Samba ist in ADS-Domäne - Dateibesitzer nicht

Maximilian Wilhelm max at rfc2324.org
Fri Feb 4 20:42:30 CET 2005 

Am Freitag, den  4. Februar hub Jonas Schrieb folgendes in die Tasten:

Hi Jonsa :)

> Es existiert eine Windows-Domäne namens "CS" mit Benutzerverwaltung über
> einen ADS-Server basierend auf Win2k3 und eine NIS-Domäne mit
> Benutzerverwaltung über einen NIS-Server basierend auf Solaris.
[...]

> Da die Windows-User auch auf die Unix-Homes zugreifen müssen existiert
> weiterhin ein Samba-Server (3.0.9, Konfiguration weiter unten) namens
> "samba" basierend auf RedHat EL 3 auf dem die Unix-Homes liegen. Der
> Samba-Server ist in die Domäne aufgenommen und die Authentifikation der
> User funktioniert von Windows aus auch neue Eingabe des Passwortes.

Jo, das hast Du durch "security = ADS" und "WORKGROUP = CS" erreicht,
da sucht sich samba nen Windowsserver und schickt da User/Pass der
Anfrage weiter und guckt ob man damit Zugriff bekommt.

> Läßt man sich unter Windows die Besitzer anzeigen, so erhält man
> "SAMBA\user". Gewünscht wäre allerdings "CS\user". Offensichtlich kann
> Samba also dem Unix-Account "user" nicht den Windows-Account "CS\user"
> zuordnen.

Bei uns[tm] (Gleiche Firma, Abteilung Mathe) gibts nen Sambaserver, der
die gleiche Aufgabe hat.
Ich habe gerade mal nachgeschaut (rdesktop durch zwei ssh-Tunnel ist
*echt* *langsam*), bei uns steht da auch "<user> <SAMBASERVER>\<user>".


[winbind]
Winbindd haben wird auch nicht laufen.

> Kennt jemand eine Möglichkeit, das einfacher zu machen. Eventuell unter
> Ausnutzung der Tatsache, dass Unix- und Windows-User gleich heißen?

Mir faellt aus dem Stand keine andere Option fuer sowas ein, ich
fuerchte, da musst Du Dich mal mit winbind bechaeftigen; bin mir aber
auch nicht 100%ig sicher, dass das Dein Proble loest.

Wenn Du moechtest kann ich Dir mal die Samba Collection Howto 3.0
mitbringen; anhand Deiner Mail vermute ich allerdings, dass Du das Ding
schon hast :)

> -------------------------
> krb5.conf (im HowTo stand, dass man es bei MIT-Kerboros unkonfiguriert
> lassen könne/solle)

Jo macht sinn, da es architekturbeding schwierig ist aus den
NT/LM-Hashes Klartextspasswoerter fuer ein initales Ticket zu
holen :)
Heimdal ist in der Richtung wohl mal ein wenig aufgebohrt worden um
soetwas zu erlauben.


Ciao
Max
-- 
	Follow the white penguin.

More information about the Linux mailing list