BETA [QPKG] SAMBA-PDC mit LDAP

  • Ja der Aktuallisierungsschöhnheitsfehler ist mir mir auch aufgefallen aber so lange die Funktion aktiviert wird, ist ja alles iO.


    Was mir noch auf gefallen ist. Profiles 6del löscht nur die Ordner aber nicht die Einträge. (Vielleicht ist das ja auch so gewollt)
    dein login.cmd skript funktioniert bei mir nicht - liegt wahrscheinlich daran, dass die Profile bei mir nicht klappen wollen - nur temporär, ja ntprofile.reg hab ich ausgeführt. Bei mir ist auch VAR LOGONSERVER=\\MicrosoftAccount gesetzt oder muss dat so :oops: ?!?!


    Also mit den Profilen hatte irgendwann mal funktioniert, aber halt jetzt nicht mehr. In meinem Profiles Ordner sind ja div OS-Ordner angelegt. Bei Vista knallt er ein bißchen was rein von meinem Profil aber Windows zeigt mir trotzdem temporär an. Kann mir mal jemand einen Tip geben, wo ich da den Fehler suchen kann. Samba Conf oder Windows????

  • "abr67" schrieb:

    Profiles 6del löscht nur die Ordner aber nicht die Einträge. (Vielleicht ist das ja auch so gewollt)


    Mein Gedanke war dabei, nur die Profile selbst zu löschen, nicht die Freigabe selbst.
    Ich werde es bei der nächsten so machen,
    6 (Re)Create Profile share
    6del komplett löschen (Freigabe und Ordnerstruktur)


    "abr67" schrieb:

    LOGONSERVER=\\MicrosoftAccount gesetzt oder muss dat so


    LOGONSERVER muß der Name des NAS sein, des PDCs.


    "abr67" schrieb:

    Bei Vista knallt er ein bißchen was rein von meinem Profil aber Windows zeigt mir trotzdem temporär an.


    Das der Client etwas reinschreibt ist ein gutes Zeichen, aber das es trotzdem temporär bleibt ist merkwürdig.
    Eine Idee habe ich gerade nicht, woran es liegen könnte.

  • Sag mal du nutzt ja jeweils immer Variabeln wie zB /%a oder /%u oder LOGONSERVER usw.
    Wo werden die denn gesetzt bzw. wie kann ich prüfen ob diese funktionieren?


    ist %a = das Betriebssystem? und %u = der User name?
    Wann wird die Variable LOGONSERVER denn in Windows gesetzt? Bei der Domain Registrierung in Windows oder jedes mal vom Qnap. Wie gesagt - bei mir wird ne ganz komische Variable gesetzt.


    Ich werde mal testen die OS-Ordner Gruppierung von Dir wegzulassen bei den Profilen. als Vista XP usw. Vielleicht liegts daran oder irgendwelche Zugriffsbeschränkungen.


    Ist es eigentlich normal, dass bei der PDC Samba Domain Geschichte, die User in Windows nicht automatisch Admin Rechte im Profil bekommen, obwohl diese im LDAP alle schreib/lese Rechte haben.

  • "abr67" schrieb:

    ist %a = das Betriebssystem? und %u = der User name?


    genau, diese werden direkt von SAMBA vergeben und können auch nur darüber genutzt werden.
    https://www.samba.org/samba/do…smb.conf.5.html#id2532525


    "abr67" schrieb:

    Wann wird die Variable LOGONSERVER denn in Windows gesetzt? Bei der Domain Registrierung in Windows oder jedes mal vom Qnap.


    Die Variable wird beim Login vergeben, da beim alten NT4.0 PDC auch BDC existieren können, also unterschiedliche Logonserver, kann dann auch ein BDC den Login übernehmen und dieser taucht dann als Logonserver in der Variable auf.


    "abr67" schrieb:

    die User in Windows nicht automatisch Admin Rechte im Profil bekommen,


    Durch die Unix-Rechte hat jeder Eigentümer seines Profils auch "Admin"-Rechte.


    Da muß bei dir wohl etwas schief gelaufen sein.
    Könntest du mir mal die Variablen-Liste aus dem Menüpunkt o) Overview per PM zusenden?
    Evtl. sehe ich dort Unstimmigkeiten.

  • "abr67" schrieb:


    Ich werde mal testen die OS-Ordner Gruppierung von Dir wegzulassen bei den Profilen. als Vista XP usw. Vielleicht liegts daran oder irgendwelche Zugriffsbeschränkungen.


    Ich denke, ich habe das Problem zu den Roaming Profilen gefunden.
    Sind bei dir die ACLs für SAMBA aktiviert ?
    Mit den vom Script gesetzten Einstellungen für die Freigabe "Profiles" und den aktiverten ACls funktioniert es nicht.
    Bei aktiviertem ACL muß der Parameter "profile acls" auf "no" stehen:

    Code
    1. profile acls = no


    Ohne aktiviertem ACL steht "profile acls" auf "yes".
    Dies werde ich in meinem QPKG berücksichtigen.


    Kannst du das Verhalten bei dir bestätigen ?

  • hast recht - bei mir steht echt YES


    Trotzdem hab ichs irgendwie hinbekommen. Also meine SMB sieht so aus und es funktioniert mit den Profilen.


    Code
    1. [global]passdb backend = ldapsam:ldap://127.0.0.1workgroup = ABCsecurity = USERserver string = Standort encrypt passwords = Yesusername level = 0 map to guest = Bad Usernull passwords = yes max log size = 10socket options = TCP_NODELAY SO_KEEPALIVE SO_SNDBUF=262144 SO_RCVBUF=131072os level = 20preferred master = yes dns proxy = No smb passwd file=/etc/config/smbpasswd username map = /etc/config/smbusers guest account = guest directory mask = 0777 create mask = 0777oplocks = yes locking = yes disable spoolss = yes load printers = nodisplay charset = UTF8force directory security mode = 0000veto files = /.AppleDB/.AppleDouble/.AppleDesktop/:2eDS_Store/Network Trash Folder/Temporary Items/TheVolumeSettingsFolder/.@__thumb/.@__desc/:2e*/ delete veto files = yesmap archive = nomap system = nomap hidden = nomap read only = nodeadtime = 10use sendfile = yesunix extensions = nostore dos attributes = yesclient ntlmv2 auth = yesdos filetime resolution = noinherit acls = yeswide links = yesforce unknown acl user = yesmin receivefile size = 4096case sensitive = autolocal master = yesdos charset = ISO8859-1ldap admin dn = cn=admin,dc=XXXXXX,dc=LOCALldap suffix = dc=XXXXX,dc=LOCALldap user suffix = ou=peopleldap group suffix = ou=groupldap ssl = offwins support = noname resolve order = host bcasthost msdfs = yestemplate homedir = /share/homes/DOMAIN=%D/%Udomain logons = yesdomain master = yesldap machine suffix = ou=hostslogon script = login.cmdlogon drive = H:logon path = \\%L\Profiles\%U


  • HI Eraser,


    kannst du vielleicht eine 1,2,3- Schritt Anleitung für dein Paket posten? Also welche Dienste vorher aktiviert und konfiguriert sein müssen. Also DHCP an, für PDC braucht man doch auch DNS-Server? Wie kriegt man den aktiviert bei QNAP?
    Wenn das Qpkg installiert ist und ich ein User erstellt habe, also nicht Admin, was mach ich dann auf der Win 7 Seite? Ganz normal unter Domain eintragen oder vorher die reg-Datei ausführen?


    BIn relativ unerfahren mit QNAP.. vorher einer Mac LDAP Server betrieben und damit die Win Xp Clients versorgt.. aber nun mit Win 7 gehts ja nciht mehr und wenn man schaft mit QNAP alles zu regeln, umso besser...

  • "cyonix" schrieb:

    kannst du vielleicht eine 1,2,3- Schritt Anleitung für dein Paket posten?


    Das könnte evtl. Umfangreich werden, daher meinte ich auch, das man sich damit schon auseinandergesetzt haben sollte.


    "cyonix" schrieb:

    Also welche Dienste vorher aktiviert und konfiguriert sein müssen.


    Wie im ersten Beitrag geschrieben, sind dies die Vorausetzungen und zu aktivierende Dienste:

    Zitat

    [Voraussetzung:] Domänenkenntnisse, aktivierter SSH-, SAMBA- und LDAP-Server, SAMBA für LDAP-Domäne aktiviert


    "cyonix" schrieb:

    Also DHCP an, für PDC braucht man doch auch DNS-Server?


    Nein, für einen PDC ist kein DHCP oder DNS notwendig, evtl. kann der WINS-Server hilfreich sein.


    "cyonix" schrieb:

    Wenn das Qpkg installiert ist und ich ein User erstellt habe, also nicht Admin, was mach ich dann auf der Win 7 Seite?


    OK, dazu könnte ich ein paar Screenshots und Erklärungen erstellen.


    "cyonix" schrieb:

    Ganz normal unter Domain eintragen oder vorher die reg-Datei ausführen?


    Die Reg-Datei muß vorher ausgeführt werden, da ohne diese ein WIN7-PC sich nicht an die Domäne anmelden kann.


    Evtl. kannst du mir dann bei der Anleitung helfen.
    Dazu würde ich gerne wissen, wie groß das Interesse an einer Anleitung von anderen Benutzer ist.

  • Ich werde demnächst auf einer TS-212 unter 3.7.1 das ganze durchführen. Den Prozeß kann ich mitdokumentieren und dann zur Verfügung stellen.


    Nachdem ich für das ganze sowieso eine Anleitung erstelle, ist es nicht unbedingt viel mehraufwand. Von meiner Seite glaube ich mit den vorhandenen Informationen durchzukommen. Oder komme ich wem in die Quere bzw. gibt es schon mehr als in diesem Thread beschrieben ist ?

  • "af0815" schrieb:

    Oder komme ich wem in die Quere bzw. gibt es schon mehr als in diesem Thread beschrieben ist ?


    Mir nicht, ich habe zur Zeit nicht die Zeit und vorallem nicht die Muße eine Dokumentation zu schreiben.


    Zwischenzeitlich hatte ich das Script leicht überarbeitet, in Bezug auf Logfile und zusätzlichen Informationen bei bei der Ausführung des Scriptes,
    aber noch keine Zeit für das ausführliche Testen gehabt, sonst hätte ich es schon zum Download angeboten.
    Genauso komme ich nicht dahinter, warum das Login-Script Zb. für das Erstellen der Netzlaufwerke nicht funktioniert.

  • Für die Doku eine Frage:
    Maschinenkonten werden nicht automatisch angelegt, ich muss also zuerst mit dem Script ein Konto anlegen, dann erst kan ich die Maschine in die Däne aufnehmen. Korrekt ?

  • Ich habe im darüberliegenden Anleitungsforum mal einen Thread für die Dokumentation eröffnet.


    Leider ist es mir derzeit nicht möglich die Doku direkt ins Forum einzubinden, da die Dateigröße doch zu hoch ist.


    Edit:


    Es geht mittleweile, dank Christian

  • Bei den Versuchen für die Doku habe ich folgendes Problem:


    W7 Rechner lassen sich zur Domäne ohne Probleme hinzufügen, bei dem WinXP Testrechner (komplett neu aufgesetzt für den Zweck) kommt immer Access is denied.


    Vorgangsweise auf WinXP mit Namen 'testrechner' und Domäne 'wkst':
    1) Die Regdatei aus dem netlogon 'ntdomain_win2kxp' in die Registry einpflegen (merge)
    2) Auf der NAS den Maschinenaccount anlegen. Bsp. testrechner. Wird auch als testrechner$ gelistet.
    3) Am WinXP Rechner auf Domäne 'wkst' umschalten, einen Administrator aus der Domäne 'wkst' angeben.


    -> Access is denied <- kommt als Fehler. Oder der Prozess stürzt ab (Senden des Problems an MS...) und anschliessend ein RPC Fehler. Ich hatte das schon in den VMs, es dort aber auf die VM geschoben. Jetzt habe ich es aber auf einen physikalischen Rechner.


    Einen Hinweis, wie ich das Problem eingrenzen kann ?!


    P.S: Wenn ich im Hintergrund das Netlogon noch offen habe so kommt: Multiple connections to a server .... No na - das ist mir klar, es kann nur einen geben :-)

  • "af0815" schrieb:

    -> Access is denied <- kommt als Fehler. Oder der Prozess stürzt ab (Senden des Problems an MS...) und anschliessend ein RPC Fehler. Ich hatte das schon in den VMs, es dort aber auf die VM geschoben. Jetzt habe ich es aber auf einen physikalischen Rechner.


    Mit WinXP hatte ich es seit der Firmware 3.7.0 (oder war es 3.6.1) nicht wieder getestet,
    mit Win2000 und Win7 Ultimate hatte ich letztens keine Probleme.
    Ich werde bei Gelegenheit nochmal ein WinXP im VirtualPC aufesetzen und kontrollieren.


    Bei VirtualBox bekomme ich keine Verbindung zu anderen PCs/NAS im selben Netzwerk hin.

  • "Eraser-EMC2-" schrieb:

    Mit WinXP hatte ich es seit der Firmware 3.7.0 (oder war es 3.6.1) nicht wieder getestet,
    mit Win2000 und Win7 Ultimate hatte ich letztens keine Probleme.


    Meine aktuellen Daten


    Die WinXP Maschine war SP2, jetzt aktuell SP3 + ALLE von MS aufgedrängten Patches


    EDIT:
    Neuinstallation (inkl. Löschung aller Platten ohne Backup) :shock: - Ja ich mache sowas immer auf Testmaschinen, bin ja nicht bescheuert :mrgreen:


    Wieder alles lt. der Anleitung (für mich Referenz, damit alles gleich ist) installiert.



    Jetzt geht es ohne Probleme mit der (nackten) Version 3.6.1 auf der NAS mit WinXP in die Domain einzutreten.


    Konklusio:
    Das heisst die Version 3.7.x hat im Samba ein Problem.


    Was mir bei der Beobachtung mit Wireshark aufgefallen ist, dürfte es ein Problem beim Listen der Domänen durch den PDC (=NAS) bei der 3.7.x kommen. Es ist mir schon vorher aufgefallen, das das Domänenbrowsen (im Login Screen das Rollfeld mit den Domänen öffnen) extrem lange dauert (Minuten !) und keine Vernünftigen Ergebnisse dabei herauskommen.


    Bin dabei mir das nochmal genauer anzusehen, wo da die Unterschiede sind. Ich habe ja jetzt zwei Versionen der Netzwerktraffics und kann die einmal vergleichen.


    Edit1: Siehe auch englisches Forum Post http://forum.qnap.com/viewtopi…0&t=1731&p=282986#p282986 dort auch nähere Diagnosen.
    Definitiv bei mir: 3.6.1 geht Problemlos, 3.7.1 und 3.7.3 gehen nicht !!