• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] Migration eines vorh. SAMBA-PDC's

tozi

Newbie
Hallo: ich stoße bei meiner GOOGLE-Suche nach einem Howto zur Migration eines vorhandenen SAMBA-3.0.21-PDC's auf den Satz:

"..follow the howto on replacing the existing server with a new server with the same name."

Kennt jemand dieses/ein solches Howto?

VIelen Dank.
tozi
 

stka

Guru
Vielleicht wäre es mal ganz sinnig das du uns erzählst, was du überhaupt vor hast, denn sonst ist dieser Thread sehr sinnfrei.
 
OP
T

tozi

Newbie
Gern.

Ich habe mich (noch) nicht an die Migration eines vorh. SAMBA-PDC's getraut. Das aktuelle System: SUSE 8.2 mit SAMBA 3.0.21c und LDAP-Backend mit den Userdaten.
Eine neue Serverhardware war notwendig, also habe ich parallel ein neues SUSE SLES 11-System aufgesetzt. Darauf läuft jetzt OPENLDAP-2.4 mit dem SAMBA 3.2.7.

Dieses neue System soll unseren betagten PDC ersetzen. Die LDAP-Daten und die smb.conf vom alten System hab ich bereits übernommen. Der Test der smb.conf mit testparm ist i.O. und der Zugriff auf den LDAP-Tree funzt. Getent group ist i.O. Die "alte" SID ist gesetzt im neuen System.

Mein Problem: Habe ich etwas vergessen oder muss ich noch was prüfen? Deswegen suche ich nach einem HOWTO...

tozi
 

stka

Guru
Wenn der LDAP läuft ist schon mal mehr als die halbe Miete drin. Beim Samba musst du aufpassen, denn seit der Version 3.0.21 hat sich so einiges bei den Parametern geändert. Du solltest auf jeden Fall mal die releasnotes aller Sambaversionen lesen und dir die Parameter der smb.conf anschaun. Hast du schon einen Domänadmin mit den Privilegien versehen (SeMachineAccountPrivilege)? Oder arbeitest du da noch mit einem "fake-root"? Ein Howto für eine Umstellung kenne ich so auch nicht, bei Samba und LDAP muss man halt immer am Ball bleiben. Und wissen was sich ändert. Die Benutzerkonten wirst du alle direkt übernehmen können. Wichtig sind die Domaingroups mit dem RID 512 bis 515 und ob die Benutzer und Hosts in der richtigen Gruppe sind. da gab es eine sehr große und wichtige Änderung ich meine bei 3.0.24 musst mal schaun. Habt ihr nur einen PDC oder auch noch einen BDC? Dann kommt noch die Sache der Replikation dazu.
Wenn du mehr Hilfe willst, dann musst du schon mal ein paar mehr Infos geben, wie z.B. Konfigurationsdateien (ohne Kommentare!!) Und ob die Gruppenobjekte vorhanden sind.
 
OP
T

tozi

Newbie
Danke zunächst für Deine Hilfe!

Ich habe keine speziellen Parameter, am neuen System läuft testparm dieser CONF ohne Probleme. Mit dem Begriff "FAKE-ROOT" kann ich so richtig nichts anfangen.
In meinem LDAP-Tree gibt es einen Root-User (sysroot) der die UID ..-1000 hat. Mit dem band ich bisher die Clients ein.
Klar, die Well-Known-SID's sind vorhanden. Ich nutze aber nur die "Domain Admins" und die "Domain Users".

Hier meine smb.conf des PDC:

[global]
workgroup = myDomain
netbios name = SRVPDC1
hosts allow = 127.0.0.1 meine-IP-Range
hosts deny = 0.0.0.0/0
add machine script = /usr/local/sbin/smbldap-useradd -w "%m"
add user script = /usr/local/sbin/smbldap-useradd -a "%u"
delete user script = /usr/local/sbin/smbldap-userdel "%u"
add group script = /usr/local/sbin/smbldap-groupadd -a "%g"
delete group script = /usr/local/sbin/smbldap-groupdel "%g"
add user to group script = /usr/local/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/local/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/local/sbin/smbldap-usermod -g "%g" "%u"
encrypt passwords = Yes
map to guest = Never
syslog = 1
log level = 1
log file = /var/log/samba/%m.log
max log size = 5000
time server = Yes
unix extensions = Yes
admin users = @"Domain Admins"
passwd chat debug = Yes
passwd program = /usr/local/sbin/smbldap-passwd "%u"
passwd chat = *new*password* %n\n *new*password:* %n\ *successfully*
domain logons = Yes
os level = 200
preferred master = Yes
domain master = Yes
wins support = Yes
socket options = TCP_NODELAY SO_KEEPALIVE SO_RCVBUF=24576 SO_SNDBUF=24576
logon path =
passdb backend = ldapsam:ldap://srvpdc1.myDomain.loc
ldap passwd sync = Yes
ldap suffix = dc=myDomain,dc=loc
ldap machine suffix = ou=computer
ldap user suffix = ou=user
ldap group suffix = ou=groups
ldap admin dn = cn=ldapadmin,dc=myDomain,dc=loc
ldap ssl = no

[netlogon]
comment = Netlogon Freigabe
path = /home/samba/netlogon
write list = +"myDomain\Domain Admins"
valid users = +"myDomain\Domain Users"
browseable = No
guest ok = No
 

stka

Guru
Mit dem 3.0.21 geht das so auch noch, aber mit dem aktuellen Sambaversionen nicht mehr. schau dir das mal an:
http://samba.org/samba/docs/man/Samba-HOWTO-Collection/rights.html
http://www.linux-club.de/viewtopic.php?f=6&t=108628&start=0
 
OP
T

tozi

Newbie
OK, Danke.

Ich ergänzte die smb.conf: enable privileges = yes
und setze bei meinem SYSROOT die SAMBA-SID auf S-....-500.

Wenn ich dies ausprobiere:

net rpc rights grant 'myDOmain\sysroot' SeMachineAccountPrivilege
Enter root's password:
Could not connect to server 127.0.0.1
Connection failed: NT_STATUS_CONNECTION_REFUSED

Ich habe im LDAP-Tree keinen User ROOT mehr. Wird dieser dennoch benötigt?
Ich möchte vermeiden, dass ROOT in der smbpasswd und im LDAP vorkommt.

tozi
 
OP
T

tozi

Newbie
I'am sorry: ohne SMBD gehts natürlich nicht.
Start > geht.

Auch der Parameter admin users = @"Domain Admins" ist veraltet.
Habe ich gelöscht.

tozi
 

stka

Guru
Nein den root brauchst du im LDAP nicht. Du hast drei verschiedene Administrationsbereiche. Dateisystem = root, LDAP = manager, Windowsclients = Administrator. Alle Drei können unterschiedliche Passwörter haben und von unterschiedlichen Personen wahrgenommen werden. Oder du setzt überall das selbe Passwort und machst alles alleine.
 
OP
T

tozi

Newbie
Da hat sich einiges geändert. Vielen Dank für Deine Tipps. Sind gold wert.

Was meinst Du:
1) Alten PDC abschalten
2) Neuen PDC starten
und einfach mal testen, was geht oder was nicht?

Domain-SID ist übernommen. Userdaten im LDAP sind zwei Wochen alt. PAsswort-Änderungen haben
sich nur bei Computer(Maschinen-)Konten ergeben, warum auch immer.

tozi
 

stka

Guru
Wenn du den Domainname behalten hast, bleibt dir keine andere Wahl, es sei denn, du testest das ganze erst in einem anderen Subnetz mit einigen Clients.
 
Oben