Samba:User
Aus KissDoc
Inhaltsverzeichnis |
Allgemein
Die Gruppenumsetzung des Sambas ist sehr komfortabel. Es gibt mehr Möglichkeiten, als man zunächst denkt ;). Auch die Schnittstellen sind bis hin zu PAM und LADP sehr vielseitig und modern.
Samba als PDC
Einrichtung als PDC
In der smb.conf ...
Clients in die Domäne Einbinden
Um einen Clientrechner (NT4) in die Domäne einzubinden müssen folgende Schritte gemacht werden:
- eine Vetrauensgruppe erzeugen:
groupadd trusted - Vetrauenskonto für NT-Client im Netz erzeugen :
useradd -g trusted -d /dev/null -s /dev/null Rechnername$ - Vetrauenskonto für Samba erzeugen:
smbpasswd -a -m Rechnername
Jetzt ist ein Konto für den Client auf dem Sambaserver eingerichtet. Bei der ersten Anmeldung des Client an den Server wird zwischen beiden ein Passwort (für den Rechner) vereinbart. Die Anmeldung des Users muss das erste mal als root erfolgen.
Wird der Clientrechner neu installiert (OS), so ist das ursprünglich ausgemachte Passwort beim Client nicht mehr vorhanden. Der Server lässt also die Anmeldung nicht zu. Für eine erneute Einbindung muss das Computerkonto auf dem Server gelöscht und neu eingerichtet werden.
Hinweis: Wenn auf dem Samba der Benutzer "Administror" (Windows) auf den Benutzer "root" (Linux) gemappt wird, dann darf beim ersten Anmelden nicht der lokaler Administrator angemeldet sein, sondern ein andere Benutzer mit Administrator-Rechten ! Ansosnten versucht Windows die Rechte des Administators auf den Samba-Benutzer zu übertragen - und das schlägt fehl. Entscheidend ist hierbei, dass das Computerkonto zu dem Zeitpunkt erstellt wird, bei dem "Administrator gemappt wurde. Scheinbar wird beim Erstellen des Computerkontos das Mapping mit integriert. Also:
- nicht den Administrator mappen, oder
- nicht als loakler Administrator angemeldet sein
Weiterhin muss beim ersten Anmelden der Anmeldename zur Domäne "root" oder ein anderer User mit Samba-Admin-Rechten sein. Dieser muss natürlich als Samba-Benutzer schon existieren.
Group Mapping
Das Gruppenhandling wurde im Samba 3.x völlig neu überarbeitet. Das Subkommando groupmap des net Binary's ist Bestandteil des smbclient's. Eine supi Beschreibung gibt's im
HOWTO. Einen Überblick über die gemappten Linuxgruppen könnt ihr euch mit net groupmap list verschaffen. Falls für eine Windowsgruppe keine Linuxgruppe spezifiziert wurde, ist die Zuordnung -1.
Es gibt drei Standardgruppen (Domain Admins, Domain Users und Domain Guests), welche auch gemapt werden müssen. Legt dabei aber keine neuen Gruppen an. Die Modifikation kann in etwa so aussehen:
net groupmap modify ntgroup="Domain Admins" unixgroup=adm net groupmap modify ntgroup="Domain Users" unixgroup=users net groupmap modify ntgroup="Domain Guests" unixgroup=nogroup
Sollte doch einmal die Zuordung hoffungslos durcheinander sein, löscht die Group-Map Datei aus dem /var/lib/samba/ Verzeichnis. Diese wird dann wieder neu angelegt. Neue zusätzliche Gruppen können natürlich auch angelegt werden:
net groupmap add ntgroup="Domain Staff" unixgroup=staff type=domain
Die Domänen-Gruppen müssen nun noch den lokalen Gruppen eines Rechners zugeordnet werden. Dabei werden die Gruppen Domain Admins und Domain Users automatisch bereits bei der Installation eingetragen, damit die richtigen lokalen Richtlinien greifen können. Dies wird bei uns vom install.wsf Installationsscript übernommen und sieht auf der NT Konsole in etwa so aus:
net localgroup Benutzer CCD-Net\Staff /ADD net localgroup Gäste "CCD-Net\Domain Guests" /ADD
Zu guter Letzt gibt es noch ein interessantes Binary namens ifmember.exe aus dem ResKit von NT. Es besitzt leider keine Parameterhilfe (ist ja auch kostenlos ;)), hat aber folgende Syntax: ifmember [/verbose] [/list] [<groupname>[ <groupname>... ]] und antwortet per Errorlevel. Damit kann recht leicht die Zugehörigkeit des aktuellen Nutzers zu einer Gruppe im Script geprüft werden.
