staging.inyokaproject.org

Lieber Bournless,

ich habe das Gefühl, dass wir - zumindest teilweise - irgendwie aneinander vorbeireden:

Bournless schrieb:

Dein Howto berücksichtigt ausschließlich die 20.04 Versionen, kleiner 20.04.4 - ok!

Das Problem dieser Aussage ist, dass Du Dich damit offenbar auf das Hinzufügen bzw. Anbinden eines Linux-Clients beziehst. Nur ist das gar nicht Gegenstand des Artikels, außer dass unter "Nächste Schritte" diesbezüglich auf das Samba-Wiki verlinkt ist, welches die Anbindung über winbind realisiert.

Willst Du einfach nur, dass ich noch einen Link auf sssd setze? Falls ja, dann verlinke mir eine Anleitung, die praktisch auch mit Samba-AD funktioniert.

Denn bei der verlinkten Anleitung auf das Samba-Wiki weiß ich, dass sie mit Ubuntu 20.04 Clients funktioniert - aber eben nicht innerhalb des Ubuntu-Setups, sondern nur indem man Ubuntu nach dem Setup der Anleitung folgend integriert.

Ja, aber! 😉 Es kann/sollte doch nicht der Anspruch dieses Howto sein?

Ich beschränke es ja auch gar nicht auf den Fall, sondern ich habe nur darauf hingewiesen, dass das auch ein Anwendungsfall ist und dass ich gerade nicht auf einen Anwendungsfall innerhalb dieses HowTos beschränken will. Ich treffe doch in diesem HowTo überhaupt gar keine Aussage hinsichtlich des Hinzufügens/Anbindens von anderen Clients, außer dass ich diesbezüglich auf das Samba-Wiki verlinkt habe.

Einen Link auf einen entsprechenden aktuellen SSSD-Artikel würde ich setzen, wenn ich dann weiß, dass das auch mit einem aktuellen Samba-AD getestet wurde und funktioniert.

Mal davon abgesehen:

Ich habe das jetzt mal inzwischen mit Jammy nachgestellt, d.h. Installation des AD-Servers auf Jammy-Server nach diesem HowTo und dann Anbindung von Jammy-Desktop innerhalb des Ubiquity-Setups und es verhält sich bei mir genauso, wie von Dir beschrieben, d.h.:

• Das Ubuntu-Setup kann sich mit der Domäne heim.lan erfolgreich verbinden

• Der Computer wird auch in das AD eingefügt

• Anmeldung über sudo login bzw. über grafisches Login mit einem im AD angelegten Test-Benutzer scheitert mit einem Legitimationsfehler (trotz richtiger Eingabe der Benutzer-Daten und des PW)

Schaut man dann mal in die sssd-Logs auf dem Client und setzt außerdem in der sssd.conf den debug level = 7, dann stößt man auf einen Fehler bezüglich des Bezugs einer GPO-Einstellung vom Server. Suchmaschineln führt einen dann auf die sssd.conf-Einstellung ad_gpo_access_control. Dieser Wert ist bei Ubuntu standardmäßig auf enforcing eingestellt. Setzt man die in der sssd.conf unter [domain/heim.lan] auf permissive, dann funktioniert der Login über sudo login oder das grafische Login anschließend.

Das mal als erste Analyse mit entsprechend Workaround. Weiß noch nicht, ob das eine endgültige Lösung ist oder eben nur ein Workaround.

Getestet habe ich es jetzt noch nicht, aber ich kann mir gut vorstellen, dass dann für Ubuntu 20.04.4 das gleiche gilt.*

LG, Newubunti

EDIT:

* Wie vermutet besteht der Fehler genauso für die Kombination 20.04.4-Server und 20.04.4-Desktop. Ausführlicher zu Analyse und Workaround im Server-Support-Forum.

Lieber Newubunti.

ich habe das Gefühl, dass wir - zumindest teilweise - irgendwie aneinander vorbeireden:

Ja, das kann durchaus sein, da ich mir mit deinem Howto grundsätzlich erhofft hatte, dass es damit nun eine generelle Lösung dargestellt wird, um die (teuren) Lizenzkosten für ein MS-Windows-AD oder den Vorgaben/Einschränkugen von z.B. UCS oder Zentyal minimieren zu können. Viele KMU suchen seit Jahren nach einer solch bezahlbaren Lösung.

Themenwechsel:

Willst Du einfach nur, dass ich noch einen Link auf sssd setze? Falls ja, dann verlinke mir eine Anleitung, die praktisch auch mit Samba-AD funktioniert.

Nein, das hast Du ja schon selbst (in einem anderen Thread) getan. Danke! Der Workaround (Anbindung per SSSD) funktioniert zwar, aber leider halt nicht gleichzeitig während der Installation einer UBU 20.04.4 bis 22.04 Version. Löst also das (mein) Luxus-Problem nicht. 😉

Mein persönliches Fazit (auch für die 3-K Mitlesenden):

• Das Howto funktioniert zu 100%!

• Danke Newubunti!

• Ein Ubuntu-SAMBA-AD-SERVER fokussiert sich weiterhin (seit xx-Jahren) auf die Anbindung von Windows-Clients, ohne die Anbindung von Ubuntu-Clients zu berücksichtigen.

Gruß
Bournless

Hallo Newubunti.

Prima, dass Du einen (SSSD-)Workaround für bereits installierte Ubuntu-20.04.4-Desktop-Clients gefunden hast! Er funktioniert auch sehr gut, löst aber leider nicht das Problem "Domain-Join plus korrekter Anmeldung während einer Ubu-Desktop-Neuinstallation".

Hier nun mein Workaround, um das/mein Problem (erfolgreich) zu lösen. Es reicht, wenn man auf dem SAMBA-DC (adc01) die fehlende GPO erstellt. Das ist eine simple Textdatei (mit bestimmten Inhalt), welche auf sysvol im vorgegeben POLICY-Ordner gespeichert wird.

Vorteile:

• dazu ist nur ein kleiner weiterer Abschnitt im jetzigen Howto notwendig. (getestet)

• Der derzeitige Workaround (Änderung der ssd.conf) auf den jeweiligen Clients entfällt. (getestet)

• ab 20.04.4 ist der Domain-Join plus korrekter Anmeldung schon bei der Neuinstallation möglich. (gestest)

• ab 20.04.4 ist der Domain-Join plus korrekter Anmeldung auch schon bei bereits installierten Ubuntu-Systemen möglich. (bisher ungetestet)

• damit würde das Howto (IMHO) zum "Schweizer Messer" für heterogene Netzwerke.

Gruß
Bournless

PS. Bevor die sonst notwendige SSSD-Version 2.7 bei Ubuntu ankommt, vergehen eh noch Jahre. 😉

Hallo Newubunti,

teste bitte mal auf Deinem adc01 per

date

welche Uhrzeit bei Dir angezeigt wird. Bei meinem adc01 wird nur die UTC-Zeit, statt der gewünschten CEST-Zeit (+ 2 Stunden) ausgegeben.

Gruß
Bournless

Bournless schrieb:

Bei meinem adc01 wird nur die UTC-Zeit, statt der gewünschten CEST-Zeit (+ 2 Stunden) ausgegeben.

Ja, das ist ist zunächst mal richtig, weil NTP ausschließlich über UTC läuft, was ja auch vernünftig ist. Allerdings ist Dein Hinweis insofern berechtigt, als dass durch die Installation des Pakets ntp wohl die Zeitzone, die man ja während des Ubuntu-Setups auf dem Server setzt, auf UTC gestellt wird.

Das kann man aber leicht mittels timedatectl korrigieren.

Ich nehme das aber noch in das HowTo auf. Danke!

Bournless schrieb:

Vorteile:

• dazu ist nur ein kleiner weiterer Abschnitt im jetzigen Howto notwendig. (getestet)

• Der derzeitige Workaround (Änderung der ssd.conf) auf den jeweiligen Clients entfällt. (getestet)

Da sage ich kurz und knapp nein dazu. Die Begründung bleibt nach wie vor, dass die Idee dieses Artikels von Anfang an war, alleine die Installation des Samba-AD-Servers zu beschreiben, was ja schon lang genug ist.

"Konfiguration" und dazu zählt auch das Anlegen/Verändern von GPOs ist nicht Gegenstand des Artikels!

Es stellt sich für mich auch die Frage, wie zuverlässig SSSD im Zusammenspiel mit Samba ist. Denn für mich entsteht der Eindruck, dass die Kompatibilität damit wohl nicht ganz oben auf der Prioritätenliste zu stehen scheint, denn sonst hätte es den Bug so nicht geben dürfen.

Da wäre dann die Frage, auf welche Probleme Du mit SSSD im weiteren Verlauf wohl möglich noch stoßen wirst. Ohne es bestätigen zu können, soll das beim Einbinden von Freigaben wohl auch Probleme machen (können).

Es wird/könnte IMO auch einen Grund haben, warum man im Samba-Wiki zur Anbindung über SSSD nicht wirklich viel findet.

• damit würde das Howto (IMHO) zum "Schweizer Messer" für heterogene Netzwerke.

Das will das HowTo schon deshalb nicht sein, weil es mir als Autor bewusst völlig egal ist, ob Du den Samba-AD-Server als Herzstück eines heterogenen oder es reinen Windows-Netzwerks konfigurierst.

"Schweizer Messer" wäre es aber selbst wenn man es aufnehmen würde nicht, weil dann der nächste um die Ecke kommt und anregt, man müsse doch nur noch kurz erklären, wie man einen DHCP-Server auf dem Samba-AD-Server installiert.

Der nächste möchte dann nur kurz erklären, wie man einen Nutzer anlegt.

Und dann muss man eigentlich nur noch kurz erklären, wie man GPOs mit samba-tool managt.

etc.

Und irgendwann ist das dann einen Artikel mit 50 und noch mehr Punkten und total unübersichtlich.

Ich finde die jetzige Länge schon eher über der Grenze des Erträglichen als darunter. Das was in der Einleitung steht,

Dieses HowTo beschreibt die Grundinstallation von einem Samba-Server als DC für eine Windows Domäne unter Ubuntu 20.04 LTS Server.

ist und bleibt Programm. Nicht mehr und nicht weniger.

Das einzige was ich jetzt noch aufnehme werde ist Dein Link von weiter vorne bezüglich des Hinzufügens während des Ubuntu-Setups nebst der Problem- und Lösungslinks, weil das ja nun auch von Dir und mir tatsächlich auch getestet wurde.

LG, Newubunti

Prima, dass Du doch noch Hinweise zur Anbindung von Ubuntu-Clients (per SSSD) eingebaut hast. 👍

Gruß
Bournless

PS. Ich bin schon jetzt auf das nächste Howto (Fileserver) gespannt.