staging.inyokaproject.org

via DuckDuckGo

Archiv/Samba Winbind

Status: Ungelöst | Ubuntu-Version: Ubuntu
Antworten |
Dieses Thema ist die Diskussion des Artikels Archiv/Samba_Winbind.

RvD Team-Icon

Avatar von RvD

Anmeldungsdatum:
26. Mai 2006

Beiträge: 2870
Zitieren
10. September 2008 14:56

Keine Sorge - Interesse an guten Artikel für das Wiki besteht immer. ☺

Wäre die Version des Artikels denn aus Deiner Sicht soweit fertig?

Punisher

(Themenstarter)
Avatar von Punisher

Anmeldungsdatum:
23. Oktober 2006

Beiträge: Zähle...
Zitieren
16. September 2008 10:38

Hi,

ja also der Inhalt sicher. Eventuell noch ein paar Wiki-Konventionen die ich übersehen haben könnte.

greez

Punisher

RvD Team-Icon

Avatar von RvD

Anmeldungsdatum:
26. Mai 2006

Beiträge: 2870
Zitieren
16. September 2008 13:31 (zuletzt bearbeitet: 16. September 2008 13:33)

Gut, ich habe nurnoch etwas aufgeräumt - verschieben dauert wegen Fehlers noch etwas.

Philipp_B Team-Icon

Supporter
Avatar von Philipp_B

Anmeldungsdatum:
22. Juli 2005

Beiträge: 8556
Zitieren
16. September 2008 13:56 (zuletzt bearbeitet: 16. September 2008 14:18)

In dieser Installationsvariante ist der Ubuntu Rechner ein Mitglied einer Windows 2003 Domäne

Ist damit die Domänenfunktionsebene gemeint oder ist der DC nur ein Windows Server 2003 Rechner aber die Active Directory Funktionsebene im Windows 2000 Modus ?

Überhaupt gehts doch im Artikel ein Ubuntu Rechner als Teil eines Netzwerks in eine Domäne hinzuzufügen oder ? Dann ist der Satz auch nicht ganz korrekt.

Punisher

(Themenstarter)
Avatar von Punisher

Anmeldungsdatum:
23. Oktober 2006

Beiträge: Zähle...
Zitieren
20. September 2008 23:46

Ich hab den Satz nochmal umgeschrieben. Danke für den Hinweis.

Greez

Punisher

Philipp_B Team-Icon

Supporter
Avatar von Philipp_B

Anmeldungsdatum:
22. Juli 2005

Beiträge: 8556
Zitieren
21. September 2008 11:18 (zuletzt bearbeitet: 21. September 2008 11:21)

hi

danke für deine änderungen aber ich hab immer noch was zu mäkeln 😀

Außerdem ist es auch möglich Ubuntu an einer Windows NT/2000 Domäne zu authentifizieren. Der Hauptunterschied hierbei ist, das hierzu kein Kerberos notwendig ist.

Wie gehabt Windows Server 2000 Domänen nutzen Active Directory und dann sehrwohl Kerberos.

Winbind vereint die UNIX- und Windows NT-Konten-Verwaltung, indem es einer UNIX-Maschine erlaubt, ein vollwertiges Mitglied einer NT-Domäne zu werden

Du meinst also die Active Directory Konten Verwaltung ? Ich lese sehr oft im Artikel NT Domäne aber das ist nicht das selbe wie eine Windows Server 2000, Server 2003 und Server 20008 Domäne da ja Active Directory genutzt wird. Bitte korrigiere das.

ping meinserver.example.com

schreib besser 

ping FQDN

und erkläre noch was ein FQDN ist.

Punisher

(Themenstarter)
Avatar von Punisher

Anmeldungsdatum:
23. Oktober 2006

Beiträge: 75
Zitieren
22. September 2008 11:55

Hallo,

ok DQDN hab ich eingetragen auch wenn ich nicht glaube das dies der besseren Verständlichkeit dient.

Der Verzicht auf Kerberos geht auf einige Beiträge von Silver zurück.

Eventuell wäre es besser diese Passagen umzuschreiben zu. Verbindung ohne ADS. Anstatt Windows 2000/NT.

Wären damit alle einverstanden ?

Philipp_B Team-Icon

Supporter
Avatar von Philipp_B

Anmeldungsdatum:
22. Juli 2005

Beiträge: 8556
Zitieren
22. September 2008 13:33

Punisher schrieb:

ok DQDN hab ich eingetragen auch wenn ich nicht glaube das dies der besseren Verständlichkeit dient.

besser als sowieso.example.com ☺ Einfach noch ein Link auf Wikipedia was FQDN ist bzw schreib ein satz dazu und gut ist. Wer ein Ubuntu PC in eine Domäne integrieren möchte weiss sowieso was ein FQDN ist ☺

Der Verzicht auf Kerberos geht auf einige Beiträge von Silver zurück.

Gib dem Artikel deine persönliche Note am besten so das du am Ende ein (bisschen) stolz bist auf dich ☺

Eventuell wäre es besser diese Passagen umzuschreiben zu. Verbindung ohne ADS. Anstatt Windows 2000/NT. > Wären damit alle einverstanden ?

na klar ☺

Punisher

(Themenstarter)
Avatar von Punisher

Anmeldungsdatum:
23. Oktober 2006

Beiträge: 75
Zitieren
22. September 2008 13:58

Ok habs angepassst.

Naja persönliche Note ... mehr als selber schreiben geht ja net ☺ ich hab nur auch die Vorschläge und Anregungen von anderen berücksichtigt.

Greez

Punisher

Tronde Team-Icon

Avatar von Tronde

Anmeldungsdatum:
23. November 2006

Beiträge: 1640
Zitieren
10. August 2009 12:22

Hallo.

Ich habe den Artikel gerade für Jaunty getestet und es hat auch alles gut geklappt. Mir ist nur eine Kleinigkeit aufgefallen.

Beim Test der Kerberos Konfiguration muss man laut Artikel 

kinit Administrator@EXAMPLE.COM

eingeben.

Dies hat bei mir nicht funktioniert. Bei mir musste ich nur den Benutzernamen Administrator eingeben. Die Domain wurde automatisch ergänzt. Ist das nur bei mir so, oder ist das generell so? Evtl. könnte man das noch ändern wenn man die Domain generell weglassen kann.

Gruß Tronde

nougad

Avatar von nougad

Anmeldungsdatum:
24. Januar 2007

Beiträge: Zähle...
Zitieren
25. August 2009 10:48 (zuletzt bearbeitet: 25. August 2009 11:30)

Hallo,

ich habe auch Teile aus dem Artikel mit 9.04 und 8.10 verwendet. Dabei ist mir ein Fehler aufgefallen. Folgende Zeile:

<volume fstype="cifs" server="MEINSERVER" path="FREIGABE" mountpoint="/media/freigabe" options="iocharset=utf8,uid=&,dmask=0700" />

So wird versucht für jeden User den Share zu mounten. Das Problem ist aber, für cron wird das fehlschlagen. Dieser beschwert sich mit einem schönen segfault und verweigert seinen Dienst:

kernel: [71648.372184] cron[16764]: segfault at 0 ip 00000000 sp bfe6492c error 14 in cron[8048000+8000]

Man muss also dringend das Einbinden auf entsprechende Nutzer/Gruppen beschränken. Ich habe an dieser Stelle auf sgrp="domain users" zurückgegriffen. (evtl. Groß/Kleinschreibung beachten)

Kann das jemand reproduzieren? Soll ich selbst den Artikel ändern?

Verwandte Probleme:

noisefloor Team-Icon

Anmeldungsdatum:
6. Juni 2006

Beiträge: 29567
Zitieren
25. August 2009 19:58

Hallo,

Soll ich selbst den Artikel ändern?

Natürlich, so fern die Änderung richtig wäre. Es ist ein Wiki. ☺

Gruß, noisefloor

tomtimo

Anmeldungsdatum:
2. Januar 2008

Beiträge: Zähle...
Zitieren
6. Januar 2010 16:24

Hallo,

ich habe eine Frage zu der Konfiguration von PAM. Muss ich die Zeiten die im Wiki stehen in den einzelnen Dateien am Ende hinzufügen, oder, falls diese schon vorhanden sind, um die Werte ergänzen?

Um den Fall mal genau zu beschreiben:

In die Datei /etc/security/group.conf soll lt. Wiki folgendes hinzugefügt/ergänzt werden:

* ; * ; * ; Al0000-2400 ; floppy, audio, cdrom, video, usb, plugdev, users

Meine group.conf sieht so aus:

#
# This is the configuration file for the pam_group module. 
#

#
# *** Please note that giving group membership on a session basis is
# *** NOT inherently secure. If a user can create an executable that
# *** is setgid a group that they are infrequently given membership
# *** of, they can basically obtain group membership any time they
# *** like. Example: games are allowed between the hours of 6pm and 6am
# *** user joe logs in at 7pm writes a small C-program toplay.c that
# *** invokes their favorite shell, compiles it and does
# *** "chgrp play toplay; chmod g+s toplay". They are basically able
# *** to play games any time... You have been warned. AGM
#

#
# The syntax of the lines is as follows:
#
#       services;ttys;users;times;groups
#
# white space is ignored and lines maybe extended with '\\n' (escaped
# newlines). From reading these comments, it is clear that
# text following a '#' is ignored to the end of the line.
#
# the combination of individual users/terminals etc is a logic list
# namely individual tokens that are optionally prefixed with '!' (logical
# not) and separated with '&' (logical and) and '|' (logical or).
#
# services
#       is a logic list of PAM service names that the rule applies to.
#
# ttys
#       is a logic list of terminal names that this rule applies to.
#
# users
#       is a logic list of users or a netgroup of users to whom this
#       rule applies.
#
# NB. For these items the simple wildcard '*' may be used only once.
#     With netgroups no wildcards or logic operators are allowed.
#
# times
#       It is used to indicate "when" these groups are to be given to the
#       user. The format here is a logic list of day/time-range
#       entries the days are specified by a sequence of two character
#       entries, MoTuSa for example is Monday Tuesday and Saturday. Note
#       that repeated days are unset MoMo = no day, and MoWk = all weekdays
#       bar Monday. The two character combinations accepted are
#
#               Mo Tu We Th Fr Sa Su Wk Wd Al
#
#       the last two being week-end days and all 7 days of the week
#       respectively. As a final example, AlFr means all days except Friday.
#
#       Each day/time-range can be prefixed with a '!' to indicate "anything
#       but"
#
#       The time-range part is two 24-hour times HHMM separated by a hyphen
#       indicating the start and finish time (if the finish time is smaller
#       than the start time it is deemed to apply on the following day).
#
# groups
#	The (comma or space separated) list of groups that the user
#	inherits membership of. These groups are added if the previous
#	fields are satisfied by the user's request
#
# For a rule to be active, ALL of service+ttys+users must be satisfied
# by the applying process.
#

#
# Note, to get this to work as it is currently typed you need
#
# 1. to run an application as root
# 2. add the following groups to the /etc/group file:
#		floppy, play, sound
#

#
# Here is a simple example: running 'xsh' on tty* (any ttyXXX device),
# the user 'us' is given access to the floppy (through membership of
# the floppy group)
#

#xsh;tty*&!ttyp*;us;Al0000-2400;floppy

#
# another example: running 'xsh' on tty* (any ttyXXX device),
# the user 'sword' is given access to games (through membership of
# the sound and play group) after work hours.
#

#xsh; tty* ;sword;!Wk0900-1800;sound, play
#xsh; tty* ;*;Al0900-1800;floppy

#
# End of group.conf file
#

Wo genau muss ich denn nun die Zeile einfügen, bzw, welche muss ergänzt werden?

Ein weiteres Beispiel ist die Datei /etc/pam.d/common-account Dort soll lt. Wiki folgendes rein: 

  account sufficient       pam_winbind.so
  account required         pam_unix.so

Meine common-account sieht so aus: 

#
# /etc/pam.d/common-account - authorization settings common to all services
#
# This file is included from other service-specific PAM config files,
# and should contain a list of the authorization modules that define
# the central access policy for use on the system.  The default is to
# only deny service to users whose accounts are expired in /etc/shadow.
#
# As of pam 1.0.1-6, this file is managed by pam-auth-update by default.
# To take advantage of this, it is recommended that you configure any
# local modules either before or after the default block, and use
# pam-auth-update to manage selection of other modules.  See
# pam-auth-update(8) for details.
#

# here are the per-package modules (the "Primary" block)
account	[success=1 new_authtok_reqd=done default=ignore]	pam_unix.so 
# here's the fallback if no module succeeds
account	requisite			pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
account	required			pam_permit.so
# and here are more per-package modules (the "Additional" block)
account	required			pam_krb5.so minimum_uid=1000
# end of pam-auth-update config

Auch hier kann ich nicht mit bestimmtheit sagen, wo was hin soll. Sicherlich liegt dies an meinem fehlenden Hintergrundwissen. Kann eine kleiner Erläuterung dazu evtl. den Weg ins Wiki finden? Momentan scheitere ich nämlich daran. Über eine Hilfestellung würde ich mich freuen.

Viele Grüße

Timo

P.S. Der Wiki-Beitrag ist echt gut und hat mir hierher sehr weitergeholfen. Danke!

roemer2201

Avatar von roemer2201

Anmeldungsdatum:
2. November 2007

Beiträge: 241
Zitieren
8. Februar 2011 23:39

Ich bin gerade noch auf ein Problem gestoßen, wenn man ".local" als TDL nutzt, hier mein Vorschlag für die "Problemlösungssektion":

Die TDL der Domain ist .local (example.local)

Der Befehl 

ping FQDN

endet mit 

ping: unknown host meinserver.example.local

Das Problem lässt sich damit begründen, dass die TDL ".local" standardisiert via mDNS (Multicast-DNS) aufgelöst wird. Um dieses Verhalten abzuschalten, muss man in der Datei /etc/nsswitch.conf die Zeile 

hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4

in 

hosts: files dns mdns4

geändert werden.

wolfmand

Avatar von wolfmand

Anmeldungsdatum:
9. September 2008

Beiträge: Zähle...
Zitieren
30. Mai 2011 17:39

Super HowTo! Vielen Dank dafür. Ich habe das ganze gerade erfolgreich mit 10.04 und Windows Server 2008 R2 umgesetzt. Einen kleinen Fehler habe ich (in dieser Konstellation) jedoch entdeckt. Beim Beitritt der Active Directory Domäne, darf die Domäne beim User nicht angegeben werden, da diese automatisch ergänzt wird. Korrekt muss es also folgendermaßen lauten: 

1
net ads join -U Administrator
Antworten |