• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Trust zwischen Win2008R2-Dom und Samba-Dom

T

tozi

Newbie
Hallo:
ich versuche krampfhaft einen Trust zwischen einer Win2008R2-ADS-Domäne und einer Samba-3.6.0.Domäne herzustellen.
(Alles Systeme im selben Subnet, Ping gegenseitig ohne Probleme)

Win-ADS-Domäne:Mein.DomDNSName.loc
Samba-Domäne: Meine-SMBDom

Ich hab's so versucht:
1) Erstellen eines Trust-Accounts in der SAMBA-Dom.
smbldap-useradd -i Mein.DomDNSName.loc > Passwort vergeben > ok.
2) Erstellen eines Trust-Accounts in der Win-Dom
Assistent > Bidirektional > .... > ok.
3) Auf der Samba-Seite:
net rpc trustdom Mein.DomDNSName.loc
> Kein Domänencontroller gefunden!

Ist es überhaupt machbar Win2008R2 <> SAMBA 3.6.0 ?
Vielen Dank.
t.
 
S

spoensche

Moderator
Teammitglied
tozi schrieb:
Win-ADS-Domäne:Mein.DomDNSName.loc
Samba-Domäne: Meine-SMBDom
Zum Vergrößern anklicken....

Die Win Domäne endet wirklich mit .loc und nicht mit .local? Wenn die Domäne mit .local endet, dann machst du dir am besten die Mühe und richtest die Domäne neu ein und verwendest kein .local.

tozi schrieb:
Ich hab's so versucht:
1) Erstellen eines Trust-Accounts in der SAMBA-Dom.
smbldap-useradd -i Mein.DomDNSName.loc > Passwort vergeben > ok.
2) Erstellen eines Trust-Accounts in der Win-Dom
Assistent > Bidirektional > .... > ok.
3) Auf der Samba-Seite:
net rpc trustdom Mein.DomDNSName.loc
> Kein Domänencontroller gefunden!
Zum Vergrößern anklicken....

Der Trust-Account wird für die Vertrauensstellung zwischen den Domänen Controllern verwendet, die beide in der selben Domäne sind. (bei dir nicht der Fall)

Windows tritt einer Domäne nur bei, wenn auch ein LDAP vorhanden ist, andernfalls verweigert es mit allen mitteln den Beitritt.

Welcher der beiden Domänen Controller ist den der Masterbrowser? Hast du einen DNS-Server konfiguriert? Kerberos benötigt zwingend einen DNS-Server.

Mit net rpc kannst du keiner AD-Domäne beitreten. Dafür benötigst du den Befehl net ads .

Du müsstest also noch ein paar Infos mehr bringen.

tozi schrieb:
Ist es überhaupt machbar Win2008R2 <> SAMBA 3.6.0 ?
Vielen Dank.
t.
Zum Vergrößern anklicken....

Es ist machbar und funktioniert.

http://wiki.samba.org/index.php/Main_Page
 
S

stka

Guru
Ja ist Möglich und in den folgenden Schritten realisierbar:
auf der Linux-Kist:
1.) useradd windom$
2.) net rpc trustdom add WINDOM dassuperpasswort -Uroot%strenggeheim
3.) net rpc trustdom list -Uroot%strenggeheim

Dann erscheint eine Liste mit der Windows-Domäne unter "Trusting domains list:" mit Name und SID

Dann unte Windows das Vertrauensverhältnis mit dem Passwort und deiner Samba-Domäne bestätigen. Das ist alles.
 
OP
T

tozi

Newbie
Vielen Dank für Eure Rückmeldungen. Zur ADS-Dom kann ich wenig sagen, da verstehe ich (noch) nicht viel davon.
Ich strebe derzeit eine Co-Existenz SAMBA-/WINOWS-DOMÄNE über einen TRUST an.
Es klappt noch nicht. Mein SAMBA-PDC ist auch Wins-Server,

tozi.

PS: Hier meine smb.conf:

[global]
workgroup = MYSMBDOM
netbios name = srv_pdc1
server string = Samba-PDC-1
add machine script = /usr/local/sbin/smbldap-useradd -w "%m"
add user script = /usr/local/sbin/smbldap-useradd -a "%u"
delete user script = /usr/local/sbin/smbldap-userdel "%u"
add group script = /usr/local/sbin/smbldap-groupadd -a "%g"
delete group script = /usr/local/sbin/smbldap-groupdel "%g"
add user to group script = /usr/local/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/local/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/local/sbin/smbldap-usermod -g "%g" "%u"
encrypt passwords = Yes
map to guest = Never
syslog = 1
log level = 1
log file = /var/log/samba/%m.log
max log size = 5000
time server = Yes
unix extensions = Yes
enable privileges = yes
passwd chat debug = Yes
passwd program = /usr/local/sbin/smbldap-passwd "%u"
passwd chat = *new*password* %n\n *new*password:* %n\ *successfully*
#check password script = /usr/sbin/cracklib-check
domain logons = Yes
os level = 200
preferred master = Yes
domain master = Yes
wins support = Yes
socket options = TCP_NODELAY SO_KEEPALIVE SO_RCVBUF=24576 SO_SNDBUF=24576
logon path =
passdb backend = ldapsam:ldap://localhost
ldap passwd sync = Yes
ldap suffix = dc=mySMBDom,dc=loc
ldap machine suffix = ou=computer
ldap user suffix = ou=user
ldap group suffix = ou=groups
ldap admin dn = cn=ldapadmin,dc=mySMBDom,dc=loc
ldap ssl = no

[netlogon]
comment = Netlogon Freigabe
path = /home/samba/netlogon
write list = +"MYSMBDOM\Domain Admins"
valid users = +"MYSMBDOM\Domain Users"
browseable = No
guest ok = No
 
S

spoensche

Moderator
Teammitglied
Code: 
wins support = Yes

Auf No setzen und er ist kein Winsserver mehr. Beim Posten von Ausgaben bitte die Code-Tags verwenden.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben