bugmenot2
Goto Top

Ubuntu 14.04 LTS Problem Windows Domänen-Nutzer

Guten Morgen,

Und zwar folgende Probleme:
Ich habe einen Ubuntu Server 14.04 LTS aufgesetzt und diesen in eine Windows Domäne migriert (Domain Controller auf Win 2008R2). Wir nutzen den Ubuntu Server als Fileserver.
Hat alles auch soweit geklappt.

Jedoch muss ich die Nutzer der Windows Domäne erst - ich nutze Putty - einmal auf dem Ubuntu Server anmelden, damit diese dann über das Netzwerk auf den Server zugreifen können und ein Home Directory angelegt wird; kann man dasanders regeln?
Und zweitens: Wenn das Domänenpasswort des Nutzers geändert wird, geht auch der Berechtigungszugriff auf den Ubuntu Server übers Netzwerk flöten. Inwiefern kann ich die Passwortänderung auf unserem Domain Controller mit dem Ubuntu Server synchronisieren?

Vielen Dank

Gruß

Content-Key: 250535

Url: https://administrator.de/contentid/250535

Ausgedruckt am: 29.03.2024 um 06:03 Uhr

Mitglied: Chonta
Chonta 30.09.2014 um 10:11:58 Uhr
Goto Top
Hallo,

smb.conf
[%U]
        root preexec =  /data/samba/creator.sh %U
        path = /data/samba/home/%U
        comment = "persönliches Netzlaufwerk"  
        browseable = yes
        writable = yes
        nt acl support = no
        valid users = %U
        create mask = 0640
        create mode = 0640

creator.sh
#!/bin/bash
#Dieses Script wird ueber root preexec in der /etc/samba/smb.conf in einer Freigabe eingebunden.
#Mit dem Script wird das Benutzerlaufwerk automatisch erstellt, wenn es nicht existiert
#root preexec =  /data/samba/creator.sh %U
path=/data/samba/home/

if [ ! -e $path$1 ]; then
mkdir  $path$1;
chown $1:root $path$1;
chmod o-rwx; fi

Wenn Saba und winbind richtig eingerichtet sind. dann spielt das Passwort keine Rolle.
Winbind und Linux müssen die Domänenbenutzer kennen, sonnst ist nicht alles richtig eingerichtet. Evtl muss der Server einmal komplett neu gestartet werden.

Gruß

Chonta
Mitglied: bugmenot2
bugmenot2 30.09.2014 um 10:39:02 Uhr
Goto Top
Vielen Dank schonmal.
Also über "getent passwd" zeigt er mir alle Nutzer der Windows Domäne an, jedoch sind nur die, die über "wbinfo -u" gefunden werden, auch "regisitriert".
Neugestartet habe ich beide Server bereits.
Mitglied: Chonta
Chonta 30.09.2014 um 10:43:11 Uhr
Goto Top
Hallo,

getent passwd zeigt alle Benutzer die das Linuxsystem kennt an (wenn so konfiguriert das es geht)
wbinfo zeigt nur die windowsbenutzer die aus dem AD gelesen werden konnten.

Wenn Du nun benutzer im System hast die genause heißen ist das blöd und wenn dein ID mapping nicht hinhaut auch.

Also wie schaut deine konfig aus und welche Sambaversion benutzt Du? Wenn Samba4 ist der Samba auch ein DC ode rnur Fileserver?
Bitte nicht immer mit den Infos geizen, (aber auch keine Romane) dann kann auch geholfen werden.

Gruß

Chonta
Mitglied: aqui
aqui 30.09.2014 um 10:46:05 Uhr
Goto Top
Grobe Richtschnur wie es mit winbind geht steht hier:
Netzwerk Management Server mit Raspberry Pi
Das Passwort ist de fact unbeteiligt wie Kollege chonta schon richtig bemerkt. Klar, denn das wird auf dem Win Server zentral gemacht.
Mitglied: bugmenot2
bugmenot2 30.09.2014 aktualisiert um 11:25:42 Uhr
Goto Top
Hallo,

Danke für die schnellen Antworten!
Den "David und Goliath" Abschnitt hatte ich auch schon entdeckt und die Checkliste, die dort vermerkt ist, trifft auch zu.

smb.conf - wie hier gefunden Debian Linux in eine Active Directory Domäne integrieren - und mit spezifischen Daten gefüllt:

[global]
workgroup = FIRMA (Arbeitsgruppen Name; in aller Regel Domänen-Name ohne Suffix)
realm = FIRMA.DE (Domänen-Name)
netbios name = DEBIAN (NETBIOS-Name des Debian Servers; max. 15 Zeichen lang!)
security = ADS (Active Directory soll die Authentisierung stellen)
idmap uid = 10000-20000 (Range der UIDs für das Mapping von AD-RIDs auf UIDs)
idmap gid = 10000-20000 (Range der GIDs für das Mapping von AD-RIDs auf GIDs)
template shell = /bin/bash (Shell die der Benutzer nach der Anmeldung bekommt)
winbind use default domain = yes (User muss kein Prefix bei der Anmeldung angeben)

Hinzu kommt [homes] und [public] - für jeweils ein eigenes Verzeichnis als auch eine öffentliche Ablage.

Zitat von @Chonta:
Wenn Du nun benutzer im System hast die genause heißen ist das blöd und wenn dein ID mapping nicht hinhaut auch.
Genauso heißen wie was?

Verwende Samba Version 4.1.6 und nein. DC ist der Windows Server.


Edit:
Zum Einrichten habe ich diese Anleitung zur HIlfe genommen: http://www.kiloroot.com/add-ubuntu-14-04-lts-server-to-a-windows-active ...
War das erste Tutorial, das für mich hilfreich war.

Edit#2:
Mit der oben verwendeten [global] Konfiguration hab ich mich eben ausgesperrt und der Winbind Dienst hat bei booten 'nen >Fail< ausgegeben.
Geändert hatte ich dort workgroup, realm und netbios name. Kann der Rest so bestehen bleiben?

Benutze nun diese:

[global]
workgroup = smb
security = share
share modes = yes

Mit welcher es wieder funktioniert.
Mitglied: Chonta
Chonta 30.09.2014 um 11:28:50 Uhr
Goto Top
Hallo,

wenn Du einen Benutzer unter Linux anlegst der Gerd heißt und es im AD auch einen Benutzer gibt dessen Konto Gerd geißt dann kannst Du mit Problemen rechnen.

fehlt: winbind refresh tickets = Yes

Sollte gegen deine idmap getauscht werden:
idmap config * : backend = rid
idmap config * : range = 100000-1000000000
idmap config * : base_rid = 0

Der Mapingbereich fängt zu low an!
wenn Du einen neune linux Benutzer anlegst wird dabei auf den ID Rahmen in der /etc/adduser.conf zurückgegriffen.
Wenn smb eingebunden ist und ein Maping statfindet wird Linux diese IDs mit verwenden und ab der letzten gemapten UserID/GruppenID neue Linuxbenutzer anlegen und damit den Maping zerschießen.

Gruß

Chonta
Mitglied: bugmenot2
bugmenot2 30.09.2014 um 11:58:08 Uhr
Goto Top
Habe, das was Du gepostet hast, hinzugefügt, jedoch half auch das nicht.
Sobald ich in der smb.conf bei "security" >ADS< anstatt >share< stehen habe, werd ich ausgesperrt.

An sich bräuchte ich "nur" eine Lösung für das Passwortproblem.
Der durch die Anmeldung über Putty angelegte User auf dem Ubuntu Server müsste das Passwort, wenn es über die Domäne geändert wird, übernehmen.

Habe es mit einem Dummyacc versucht:

- Einmalig angemeldet und Zugriff gehabt auf home und public directory.
- Passwort geändert und man sollte bei erneutem Zugriff aufs Netzlaufwerk das Netzwerkkennwort eingeben.
Ist ja an sich nicht so schlimm ist, würde er dann das alte hinterlegte Passwort ändern...


Gruß
Mitglied: Chonta
Chonta 30.09.2014 um 12:06:12 Uhr
Goto Top
Hallo,

mach nicht irgendwas, machs richtig.
Mit putty wird auch kein Benutzer angelegt! Das einzige was Du machst wenn sich der benutzer über Putty einloggt ist das Homeverzeichniss anzulegen.
Das wird aber auch durch das Script das ich Dir geschickt habe.
Die Problematik hast Du weil Du bei der anbindung ans AD irgendwo einen Fehler gemacht hast.

Securety von ADS auf Share? hä?

Mach das alles nochmal von Anfang und richtig, dann klapts auch.

Gruß

Chonta