8
Ubuntu 14.04 LTS Problem Windows Domänen-Nutzer
Guten Morgen,
Und zwar folgende Probleme:
Ich habe einen Ubuntu Server 14.04 LTS aufgesetzt und diesen in eine Windows Domäne migriert (Domain Controller auf Win 2008R2). Wir nutzen den Ubuntu Server als Fileserver.
Hat alles auch soweit geklappt.
Jedoch muss ich die Nutzer der Windows Domäne erst - ich nutze Putty - einmal auf dem Ubuntu Server anmelden, damit diese dann über das Netzwerk auf den Server zugreifen können und ein Home Directory angelegt wird; kann man dasanders regeln?
Und zweitens: Wenn das Domänenpasswort des Nutzers geändert wird, geht auch der Berechtigungszugriff auf den Ubuntu Server übers Netzwerk flöten. Inwiefern kann ich die Passwortänderung auf unserem Domain Controller mit dem Ubuntu Server synchronisieren?
Vielen Dank
Gruß
Und zwar folgende Probleme:
Ich habe einen Ubuntu Server 14.04 LTS aufgesetzt und diesen in eine Windows Domäne migriert (Domain Controller auf Win 2008R2). Wir nutzen den Ubuntu Server als Fileserver.
Hat alles auch soweit geklappt.
Jedoch muss ich die Nutzer der Windows Domäne erst - ich nutze Putty - einmal auf dem Ubuntu Server anmelden, damit diese dann über das Netzwerk auf den Server zugreifen können und ein Home Directory angelegt wird; kann man dasanders regeln?
Und zweitens: Wenn das Domänenpasswort des Nutzers geändert wird, geht auch der Berechtigungszugriff auf den Ubuntu Server übers Netzwerk flöten. Inwiefern kann ich die Passwortänderung auf unserem Domain Controller mit dem Ubuntu Server synchronisieren?
Vielen Dank
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 250535
Url: https://administrator.de/contentid/250535
Ausgedruckt am: 22.11.2024 um 03:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
smb.conf
creator.sh
Wenn Saba und winbind richtig eingerichtet sind. dann spielt das Passwort keine Rolle.
Winbind und Linux müssen die Domänenbenutzer kennen, sonnst ist nicht alles richtig eingerichtet. Evtl muss der Server einmal komplett neu gestartet werden.
Gruß
Chonta
smb.conf
[%U]
root preexec = /data/samba/creator.sh %U
path = /data/samba/home/%U
comment = "persönliches Netzlaufwerk"
browseable = yes
writable = yes
nt acl support = no
valid users = %U
create mask = 0640
create mode = 0640creator.sh
#!/bin/bash
#Dieses Script wird ueber root preexec in der /etc/samba/smb.conf in einer Freigabe eingebunden.
#Mit dem Script wird das Benutzerlaufwerk automatisch erstellt, wenn es nicht existiert
#root preexec = /data/samba/creator.sh %U
path=/data/samba/home/
if [ ! -e $path$1 ]; then
mkdir $path$1;
chown $1:root $path$1;
chmod o-rwx; fiWenn Saba und winbind richtig eingerichtet sind. dann spielt das Passwort keine Rolle.
Winbind und Linux müssen die Domänenbenutzer kennen, sonnst ist nicht alles richtig eingerichtet. Evtl muss der Server einmal komplett neu gestartet werden.
Gruß
Chonta
Vielen Dank schonmal.
Also über "getent passwd" zeigt er mir alle Nutzer der Windows Domäne an, jedoch sind nur die, die über "wbinfo -u" gefunden werden, auch "regisitriert".
Neugestartet habe ich beide Server bereits.
Also über "getent passwd" zeigt er mir alle Nutzer der Windows Domäne an, jedoch sind nur die, die über "wbinfo -u" gefunden werden, auch "regisitriert".
Neugestartet habe ich beide Server bereits.
Hallo,
getent passwd zeigt alle Benutzer die das Linuxsystem kennt an (wenn so konfiguriert das es geht)
wbinfo zeigt nur die windowsbenutzer die aus dem AD gelesen werden konnten.
Wenn Du nun benutzer im System hast die genause heißen ist das blöd und wenn dein ID mapping nicht hinhaut auch.
Also wie schaut deine konfig aus und welche Sambaversion benutzt Du? Wenn Samba4 ist der Samba auch ein DC ode rnur Fileserver?
Bitte nicht immer mit den Infos geizen, (aber auch keine Romane) dann kann auch geholfen werden.
Gruß
Chonta
getent passwd zeigt alle Benutzer die das Linuxsystem kennt an (wenn so konfiguriert das es geht)
wbinfo zeigt nur die windowsbenutzer die aus dem AD gelesen werden konnten.
Wenn Du nun benutzer im System hast die genause heißen ist das blöd und wenn dein ID mapping nicht hinhaut auch.
Also wie schaut deine konfig aus und welche Sambaversion benutzt Du? Wenn Samba4 ist der Samba auch ein DC ode rnur Fileserver?
Bitte nicht immer mit den Infos geizen, (aber auch keine Romane) dann kann auch geholfen werden.
Gruß
Chonta
Grobe Richtschnur wie es mit winbind geht steht hier:
Netzwerk Management Server mit Raspberry Pi
Das Passwort ist de fact unbeteiligt wie Kollege chonta schon richtig bemerkt. Klar, denn das wird auf dem Win Server zentral gemacht.
Netzwerk Management Server mit Raspberry Pi
Das Passwort ist de fact unbeteiligt wie Kollege chonta schon richtig bemerkt. Klar, denn das wird auf dem Win Server zentral gemacht.
Hallo,
Danke für die schnellen Antworten!
Den "David und Goliath" Abschnitt hatte ich auch schon entdeckt und die Checkliste, die dort vermerkt ist, trifft auch zu.
smb.conf - wie hier gefunden Debian Linux in eine Active Directory Domäne integrieren - und mit spezifischen Daten gefüllt:
[global]
workgroup = FIRMA (Arbeitsgruppen Name; in aller Regel Domänen-Name ohne Suffix)
realm = FIRMA.DE (Domänen-Name)
netbios name = DEBIAN (NETBIOS-Name des Debian Servers; max. 15 Zeichen lang!)
security = ADS (Active Directory soll die Authentisierung stellen)
idmap uid = 10000-20000 (Range der UIDs für das Mapping von AD-RIDs auf UIDs)
idmap gid = 10000-20000 (Range der GIDs für das Mapping von AD-RIDs auf GIDs)
template shell = /bin/bash (Shell die der Benutzer nach der Anmeldung bekommt)
winbind use default domain = yes (User muss kein Prefix bei der Anmeldung angeben)
Hinzu kommt [homes] und [public] - für jeweils ein eigenes Verzeichnis als auch eine öffentliche Ablage.
Verwende Samba Version 4.1.6 und nein. DC ist der Windows Server.
Edit:
Zum Einrichten habe ich diese Anleitung zur HIlfe genommen: http://www.kiloroot.com/add-ubuntu-14-04-lts-server-to-a-windows-active ...
War das erste Tutorial, das für mich hilfreich war.
Edit#2:
Mit der oben verwendeten [global] Konfiguration hab ich mich eben ausgesperrt und der Winbind Dienst hat bei booten 'nen >Fail< ausgegeben.
Geändert hatte ich dort workgroup, realm und netbios name. Kann der Rest so bestehen bleiben?
Benutze nun diese:
[global]
workgroup = smb
security = share
share modes = yes
Mit welcher es wieder funktioniert.
Danke für die schnellen Antworten!
Den "David und Goliath" Abschnitt hatte ich auch schon entdeckt und die Checkliste, die dort vermerkt ist, trifft auch zu.
smb.conf - wie hier gefunden Debian Linux in eine Active Directory Domäne integrieren - und mit spezifischen Daten gefüllt:
[global]
workgroup = FIRMA (Arbeitsgruppen Name; in aller Regel Domänen-Name ohne Suffix)
realm = FIRMA.DE (Domänen-Name)
netbios name = DEBIAN (NETBIOS-Name des Debian Servers; max. 15 Zeichen lang!)
security = ADS (Active Directory soll die Authentisierung stellen)
idmap uid = 10000-20000 (Range der UIDs für das Mapping von AD-RIDs auf UIDs)
idmap gid = 10000-20000 (Range der GIDs für das Mapping von AD-RIDs auf GIDs)
template shell = /bin/bash (Shell die der Benutzer nach der Anmeldung bekommt)
winbind use default domain = yes (User muss kein Prefix bei der Anmeldung angeben)
Hinzu kommt [homes] und [public] - für jeweils ein eigenes Verzeichnis als auch eine öffentliche Ablage.
Zitat von @Chonta:
Wenn Du nun benutzer im System hast die genause heißen ist das blöd und wenn dein ID mapping nicht hinhaut auch.
Genauso heißen wie was?Wenn Du nun benutzer im System hast die genause heißen ist das blöd und wenn dein ID mapping nicht hinhaut auch.
Verwende Samba Version 4.1.6 und nein. DC ist der Windows Server.
Edit:
Zum Einrichten habe ich diese Anleitung zur HIlfe genommen: http://www.kiloroot.com/add-ubuntu-14-04-lts-server-to-a-windows-active ...
War das erste Tutorial, das für mich hilfreich war.
Edit#2:
Mit der oben verwendeten [global] Konfiguration hab ich mich eben ausgesperrt und der Winbind Dienst hat bei booten 'nen >Fail< ausgegeben.
Geändert hatte ich dort workgroup, realm und netbios name. Kann der Rest so bestehen bleiben?
Benutze nun diese:
[global]
workgroup = smb
security = share
share modes = yes
Mit welcher es wieder funktioniert.
Hallo,
wenn Du einen Benutzer unter Linux anlegst der Gerd heißt und es im AD auch einen Benutzer gibt dessen Konto Gerd geißt dann kannst Du mit Problemen rechnen.
fehlt: winbind refresh tickets = Yes
Sollte gegen deine idmap getauscht werden:
idmap config * : backend = rid
idmap config * : range = 100000-1000000000
idmap config * : base_rid = 0
Der Mapingbereich fängt zu low an!
wenn Du einen neune linux Benutzer anlegst wird dabei auf den ID Rahmen in der /etc/adduser.conf zurückgegriffen.
Wenn smb eingebunden ist und ein Maping statfindet wird Linux diese IDs mit verwenden und ab der letzten gemapten UserID/GruppenID neue Linuxbenutzer anlegen und damit den Maping zerschießen.
Gruß
Chonta
wenn Du einen Benutzer unter Linux anlegst der Gerd heißt und es im AD auch einen Benutzer gibt dessen Konto Gerd geißt dann kannst Du mit Problemen rechnen.
fehlt: winbind refresh tickets = Yes
Sollte gegen deine idmap getauscht werden:
idmap config * : backend = rid
idmap config * : range = 100000-1000000000
idmap config * : base_rid = 0
Der Mapingbereich fängt zu low an!
wenn Du einen neune linux Benutzer anlegst wird dabei auf den ID Rahmen in der /etc/adduser.conf zurückgegriffen.
Wenn smb eingebunden ist und ein Maping statfindet wird Linux diese IDs mit verwenden und ab der letzten gemapten UserID/GruppenID neue Linuxbenutzer anlegen und damit den Maping zerschießen.
Gruß
Chonta
Habe, das was Du gepostet hast, hinzugefügt, jedoch half auch das nicht.
Sobald ich in der smb.conf bei "security" >ADS< anstatt >share< stehen habe, werd ich ausgesperrt.
An sich bräuchte ich "nur" eine Lösung für das Passwortproblem.
Der durch die Anmeldung über Putty angelegte User auf dem Ubuntu Server müsste das Passwort, wenn es über die Domäne geändert wird, übernehmen.
Habe es mit einem Dummyacc versucht:
- Einmalig angemeldet und Zugriff gehabt auf home und public directory.
- Passwort geändert und man sollte bei erneutem Zugriff aufs Netzlaufwerk das Netzwerkkennwort eingeben.
Ist ja an sich nicht so schlimm ist, würde er dann das alte hinterlegte Passwort ändern...
Gruß
Sobald ich in der smb.conf bei "security" >ADS< anstatt >share< stehen habe, werd ich ausgesperrt.
An sich bräuchte ich "nur" eine Lösung für das Passwortproblem.
Der durch die Anmeldung über Putty angelegte User auf dem Ubuntu Server müsste das Passwort, wenn es über die Domäne geändert wird, übernehmen.
Habe es mit einem Dummyacc versucht:
- Einmalig angemeldet und Zugriff gehabt auf home und public directory.
- Passwort geändert und man sollte bei erneutem Zugriff aufs Netzlaufwerk das Netzwerkkennwort eingeben.
Ist ja an sich nicht so schlimm ist, würde er dann das alte hinterlegte Passwort ändern...
Gruß
Hallo,
mach nicht irgendwas, machs richtig.
Mit putty wird auch kein Benutzer angelegt! Das einzige was Du machst wenn sich der benutzer über Putty einloggt ist das Homeverzeichniss anzulegen.
Das wird aber auch durch das Script das ich Dir geschickt habe.
Die Problematik hast Du weil Du bei der anbindung ans AD irgendwo einen Fehler gemacht hast.
Securety von ADS auf Share? hä?
Mach das alles nochmal von Anfang und richtig, dann klapts auch.
Gruß
Chonta
mach nicht irgendwas, machs richtig.
Mit putty wird auch kein Benutzer angelegt! Das einzige was Du machst wenn sich der benutzer über Putty einloggt ist das Homeverzeichniss anzulegen.
Das wird aber auch durch das Script das ich Dir geschickt habe.
Die Problematik hast Du weil Du bei der anbindung ans AD irgendwo einen Fehler gemacht hast.
Securety von ADS auf Share? hä?
Mach das alles nochmal von Anfang und richtig, dann klapts auch.
Gruß
Chonta
