Active Directory unter Debian
Hallo zusammen,
ich bin gerade dabei zu Testzwecken ein kleines AD mit Debian aufzubauen, um dies später in unserem kleinen Firmennetz so umzusetzen.
Mein Kenntnisstand diesbezüglich ist allerdings noch sehr gering.
Dafür habe ich Proxmox auf einem test-PC installiert, und will jetzt 3 VMs einrichten:
1. active directory controller
2. fileserver
3. ad member
Hierbei will ich erstmal zu dem Punkt kommen, dass es auf dem fileserver freigegebene Verzeichnisse gibt, auf die mit AD-Benutzern zugegriffen werden kann.
Um das AD einzurichten bin ich folgendem Beispiel gefolgt:
www.considerednormal.com/2022/11/samba-based-active-directory-on-ubuntu-22-04/
Das scheint so weit alles auch zu gehen.
nslookup mit namen der jeweils anderen ad member funktioniert.
Ich konnte fileserver und ad member via "realm join" dem AD hinzufügen.
login mit ad user auf fileserver sowie ad member funktioniert auch.
Jetzt fehlt praktisch "nur" noch die Freigabe auf dem fileserver für domain user, aber hier hapert es noch.
Eine einfache Freigabe mit Gastzugang funktioniert.
smb.conf:
Dies kann ich auf dem anderen ad member system mounten mit
Nun habe ich die smb.conf folgendermaßen geändert:
und versuche die freigabe zu mounten mit
das funktioniert aber nicht, und dmesg zeigt folgendes:
Das klingt für mich wie ein ganz grundsätzlicher Fehler, und ich hänge hier gerade etwas in der Luft wo nun mein Problem liegt.
Zudem herrscht bei mir immer noch Verwirrung was den Zusammenhang von Samba, Winbind, SSSD und Kerberos angeht,
und in welcher Konstellation wo entsprechende configs angepasst werden müssen.
Ich würde mich freuen wenn mich da jemand in eine vernünftige Richtung weisen kann.
ich bin gerade dabei zu Testzwecken ein kleines AD mit Debian aufzubauen, um dies später in unserem kleinen Firmennetz so umzusetzen.
Mein Kenntnisstand diesbezüglich ist allerdings noch sehr gering.
Dafür habe ich Proxmox auf einem test-PC installiert, und will jetzt 3 VMs einrichten:
1. active directory controller
2. fileserver
3. ad member
Hierbei will ich erstmal zu dem Punkt kommen, dass es auf dem fileserver freigegebene Verzeichnisse gibt, auf die mit AD-Benutzern zugegriffen werden kann.
Um das AD einzurichten bin ich folgendem Beispiel gefolgt:
www.considerednormal.com/2022/11/samba-based-active-directory-on-ubuntu-22-04/
Das scheint so weit alles auch zu gehen.
nslookup mit namen der jeweils anderen ad member funktioniert.
Ich konnte fileserver und ad member via "realm join" dem AD hinzufügen.
login mit ad user auf fileserver sowie ad member funktioniert auch.
Jetzt fehlt praktisch "nur" noch die Freigabe auf dem fileserver für domain user, aber hier hapert es noch.
Eine einfache Freigabe mit Gastzugang funktioniert.
smb.conf:
[global]
workgroup = ISBTEST
realm = ISBTEST.LAN
security = ADS
encrypt passwords = yes
password server = *
idmap config * : backend = tdb
idmap config * : range = 3000-7999
template shell = /bin/bash
[homes]
comment = Home Directories
browsable = no
read only = no
create mode = 0750
[public]
path = /share/test
writable = yes
comment = smb share
printable = no
guest ok = yes
Dies kann ich auf dem anderen ad member system mounten mit
sudo mount -t cifs -o guest //filesrv-test3/public /mnt/test
Nun habe ich die smb.conf folgendermaßen geändert:
[public]
path = /share/test
writable = yes
comment = smb share
printable = no
guest ok = no
valid users = @"ISBTEST\Domain Users"
und versuche die freigabe zu mounten mit
sudo mount -t cifs -o rw,user=aduser-test@isbtest.lan //filesrv-test3/public /mnt/test
[ 1177.616970] CIFS: Attempting to mount \\filesrv-test3\public
[ 1177.620205] CIFS: Status code returned 0xc000005e STATUS_NO_LOGON_SERVERS
[ 1177.620220] CIFS: VFS: \\filesrv-test3 Send error in SessSetup = -5
[ 1177.621738] CIFS: VFS: cifs_mount failed w/return code = -5
[ 1178.273041] CIFS: VFS: reconnect tcon failed rc = -13
Das klingt für mich wie ein ganz grundsätzlicher Fehler, und ich hänge hier gerade etwas in der Luft wo nun mein Problem liegt.
Zudem herrscht bei mir immer noch Verwirrung was den Zusammenhang von Samba, Winbind, SSSD und Kerberos angeht,
und in welcher Konstellation wo entsprechende configs angepasst werden müssen.
Ich würde mich freuen wenn mich da jemand in eine vernünftige Richtung weisen kann.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 12795184059
Url: https://administrator.de/forum/active-directory-unter-debian-12795184059.html
Ausgedruckt am: 24.12.2024 um 19:12 Uhr
14 Kommentare
Neuester Kommentar
Moin,
hier eine gute Anleitung:
https://wiki.ubuntuusers.de/Howto/Samba-Fileserver_im_Active_Directory/
hth
Erik
hier eine gute Anleitung:
https://wiki.ubuntuusers.de/Howto/Samba-Fileserver_im_Active_Directory/
hth
Erik
Zitat von @peterjoss:
am client habe ich die resolv.conf folgendermaßen bearbeitet:
den domaincontroller habe ich auch in /etc/hosts eingetragen:
sowie auch in /etc/network/interfaces:
am client habe ich die resolv.conf folgendermaßen bearbeitet:
domain isbtest.lan
search isbtest.lan
nameserver 10.0.0.230
nameserver 9.9.9.9 #FALSCH!
nameserver 8.8.8.8 #FALSCH!
den domaincontroller habe ich auch in /etc/hosts eingetragen:
127.0.0.1 localhost
127.0.1.1 adclient-test3.isbtest.lan adclient-test3
10.0.0.230 dc-test3.isbtest.lan dc-test3
sowie auch in /etc/network/interfaces:
auto ens18
iface ens18 inet static
address 10.0.0.240
netmask 255.255.255.0
gateway 10.0.0.1
dns-nameservers 10.0.0.230 8.8.8.8 8.8.4.4 #FALSCH!
Niemals, aber auch wirklich niemals tragen wir DNS-Server ein, die nicht zur eigenen Domain gehören. Das AD steht und fällt mit der DNS-Konfiguration. Die fremden Server kennen Deine Domain nicht und können darüber also keine Auskunft geben. Wenn nun ein Client warum auch immer die "alternativen" Server nimmt, dann läuft das gegen die Wand.
Rein aus Interesse, ich verwende auch keinen Google DNS, aber was sind so "Standard" DNS-Server, neben Cloudflare/Quad9?
Zitat von @peterjoss:
Hab jetzt mal alles außer den domain controller als dns aus den cofigs entfernt,
Hab jetzt mal alles außer den domain controller als dns aus den cofigs entfernt,
Das ist gut.
das Problem besteht nach wie vor.
Die Anleitung, die ich Dir geschickt habe, hast Du durchgearbeitet?
aber was sind so "Standard" DNS-Server
Keine US DNS Server…https://www.privacy-handbuch.de/handbuch_93d.htm
Hallo,
wenn du Samba als zuverlässiges AD einsetzten willst möchte ich dir dringend das Buch zu Samba 4 von Stefan Kania ans Herz legen. Die Investition lohnt sich, da er detailliert beschreibt wie du das AD aufzusetzen hast.
Es gibt halt ein paar Fallstricke, wie z.B. das verwendete Kerberos, über die man leicht fällt.
Ich betreibe seit über 5 Jahren ein AD in der Form mit Fileservern, mehreren DCs und gemischten Clients für ein kleines KMU und das ganze läuft sehr stabil.
Was mir beim drüber lesen aufgefallen ist:
- du machst den Join über "realm join", ich hab das immer über "net ads join" gemacht. Wichtig ist das die krb5.conf auf allen Membern identisch ist und das gleiche Kerberos läuft. Kann sein das samba mittlerweile mit dem MIT-Kerberos arbeiten kann, früher ging hier nur der Heimdal-Kerberos.
- Prüfe mal ob die Nutzerauflösung auf dem Fileserver überhaupt funktioniert. Das sollte mit wbinfo -u bzw -g gehen, sofern du winbind für die Nutzerauflösung nimmst. Alternativ sollte auf jeden Fall getent passwd klappen, wenn du z.B. SSSD nimmst und alles richtig konfiguriert ist. Beachte hier auch die nötigen Einstellungen im name service switch des Fileservers.
- Anbei eine Beispielkonfig eines Fileservers:
Vielleicht hilft dir das etwas weiter.
Alles gute und viele Grüße
netbla
wenn du Samba als zuverlässiges AD einsetzten willst möchte ich dir dringend das Buch zu Samba 4 von Stefan Kania ans Herz legen. Die Investition lohnt sich, da er detailliert beschreibt wie du das AD aufzusetzen hast.
Es gibt halt ein paar Fallstricke, wie z.B. das verwendete Kerberos, über die man leicht fällt.
Ich betreibe seit über 5 Jahren ein AD in der Form mit Fileservern, mehreren DCs und gemischten Clients für ein kleines KMU und das ganze läuft sehr stabil.
Was mir beim drüber lesen aufgefallen ist:
- du machst den Join über "realm join", ich hab das immer über "net ads join" gemacht. Wichtig ist das die krb5.conf auf allen Membern identisch ist und das gleiche Kerberos läuft. Kann sein das samba mittlerweile mit dem MIT-Kerberos arbeiten kann, früher ging hier nur der Heimdal-Kerberos.
- Prüfe mal ob die Nutzerauflösung auf dem Fileserver überhaupt funktioniert. Das sollte mit wbinfo -u bzw -g gehen, sofern du winbind für die Nutzerauflösung nimmst. Alternativ sollte auf jeden Fall getent passwd klappen, wenn du z.B. SSSD nimmst und alles richtig konfiguriert ist. Beachte hier auch die nötigen Einstellungen im name service switch des Fileservers.
- Anbei eine Beispielkonfig eines Fileservers:
[global]
client ipc signing = required
client max protocol = SMB3
client min protocol = SMB2
realm = EXAMPLE.INTRA
registry shares = Yes
security = ADS
template shell = /bin/bash
winbind enum groups = Yes
winbind enum users = Yes
winbind refresh tickets = Yes
winbind use default domain = Yes
workgroup = example
idmap config * : range = 10000 - 19999
idmap config example : backend = rid
idmap config example : range = 100000 - 1999999
idmap config * : backend = tdb
inherit acls = Yes
vfs objects = acl_xattr
[Users]
browseable = No
comment = privates Nutzerverzeichnis
create mask = 0700
directory mask = 0700
path = /home/AD
read only = No
[mitarbeiter]
comment = Allgemeine Netzwerkfreigabe
force create mode = 0777
force directory mode = 0777
path = /srv/mitarbeiter
read only = No
Vielleicht hilft dir das etwas weiter.
Alles gute und viele Grüße
netbla