funktionierendes(!) HowTo für Samba mit LDAP?

[hawkeye78]

Hallo,

ich bin im moment ein klein bisschen frustriert das ich Samba nicht davon überzeugen kann die Bentzerdaten nach LDAP auszulagern ich habe bereits dieses[1] und dieses[2] Tutorial durchprobiert und mich auch versucht anhand dieses Buches[3] durch das Thema durchzuarbeiten. Aber entweder fehlt da etwas, oder das Tutorial enthält sinnfreie Ratschläge (in [1] wird z.b. Empfohlen die DB zu löschen worauf hin LDAP nicht mehr startet).
Darum habe ich nun die Hoffnung das dieses hier jemand liest und mir ein gutes Tutorial empfehlen kann, von dem Posten meines versuches wollte ich erst einmal absehen da ich bereits in einem anderen Forum (auch wenn ich nicht glaube das es hier auch vorkommen wird) gelesen habe, das man doch erst einmal LDAP verstehen soll bevor man sich an diese Kombination heran wagt.
Ich würde mich über den einen oder anderen Hinweis auf jeden Fall sehr freuen da es mir doch schon die letzten 3 Tage erheblich kopfschmerzen verursacht und ich es gerne endlich vom Tisch haben möchte.
Viele Grüsse
Dan


[1] http://samba-ldap.de/node/46
[2] http://wiki.winboard.org/index.php/Inst ... ifizierung
[3] http://www.amazon.de/OpenLDAP-2-4-Schem ... 655&sr=8-1

[sdh82]

Gut und aktuell find ich die wiki von Samba selbst. http://wiki.samba.org/index.php/Ldapsam_Editposix

Mein aktuelles Samba habe ich nach neuer Config-Schreibweise statt das alte smbldap-tools mit Perl nach ldapsam editposix aus dem genannten Link umgestellt.

Auch wenn du nicht lesen bzw. hören willst, es ist auch ganz normal dass man Samba + LDAP nicht auf Anhieb hinbekommt und war bei mir auch genauso, hatte paar Monate gebraucht, um das Ganze zu verstehen.

Die Datenbank kann man ja löschen aber dann muss man ja eine neue erstellen, das ist mMn. nicht gerade sinnfrei aber meistens sogar einfacher für Anfänger.
Natürlich ist es wichtig, dass der User und Group "openldap" auf die neue Datenbank sowohl lesen als auch schreiben dürfen (was beim Neuerstellen oftmals nicht der Fall war), sonst läuft LDAP nicht.

Das Buch [3] habe ich auch und fand eigentlich nicht schlecht, zwar mitm Thema Samba ist dort bissle veraltet, wenn du Samba aus Backports Reihe einsetzest, aber die Grundlagen stehen ja drin.

[McAldo]

Ich stimme da meinem Vorredner zu. Um LDAP+Samba zusammen zu bringen braucht es etwas Zeit. Versuche erstmal nur LDAP zum arbeiten zu bringen mit Benutzernanmeldung von einem Client aus. Läuft das so kann man davon ausgehen die Konfiguration funktioniert und du kannst Samba daran binden. Vor allem ist dann der Lerneffekt da und LDAP wird vielleicht besser verstanden.

Leider sind die Tutorials für sich alleine nicht wirklich hilfreich, da die Texte zum Verständnis nicht oder nur im Ansatz vorhanden sind. Mehrere Tutorials verwirren wieder (den Beginner), weil die jeweiligen Autoren das nach ihrem Verständnis geschrieben haben und unterschiedliche Wege beschreiben.

McAldo

[hawkeye78]

Hallo,

vielen Dank für eure beiden Beiträge ich werde denke ich auch erst einmal den Ratschlag von McAldo folgen und versuchen zumindestens die Benutzeranmeldung per LDAP hinzubekommen und dann erst im nächsten Schritt Samba an LDAP binden (oder es zumindestens versuchen). Aber auch hier ergibt sich dann die Frage hast du ein gutes Tutorial das das vielleicht erklärt, den sonst stehe ich wieder vor dem gleichen Problem wie bei Samba das ich diverse HowTos lese und keins so richtig weiterhilft.
Viele Grüsse
Dan

[hawkeye78]

Ich bin mir nicht sicher ob es lohnt deswegen einen neuen Thread aufzumachen. Aber ich hänge das jetzt erst einmal hieran und sollte jemand die Meinung vertreten das gehört doch eher in einen eigenen Thread, möchte ich einen Moderator einladen diesen Beitrag abzusplitten und ihn in einen eigenen Thread zu packen.

Wie auch immer....ich habe mittlerweile eine Anleitung (eigentlich sogar 2) gefunden die mir erklärt wie ich samba mit ldap zusammen bringe. Allerdings verwundert mich etwas. Ich wollte die benötigten Gruppen mit smbldap-tools anlegen. Also habe ich nach der Anleitung die sid mit get localsid abgefragt und in die smbldap-tools/smbldap.conf eingetragen und mittels smbldap-populate die Gruppen und ersten Benutzer angelegt. Wenn ich mir dort den Eintrag sambaDomainName anschaue ist dort auch die richtige SID eingetragen. Aber unter Gruppen hat der Benutzer Administrators eine andere SID (nämlich S-1-5-32-544) als der Benutzer Domain Admins (nämlich S-1-5-21-35....) wobei die letzt genannte SID auch die SID ist, die ich mit get localsid bekomme.
Meine Frage ist nun ist das Normal das zwei unterschiedliche SID in LDAP auftauchen oder kann ich das irgendwie wieder abstellen?
Viele Grüsse
Dan

[habakug]

Hallo!

Da mußt du nichts abstellen.

SID: S-1-5-32-544
Name: Administratoren
Beschreibung: Vordefinierte Gruppe. Nach der Erstinstallation des Betriebssystems ist das Administratorkonto einziges Mitglied der Gruppe. Wenn ein Computer einer Domäne beitritt, wird die Gruppe "Domänen-Admins" der Administratorengruppe hinzugefügt. Wenn ein Server zum Domänencontroller wird, wird die Gruppe "Organisations-Admins" ebenfalls zur Administratorengruppe hinzugefügt.

Gruß, habakug

[1] http://support.microsoft.com/kb/243330/de

[hawkeye78]

Hallo habakug,

vielen Dank für deine Antwort ich habe immer gedacht das die SID auf einem System immer eindeutig sein muss. Aber offenbar wird diese noch mal in unterschiedliche Gruppen aufgespalten. Vielen Dank für die Aufklärung
Viele Grüsse
Dan

[sdh82]

Verwende doch
ldapsam:editposix und ldapsam:trusted, die sind in samba direkt implementiert und macht die Aufgabe viel leichter.

[habakug]

Hallo!

@sdh82
Das von dir genannte HowTo ist gut, allerdings schon 1,5 Jahre alt. Hier [1] geht es z.B. etwas aktueller zu.

Gruß, habakug

[1] http://lists.samba.org/archive/samba/20 ... 50347.html

[ThorstenS]

aber lennys samba ist eben noch 3.2.5 und nicht 3.4.
Dann müßte man schon samba von bpo mit Version 3.4.2 benutzen.
Ich überlege auch schon heftig, ob ich das beim neuen Intranetserver mache.