Vertrauensstellung zwischen Linux und Windows Domänen
Hallo,
ich bin Programmierer und habe sehr wenig Erfahrung mit der Betreuung von Netzwerken. Ich mache zur Zeit ein Praktikum und habe mal gleich eine Aufgabe zugeteilt bekommen an der ich am verzweifeln bin.
Nun zum Aufbau des Netzwerkes:
- es gibt zwei Domänen
1. Windows 2000 Server mit AD - für den weiteren Verlauf nenne ich sie Domäne A
2. Linux mit Samba 3.x für den weiteren Verlauf nenne ich sie Domäne B
Nun die Aufgabe:
Es soll eine Vertrauenstellung zwischen beiden Domänen aufgebaut werden um auf die Ressourcen der anderen Domäne zugreifen zu können (bidirektional wäre wünschenswert, reichen tut aber auch von Domäne B auf Domäne A ).
Ich habe natürlich erstmal google gefragt und auch ein paar Antworten bekommen. Diese habe ich dann ausprobiert doch leider ohne Erfolg.
Ich hoffe das Ihr mir weiterhelfen könnt.
MFG
Alex (ein hilfloser Student der Wirtschaftsinformatik)
PS: schon mal danke für das durchlesen dieser Frage
ich bin Programmierer und habe sehr wenig Erfahrung mit der Betreuung von Netzwerken. Ich mache zur Zeit ein Praktikum und habe mal gleich eine Aufgabe zugeteilt bekommen an der ich am verzweifeln bin.
Nun zum Aufbau des Netzwerkes:
- es gibt zwei Domänen
1. Windows 2000 Server mit AD - für den weiteren Verlauf nenne ich sie Domäne A
2. Linux mit Samba 3.x für den weiteren Verlauf nenne ich sie Domäne B
Nun die Aufgabe:
Es soll eine Vertrauenstellung zwischen beiden Domänen aufgebaut werden um auf die Ressourcen der anderen Domäne zugreifen zu können (bidirektional wäre wünschenswert, reichen tut aber auch von Domäne B auf Domäne A ).
Ich habe natürlich erstmal google gefragt und auch ein paar Antworten bekommen. Diese habe ich dann ausprobiert doch leider ohne Erfolg.
Ich hoffe das Ihr mir weiterhelfen könnt.
MFG
Alex (ein hilfloser Student der Wirtschaftsinformatik)
PS: schon mal danke für das durchlesen dieser Frage
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 31570
Url: https://administrator.de/contentid/31570
Ausgedruckt am: 25.11.2024 um 23:11 Uhr
6 Kommentare
Neuester Kommentar
@AlexWI
Hi,
vielleicht hilft dir dieses Kapitel des Samba-Handbuchs weiter:
http://www.oreilly.de/german/freebooks/samba2ger/ch04.html#971244
Gruß
Günni
Hi,
vielleicht hilft dir dieses Kapitel des Samba-Handbuchs weiter:
http://www.oreilly.de/german/freebooks/samba2ger/ch04.html#971244
Gruß
Günni
Was ist denn das für ein Linux / Unix System ???
mit ner recht aktuellen SuSE version kann das
durchaus recht fix erledigt werden, durch den yast !
Ich selbst habe es noch nie ausprobiert. Ansonsten
greif auf das Handbuch zurück, vielleicht kannste dir
ja ausm Netz "sample samba configs" runterladen
Gruß Schranz0r
mit ner recht aktuellen SuSE version kann das
durchaus recht fix erledigt werden, durch den yast !
Ich selbst habe es noch nie ausprobiert. Ansonsten
greif auf das Handbuch zurück, vielleicht kannste dir
ja ausm Netz "sample samba configs" runterladen
Gruß Schranz0r
Vorausgesetzt, der Sambaserver arbeitet als PDC:
Hinzufügen Vertrauensstellung Win->Samba auf dem Sambaserver
smbpasswd -a -i Windowsdomäne
Sambadom -> Win auf dem Sambaserver
net trustdom establish Sambadomäne
In jedem Fall müssen allerdings die Nutzer in beiden Domänen angelegt sein, was Aufwand bedeutet.
Sinnvoller ist es die Nutzerverwaltung in einer Welt zu erledigen z.B. im AD des Win2000. Die Nutzer können dann mit den Services för Unix aufgebohrt werden und der Sambaserver mittels LDAP und Kerberos die Nutzer "nutzen".
Soweit ersteinmal. Sollten etwa noch Rückfragen sein ......
Hinzufügen Vertrauensstellung Win->Samba auf dem Sambaserver
smbpasswd -a -i Windowsdomäne
Sambadom -> Win auf dem Sambaserver
net trustdom establish Sambadomäne
In jedem Fall müssen allerdings die Nutzer in beiden Domänen angelegt sein, was Aufwand bedeutet.
Sinnvoller ist es die Nutzerverwaltung in einer Welt zu erledigen z.B. im AD des Win2000. Die Nutzer können dann mit den Services för Unix aufgebohrt werden und der Sambaserver mittels LDAP und Kerberos die Nutzer "nutzen".
Soweit ersteinmal. Sollten etwa noch Rückfragen sein ......
Hallo
Ich versuche seit mitte Januar eine Vertrauensstellung zwischen unserem Win2k03 und Samba 3.0.24 server herzustellen und bin bis heute kläglich gescheitert.
Ich habe in den nun fast eineinhalb Monaten mehr gelesen als in den letzten 5 Jahren zusammen. Und nun suche ich Rat hier im Forum.
Also fange ich mal an.
Win2k03 -> Vertrauensstellung eingerichtet Bidirektional -> SID-Filter deaktiviert
Samba 3 -> Alles mögliche versucht und nix hat geklappt.
Aus diesem Grund poste ich mal meine smb.conf, zumindest den Globalteil.
[global]
workgroup = MULTIPOOL.DE
server string = %h Server (Samba %v)
interfaces = eth0
update encrypted = Yes
map to guest = Bad User
passwd program = /usr/bin/passwd %u
passwd chat = *password* %n\n *password* %n\n *changed*
unix password sync = Yes
log file = /var/log/samba/samba.%m
unix charset = UTF8
time server = Yes
socket options = SO_KEEPALIVE TCP_NODELAY IPTOS_LOWDELAY
printcap name = CUPS
add user script = /usr/sbin/useradd -c Machine -d /dev/null -s /bin/false %m$
logon drive = v:
logon home = \\%L\%u
domain logons = Yes
os level = 200
preferred master = Yes
domain master = Yes
local master = Yes
wins support = Yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = Yes
admin users = root
veto files = /*.eml/*.nws/riched20.dll/*.{*}/
Auf dem Linux läuft kein DNS aber die beiden Server sind in der jeweiligen hosts-Datei eingetragen.
Ich weis jetzt nicht was Ihr noch für info's benötigt deswegen wars das erstmal von meiner Seite aus.
Also wenn jemand Tips hat immer her damit.
MfG ein verzweifelter Maik
Ich versuche seit mitte Januar eine Vertrauensstellung zwischen unserem Win2k03 und Samba 3.0.24 server herzustellen und bin bis heute kläglich gescheitert.
Ich habe in den nun fast eineinhalb Monaten mehr gelesen als in den letzten 5 Jahren zusammen. Und nun suche ich Rat hier im Forum.
Also fange ich mal an.
Win2k03 -> Vertrauensstellung eingerichtet Bidirektional -> SID-Filter deaktiviert
Samba 3 -> Alles mögliche versucht und nix hat geklappt.
Aus diesem Grund poste ich mal meine smb.conf, zumindest den Globalteil.
[global]
workgroup = MULTIPOOL.DE
server string = %h Server (Samba %v)
interfaces = eth0
update encrypted = Yes
map to guest = Bad User
passwd program = /usr/bin/passwd %u
passwd chat = *password* %n\n *password* %n\n *changed*
unix password sync = Yes
log file = /var/log/samba/samba.%m
unix charset = UTF8
time server = Yes
socket options = SO_KEEPALIVE TCP_NODELAY IPTOS_LOWDELAY
printcap name = CUPS
add user script = /usr/sbin/useradd -c Machine -d /dev/null -s /bin/false %m$
logon drive = v:
logon home = \\%L\%u
domain logons = Yes
os level = 200
preferred master = Yes
domain master = Yes
local master = Yes
wins support = Yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = Yes
admin users = root
veto files = /*.eml/*.nws/riched20.dll/*.{*}/
Auf dem Linux läuft kein DNS aber die beiden Server sind in der jeweiligen hosts-Datei eingetragen.
Ich weis jetzt nicht was Ihr noch für info's benötigt deswegen wars das erstmal von meiner Seite aus.
Also wenn jemand Tips hat immer her damit.
MfG ein verzweifelter Maik
Zuerst die schlechte Nachricht: Ich habe von Winbind keine Ahnung
Warum machst du es nicht ordentlich mit LDAP?
1.
Das AD-Schema und die Benutzerschnittstelle müssen um die entsprechenden Attribute erweitert werden
Folgend Möglichkeiten: MSfU (Microsoft Services for Unix, gibts frei bei M$), AD4Linux, MKSADPlugins.msi
Es werden jeweils AD-Usern Unix-Accountdaten zugeordnet
Abfrage erfolgt über LDAP-Client
2.
## /etc/ldap.conf (Beispiel für MSfU)
host Domaincontroller mit AD
base dc=test,dc=local
ldap_version 3
binddn # ein beliebiger Gastzugang
port 389
scope sub
nss_base_passwd ou=Mitarbeiter,ou=Chemnitz,dc=test,dc=local
nss_base_group ou=Gruppen,ou=Chemnitz,dc=test,dc=local
nss_map_objectclass posixAccount user
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_objectclass posixGroup Group
nss_map_attribute cn msSFU30Name
nss_map_attribute userPassword msSFU30Password
nss_map_attribute uniqueMember member
nss_map_attribute loginShell msSFU30LoginShell
nss_map_attribute gecos msSFU30Gecos
nss_map_attribute uid msSFU30Name
pam_filter objectclass=user
pam_login_attribute sAMAccountName
pam_password ad
3.
Da LDAP ein Klartextprotokoll ist, muss die Authentifizierung über ein anderes System erfolgen
Microsoft unterstützt Kerberos als Standard
In Linux gibt es MIT und Heimdahl Implementierung für Kerberos
In Kerberos werden nicht Passwörter ausgetauscht sondern zeitbegrenzte Tickets für jeden Dienst erstellt
Konfiguration erfolgt je nach Linux-Distribution
Konfigurationsdatei /etc/krb5.conf
Setzt funktionierende DNS-Namensauflösung voraus (auch revers)
und schon kennt dein Linux alle AD-Nutzer, denen du eine uid und gid gegeben hast.
Viel Spaß und wehe ich kriege nich 6 Sterne
Warum machst du es nicht ordentlich mit LDAP?
1.
Das AD-Schema und die Benutzerschnittstelle müssen um die entsprechenden Attribute erweitert werden
Folgend Möglichkeiten: MSfU (Microsoft Services for Unix, gibts frei bei M$), AD4Linux, MKSADPlugins.msi
Es werden jeweils AD-Usern Unix-Accountdaten zugeordnet
Abfrage erfolgt über LDAP-Client
2.
## /etc/ldap.conf (Beispiel für MSfU)
host Domaincontroller mit AD
base dc=test,dc=local
ldap_version 3
binddn # ein beliebiger Gastzugang
port 389
scope sub
nss_base_passwd ou=Mitarbeiter,ou=Chemnitz,dc=test,dc=local
nss_base_group ou=Gruppen,ou=Chemnitz,dc=test,dc=local
nss_map_objectclass posixAccount user
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_objectclass posixGroup Group
nss_map_attribute cn msSFU30Name
nss_map_attribute userPassword msSFU30Password
nss_map_attribute uniqueMember member
nss_map_attribute loginShell msSFU30LoginShell
nss_map_attribute gecos msSFU30Gecos
nss_map_attribute uid msSFU30Name
pam_filter objectclass=user
pam_login_attribute sAMAccountName
pam_password ad
3.
Da LDAP ein Klartextprotokoll ist, muss die Authentifizierung über ein anderes System erfolgen
Microsoft unterstützt Kerberos als Standard
In Linux gibt es MIT und Heimdahl Implementierung für Kerberos
In Kerberos werden nicht Passwörter ausgetauscht sondern zeitbegrenzte Tickets für jeden Dienst erstellt
Konfiguration erfolgt je nach Linux-Distribution
Konfigurationsdatei /etc/krb5.conf
Setzt funktionierende DNS-Namensauflösung voraus (auch revers)
und schon kennt dein Linux alle AD-Nutzer, denen du eine uid und gid gegeben hast.
Viel Spaß und wehe ich kriege nich 6 Sterne
Hallo
@prob
Ich danke Dir erstmal für Deine ausführliche Antwort.
In wie weit ich das nun realisieren werde hängt von der Geduld meines Chef's ab.
Alternativ habe ich ihm angeboten, das sich alle Benutzer gleich auf dem 2003er
anmelden und den Linux nur noch als Fileserver und eventuell Printserver fungieren
zu lassen.
MfG Maik
PS: 6 Sterne bekomst du auch noch von mir.
@prob
Ich danke Dir erstmal für Deine ausführliche Antwort.
In wie weit ich das nun realisieren werde hängt von der Geduld meines Chef's ab.
Alternativ habe ich ihm angeboten, das sich alle Benutzer gleich auf dem 2003er
anmelden und den Linux nur noch als Fileserver und eventuell Printserver fungieren
zu lassen.
MfG Maik
PS: 6 Sterne bekomst du auch noch von mir.