Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Zusammenhang zwischen SAMBA, WINBIND, KERBEROS, PAM, ntlm auth und Active Directory

Mitglied: spacyfreak

spacyfreak (Level 2) - Jetzt verbinden

09.04.2008, aktualisiert 17:46 Uhr, 9700 Aufrufe, 5 Kommentare

Hallo

Ich versuche grade endlich mal klar zu verstehen, wie die Themen SAMBA, WINBIND, KERBEROS, ntlm_auth und Active Directory zusammenhängen, bzw. was ich konkret brauche um einen Linux (Debian) Server zu einem Active Directory Memberserver zu machen, um für beliebige Linux Dienste (sei es SAMBA Filedienste, Radius, SSH-Login usw) die Active-Directory Benutzerkonten verwenden zu können.

Bisher bin ich so weit:

Windows Server 2003
Active Directory installiert (dcpromo)
Testuser angelegt


Debian Server
Software installiert:

sudo apt-get install samba
sudo apt-get install winbind
sudo apt-get install krb5-{admin-server,kdc}

Konfiguration:
In die /etc/samba/smb.conf habe ich den Domaincontroller (Server2003) eingetragen.
01.
[global] 
02.
        workgroup = IAS  
03.
        netbios name = TESTSRV 
04.
        realm = IAS.DE  
05.
        idmap uid = 10000-59999 
06.
        idmap gid = 10000-59901 
07.
     # winbind separator = / 
08.
        winbind use default domain = Yes 
09.
        security = ADS 
10.
        encrypt passwords = true 
11.
        password server = * 
12.
        log level = 1 
13.
        idmap backend = ad 
14.
        template shell = /bin/bash 
15.
        client use spnego = yes 
16.
 
17.
   
18.
**Konfiguration krb5.conf** 
19.
 
20.
[libdefaults] 
21.
        default_realm = IAS.DE 
22.
	default_tkt_enctypes = aes128-cts des3-cbc-sha1 rc4-hmac des-cbc-md5 des-cbc-crc 
23.
	default_tgs_enctypes = aes128-cts des3-cbc-sha1 rc4-hmac des-cbc-md5 des-cbc-crc 
24.
	permitted_enctypes = aes128-cts des3-cbc-sha1 rc4-hmac des-cbc-md5 des-cbc-crc 
25.
        clockskew = 300 
26.
 
27.
[domain_realm] 
28.
        .ias.de = IAS.DE 
29.
 
30.
[logging] 
31.
#      default = SYSLOG:NOTICE:DAEMON 
32.
        default = FILE:/var/log/krb5libs.log 
33.
        kdc = FILE:/var/log/kdc.log 
34.
        kadmind = FILE:/var/log/kadmind.log 
35.
 
36.
[appdefaults] 
37.
        pam = { 
38.
                ticket_lifetime = 1d 
39.
                renew_lifetime = 1d 
40.
                forwardable = true 
41.
                proxiable = false 
42.
                retain_after_close = false 
43.
                minimum_uid = 0 
44.
                debug = false 
45.
46.
 
Linux Server zum Memberserver machen
01.
net join -I <IP-des-Domaincontrollers> -U <Domänenadministrator>
Es wird ein Computerkonto im AD angelegt. Soweit schonmal gut.

Was ich gerne kapieren würde - wie hängt das ganze zusammen? Brauche ich nun ntlm_auth, oder doch winbindd, oder beides? Muss ich noch PAM konfigurieren? Wenn ja, wozu?

Also in meinem Kopf ist ein ziemliches Durcheinander, und ich finde keine einheitliche, übersichtliche, klar verständliche Anleitung in diesem Teil der Galaxis. Daher werde ich eine solche Anleitung mit Step-by-Step Erklärungen machen, sobald ich es selber kapiert habe.

Für Ideen, Erklärungen, Anregungen danke ich euch!
Mitglied: spacyfreak
09.04.2008 um 12:01 Uhr
Übrigens -

beim "net join" Befehl (der den Linuxserver zum Member im AD machen soll) kam die Meldung "clock skew to high" oder so ähnlich. Da bei Kerberos die Zeit-Synchronität extrem wichtig ist werde ich daher beide Server per NTP Dienst von der Zeit her mit einem NTP Server synchronisieren.
Da net ads join nicht funktionierte, macht der net join Befehl als "Fallback" net rpc join. Damit fun###iert es dann, im AD ist ein Computerkonto angelegt, das den Netbios-Namen des Linuxservers hat.

Gott mit so nem Käse geht der ganze Tag drauf.... Fummeln bis der Arzt kommt.
Bitte warten ..
Mitglied: Dani
09.04.2008 um 12:42 Uhr
Hallo emdkh,
willkommen in meiner Problemwelt. Ich habe hier so einen Versuch auch am Laufen.

Was die Pakete angeht, bist du auf dem richtigen Weg. Ob du für die Grundfunktion ntlm_auth bezweifle ich. Ich habs mal nirgendwo verwendet.

Ich geb dir einfach mal meine Links zu dem Thema. Die Linuxversion kannst du ignorieren:
http://www.pro-linux.de/work/server/samba3-domaene.html
http://www.elsn.org/main/LinuxWithActiveDirectory/
http://gertranssmb3.berlios.de/output/groupmapping.html#id2535464

Ich hatte unter Suse Linux das Problem, dass beim hochfahren, die Windowsbenutzer nicht geladen worden sind.

Da bei Kerberos die Zeit-Synchronität extrem wichtig ist werde ich daher beide Server per
NTP Dienst von der Zeit her mit einem NTP Server synchronisieren.
Genau, so habe ich das auch gemacht. Einfach vom gleichen Zeitserver die Uhr stellen lassen.

Da net ads join nicht funktionierte, macht der net join Befehl als "Fallback" net rpc join. Damit
fun###iert es dann, im AD ist ein Computerkonto angelegt, das den Netbios-Namen des
Linuxservers hat.
Hmmm... Seltsam, aber im 1. Link gibt es eine Beispiel. Funktioniert bei mir hier ohne Probleme.

Gott mit so nem Käse geht der ganze Tag drauf.... Fummeln bis der Arzt kommt.
Siehste, so gehts mir auch...ich muss zwischendurch was anderes machen, da ich sonst n Herzinfakt bekomme. Ich habe schon Wochen dran rum....

Wirklich neues habe ich nicht erzählt, aber ich hoffe ich kann dir mit den Links helfen.


Grüße
Dani
Bitte warten ..
Mitglied: spacyfreak
09.04.2008 um 12:57 Uhr
Hi Dani,

jo der erste Link sieht auf den ersten Blick vielversprechend aus.
Geteiltes Leid ist halbes Leid! Hehe.
Das ist es was mich immer wieder wahnsinnig macht - da erzählen die Linuxer wie toll Linux ist - doch bis es mal läuft wie gewünscht kriegt man graue Sackhaare! Mit nem Microsoft IAS Radius wäre die AD-Authentierung zwischen Frühstück und Mittag feddich und es würde laufen - mit Linux muss man sich da schonmal auf 3 Tage Hirnschmalzkneten einlassen.

Andererseits - WENN es mal läuft, läuft es quasi ewig.
Bitte warten ..
Mitglied: Dani
09.04.2008 um 15:56 Uhr
Ich war einfach zur falschen Zeit am falschen Ort als wir unsere ToDoListe untereinander aufgeteilt haben. Darum beschäftige ich mich mit Linux & Co....

Das ist es was mich immer wieder wahnsinnig macht - da erzählen die Linuxer wie toll Linux
ist doch bis es mal läuft wie gewünscht kriegt man graue Sackhaare!
Jaja....das ist doch das tolle an Linux. Höhr ich täglich - könnts mir schon fast als Band kaufen. Mir jommern auch ein paar Leutz die Ohren voll - unerträglich!

Auf das Howto, dass du hier schreiben wirst - bin ich schon gespannt..


Grüße
Dani
Bitte warten ..
Mitglied: spacyfreak
09.04.2008 um 17:46 Uhr
DER TAG IST GERETTET!

Nach viel Geächze, Kopfkratzen und graue-Sackhaare-zupfen hab ichs hingekriegt!

Der Debian-Server ist Member in der Domäne.
Winbind kann User über Kerberos abfragen.
Radius kann user über ntlm_auth aus dem Active Directory authentisieren!

Ich mache die nächsten Tage eine schöne Schritt-für-Schritt-Anleitung, damit auch zukünftige Generationen von dieser Erfahrung zehren können. Hehe.
Bitte warten ..
Ähnliche Inhalte
Windows Server
Exchange Kerberos-Auth
Frage von Philipp711Windows Server

Hallo Leute, wir haben unseren Exchange nach dieser Anleitung auf die Kerberos-Authentifizierung vorbereitet: Soweit sollte alles funktioniert haben - ...

Samba

Zugriff auf Samba Fileserver Freigaben verweigert(Samba 4 Active Directory Domäne)

Frage von qwertz1Samba5 Kommentare

Hallo, ich möchte eine Active Directory Domäne mit Samba4 erzeugen. Es handelt sich um zwei Server(Domänencontroller und Fileserver) und ...

Samba

Problem mit Samba Winbind und Windows Server 2012 R2

gelöst Frage von Andreasde95Samba12 Kommentare

Hallo, ich probiere derzeit mit deinem Linux Client (Kubuntu 14.04) mich mit den Benutzern vom Windows Server 2012 R2 ...

Windows Server

Active Directory Vertrauensstellung

Frage von ukulele-7Windows Server11 Kommentare

Ich muss sagen das ist meine erste Vertrauensstellung. Ich habe sie in unserer alten AD ads.domain.local Windows 2003 und ...

Neue Wissensbeiträge
Windows 10
Windows 10 - Probleme mit Point-And-Print
Tipp von emeriks vor 19 StundenWindows 103 Kommentare

Hi, wir kämpfen z.Z. mit einigen Druckertreibern, welche unter Win10 beim Verbinden eines Druckers von Printserver mit dem Dialog ...

Windows 10

Windows 10 1803 - Ihr Roamingbenutzerprofil wurde nicht vollständig synchronisiert

Anleitung von Deepsys vor 21 StundenWindows 101 Kommentar

Bei allen Windows 10 1803 PCs traten Probleme mit den Servergespeicherten Profilen auf. Das Abmelden dauerte sehr lange und ...

Exchange Server
Exchange - Fehler mit 2018-07 Sicherheitsupdate
Tipp von ArnoNymous vor 2 TagenExchange Server7 Kommentare

Hallo, es gibt mal wieder Freude mit den MS-Updates. KB4338814 führt dazu, dass der Exchange keine Mails mehr zustellt. ...

Suche Projektpartner

PC Recycling Projekte mit Flüchtlingen und Kids suchen Materialspenden und Mitmacher!

Erfahrungsbericht von NettePCyclePiraten vor 3 TagenSuche Projektpartner13 Kommentare

Hallöchen liebe Kollegen, ich betreue zwei PC-Gruppen im Raum Dortmund: "Ne#e PCycle Pir@ten" & "PCschr@uber Br@mbauer" Wir sind eine ...

Heiß diskutierte Inhalte
Batch & Shell
PowerShell Auflösung zu .txt (Skript als exe) falsche Auflösung?!
Frage von timsen-96Batch & Shell27 Kommentare

Ich habe folgendes Skript um die Bildschirmauflösung herauszufinden, was auch in PowerShell super funktioniert: Add-Type -AssemblyName System.Windows.Forms $Width = ...

Exchange Server
Exchange Backup 10 Jahre Aufbewahrung
Frage von arccosExchange Server20 Kommentare

Hallo zusammen. Aktuell beschäftigen mich ein paar Fragen zum Thema Office365/ Exchange. 1.10 Jahre Aufbewahrungspflicht sicherstellen 2.Kann man als ...

Humor (lol)
Windows 10 - immer für Überraschungen gut
gelöst Frage von HenereHumor (lol)18 Kommentare

Eben nach (beim) installieren der neuesten Updates für 1803 :-) Und sorry fürs Handyfoto, aber der musste sein. Nach ...

Samba
Samba-NAS Zugriff verweigert
gelöst Frage von VernoxVernaxSamba15 Kommentare

hallo ich schaffe es einfach nicht meinem User Rechte zum schreiben zu geben. Ich habe dies alles auf nem ...