13
Windows AD - Debian Samba DC - Domain Trust - Probleme mit SMB Berechtigungen
Hallo zusammen,
ich habe ein kleines Problem und weiß aktuell nicht mehr wo ich suchen könnte.
Ich habe einen Domain Trust zwischen einem Windows Active Directory und einem Debian Samba DC hergestellt.
Jetzt habe ich in beiden Domains einen Fileserver und möchte beide Domains auf beide Fileserver zugreifen lassen.
Hierzu müssen einige Anpassungen an den Grupper durchgeführt werden.
In beiden Domains existieren Gruppen im Gruppenbereich Local und Global.
In den Global Gruppen sind meine Benutzer als Mitglieder gelistet.
In den Local Gruppen sind meine gleichnamigen Global Gruppen aus beiden Domains als Mitglieder gelistet.
Beispiel:
Windows=DomainA
Debian=DomainB
Global_Group_DomainA: User1_DomainA, User2_DomainA
Local_Group_DomainA: Global_Group_DomainA, Global_Group_DomainB
Global_Group_DomainB: User3_DomainB, User4_DomainB
Local_Group_DomainB: Global_Group_DomainA, Global_Group_DomainB
Auf meinem Debian SMB Share habe ich die Local_Group_DomainB für Berechtigungen eingetragen. Hier funktionieren die eingestellten Berechtigungen (rwx) wie geünscht. Beide Benutzer aus beiden Domains haben die richtigen Berechtigungen und können mit (r) nur lesen und mit (rw) lesen und schreiben.
Wenn ich das Ganze jetzt unter Windows teste, und in meiner Freigabe und Berechtigung die Gruppe Local_Group_DomainA eintrage, erhält mein Windows Benutzer die gewünschten Berechtigungen. Jedoch kann mein Debian Benutzer nicht einmal auf die Freigabe zugreifen. Dies ist erst möglich, wenn ich in der Freigabe und Berechtigung die Gruppe Local_Group_DomainB eintrage. Das ist jedoch nicht Sinn und Zweck der Sache und ich müsste bei meinem vorhandenen Fileserver alle Berechtigungen neu setzten. Das ist aktuell unmöglich.
Ich könnte mir Vorstellen, dass dies nicht nur bei SMB Freigaben auftritt.
Hat jemand eine Idee weshalb das für die Debian Freigabe funktioniert, und für meine Windows Freigabe nicht?
ich habe ein kleines Problem und weiß aktuell nicht mehr wo ich suchen könnte.
Ich habe einen Domain Trust zwischen einem Windows Active Directory und einem Debian Samba DC hergestellt.
Jetzt habe ich in beiden Domains einen Fileserver und möchte beide Domains auf beide Fileserver zugreifen lassen.
Hierzu müssen einige Anpassungen an den Grupper durchgeführt werden.
In beiden Domains existieren Gruppen im Gruppenbereich Local und Global.
In den Global Gruppen sind meine Benutzer als Mitglieder gelistet.
In den Local Gruppen sind meine gleichnamigen Global Gruppen aus beiden Domains als Mitglieder gelistet.
Beispiel:
Windows=DomainA
Debian=DomainB
Global_Group_DomainA: User1_DomainA, User2_DomainA
Local_Group_DomainA: Global_Group_DomainA, Global_Group_DomainB
Global_Group_DomainB: User3_DomainB, User4_DomainB
Local_Group_DomainB: Global_Group_DomainA, Global_Group_DomainB
Auf meinem Debian SMB Share habe ich die Local_Group_DomainB für Berechtigungen eingetragen. Hier funktionieren die eingestellten Berechtigungen (rwx) wie geünscht. Beide Benutzer aus beiden Domains haben die richtigen Berechtigungen und können mit (r) nur lesen und mit (rw) lesen und schreiben.
Wenn ich das Ganze jetzt unter Windows teste, und in meiner Freigabe und Berechtigung die Gruppe Local_Group_DomainA eintrage, erhält mein Windows Benutzer die gewünschten Berechtigungen. Jedoch kann mein Debian Benutzer nicht einmal auf die Freigabe zugreifen. Dies ist erst möglich, wenn ich in der Freigabe und Berechtigung die Gruppe Local_Group_DomainB eintrage. Das ist jedoch nicht Sinn und Zweck der Sache und ich müsste bei meinem vorhandenen Fileserver alle Berechtigungen neu setzten. Das ist aktuell unmöglich.
Ich könnte mir Vorstellen, dass dies nicht nur bei SMB Freigaben auftritt.
Hat jemand eine Idee weshalb das für die Debian Freigabe funktioniert, und für meine Windows Freigabe nicht?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 591692
Url: https://administrator.de/contentid/591692
Printed on: April 20, 2024 at 01:04 o'clock
13 Comments
Latest comment
Hi,
Domänenlokale Gruppen kann man nicht an Ressourcen von Mitgliedern anderer Domänen berechtigen. Selbst wenn man das irgendwie über die API und SID in die ACL eintragen kann, wird das nicht funktionieren.
Wenn das also bei Dir angeblich funktioniert, dann schau mal genau hin, ob Du Dich nicht selbst täuschst. Ob nicht irgendwas tatsächlich ganz anders ist, als Du annimmst.
E.
Edit:
Könnte es sein, dass Du tatsächlich die Gruppe Global_Group_DomainB eingetragen hast?
Zitat von @joe2017:
... Dies ist erst möglich, wenn ich in der Freigabe und Berechtigung die Gruppe Local_Group_DomainB eintrage.
Wenn das geht, dann ist da was grundsätzliches faul.... Dies ist erst möglich, wenn ich in der Freigabe und Berechtigung die Gruppe Local_Group_DomainB eintrage.
Domänenlokale Gruppen kann man nicht an Ressourcen von Mitgliedern anderer Domänen berechtigen. Selbst wenn man das irgendwie über die API und SID in die ACL eintragen kann, wird das nicht funktionieren.
Wenn das also bei Dir angeblich funktioniert, dann schau mal genau hin, ob Du Dich nicht selbst täuschst. Ob nicht irgendwas tatsächlich ganz anders ist, als Du annimmst.
E.
Edit:
Könnte es sein, dass Du tatsächlich die Gruppe Global_Group_DomainB eingetragen hast?
Also meine Ordnerberechtigung habe ich mit Local_Group versehen.
In der Local_Group habe ich als Mitglieder die Global_Group von beiden Domains eingetragen.
Da in den Global_Groups die Benutzer eingetragen sind, sollte doch dementsprechend von beiden Domains die jeweiligen Benutzer der Global_Group durch die Freigabe der Local_Group Berechtigungen erhalten.
Leider ist das etwas kompliziert zu beschreiben und ich hoffe man versteht wie ich das meine.
In der Local_Group habe ich als Mitglieder die Global_Group von beiden Domains eingetragen.
Da in den Global_Groups die Benutzer eingetragen sind, sollte doch dementsprechend von beiden Domains die jeweiligen Benutzer der Global_Group durch die Freigabe der Local_Group Berechtigungen erhalten.
Leider ist das etwas kompliziert zu beschreiben und ich hoffe man versteht wie ich das meine.
Also ich habe noch mal alles geprüft. Genau so habe ich das konfiguriert.
Ich verwende auf beiden Seiten ein Windows Client.
Mir ist jedoch noch etwas aufgefallen.
Wenn ich auf meinem Windows AD die Local_Group öffne, sehe ich unter Mitglieder die Global_Group Namen beider Domains.
Wenn ich auf meinem Debian DC die Local_Group öffne, sehe ich unter Mitglieder den Global_Group Namen von meinem Samba DC. Den Global_Group Namen meines Windows AD bekomme ich nicht aufgelöst, sondern nur als SID angezeigt.
Vielleicht ist hier das Problem zu suchen.
Ich verwende auf beiden Seiten ein Windows Client.
Mir ist jedoch noch etwas aufgefallen.
Wenn ich auf meinem Windows AD die Local_Group öffne, sehe ich unter Mitglieder die Global_Group Namen beider Domains.
Wenn ich auf meinem Debian DC die Local_Group öffne, sehe ich unter Mitglieder den Global_Group Namen von meinem Samba DC. Den Global_Group Namen meines Windows AD bekomme ich nicht aufgelöst, sondern nur als SID angezeigt.
Vielleicht ist hier das Problem zu suchen.
Zitat von @joe2017:
Wenn ich auf meinem Debian DC die Local_Group öffne, sehe ich unter Mitglieder den Global_Group Namen von meinem Samba DC. Den Global_Group Namen meines Windows AD bekomme ich nicht aufgelöst, sondern nur als SID angezeigt.
Vielleicht ist hier das Problem zu suchen.
Ja, mit Sicherheit.Wenn ich auf meinem Debian DC die Local_Group öffne, sehe ich unter Mitglieder den Global_Group Namen von meinem Samba DC. Den Global_Group Namen meines Windows AD bekomme ich nicht aufgelöst, sondern nur als SID angezeigt.
Vielleicht ist hier das Problem zu suchen.
Zitat von @joe2017:
Wie Du das mit der Gruppenverschachtelung meinst und den Berechtigungen über die domänenlokalen Gruppen - das ist klar. Das ist ja nichts besonderes.
Ich wollte Dich darauf hinweisen, dass das, was Du in Deiner Eingangsfrage geschrieben hast, technisch nicht möglich ist. Also kannst Du das so auch nicht gemacht haben. Lies einfach nochmal genau, was ich geschrieben habe.
Also meine Ordnerberechtigung habe ich mit Local_Group versehen.
Du hast meinen Hinweis nicht verstanden.Wie Du das mit der Gruppenverschachtelung meinst und den Berechtigungen über die domänenlokalen Gruppen - das ist klar. Das ist ja nichts besonderes.
Ich wollte Dich darauf hinweisen, dass das, was Du in Deiner Eingangsfrage geschrieben hast, technisch nicht möglich ist. Also kannst Du das so auch nicht gemacht haben. Lies einfach nochmal genau, was ich geschrieben habe.
Hallo emeriks,
Hast du eine Idee weshalb die SID nicht richtig aufgelöst wird? Wenn ich die Gruppe suche, wird diese richtig angezeigt. Auch nach dem hinzufügen wird sie richtig angezeigt. Wenn ich das Fenster schließe und wieder öffne, ist nur noch die SID zu lesen.
Deinen Hinweis habe ich gelesen, Ich glaube, dass wir entweder aneinander vorbei gesprochen haben, oder ich mich dumm ausgedrückt habe.
Eine Local Group kann ich natürlich nicht zu anderen Domain Groups hinzufügen. Deshalb der Umstand mit den Global Groups.
Ich habe die Local Group nur in meinem Ordner als Freigabe Berechtigung eingetragen. Und die Global Groups beider Domains als Mitglied der Local Group gemacht.
RICHTIG
Local Group Mitglieder
- Global Group Domain A
- Global Group Domain B
FALSCH (funktioniert nicht)
Local Group Mitglieder
- Local Groups
Hast du eine Idee weshalb die SID nicht richtig aufgelöst wird? Wenn ich die Gruppe suche, wird diese richtig angezeigt. Auch nach dem hinzufügen wird sie richtig angezeigt. Wenn ich das Fenster schließe und wieder öffne, ist nur noch die SID zu lesen.
Deinen Hinweis habe ich gelesen, Ich glaube, dass wir entweder aneinander vorbei gesprochen haben, oder ich mich dumm ausgedrückt habe.
Eine Local Group kann ich natürlich nicht zu anderen Domain Groups hinzufügen. Deshalb der Umstand mit den Global Groups.
Ich habe die Local Group nur in meinem Ordner als Freigabe Berechtigung eingetragen. Und die Global Groups beider Domains als Mitglied der Local Group gemacht.
RICHTIG
Local Group Mitglieder
- Global Group Domain A
- Global Group Domain B
FALSCH (funktioniert nicht)
Local Group Mitglieder
- Local Groups
Ich glaube ich muss ausflippen!!!
Ich suche die Ganze Zeit nach dem Problem weshalb ich nicht auf meine Freigabe zugreifen kann. Jetzt ging ich die ganze Zeit davona aus, dass es noch ein Problem mit den Berechtigungen und den Gruppen gibt.
Die ganze Zeit habe ich versucht auf meine Freigabe mit der IP zuzugreifen.
Also:
Anschließend auf die Freigabe klicken... FEHLER!
Jetzt dachte ich mir, vielleicht liegt es an dem DNS Server, weshalb auch meine Gruppen Namen nicht aufgelöst werden und meine SID anstatt des Namens angezeigt wird. Ok, einfacher Test. Versuch ich es einfach mit dem Server Namen.
Also:
Hier bekomme ich direkt ein FEHLER angezeigt! Server nicht gefunden!
Das ist natürlich auch klar, denn mein Server befindet sich ja nicht in dieser Domain.
Also:
Tada... Server gefunden. Und Tada... Ich kann jetzt auf die Freigabe wie gewünscht zugreifen.
Jetzt bin ich aktuell am überlegen, weshalb die Freigabe über den FQDN verwendet werden kann, und über die IP nicht?
Mein Debian File Server unter dem Debian Samba DC wird von der anderen Domäne über IP und FQDN gefunden und kann über beide Wege verwendet werden!?
Somit funktioniert alles wie gewünscht. Ich würde aber gerne noch den Schönheitsfehler mit den SID´s lösen.
Hat jemand eine Idee weshalb diese auf der Debian Samba DC Seite nicht aufgelöst werden?
Auf der Windows AD Seite wird alles wie gewünscht angezeigt.
Ich suche die Ganze Zeit nach dem Problem weshalb ich nicht auf meine Freigabe zugreifen kann. Jetzt ging ich die ganze Zeit davona aus, dass es noch ein Problem mit den Berechtigungen und den Gruppen gibt.
Die ganze Zeit habe ich versucht auf meine Freigabe mit der IP zuzugreifen.
Also:
\\ServerIPJetzt dachte ich mir, vielleicht liegt es an dem DNS Server, weshalb auch meine Gruppen Namen nicht aufgelöst werden und meine SID anstatt des Namens angezeigt wird. Ok, einfacher Test. Versuch ich es einfach mit dem Server Namen.
Also:
\\ServerNAMEDas ist natürlich auch klar, denn mein Server befindet sich ja nicht in dieser Domain.
Also:
\\ServerNAME.domain.localJetzt bin ich aktuell am überlegen, weshalb die Freigabe über den FQDN verwendet werden kann, und über die IP nicht?
Mein Debian File Server unter dem Debian Samba DC wird von der anderen Domäne über IP und FQDN gefunden und kann über beide Wege verwendet werden!?
Somit funktioniert alles wie gewünscht. Ich würde aber gerne noch den Schönheitsfehler mit den SID´s lösen.
Hat jemand eine Idee weshalb diese auf der Debian Samba DC Seite nicht aufgelöst werden?
Auf der Windows AD Seite wird alles wie gewünscht angezeigt.
Defacto ist es so, dass der Betrachter die SID's auflöst.
Wenn Du Dir also von einem Client aus mit dem Windows Explorer die ACL eines Objekts auf einem Server anschaust, dann muss der Client die SID's übersetzen können, nicht der Server.
Wenn Du direkt auf dem Samba Server die ACLs anschaust oder die Gruppenmitgliedschaft, dann muss der Samba Server die SID's übersetzen können.
Wenn Du Dir also von einem Client aus mit dem Windows Explorer die ACL eines Objekts auf einem Server anschaust, dann muss der Client die SID's übersetzen können, nicht der Server.
Wenn Du direkt auf dem Samba Server die ACLs anschaust oder die Gruppenmitgliedschaft, dann muss der Samba Server die SID's übersetzen können.
Super emeriks! Da hätte ich natürlich selbst drauf kommen können. Das schaue ich mir gleich mal an.
Also ich habe mir das gestern noch mal angeschaut.
Firewall technisch war vom Client zum Serrver und zurück alles offen.
Ich habe einen Ping test durchgeführt.
ping DOMAIN-DEBIAN.NET = erfolgreich
ping DOMAIN-WINDOWS.NET = Fehler (die IP zum Windows Active Directory wurde jedoch aufgelöst)
Ich denke das hier der Fehler liegt.
Firewall technisch war vom Client zum Serrver und zurück alles offen.
Ich habe einen Ping test durchgeführt.
ping DOMAIN-DEBIAN.NET = erfolgreich
ping DOMAIN-WINDOWS.NET = Fehler (die IP zum Windows Active Directory wurde jedoch aufgelöst)
Ich denke das hier der Fehler liegt.
Und natürlich lag es doch an der Firewall. Wenn ich am Client TCP und UDP öffne, ICMP4 jedoch nicht, dann kann der Ping auch nicht funktionieren! *lach*
Jetzt funktioniert mein Ping zu beiden DOMAINS.
Von beiden Domains wird auch mein Client mit dem Ping erreicht.
Jedoch werden die SID´s in meinem Client mit den RSAT immer noch nicht aufgelöst.
Hat hier noch jemand eine Idee wo der Fehler liegen könnte.
Ich habe gerade gesehen das hinter den SID´s unter (Active Directory-Domänendienste-Ordner) nicht DOMAIN-WINDOWS.NET steht, sondern DOMAIN-DEBIAN.NET/ForeignSecurityPrincipals
Jetzt funktioniert mein Ping zu beiden DOMAINS.
Von beiden Domains wird auch mein Client mit dem Ping erreicht.
Jedoch werden die SID´s in meinem Client mit den RSAT immer noch nicht aufgelöst.
Hat hier noch jemand eine Idee wo der Fehler liegen könnte.
Ich habe gerade gesehen das hinter den SID´s unter (Active Directory-Domänendienste-Ordner) nicht DOMAIN-WINDOWS.NET steht, sondern DOMAIN-DEBIAN.NET/ForeignSecurityPrincipals
Zitat von @joe2017:
Ich habe gerade gesehen das hinter den SID´s unter (Active Directory-Domänendienste-Ordner) nicht DOMAIN-WINDOWS.NET steht, sondern DOMAIN-DEBIAN.NET/ForeignSecurityPrincipals
Was OK ist und entsteht z.B., wenn man Konten extern vertrauter Domänen in Gruppen der eigenen Domäne zum Mitglied macht. Und wenn ein Client eine SID nicht "echt" auflösen kann, dann greift er auf diese ForeignSecurityPrincipals zurück. Das sind quasi "Proxy"-Objekte.Ich habe gerade gesehen das hinter den SID´s unter (Active Directory-Domänendienste-Ordner) nicht DOMAIN-WINDOWS.NET steht, sondern DOMAIN-DEBIAN.NET/ForeignSecurityPrincipals
So etwas habe ich mir schon gedacht.
Aber wo sollte hier noch ein Problem mit dem DNS sein. Es wird ja aktuell alles aufgelöst.
Und in dem Moment wo ich mit dem Client (RSAT) die Gruppen hinzufüge, sehe ich auch den Namen.
Erst nach dem schließen des Fensters und anschließendem öffnen, wird nur die SID angezeigt.
Aber wo sollte hier noch ein Problem mit dem DNS sein. Es wird ja aktuell alles aufgelöst.
Und in dem Moment wo ich mit dem Client (RSAT) die Gruppen hinzufüge, sehe ich auch den Namen.
Erst nach dem schließen des Fensters und anschließendem öffnen, wird nur die SID angezeigt.
