Wo speichert Samba Computernamen & mehr im LDAP ?

Knappe · 11 Okt. 2006

Habe schon viel gelesen, aber es gibt offensichtlich verschiedene Möglichkeiten der Abspeicherung (es läuft bei mir Samba 3.0.23).

Hier meine Frage in Bezug auf LDAP (läuft) :

1. Bei erstmaligem Domänenbeitritt eines WinXP-Rechners wird automatisch ein neues Maschinenkonto angelegt --> ok
Bei mir wird das im LDAP-Baum wie in meiner smb.conf angegeben "ldap maschine suffix=computers) auch gespeichert.

--> Das klappt.

2. Sollen dann neue Domänen-Benutzer über WinxP angelegt werden
-->und dieser ist noch gar nicht in Samba vorhanden, bekomme ich eine Fehlermeldung in WinXp (dem Benutzer xxx konnte kein Zugriff eingräumt erden, da Benutzer ... nicht exisitiert).
ok (obwohl ich in der smb.conf ein "add user script" hinterlegt habe)

-->und dieser bereits ein Samba-Account hat, dann wird dieser Zugriff auch von WinXP eingerichtet.

Und jetzt kommt die große Frage : :shock:
Wo wird die Verknürpfung zwischen dem Domänenbenutzer und dem Maschinen-Konto gehalten bzw. verwaltet ?

In meinem LDAP-Baum konnte ich nirgendwo eine Verbindung erkennen (auch nach dem rauslöschen aus der Domäne nicht).

stummel · 11 Okt. 2006

Hallo Knappe,

etwas macht mich stutzig. Du schreibst du betreibst eine Domäne und die Benutzervewaltung übernimmt ein LDAP-Server, willst die User aber über XP anlegen.

Ich verstehe unter "User über XP anlegen" das du versuchst, User auf den Clients anzulegen. Vielleicht habe ich das ja falsch verstanden, aber User in einer Domäne werden nicht auf den Client, sondern auf dem Domänencontroller, in deinem Fall auf dem LDAP-Server, angelegt.

Knappe · 12 Okt. 2006

....aber User in einer Domäne werden nicht auf den Client, sondern auf dem Domänencontroller, in deinem Fall auf dem LDAP-Server, angelegt.

Ja, klar ! Aber dazu muss ich das Konto erst einmal auf dem Linux-Server selbst und/oder einem Web-Frontend anlegen.

Wozu dienen die Eintragungen in der smb.conf

# This allows machine-account-creation on-the-fly.
# You need to create a root samba-user (never ever with the unix root pwd !!!)
# root has to be domain admin. and you need a group "machines"
; add user script = ldapsmb -a -u "%u"
; delete user script = ldapsmb -d -u "%u"
; add machine script = ldapsmb -a -w "%u"
; add group script = ldapsmb -a -g "%g"
; delete group script = ldapsmb -d -g "%g"
; add user to group script = ldapsmb -j -u "%u" -g "%g"
;delete user from group script = ldapsmb -j -u "%u" -g "%g"
; set primary group script = ldapsmb -m -u "%u" -gid "%g"

#########################################################################

wenn nicht die Anlage z.B. eines Benutzerkontos durch einen "Samba-Client" - hier eben mal einem WinXP-Rechner erfolgen kann ?

Laut den obigen Beispielen müsste es ja auch möglich sein, selbst vorhandene Benutzer auf andere Gruppen zu verteilen etc.etc.
:?:

Aber Ausgangspunkt meiner Frage war :

Wo wird die Verknürpfung zwischen dem Domänenbenutzer und dem Maschinen-Konto gehalten bzw. verwaltet ?

In meinem LDAP-Baum konnte ich nirgendwo eine Verbindung erkennen (auch nach dem rauslöschen aus der Domäne nicht).

Will heißen :
Ich kann jedem Samba-Account (=Benutzer) zu mehreren Gruppen zuordnen (in diesem Fall wird die UID des Benutzer bei jeder Gruppe eingetragen).

Aber genau das geschieht nicht bei Maschinen-Accounts. Es scheint also nicht möglich zu sein, die gleiche UID (also den gleichen Benutzer)
zu mehreren Maschinen-Account zuzuordnen.

Warum geht das nicht ?
Oder habe ich vielleicht etwas übersehen (bei der Verwaltung von Samba intern im LDAP-Baum) - daher die Frage hier. :wink:

rolle · 12 Okt. 2006

Du solltest Dich mal grundlegend mit der Theorie einer Windowsdomäne beschäftigen. Es ist richtig so, wenn die Nutzerinnenverwaltung nur über Gruppen funktioniert. So ist das auch gedacht. Jede Nutzerin der Domäne kann sich an jedem Client mit ihren Daten anmelden, das ist Sinn und Zweck einer Domäne.
Sinn und Zweck der add irgendetwas-Scripte ist, daß Du mit den NT-Servertools Deine Nutzerinnen verwalten kannst. Diese findest Du auf Windows-Server-CDs oder bei Microsoft auf der Heimatseite.

Knappe · 12 Okt. 2006

@Rolle: Jede Nutzerin der Domäne kann sich an jedem Client mit ihren Daten anmelden, das ist Sinn und Zweck einer Domäne

Hmm, demzufolge kann ich also nicht verhindern, daß sich ein Benutzer an einem bestimmten (oder mehrere) Rechner eben NICHT anmelden kann (darauf zielte meine Frage, sorry für die "unqualifiziert" Fragestellung) ?
Ok, wenn dem nicht so ist - ich kann damit leben.

Die andere Frage

..., daß Du mit den NT-Servertools ...

Ok, aber ich habe den NT-Server z.B. rausgeschmissen und bin auf einem Linux-Server inkl. Samba umgestiegen (habe ergo keine MS Servertools mehr).
Trotzdem würde ich gerne die Benutzerverwaltung über einen WinXP-Client machen.
Gibt es da eine Möglichkeit (ich will kein Web-Frontend wie phpmyldap,phplam etc. einsetzen !) ? :roll:

stummel · 12 Okt. 2006

Knappe schrieb:
Trotzdem würde ich gerne die Benutzerverwaltung über einen WinXP-Client machen.

Ja sicher, aber das hat rolle doch gesagt. Dann benötigst du die von ihm genannten Servertools. Sicher gibt es auch andere Webfrontends, aber wenn du es "Windowslike" willst, benötigst du diese Tools.

Jetzt zu den Berechtigungen. Sicher hast du im Zusammenhang mit Win-Domänen ab W2K schon mal den Begriff Active Directory gehört. Dort kannst du Regeln festlegen bis die Schwarte kracht.

Da du aber nun auf LDAP und Samba setzt, ist alles ein bischen "anders", soll heissen, ist nicht Active Directory. Dort müsstest du dich nun richtig in die Materie einarbeiten um rauszufinden, ob die von dir gewünschten Berechtigungen umsetzbar sind.

rolle · 12 Okt. 2006

ich will kein Web-Frontend wie phpmyldap,phplam etc. einsetzen

Wieso eigentlich nicht? Die sind doch teilweise sehr komfortabel. Ich persönlich bin mit dem LDAP Account Manager hochzufrieden.

Wo speichert Samba Computernamen & mehr im LDAP ?

Knappe

Hacker

stummel

Hacker

Knappe

Hacker

rolle

Guru

Knappe

Hacker

stummel

Hacker

rolle

Guru