1. Ja, die Kombination Samba/Winbind/Kerberos funktioniert tatsächlich seit Jahren wunderbar mit Active Directory. 2. Und ja, es ist tatsächlich recht einfach zu implementieren. So what?
danach laeuft ein cronjob : #> cat /etc/cron.hourly/script scp /var/cache/samba/winbindd_idmap.tdb server1:/var/cache/samba/winbindd_idmap.tdb ssh server1 "net cache flush" ssh server1 "rm /var/cache/samba/idmap_cache.tdb" ssh server1 'service winbind restart' # smb reload muesste nicht unbeningt gemacht werden ssh server1 'service smb reload'
Ich weiss ist n bissl dirty aber es funktioniert.
Du koenntest auch mit net idmap dump /var/cache/samba/winbindd_idmap.tbd > FILE.TXT deine idmap exportieren und mit net idmap import wieder importieren anstatt die datei einfach zu ueberschreiben.
Die grenzen sind wie immer nur deiner fantasie gesetzt :)
"ist n bissl dirty" ohne jetzt dieses Problem bzw. die Notwendigkeit von AD-Integration ins Linux zu haben würde ich sagen: ist nicht nur 'n bissl dirty', diese Lösung ist fahrlässig. Da muss sich ja die IT zur vollen Stunde immer das Telefon aushängen und sich im Schutzraum verstecken. Meine Phantasie zeigt mir wutentbrannte User die gerade mal wieder nicht auf Shares zugreifen können bzw. bei denen Netzwerkvorgänge in die Binsen gehen.
Ich halte ein Jahr nicht unbedingt für einen langen Zeitraum für Server. Da kann durchaus noch eine Menge spassiges kommen. Hardware ausfälle, Softwareaktuallisierungen und co. können ein solches System richtig aus dem Tritt bringen.
ja hast recht. gottseidank ist der server ziehmlich minimal installiert und es kommen nicht soo viele updates. und bei rhel ist die kompatibilität trotz updates ziehmlich gut.
Bin leider drauf angewiesen, dass die idmaps gleich sind. Weis jmd. wie man das besser machen könnte ?
Schön zu höhren das es vielleicht wirklich hilfreich war.
Ich kenne das Problem praktisch nur aus der anderen Richtung, mit einem Linux PDC der LDAP nutzt, und da landen die Unix Einstellungen auf auf dem LDAP. Ergibt aus meiner Sicht einfach am meisten Sinn, denn entweder hat mans Zentral, oder eben nicht
du verwaltest die user immer noch im ad. winbind liest diese user/gruppen vom AD aus und weist jedem user/gruppe eine unix ID zu. mittel kerberos wird dann das passwort überprüft. man kann sich dann mit ad-benutzern an einer smb-freigabe anmelden
das script kopiert nur die idmap auf einen anderen server, da die zuweisungen verschieden sein können. die idmap ist eine datenbank mit den einträgen zu welcher windows-sid welche unix-uid/gid gehört.
Da du aber die User-IDs nicht im AD speicherst, hast du aus meiner Sicht das Ziel nicht wirklich getroffen. Ich kenne die TurboLinux Version (wie wohl jeder hier) nicht genauer als es der Text hier hergibt, aber das zentrale Speichern dieser Informationen würde ich als Mindesmass ansehen.
Ein AD, aber zusätzlich noch eine externe UserID Zuordnung, ist für mich ein No-Go. Ich bezweifle auch das es sich nicht anders lösen lässt. Alleine das die Lösung eine Serverkomponente hat lässt vermuten das die Lösung dort umfangreicher ist.
1. Ja, die Kombination Samba/Winbind/Kerberos funktioniert tatsächlich seit Jahren wunderbar mit Active Directory.
2. Und ja, es ist tatsächlich recht einfach zu implementieren.
So what?
Kannst du entweder zentral ueber LDAP machen.
--> idmap backend = ldap
Ist meiner meinung etwas kompliziert wenn man kein LDAP know-how hat.
Deshalb hab ich eine quick&dirty loesung.
Zuerst mal hostauthentifizierung aktiviern (pro smb-server):
server1 : ssh-keygen -t rsa
server1 : ssh-copy-id -i ~/.ssh/id_rsa.pub root@server2
usw....
danach laeuft ein cronjob :
#> cat /etc/cron.hourly/script
scp /var/cache/samba/winbindd_idmap.tdb server1:/var/cache/samba/winbindd_idmap.tdb
ssh server1 "net cache flush"
ssh server1 "rm /var/cache/samba/idmap_cache.tdb"
ssh server1 'service winbind restart'
# smb reload muesste nicht unbeningt gemacht werden
ssh server1 'service smb reload'
Ich weiss ist n bissl dirty aber es funktioniert.
Du koenntest auch mit net idmap dump /var/cache/samba/winbindd_idmap.tbd > FILE.TXT deine idmap exportieren
und mit net idmap import wieder importieren anstatt die datei einfach zu ueberschreiben.
Die grenzen sind wie immer nur deiner fantasie gesetzt :)
ohne jetzt dieses Problem bzw. die Notwendigkeit von AD-Integration ins Linux zu haben würde ich sagen: ist nicht nur 'n bissl dirty', diese Lösung ist fahrlässig. Da muss sich ja die IT zur vollen Stunde immer das Telefon aushängen und sich im Schutzraum verstecken.
Meine Phantasie zeigt mir wutentbrannte User die gerade mal wieder nicht auf Shares zugreifen können bzw. bei denen Netzwerkvorgänge in die Binsen gehen.
funktioniert schon seit ueber 1 Jahr ohne einen ausfall.
und bei rhel ist die kompatibilität trotz updates ziehmlich gut.
Bin leider drauf angewiesen, dass die idmaps gleich sind.
Weis jmd. wie man das besser machen könnte ?
http://www.linux.com/articles/40983
Er ist nicht gerade taufrisch, aber da es hier ja auch eher um die ADS Seite geht, dürfte er noch ziemlich passend sein.
Die Microsoft's Services for Unix scheinen die Lösung der Frage wo man die GID und UIDs speichert zu sein.
Muss ich mal testen wie gut das funktioniert.
Danke f. die Info!
Ich kenne das Problem praktisch nur aus der anderen Richtung, mit einem Linux PDC der LDAP nutzt, und da landen die Unix Einstellungen auf auf dem LDAP. Ergibt aus meiner Sicht einfach am meisten Sinn, denn entweder hat mans Zentral, oder eben nicht
winbind liest diese user/gruppen vom AD aus und weist jedem user/gruppe eine unix ID zu.
mittel kerberos wird dann das passwort überprüft.
man kann sich dann mit ad-benutzern an einer smb-freigabe anmelden
das script kopiert nur die idmap auf einen anderen server, da die zuweisungen verschieden sein können.
die idmap ist eine datenbank mit den einträgen zu welcher windows-sid welche unix-uid/gid gehört.
Ein AD, aber zusätzlich noch eine externe UserID Zuordnung, ist für mich ein No-Go. Ich bezweifle auch das es sich nicht anders lösen lässt.
Alleine das die Lösung eine Serverkomponente hat lässt vermuten das die Lösung dort umfangreicher ist.