Ich habe ein Netzwerk mit 20 Linux-Servern. Mein Plan war, einen davon als PDC zu verwenden und Single Sign-On für die übrigen Server zuzulassen. Der Grund, warum ich PDC statt ADS-System sage, ist, dass ich LDAP vermeiden möchte. Ich werde auch Dinge wie Freigaben zwischen den Maschinen usw. haben. Ich habe so etwas schon einmal gemacht, aber es gab bereits einen Windows ADS-Controller im Netzwerk.
Da ich derzeit nicht vor den Maschinen stehe, kann ich Ihnen nicht den gesamten Inhalt meiner smb.conf-Dateien geben (nur das, woran ich mich erinnere).
Soweit die Geschichte.
Die PDC
[Global]
workgroup = MYDOM
Domain master = yes
local master = yes
Domain logons = yes
security = user
.............
Die Kunden
[Global]
workgroup = MYDOM
Domain master =no
local master = no
security = user
Als erstes sagt mir der Testparameter für den Client, dass es sich um eine eigenständige Maschine handelt. Und die meisten „Net“-Befehle funktionieren nicht, weil sie sagen, dass es sich um eine eigenständige Maschine handelt.
Wenn ich die Sicherheit auf DOMAIN ändere (auf dem Client), behauptet es, ein Domänenmitglied zu sein. Wenn ich es auf dem Server mache, behauptet es, es sei ein BDC. Und dann beschweren sich alle normalen Befehle, dass es keinen PDC gibt ... Außerdem muss man laut den Dokumenten, die ich gelesen habe, für ein Paar aus Samba-PDC und Samba-Client security=user haben ...
Der nächste Teil der Gleichung ist Winbind. Wie ich bereits sagte, habe ich es geschafft, dies mit einem Real ADS-Controller zum Laufen zu bringen. Wenn Winbind jedoch mit der oben beschriebenen Konfiguration verwendet wird, weigert es sich schlichtweg, zu akzeptieren, dass ein PDC oder eine Domäne vorhanden ist.
Jetzt bin ich sehr verwirrt und frustriert.
Die Kurzfassung der Frage lautet also: Kann ich ein reines Samba-Netzwerk mit einem Samba-PDC, Samba-Clients und Sicherheit=Benutzer haben und winbind die einmalige Anmeldung für die Clients durchführen lassen, die den PDC verwenden? (Und ohne LDAP zu verwenden)
Hoffe, das ist nicht zu langatmig.
James
Antwort1
Ich glaube, Sie müssen Ihre Mitgliedsserver unbedingt auf „Sicherheit = Domäne“ einstellen und dann versuchen, der Domäne beizutreten (net rpc join -S Servername).
Darüber hinaus gibt es im Samba-Handbuch und in den Beispielen definitiv Elemente, die entweder schlichtweg falsch oder irreführend sind.
Wenn Sie die Ausgabe eines Net RPC-Joins auf einem Mitgliedsserver posten könnten, könnte das bei der Fehlerbehebung helfen.
Ich bin mir bei der Antwort auf Ihre letzte Frage nicht ganz sicher, aber da SAMBA Windows für beide von Ihnen gewünschten Aufgaben unabhängig voneinander ersetzen kann, würde ich annehmen, dass es beides gleichzeitig tun kann (ein PDC und ein Mitgliedsserver sein).
Der Winbind-Fehler, den Sie erhalten, liegt daran, dass Sie „Sicherheit = Benutzer“ haben, was effektiv bedeutet, dass Winbind keinen Grund hat, ausgeführt zu werden, weil es denkt, dass es eine eigenständige Maschine ist.
Überprüfen Sie abschließend, ob in der Konfiguration des PDC ein „passdb = irgendwas“ vorhanden ist.
Entschuldigen Sie die weitschweifige Antwort, aber es kann eine Menge schiefgehen und jedes einzelne davon kann zu erheblichen Schäden führen.
-Speck
Antwort2
Wenn Sie nach einer SSO-Einrichtung suchen und die Datei- und Druckdienste von Windows (niemals) benötigen, sollten Sie besser die Kerberos-Authentifizierung einrichten. Diese stellt lediglich den SSO-Teil dessen bereit, was Sie gerade einrichten, und kann problemlos durch eine kleine PAM-Änderung auf jedem Client implementiert werden.
Sie haben nicht erwähnt, ob Sie irgendwann einmal Windows-Clients haben würden, die eine Verbindung herstellen. Dies könnte also eine etwas einfachere Möglichkeit sein, mit Ihrer Situation umzugehen.
Antwort3
Sie müssen Passwörter für Ihren Administrator (normalerweise root) definieren und Maschinenkonten erstellen. Sie müssen also
Erstellen Sie für jede Maschine einen Systembenutzerendet mit einem $-Zeichen:
useradd -d /dev/null -g 100 -s /bin/false -M $
Erstellen Sie mit smbpasswd für jeden Computer ein Samba-Passwort.