen nicht zusagt, kann der Titel meines Howtos gerne noch umbenannt werden.

Der Artikel kann auch unterhalb oder neben dem anderen Artikel gelistet werden - und davon abgesehen auch verlinkt werden - wenn er ein konkretes Thema verfolgt und einen entsprechenden Titel erhält. Das wäre auch Suchmaschinen-freundlicher. Als Suchender suche ich in der Regel nach mehr oder weniger konkreten Themen und selten einfach nur nach "Tipps"

• zu Punkt 2: Zeitserver

Ich kann deiner Argumentation zwar nicht zu 100% folgen,

Weil?

Zu Punkt 4:

Die GptTmpl.inf fehlt auf dem AD-Server nicht, sondern sie wird fälschlicherweise von SSSD auf dem Server vorausgesetzt.

Somit fehlt sie, wenn man einen neuen Ubuntu-Desktop-PC (ab 20.04.4) schon bei der Installation ins AD bringen möchte und man sich nach Abschluss der Installation inkl. Reboot sofort mit einen AD-Benutzerkonto anmelden möchte.

Es geht mir darum darauf einzugehen, dass die aufgezeigte Problemlösung damit an eine Stelle verlagert wird, wo sie gar nicht verursacht wird. Das geht aus der jetzigen Formulierung nicht ausreichend hervor.

Ich finde es auch nicht unbedingt sauber konfiguriert, wenn man auf dem Server ein Workaround setzt, der dann unter Umständen auf alle Clients Auswirkungen hat, gleichzeitig aber nur für bestimmte Clients - nämlich solche mit SSSD - tatsächlich "notwendig" ist.

Da es die Windows Clients eh nicht stört, bleibt nur zu ergründen, ob winbind damit Probleme bekommen könnte! 1. Ich denke zwar nicht und 2. können auch Serverversionen SSSD benutzen. 😉

Ich kann zu den tatsächlichen praktischen Auswirkungen praktisch nichts sagen, weil ich das bisher nicht selbst untersucht habe, wollte aber darauf hinweisen, dass man schon mal untersuchen sollte, wie sich der Workaround auswirkt - außer, dass danach das Anmelden am Ubuntu-Client funktioniert. Womit ich nicht behaupten möchte, dass sich aus dem Workaround zwangsläufig unerwünschte Nebeneffekte ergeben müssen.

Ich würde das ganze Problem ohnehin anders lösen, wenn es für mich wichtig wäre, dass sich AD-Nutzer unmittelbar am AD-Server anmelden können sollen.

Ich würde dann mit einer angepassten Ubuntu-Installation arbeiten. Da kann man dann z.B. die Netzwerk-Einstellungen auch gleich wie gewünscht anpassen. Und die sssd.conf entsprechend korrigieren.

LG, Newubunti

Zum Thema "Titels des Artikels" kann ich mich nur wiederholen. Mir ist es egal, ob er noch geändert wird. Mir ging es nur um die Reihenfolge in der internen Auflistung auf https://wiki.ubuntuusers.de/wiki/tags/Howto/ Als Alternative hatte ich hier auch schon angefragt, ob dieses Howto ein Unterartikel werden kann. Die finale Entscheidung überlasse ich aber dem Wikiteam.
Die "Suchmaschinenfreundlichkeit" kann man durch Setzen von entsprechenden Tags erreichen, was ja mittlerweile auch bei Howtos möglich ist.

Zum Thema "Zeitserver" hat wohl jeder Admin so seine eigenen Erfahrungen. Ich denke aber, dass alle Beteiligten mit der jetzigen Ergänzung im Abschnitt Zeitserver leben können.

Es geht mir darum darauf einzugehen, dass die aufgezeigte Problemlösung damit an eine Stelle verlagert wird, wo sie gar nicht verursacht wird. ...

Das sehe ich anders, weil die GptTmpl.inf von Beginn an auf einem Windows-AD DC existiert und bei dem Samba-AD DC eben nicht.

zu "angepasste Ubuntu-Installation". Ja, kann man so machen - muss aber halt nicht. 😉

Gruß
Bournless

Hallo,

Als Alternative hatte ich hier auch schon angefragt, ob dieses Howto ein Unterartikel werden kann.

Das Wiki kennt im strikten Sinne keine Unterartikel, für Inyoka ist jeder Artikel gleich. Man kann über die URL Unterseiten "suggerieren", was ja im Wiki gelegentlich gemacht wird (z.B. bei systemd Themen).

Wichtig ist am Ende nur, dass alle Artikel irgendwo mindestens 1x verlinkt sind, damit sie gefunden werden können.

Gruß, noisefloor

Zum Punkt 3 kann ich heute leider noch keine umfassende Antwort liefern, da mir in dem Zuhammenhang (DHCP-Server und Ubuntu <20.04.4) noch andere Sachen aufgefallen sind.

Hier nun meine Antwort:

Ubuntu-Desktop Versionen < 20.04.4 mit DHCP-Server erzeugen bei mir stets einen falschen "Current-DNS-Server", obwohl im Gateway (Router inkl.DHCP-Server) alles richtig angegeben ist. Ab den Ubuntu-Desktop Versionen >= 20.04.4 ist alles ok! Ich habe deshalb die Abschnitte (Ubuntu neuer PC) und (Ubuntu vorhandener PC) angepasst.

Gruß
Bournless

Alle Änderungswünsche und Modifizierungen sind nun eingebaut.

Auf geht's. 😉

Gruß
Bournless

@ Wikiteam

Falls dieses Howto unerwünscht oder unqualifiziert ist, bitte einfach löschen.

Ansonsten bitte ich um Entlassung aus dem Status der Baustelle - auch wenn noisefloor wohl nicht mehr zuständig ist.

Gruß
Bournless

Hallo,

Bournless schrieb:

Ansonsten bitte ich um Entlassung aus dem Status der Baustelle - auch wenn noisefloor wohl nicht mehr zuständig ist.

Das Howto habe ich gerade verschoben und gemäß Unterartikel auch bei Howtos? benannt. Da als Titel nun groß aber nur "Tipps" angezeigt wird, fällt einem vielleicht auch ein besserer Titel ein.

LG
tuxifreund

Danke für die Entlassung aus dem Status der Baustelle. Alles andere wird sich IMHO automatisch ergeben.

Gruß
Bournless

@All

Ich habe das Howto um die Abschnitte

• Freigaben mounten (PAM-Mount)

• Ordnerumleitung

• servergespeicherte Profile

• Gruppenrichtlinien mit ADsys

erweitert.

Fachliche und sachliche Kritik ist willkommen.

@Wikiteam

Falls die Erweiterungen zu umfangreich sind und es deshalb einer Baustelle bedarf, bitte ich um ein entsprechendes Feedback.

Gruß
Bournless

Bournless schrieb:

@Wikiteam

Falls die Erweiterungen zu umfangreich sind und es deshalb einer Baustelle bedarf, bitte ich um ein entsprechendes Feedback.

Ist nicht nötig, da Du ja alles schon perfekt eingebaut hast.

Fachliche und sachliche Kritik ist willkommen.

Ich hoffe, dass das noch jemand tun kann, ich leider nicht, da das so gar nicht mein Fach ist. Finde es aber toll, wie dieser Tipps-Artikel dank Deiner Hilfe immer weiter wächst. 👍

@Wikiteam

Ist es möglich den Titel dieses (meines) Howto zu ändern?

bisher: Tipps

gewünscht: Samba-AD Tipps

Gruß
Bournless

Ja, das ist immer das Problem bei Unterseiten zu bestehenden Artikeln: Der übergeordneten Artikel wird nicht angezeigt (aber: it's not a bug, it's a feature!)

Ich habe Dein Howto jetzt einfach als eigenen Artikel gemacht.