Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen gezeigt.

@@ Zeile 1: / Zeile 1: @@
+====== PDC mit LDAP Backend ======
+Vorraussetzung: slapd wie in [[samba-ldap]] beschrieben konfiguriert und [[nss-ldap]] konfiguriert.
+Dieses Beispiel beschreibt eine minimale Konfiguration.
+===== Samba =====
+''/etc/samba/smb.conf'':
+<file>
+[global]
+  workgroup = kurs
+  interfaces = eth0
+  #Samba als PDC:
+  os level = 34
+  domain logons = yes
+  logon home =
+  logon path =
+  #LDAP Anbindung:
+  passdb backend = ldapsam:ldap://ldap1.villa.local
+  ldap suffix         = dc=villa,dc=local
+  ldap admin dn       = "cn=admin,dc=villa,dc=local"
+  ldap user suffix    = ou=people
+  ldap group suffix   = ou=groups
+  ldap machine suffix = ou=computers
+  ldap idmap suffix   = ou=people
+  ldap ssl = off
+  obey pam restrictions = no
+  #ldapsam:trusted = yes
+[daten]
+  path = /tmp
+  writable = yes
+</file>
+Debian
+  /etc/init.d/samba restart
+Das Passwort des in der ''smb.conf'' genannten LDAP Admin muß dem Samba Server im Klartext vorliegen:
+  smbpasswd -W
+==== Testen ====
+Ist der Samba-Server PDC?
+  nmblookup -m kurs#1b
+===== Rechner der Domäne hinzufügen =====
+Dazu gibt es 4 Möglichkeiten:
+  * von Hand
+  * mit den smbldap-tools
+  * ''ldapsmb''
+  * und ab Samba 3.0.25 kann samba das mit den Parametern ''ldapsam:trusted'' und ''ldapsam:editposix'' selbst
+==== von Hand ====
+=== LDAP Verzeichnis anpassen ===
+Im LDAP Verzeichnis müssen nun noch Einträge für
+  * den in der ''smb.conf'' im Parameter ''ldap machine suffix'' genannten Teilbaum,
+  * die Gruppe, der die Maschinenaccounts zugeordnet werden sollen
+  * 3 Gruppen mit den Namen "domadmin", "domusers", "domguests" und der jeweils genannten sambaSID
+  * und einen Domänenadministrator
+hinzugefügt werden.
+<code bash>
+DOMAIN="dc=villa,dc=local"
+WORKGROUP=kurs
+SID=`net getlocalsid $WORKGROUP | sed 's/.*:\ //'`
+ldapadd -x -W <<LDIF
+</code>
+<file>
+TODO muss neu erzerugt werden
+</file>
+=== Domänenadmin anpassen ===
+  smbpasswd -a smbadmin
+Unter Windows hat der Domänenadmin immer die RID 500:
+  pdbedit -U $SID-500 -u smbadmin -r
+Überprüfen:
+  pdbedit -L -v smbadmin
+Und der soll das Recht haben, Rechner der Domäne hinzuzufügen:
+  net -U smbadmin rpc rights grant smbadmin SeMachineAccountPrivilege
+Überprüfen:
+  net -U smbadmin rpc rights list smbadmin
+Alternativ:
+  net sam rights grant ntadmin SeMachineAccountPrivilege SeAddUsersPrivilege
+=== Rechner hinzufügen ===
+Wie bei normalen Benutzern auch muß zu einem Samba-Maschinen-Account auch ein Unix/Linux Account existieren. Um einen Rechner mit dem Namen "vm2000" der Domäne hinzuzufügen sind daher folgende Schritte notwendig:
+posixAccount anlegen:
+  DOMAIN="dc=villa,dc=local"
+  MACHINE="appl2"
+  ldapadd -x -W <<LDIF
+<file>
+dn: cn=$MACHINE,ou=Computers,$DOMAIN
+objectClass: top
+objectClass: posixAccount
+objectClass: account
+cn: $MACHINE
+uidNumber: 20000
+gidNumber: 515
+homeDirectory: /tmp
+loginShell: /bin/false
+uid: $MACHINE$
+LDIF
+</file>
+Jetzt kann der Rechner unter Windows der Domaene hinzugefügt werden. (( samba-Maschinen-Account anlegen:
+  smbpasswd -a -m $MACHINE
+))
+==== smbldap-tools ====
+''/etc/samba/smb.conf'' :
+<file>
+[global]
+</file>
+<file>
+  ldap delete dn = Yes
+  unix password sync = Yes
+  passwd program = /usr/sbin/smbldap-passwd %u
+  add user script = /usr/sbin/smbldap-useradd -m "%u"
+  delete user script = /usr/sbin/smbldap-userdel "%u"
+  add machine script = /usr/sbin/smbldap-useradd -t 2 -w "%u"
+  add group script = /usr/sbin/smbldap-groupadd -a "%g"
+  delete group script = /usr/sbin/smbldap-groupdel "%g"
+  add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
+  delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
+  set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
+</file>
+  zcat /usr/share/doc/smbldap-tools/examples/smbldap.conf.gz > /etc/smbldap-tools/smbldap.conf
+  cp /usr/share/doc/smbldap-tools/examples/smbldap_bind.conf /etc/smbldap-tools/smbldap_bind.conf
+''/etc/smbldap-tools/smbldap_bind.conf'' :
+<file>
+slaveDN="cn=admin,dc=linuxhotel,dc=de"
+slavePw="villa"
+masterDN="cn=admin,dc=linuxhotel,dc=de"
+masterPw="villa"
+</file>
+''/etc/smbldap-tools/smbldap.conf'' :
+<file>
+#SID="S-1-5-21-2320849130-3131792283-2083377348"
+</file>
+<file>
+sambaDomain="kurs"
+</file>
+<file>
+slaveLDAP="localhost"
+</file>
+<file>
+masterLDAP="localhost"
+</file>
+<file>
+ldapTLS="0"
+</file>
+<file>
+suffix="dc=linuxhotel,dc=de"
+</file>
+<file>
+usersdn="ou=People,${suffix}"
+</file>
+<file>
+idmapdn="ou=People,${suffix}"
+</file>
+<file>
+userSmbHome=""
+</file>
+<file>
+userProfile=""
+</file>
+<file>
+userScript=""
+</file>
+  chmod 0644 /etc/smbldap-tools/smbldap.conf
+  chmod 0600 /etc/smbldap-tools/smbldap_bind.conf
+  smbldap-populate -a smbadmin -e /tmp/samba.ldif
+''/tmp/samba.ldif'' prüfen (( Todo: ''smbadmin'' checken: ''uidNumber'' und ''gidNumber'' auf einen anderen Wert als 0 ändern ... ))
+  ldapadd -x -W -D cn=admin,dc=example,dc=com -f /tmp/samba.ldif -h ldap1.example.com
+(( oder direkt
+  smbldap-populate -a smbadmin
+eingeben und nachträglich ''uidNumber'' und ''gidNumber'' auf einen anderen Wert als 0 ändern
+))
+=== Doku ===
+  * ''/usr/share/doc/smbldap-tools/README.Debian.gz''
+==== ldapsmb ====
+Alternativ gibt es bei SuSE das Paket ''ldapsmb'' als einfaches Beispiel für ein ''add machine script'':
+( noch nicht getestet )
+==== ldapsam:editposix ====
+siehe
+  man smb.conf
+Ist beschrankt auf ''obejectclass=account'', kann aktuell noch nicht mit inetOrgPerson u.ä. umgehen.
+====== Webmin - Modul LDAP Useradmin ======
+SuSE:
+  http://www.webmin.com
+Einstellungen
+''/etc/webmin/ldap-useradmin/config'': ( SuSE )
+<file>
+samba_def=1
+samba_class=sambaSamAccount
+samba_gclass=sambaGroupMapping
+samba_domain=S-1-5-21-2516115203-501549975-3175969160
+</file>
+====== Dokus & Links ======
+  * Howto für SuSE: http://en.opensuse.org/Howto_setup_SUSE_as_SAMBA_PDC_with_OpenLDAP%2C_DYNDNS_and_CLAM
+  * Alternatives LDAP Setup : http://wiki.samba.org/index.php/Ldapsam_Editposix

Linuxhotel Wiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Unterschiede

Seiten-Werkzeuge