BETA [QPKG] SAMBA-PDC mit LDAP

Moin,

ich habe mal nach der Anleitung von af0815 (http://forum.qnapclub.de/viewt…&t=22305&p=125550#p125550 - vielen Dank dafür!) meine TS 212 mit FW 3.7.1 als PDC aufgesetzt. Anmeldung funzt im lokalen Netzwerk sowohl unter WinXP (SP 3) als auch Linux (OpenSuSE) einwandfrei. Unter Linux habe ich die Heimatverzeichnisse dann in eine Freigabe gelegt, die in das Verzeichnis /home/DOMAIN als NFS gemounted wird, damit man von überall drauf zugreifen kann. Das läuft auch. Aber jetzt kommt der Hammer

Die User haben auf unterschiedlichen Rechnern unterschiedliche UIDs. Der Benutzer Max hat auf seinem PC die UID 1000001, auf dem PC Tochter die UID 1000004 ???

Auf dem NAS läuft der Winbind, die Anmeldung funktioniert auch. Aber ich darf doch nicht mit unterschiedlichen UIDs rüberkommen ... Das macht mir doch alles kaputt.

Hat jemand eine Idee, was da nicht stimmt?

Grüße
Max

Die Frage die sich für mich stellt, welche SAM ist für die IDs zuständig? Ich nehme an, es sind lokale IDs, dann sind die unterschiedlich. Bist du wirklich an der Domäne authentifiziert, nicht nur lokal und verwendest nur ein Domänenshare um dich mit der Nas zu verbinden?

Hallo,

um hier die beiden Fragen dazu in einem Rutsch zu beantworten:

1. Ich nutze nicht nur die Freigaben (Samba-/NFS-Shares), sondern authentifiziere mich auch gegen die Domäne.

2. Ja, ich nutze den PDC (Samba!) zur Authentifizierung. Die Benutzer sind lokal nicht mehr in der passwd/shadow der Rechner eingetragen. Und ich authentifiziere mich auch gegen Samba und nicht gegen den LDAP (direkt) des NAS. Ich habe die Rechner über die Admin-Oberfläche der Domäne hinzugefügt. Die SuSE bietet dafür ja das komfortable Admin-Tool YaST. Beim einbinden in die Domäne wurde der Domain-Administrator mit Passwort abgefragt.

Wenn ich mich am Rechner anmelden will, muss ich zwingend (!) die Domäne mit angeben. Der GDM (oder auch KDM, ist egal) will die Nennung der Domain mit haben. Beim KDM kann ich die auswählen, bei GDM muss ich sie vor der Benutzerkennung eintippen. Wenn ich die Domain weglasse kann ich mich nicht anmelden.

Eine Abfage des Benutzers mid `id USERNAME` geht nur in der Form:
id DOMAIN\\USERNAME
Ohne Nennung der Domain gibt es ein "unknown user" zurück.

Max

Was Mir Jett daze einfällt: local muss ja der samba auf einen lokalen unix user mappen. Sonst wären ja local keine recite vorhanden, deshalb siehst du unterschiedliche lokale IDs. Samba hat seine eigene Benutzer Datenbank, deshalb findet man die nicht direkt und auch nicht in der GUI Benutzerverwaltung. Aber über die Kommandozeilentools von Samba lässt sich eine Menge abfragen.

sudo pdbedit -L sollte dir eine (lokale) Liste ausgeben, wenn du ohne LDAP arbeitest.

Nachdem ich die nächsten Wochen nur ein Pad zur Verfügung habe, bin ich in meinen Möglichkeiten etwas beschränkt.

Moin,

danke für die schnelle Rückmeldung. Das werde ich mal probieren. Das müsste dann ja über die lokale /etc/samba/smbusers gehen. Werde ich heute Nachmittag bzw. morgen Vormittag mal testen. Schreibe dann Bescheid, was dabei rauskommt.

Mein anderer Gedanke wäre sonst gewesen, eine Authentifikation über den LDAP des NAS direkt zu versuchen. Dazu wollte ich mir allerdings erst einmal den LDAP-Browser (dieses Java-Geraffel ) holen und mir die Struktur im LDAP selbst anschauen, damit ich da den richtigen Pfad erwische ... Da müsste ja auch drin stehen, mit welcher uid der Benutzer drin steht.

Das ist auch noch eine Frage: Wenn ich auf dem NAS direkt (über die bash) nachschaue, welche ID der user hat, ist das auch eine andere, als auf dem entfernten Clienten.

Bleistift - ähm, Beispiel:
Nas: id max - 10001
lokal: id DOMAIN\\max - 1000001

Man beachte die Anzahl der Nullen (nein, das bin nicht ich!).

Irgend wie so etwas kam da raus. Kann leider von hier nicht ssh'en, das macht die Firewall nicht mit
Mein Ansatz wäre sonst, die uid im LDAP von Hand zu manipulieren (über den LDAP-Browser).

Grüße

P. S.: ich darf das auch ohne "sudo" - ich kenne das root-PW :shock:

Halte dir mal vor Augen, das der SID vom Samba immer irgendwie auf einen (lokalen) Unixuser gemappt werden muss, natürlich nur bei Linux (Unix). Deshalb sind die Benutzernummern nicht gleich. Es hängt von der lokalen Konfiguration ab.

Windows-SIDs sind länger, haben einanderes Format und man kann aus der SID teilweise auch herauslesen, was es für ein SID ist. Siehe auch
http://de.wikipedia.org/wiki/Security_Identifier
http://support.microsoft.com/kb/243330

Hallo,

habe eine Lösung gefunden

1. JXplorer (Java LDAP-Browser) geladen, damit eine Verbindung zum LDAP des NAS hergestellt

2. Mir die Tabellen des Zweigs "people" angeschaut und von Hand manipuliert.
- Änderung der Benutzer-ID (uuid, weiß jetzt nicht mehr das Label) auf 1000 ++
- Änderung der Tabellen im ID-Bereich auf 1000 - 2000000 und die akt./letzte ID von
Hand eingetragen.

3. chown auf die Heimatverzeichnisse gemacht, damit die neue uuid zum Eigentümer passt

4. Den mountpoint der Benutzerverzeichnisse auf /home geändert und dort mittels nfs ein-
gebunden. Eintrag aus der /etc/fstab:
NAS-IP:/share/MD0_DATA/linux-homes /home nfs defaults 1 1

5. Die Berechtigungen für den NFS-Export auf das lokale Netz beschränkt und rw-Rechte vergeben

6. Dann die Authentifikation der Linux-Client von Windows-Domäne auf LDAP umgestellt, den Rechner
aber in der Domäne drin gelassen, damit der lokale Samba mit den Freigaben noch enwandfrei
läuft. Damit ist bei der Anmeldung keine Angabe der Domäne mehr erforderlich, der
Benutzername reicht aus.

7. WICHTIG: Mittels LDAP-Browser eine Login-Shell vergeben, sonst gibt es Mecker
bei der grafischen Anmeldung!

Mit diesen Einstellungen kommen die Benutzer einwandfrei rüber, die uuid wird korrekt auf alle Rechner im lokalen Netz weitergegeben. Der Zugriff auf die Freigaben der anderen Rechner erfolgt nach Angabe von Benutzername und Kennwort (Authentifizierung und Berechtigung über die Samba-Domäne) einwandfrei, die uuid's werden korrekt weitergegeben und neue Dateien mit den entsprechenden Rechten und Benutzern angelegt.

Anmeldung an einer Windows-Schüssel klappt auch einwandfrei, die Benutzer laufen, haben die korrekten Rechte im Samba-Netz und können auf die Linux-Freigaben zugreifen!

Das Mapping der Windows-User-ID (SID) erfolgt im LDAP. Dort sind beide User-ID's eingetragen. Bei den von mir vorgenommenen Änderungen habe ich die SID von Windows nicht angefasst, deshalb läuft da noch alles problemlos.

Genau so habe ich mir das vorgestellt! :mrgreen:

Kleine Frage an die Winbind-Spezis:
- In meinen smb.conf steht immer ein uid-Bereich von 100000-200000.
Ist das für das Mapping der uid's erforderlich?
- Kann man vielleicht in dem Installationsscript die uuid's in den Bereich *unter* diesem
Winbind-Bereich verlagern, damit es nicht zu Problemen kommt?

Grüße von der Nordsee!

Max

Das Mapping ist notwendig, der Bereich ist ganz einfach vorgegeben, dort wo er am wenigsten stört. Es dürfen halt die normalen unix Benutzer und die gemappten nicht kollidieren. QNAP hat halt den Bereich, so wie er ist, verwendet.

Man muß nur aufpassen, das bei einem Update oder Restore einem die Änderungen keine Probleme bereiten :shock:

Hallo,

dank dieses QPKG's und der Anleitung von af0815 habe ich meine Umgebung schnell für die Verwendung im PDC Betrieb umgestellt.

Habe nur das Problem mit den Roaming Profilen, bei dem ich bisher keine Lösung finden konnte. Windows meckert nun bei jedem Start, dass es einen Fehler mi dem Profil gab und ich deshalb mit dem zuletzt verwendenten lokalen Profil angemeldet sei.
Verwendet wir ein QNAP TS-119 mit der FW 3.7.3.20120801 und einem Windows 7 Professional PC als Client über WLAN (nativ). Wie ich gelesen habe, hatten auch andere schon das Problem im Zusammenhang mit der FW Version 3.7.0, die in einer aktuelleren Version nicht mehr vorhanden gewesen sind.

Würde mich sehr über Hinweise von Euch zur Problembehebung freuen.

Zitat von "hispeedsurfer"

Habe nur das Problem mit den Roaming Profilen, bei dem ich bisher keine Lösung finden konnte. Windows meckert nun bei jedem Start, dass es einen Fehler mi dem Profil gab und ich deshalb mit dem zuletzt verwendenten lokalen Profil angemeldet sei.

A) Was sagt das Windows-Log zu dem Problem, gibt es nähere Info's. Sowohl beim Login bzw. Logout.
B) Passen sicher die Rechte für den/die Benutzer.

Zunächst wollte ich noch sagen, dass ich bei der Installation, die .reg Dateien aus dem Ordner Netlogon ausgeführt hatte.

Was jetzt schlussendlich dazu geführt hat, dass die Meldung nicht mehr kommt, kann ich nicht sagen (habe viel ausprobiert...), aber ich denke, dass es ein Eintrag in der smb.conf war.

vorher:
logon path = \\%L\Profiles\
logon drive = I:

nachher:
logon path = \\%L\Profiles\%U
logon home = \\%L\%U\.Profiles
logon drive = I:

Allderings wird das Logon Drive I: nicht automatisch erzeugt. Ist das normal?

---Edit---

Zitat von "af0815"

A) Was sagt das Windows-Log zu dem Problem, gibt es nähere Info's. Sowohl beim Login bzw. Logout.
B) Passen sicher die Rechte für den/die Benutzer.

Soviel ich mich erinnern kann, hab ich an den Rechten nicht rumgeschraubt, so dass es daran nun liegen könnte.

Aber in meinem Log habe ich folgendes gefunden:

Zitat

Windows cannot locate the server copy of your roaming profile and is attempting to log you on with your local profile. Changes to the profile will not be copied to the server when you log off. This error may be caused by network problems or insufficient security rights.

DETAIL - Access is denied.

Das würde ja schon auf Punkt B hindeuten.

Ob die Rechte nicht stimmen oder das Laufwerk nicht gefunden wird ist aus der Meldung im Log (von MS) noch nie klar geworden. Wenn es jetzt geht, besser nicht darüber nachdenken .
Ich nehme an, das die Rechte nicht das Problem waren, sondern der Share nicht gepasst hat, so wie du es beschrieben hast.

Zitat von "Eraser-EMC2-"

Das wird aber nocht so durch mein Script erstellt.
Dann muß der Pfad der Freigabe "Profiles" auch angepaßt werden.

Hallo Eraser-EMC2-,

die Nachher-Einträge sind die, die ich angepasst habe. Was meinst du mit deiner Aussage? Was muss ich noch anpassen?

Zitat von "Eraser-EMC2-"

Weswegen hast du das so geändert, weil du das irgendwo gelesen hast oder selbst ausgetestet ?

Sowohl als auch. Habe einfach rumprobiert und die Fehlermeldung wegzubekommen und hatte das irgendwo so gelesen. TryError halt.

Zitat von "hispeedsurfer"

Zunächst wollte ich noch sagen, dass ich bei der Installation, die .reg Dateien aus dem Ordner Netlogon ausgeführt hatte.

Wie oben geschrieben, hatte ich die .REG Dateien seit Anfang an ausgeführt. Hatte das in der Anleitung gelesen. Dennoch hatte es bei mir nicht geklappt.

Was die Freigaben angeht, steht

"homes"       -> Domain Users (read/write)
      "%u"             -> admin (read/write)
      "Benutzer1"      -> Benutzer1 (read/write)


"Profiles      ->
     "Profiles"       -> admin (read/write)
           "Vista"            -> admin (read/write)
               "Benutzer1"         -> Benutzer1 (read/write)

Vielleicht sollte ich den QNAP nochmal total neu aufsetzen, um es besser nachzuvollziehe. Weiß aber nicht ob ich so schnell dazu komme.