[Eisfair] Samba als PDC, was ist möglich?
Thomas Bork
tom at eisfair.org
Sa Jan 16 14:12:56 CET 2021
Am 15.01.2021 um 18:30 schrieb Alex Busam:
> "Ändern des Computernamens bzw. der Domäne", dann "Mitglied von Domäne",
> dann erhalte ich "Es konnte keine Verbindung mit dem Active Directory
> Domänencontroller für die Domäne "____" hergestellt werden.
Dann hast Du eventuell den Fehler gemacht, im Namen der Domäne in
SAMBA_WORKGROUP einen Punkt und dahinter weitere Zeichen zu verwenden.
In diesem Fall und wenn Du diesen Domänen-Namen auf dem Client so
einträgst, geht der Client von einer Active-Directory-Domäne aus.
Verwende also einfache Domänen-Nmane ohne Punkt.
> Muss beim Domänenbeitritt am Win-PC ein Benutzer angemeldet sein, der in
> der Samba-Config auf "root" per USERMAP läuft?
> Hab hier noch gelesen:
> https://wiki.fkn-systems.de/wiki/samba/win10_domain_enter
> Dass folgende Gruppen vorhanden sein müssten.
>
> net groupmap add ntgroup="Domain Admins" unixgroup=ntadmin rid=512 type=d
> net groupmap add ntgroup="Domain Users" unixgroup=users rid=513 type=d
> net groupmap add ntgroup="Domain Guests" unixgroup=nobody rid=514 type=d
Was ist an dem Teil der Dokumentation unklar?:
SAMBA_PDC
Soll SAMBA als Primary Domain Controller arbeiten: 'yes' oder
'no'
Wenn diese Variable auf 'yes' gesetzt ist, stellt Samba die
Funktionen eines Primary Domain Controllers (PDC), vergleichbar
zu einem Windows-NT-4.0-Server-PDC, für Windows-9x-,
Windows-2000-, Windows-XP-Professional-, Windows-7-, und
Windows-8- und und Windows-10-Clients zur Verfügung. Die
Home-Versionen der Microsoft-Betreibs-Systeme werden dabei nicht
unterstützt, da sie von Microsoft künstlich beschnitten wurden!
Die Active-Directory-Funktionen der Windows-Server werden von
meinem Samba-Paket bisher nicht unterstützt!
Will man Samba als PDC nutzen, ist folgende Vorgehensweise
notwendig:
1. Der Benutzer "root" wurde als Samba-Benutzer angelegt. Davon
kann man sich im Samba-Service-Menü mittels
Samba User Handling
List Samba User
überzeugen. Hier die Ausgabe von meinem eisfair-Rechner:
List Samba Users
User Uid Password Active
root 0 set yes
tb 2001 set yes
test 2003 set yes
Press ENTER to continue
2. In der Datei /etc/user.map wird der Benutzer "Administrator"
der Workstation auf den Benutzer "root" gemappt. Wenn nicht
gegen einen externen Passwortserver authentifiziert wird,
sieht das so aus:
root = "Administrator"
Wenn gegen einen externen Passwortserver authentifiziert wird,
muss die Domäne vor dem Windows-Usernamen angegeben werden:
root = "DOM\Administrator"
Die Datei /etc/user.map wird aus der Samba-Konfiguration
heraus erzeugt. Wenn in der /etc/user.map der obige Eintrag
fehlt, habt Ihr etwas falsch gemacht. Siehe auch
SAMBA_USERMAP_N.
3. Samba läuft noch im Arbeitsgruppen-Modus (SAMBA_PDC='no').
4. Damit die verschiedenen Windows-Client-Versionen erfolgreich
in die Domäne integriert werden können, müssen je nach Version
Registry- Patches auf den Clients angewendet werden. Diese
Registry-Patches finden sich nach der Installation des
Samba-Paketes unter /usr/share/doc/samba/regpatches.
5. Jetzt benennt man als "Administrator" temporär die
Arbeitsgruppe auf den Clients um (z.B. in TESTGROUP), weil es
zu Schwierigkeiten kommt, wenn der Name der Arbeitsgruppe, in
der man sich befindet und der Name der Domäne, in die man
wechseln möchte, identisch sind. Dabei wird man aufgefordert,
den Client neu zu starten, was auch unbedingt erforderlich
ist.
6. Jetzt erst setzt man SAMBA_PDC='yes' und hinterlegt in der
Variable SAMBA_WORKGROUP den gewünschten Domänen-Namen,
z.B. SAMBA_WORKGROUP='DOMAIN'.
7. Nachdem die neue Konfiguration aktiviert wurde, muss folgende
Meldung in /var/log/log.nmbd auftauchen:
Samba server XXX is now a domain master browser for workgroup
YYY on subnet ZZZ.
Dabei stehen XXX, YYY und ZZZ für Eure individuelle
Konfiguration.
8. Jetzt trennt man alle eventuell geöffneten Freigaben und
gemappten Laufwerke, da diese eine erfolgreiche Integration in
die Domäne verhindern. Dazu öffnet man eine DOS-Box, indem man
unter Start/Ausfuehren
command
eingibt und dort folgenden Befehl ausführt:
net use * /delete
9. Man kann nun als Benutzer "Administrator" unter Windows die
Workstation zur Domäne hinzufügen:
Per Rechtsklick auf
Arbeitsplatz/Eigenschaften/Netzwerkidentifikation/Eigenschaften
(Beispiel Windows 2000) oder
Arbeitsplatz/Eigenschaften/Computername/Ändern (Beispiel
Windows XP Professional) definiert man, dass diese Workstation
ein Mitglied der Domäne YYY (siehe oben, jetzige Einstellung
von SAMBA_WORKGROUP) sein soll.
Bei der Abfrage
Geben Sie Namen und Kennwort eines Kontos mit der Berechtigung
dieser Domaene beizutreten ein.
gibt man einfach "Administrator" und das entsprechende
Passwort von "root" an (da in der Datei /etc/user.map der
Benutzer "Administrator" auf "root" umgesetzt wird, wenn Ihr
Euch an die Beschreibung gehalten habt) und erhält, wenn man
alles richtig gemacht hat, die nette Bestätigung:
"Willkommen in der Domäne YYY." (siehe oben)
10. Es wurde von Samba automatisch ein Maschinenkonto für die
Workstation erzeugt, wovon man sich im Samba-Service-Menü
überzeugen kann:
Samba Domain Handling
Samba PDC Workstation Configuration (NT, 2000, XP)
List Samba Workstations
11. Aus der Ereignisanzeige/System des Windows-Clients:
Dieser Computer wurde erfolgreich "domain" hinzugefügt: "YYY".
YYY steht für Euren Domänen-Namen.
12. Nach einem Neustart kann man sich als angelegter
Samba-Benutzer an der Domäne anmelden und gibt dabei bei
"Anmelden an" nicht den lokalen Rechner an, sondern die
Domäne. Windows-Benutzer, die in der Datei /etc/user.map auf
andere Samba-Benutzer umgesetzt werden, müssen dabei das
Passwort des Benutzers eingeben, auf den sie umgesetzt werden!
Siehe auch SAMBA_USERMAP_N.
13. Startet Samba das erste Mal als PDC, so wird eine eindeutige
SID (Security ID) für diesen PDC erzeugt. Diese SID
identifiziert die Domäne eindeutig. Bei Integration von
Clients in die Domäne wird diesen die SID zugeordnet. Daraus
ergibt sich, dass es nicht ausreicht, einen Client als
Domänenmitglied einfach identisch zu benennen, um wieder in
die Domäne zu kommen, da der Client diese SID nicht kennt. Das
ist aus Sicherheitsgründen absolut sinnvoll!
Setzt man bei irgendwelchen Tests später einmal SAMBA_PDC='no'
und danach wieder SAMBA_PDC='yes', kann es passieren, dass
wiederum eine eindeutige SID generiert wird, welche von der
vorigen abweicht. Das Ergebnis ist verheerend: Kein Client
kommt mehr in die Domäne, da die Clients ihren PDC mit einer
anderen SID assoziieren. Es ist in diesem Fall notwendig, alle
Clients wieder neu in die Domäne zu integrieren. Das gleiche
Problem ergibt sich auch bei einer Namensänderung des PDC,
also genau dann, wenn man den Hostnamen des eisfair-Rechners
ändert! Man kann das Problem umgehen, indem man vor Änderung
von SAMBA_PDC='yes' auf SAMBA_PDC='no' und vor einer
Namensänderung die SID abspeichert und nach Änderung von
SAMBA_PDC='no' auf SAMBA_PDC='yes' oder Änderung des Namens
wieder in Samba einliest. Siehe dazu
Save Samba SID to /root/MACHINE.SID
und
Restore Samba SID from /root/MACHINE.SID
Wenn Samba als PDC läuft, werden statische Group-Mappings
eingerichtet (dynamische Mappings werden von mir noch nicht
unterstützt). Die Namen der Windows-Gruppen sind dabei von den
Spracheinstellungen des Samba-Paketes abhängig. Bei
SAMBA_LOCALIZATION='ISO8859-15'
oder
SAMBA_LOCALIZATION='ISO8859-1'
oder
SAMBA_LOCALIZATION='UTF-8'
werden folgende Namen verwendet:
Windows-Gruppe eisfair-Gruppe GID
Domänen-Administratoren root 0
Domänen-Gäste nogroup 65534
Domänen-Hauptbenutzer sys 3
Domänen-Benutzer users 100
Domänen-Computer machines 777
Bei allen anderen Spracheinstellungen:
Windows-Gruppe eisfair-Gruppe GID
Domain-Administrators root 0
Domain-Guests nogroup 65534
Domain-Power-Users sys 3
Domain-Users users 100
Domain-Computers machines 777
Das Mapping kann mittels
net groupmap list
auf der Konsole oder über die Samba-Startmeldungen überprüft
werden. Die globale Windows-Gruppe der Domänen-Administratoren
wird bei Integration der Workstation in die Domäne automatisch
der lokalen Gruppe der Administratoren hinzugefügt, sodass bei
Anmeldung an der Domäne lokale Administratoren Rechte zur
Domänen-Administration besitzen.
Standardeinstellung: SAMBA_PDC='no'
--
der tom
Mehr Informationen über die Mailingliste Eisfair