file server samba in dominio samba

[wike]

Ho creato il dominio MYDOM utilizzando samba su ubuntu e configurandolo come pdc. Il tutto funziona e riesco a mettere nel dominio i client windows.

Poi ho configurato un altro server sempre con ubuntu e samba. Questa volta la security è= domain. Questo 2° server dovrà essere il file server.

Ho poi messo il file server nel dominio MYDOM (funziona).

Come posso dal file server effettuare il logon al dominio? E' possibile?

PS: non uso winbind perchè ho letto sul manuale che serve solo nel caso di client linux messi in un dominio in cui il pdc è windows

grazie

[Rampage]

mi sa che l'unica è usare LDAP per l'autenticazione.

[wike]

grazie ma ldap non c'entra.

Io uso tdbsam perchè ho bisogno di realizzare un dominio, in una rete con un solo segmento, che sia poi semplice da gestire(anche da parte di personale non esperto in amministrazione di reti)
La mia soluzione deve basarsi sulla semplicità. Avendo 2 server a disposizione ho deciso di installare su entrambi ubuntu 8.04 e samba 3.x (ultima versione).
Un server sarà dedicato a svolgere compiti di DNS e PDC (stile NT) , mentre l'altro lo userò esclusivamente come File Server.
Date le caratteristiche dell'azienda non ho la necessità di BDC e DHCP.

Ho configurato 1 smb.conf con security =user per funzionare da PDC (senza winbind). Ho poi inserito i client win xp pro sp3 nel dominio (senza problemi). Poi ho configurato il secondo smb.conf (sul secondo server) in modo da funzionare come domain member server (security=domain)  senza winbind. L'unico Domain e Local Master sarà il PDC.

Dopo aver messo il 2° server nel dominio (net rpc join -D MyDOM ) ho ricevuto la risposta pc incluso nel dominio.
Da un client winxp mi aspettavo di vedere le connessioni (opportunamente impostate nel logon.bat) però non vedo nulla :-(

Inoltre dall'interfaccia grafica di ubuntu non capisco come posso digitare utente password e dominio (come sui sitemi winzoz).

Ho visto che alcuni siti consigliano l'uso di winbind. Leggendo però la documentazione si dice che winbind serve quando un client linux vuole entrare in un dominio creato con WIN NT e non con samba.

Qualcuno sa dirmi dove sbaglio?
grazie
IK

[Luxor79]

Ciao è semplice:
- accedi al server su cui vuio eseguire il join al dominio,
- digiti con permessi di amministratore: net join rpc - U root
- fai attenzione che la prima password che ti chiede è quella  legata all' amministratore locale del server che vuoi annettere; la seconda (la password legata all' utente root) è quella di dominio (per intenderci quella che hai digitato quando hai configurando il pdc con il comando "smbpasswd - a root"
Spero di esserti stato utile

[Rampage]

ma secondo me stai sbagliando approccio.

tu cos'è che vuoi fare esattamente?
un dominio misto?
vuoi poter utilizzare degli utenti registrati sul server per fare il login sia dalle macchine windows che da quelle linux?

se vuoi fare questa cosa sicuramente la via meno problematica è LDAP.
imposti LDAP come back-end per le password sul domain controller, e poi:
- sui client windows non devi fare niente perchè windows già usa gli utenti del domain controller per fare il login
- sui client linux imposti PAM per utilizzare l'LDAP presente sul domain controller come back-end per le password.

l'alternativa se no è quella di utilizzare winbindd, perchè i client linux NON utilizzeranno mai nativamente le password di samba come credenziali per il login da shell (o da GDM/KDM ecc), se vuoi questa funzionalità devi mapparli, o con winbindd, o usando LDAP, e a questo punto sta a te scegliere la via che preferisci.

[wike]

grazie per la risposta.

Nella mia lan ci sono circa 30 workstation (tutti win xp sp3 e alcuni win 2k). Ho usato la soluzione senza ldap perchè il PDC lo metto su io o poi lo gestirà una persona responsabile del ced che però non è un amministratore di rete vero e proprio ( e la gestione don ldap mi sembrava un po' impegnativa).

Al momento i pc windows sono già tutti nel dominio e funzionano correttamente. DOvrei adesso inserire un secondi server con funzioni esclusive di file server (realizzato sempre con samba e security=domain). Mi chiedevo:

1) è sufficiente inserirlo nel dominio con net join (esito positivo) perfar si che le aree condivise siano visibili agli utenti che accedono al dominio? Mi sembra dalle tue parole, e da ciò che ho letto su IDMAP che sia necessario l'utilizzo di winbind(visto che non uso ldap). E' corretto?

2) in futuro è probabile che debba mettere nel dominio workstation linux e quindi ritorniamo ai ragionamenti precedenti su winbind.

dove posso trovare una guida sulla configurazione di winbind?

grazie
IK

[Rampage]

se devi autenticare gli utenti su linux appoggiandoti agli utenti presenti sul PDC, devi usare winbind, se è solo per la gestione degli share invece ne esco un po' spiazzato perchè non so come vengono ereditati gli utenti samba tra un PDC e un server membro sempre linux.

[PaoloVIP]

Non credo centri winbind. Questo viene usato se hai un server Windows e vuoi usare AD.

Non ho capito... vuoi un PDC e un BDC? Devi usare LDAP. Se poi dovrà gestirlo un altro, meglio ancora. Permette la gestione centralizzata degli account.

Dai una occhiata qui: http://wiki.ubuntu-it.org/Server/DirectoryServer

[wike]

Non voglio un BDC e non voglio usare ldap. Il PDC è già configurato e funziona egregiamente. Tutti i client XP sono stati messi nel dominio senza problemi. Samba è configurato usando tdbsam.

Esiste un how to per configurare winbind (NON con un dominio Win NT, nè tantomeno con Active Directory) conun dominio samba3.

server PDC: configarato samba 3 con security=user e backend=tdbsam

file server: configurato samba 3 con security= domain e winbind.

Non so bene come configurare pam.Conoscete un howto che faccia al caso mio visto che la config è diversa tra AD e PDC NT-style?

grazie

[Rampage]

poco conta se il PDC è linux o windows, la configurazione di winbind si fa sempre allo stesso modo

qui spiegano come

http://www.section6.net/wiki/index.php/ ... ain_Member

[PaoloVIP]

poco conta se il PDC è linux o windows, la configurazione di winbind si fa sempre allo stesso modo

qui spiegano come

http://www.section6.net/wiki/index.php/ ... ain_Member

Porca paletta! Nel wiki che citi te lo pure dice!

"Samba as an Active Directory Domain Member"

Se vuoi un PDC e un BDC con linux e Samba devi usare LDAP. Se vuoi farlo con Tdbsam puoi usare tecniche esoteriche tipo vampire o cose analoghe.

Esiste un how to per configurare winbind (NON con un dominio Win NT, nè tantomeno con Active Directory) conun dominio samba3.
server PDC: configarato samba 3 con security=user e backend=tdbsam
file server: configurato samba 3 con security= domain e winbind.

No senza LDAP, non si può.

Vi saluto. Se ci riuscite postate qua i risultati. Nel frattempo avvisate anche quelli di samba, sarebbe inutile continuare a sviluppare la versione 4.

Ciao, ciao.

[wike]

Forse non hai letto i precedenti.

NON voglio nessun BDC!

Inoltre poco prima mi è stato detto che con samba3 e winbind si può fare, senza usare LDAP

grazie

[PaoloVIP]

Forse non hai letto i precedenti.

NON voglio nessun BDC!

Inoltre poco prima mi è stato detto che con samba3 e winbind si può fare, senza usare LDAP

grazie

Allora fai un file server normale e fai il join al server PDC. L'unica cosa che dovrai fare è replicare manualmente utenti, gruppi e permission. Ldap serve proprio a questo, ad evitare di dover digitare a manina, per ogni server le variazioni e creazioni o cancellazioni di quanto sopra.
Winbind serve ad integrare un server in un dominio Active Directory.
Non credo possa essere utilizzato su un server Samba 3 che per definizione non supporta AD.
Ma se te lo hanno datto sarà così.

[wike]

Il mio inglese è pessimo!

Sul manuale ufficiale samba è riportato:

What Winbind Provides

Winbind unifies UNIX and Windows NT account management by allowing a UNIX box to become a full member of an NT domain. Once this is done, the UNIX box will see NT users and groups as if they were “native” UNIX users and groups, allowing the NT domain to be used in much the same manner that NIS+ is used within UNIX-only environments.

The end result is that whenever a program on the UNIX machine asks the operating system to look up a user or group name, the query will be resolved by asking the NT domain controller for the specified domain to do the lookup. Because Winbind hooks into the operating system at a low level (via the NSS name resolution modules in the C library), this redirection to the NT domain controller is completely transparent.

Users on the UNIX machine can then use NT user and group names as they would “native” UNIX names. They can chown files so they are owned by NT domain users or even login to the UNIX machine and run a UNIX X-Window session as a domain user.

The only obvious indication that Winbind is being used is that user and group names take the form DOMAIN\user and DOMAIN\group. This is necessary because it allows Winbind to determine that redirection to a domain controller is wanted for a particular lookup and which trusted domain is being referenced.

Secondo te cosa significa?

[PaoloVIP]

Già dalla prima riga di quello che hai postato:

What Winbind Provides

Winbind unifies UNIX and Windows NT account management by allowing a UNIX box to become a full member of an NT domain

Winbind unifica la gestione degli account Unix e Windows, permettendo a una unità Unix di divenire un membro effettivo di un Dominio NT.

Partiamo da Samba:

Samba può emulare un Server Windows 2000, non può fare da Active Directory Domain Server, chiamato anche più semplicemente Domain Controller. La versione 3 di Samba permette l'integrazione di un server samba in un DC.

Active Directory Domains

Starting with Windows 2000, Microsoft has introduced Active Directory, the next step beyond Windows NT domains. We won't go into much detail concerning Active Directory because it is a huge topic. Samba 2.2 doesn't support Active Directory at all, and support in Samba 3.0 is limited to acting as a client. For now, be aware that with Active Directory, the authentication model is centered around Lightweight Directory Access Protocol (LDAP), and name service is provided by DNS instead of WINS. Domains in Active Directory can be organized in a hierarchical tree structure, in which each domain controller operates as a peer, with no distinction between primary and backup controllers as in Windows NT domains.

Windows 2000/XP systems can be set up as simple workgroup or Windows NT domain clients (which will function with Samba). The server editions of Windows 2000 can be set up to run Active Directory and support Windows NT domains for backward compatibility (mixed mode). In this case, Samba 2.2 works with Windows 2000 servers in the same way it works with Windows NT 4.0 servers. When set up to operate in native mode, Windows 2000 servers support only Active Directory. Even so, Samba 2.2 can operate as a server in a domain hosted by a native-mode Windows 2000 server, using the Windows 2000 server's PDC emulation mode. However, it is not possible for Samba 2.2 or 3.0 to operate as a domain controller in a Windows 2000 Active Directory domain.

If you want to know more about Active Directory, we encourage you to obtain a copy of the O'Reilly book, Windows 2000 Active Directory.

Winbind:

Winbind - Integrazione di Gnu/Linux e Active Directory Microsoft Windows.

Winbind è un componente che fa parte della suite Samba, in grado di risolvere il problema dell'autenticazione di un sistema linux su un dominio Active Directory Windows.
In questa guida intendiamo dunque spiegare come unire a un dominio active directory una workstation linux e autenticare gli utenti di dominio attraverso il DC(domain controller) microsoft windows.


In questo pdf, nelle prime due pagine hai cosa puoi e cosa non puoi fare con Samba 3: http://www.google.it/url?sa=t&source=web&ct=&cd=5&url=http%3A%2F%2Fwww.riminilug.it%2Ftiki-download_file.php%3FfileId%3D3&ei=KErfSc6NIYSQsAbZmqHgCA&usg=AFQjCNFbM8mp2xE3_ZgEzMnR1jyOvaYpww&sig2=sa23S97lzNUmOJyDHBoqHA

Le modalità di Samba sono definite nel file /etc/samba/smb.conf. Sono tre:

1. security = server : Significa che cercherà di autenticare gli utenti su un' altro server

2. security = domain : Significa che agirà come membro di un dominio. (BDC)

3. security = user : Significa che agirà da PDC.

Ancora:

Samba ADS Domain Control

Samba-3 is not, and cannot act as, an Active Directory server. It cannot truly function as an Active Directory PDC. The protocols for some of the functionality of Active Directory domain controllers has been partially implemented on an experimental only basis. Please do not expect Samba-3 to support these protocols. Do not depend on any such functionality either now or in the future. The Samba Team may remove these experimental features or may change their behavior. This is mentioned for the benefit of those who have discovered secret capabilities in Samba-3 and who have asked when this functionality will be completed. The answer is maybe someday or maybe never!

To be sure, Samba-3 is designed to provide most of the functionality that Microsoft Windows NT4-style domain controllers have. Samba-3 does not have all the capabilities of Windows NT4, but it does have a number of features that Windows NT4 domain controllers do not have. In short, Samba-3 is not NT4 and it is not Windows Server 200x: it is not an Active Directory server. We hope this is plain and simple enough for all to understand.

[Rampage]

allora..
andiamo con ordine, se permettete

SAMBA3 non permette di funzionare come un domain controller 2003.

SAMBA3 PERMETTE di funzionare come PRIMARY DOMAIN CONTROLLER in modalità NT.

ora, se winbind permette ad un CLIENT samba di diventare MEMBRO di un dominio NT

e SAMBA se impostato come PDC può emulare il funzionamento di un domain controller in stile NT

facendo 2 + 2 direi che è ovvio che puoi usare winbind per ereditare gli account da un server samba impostato come PDC.
tanto a lui che cosa glie ne frega? (a winbind) se la macchina di là è un vero NT o un samba che si comporta come tale?

provare per credere.
a quel punto gli account samba presenti sul DC diventeranno gli account UNIX per il server membro (fileserver o quel cazzo che volete).

[wike]

Grazie Rampage ... iniziavo a pensare di non aver capito nulla. Ho solo un problema con i gruppi che mi sta facendo impazzire da questa mattina

Con wbinfo -g  ottengo  Error looking up domain groups (ERRORE!!!  MA DOVE???)

Nei file di log trovo:
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_NO_MEMORY


In particolare:

A me serve aver un PDC che autentifichi ed un File server che gestisca le condivisione. Il PDC avrà un file per ogni utente nella cartella netlogon. In questi , tramite net use attuo una mappatura delle condivisioni con i drive opportuni (f:,r:,s:,t:, ecc..)
Al momento ho:
1) un server Primary Domain Controller  (security = user). Le condivisioni sono sul PDC
2) N client winxp e 2k che ho messo nel dominio creato

Sto cercando di realizzare un File Server sul quale spostare le condivisioni
3) Sul file server ho configurato samba (security=domain). Avevo capito che i membri di dominio fossero server che possono essere connessi al dominio.
Ovviamente ho bisogno che il file server conosca i gruppi e gli utenti definiti sul PDC, altrimenti già solo la chown utente.gruppo cartella mi dà errore (non trova il gruppo).

Dopo aver configurato samba e nsswitch per utilizzare winbind ho messo la macchina nel dominio:

net rpc  join -D mydom -U root

(risultato OK)

e poi hi attivato i demoni di samba e winbind.

Con wbinfo -u ottengo dal file server la lista completa degli utenti del dominio (quelli presenti sul PDC)
Con wbinfo -g  ottengo  Error looking up domain groups (ERRORE!!!  MA DOVE???)

Nei file di log trovo:
get_sam_group_entries: could not enumerate domain groups! Error: NT_STATUS_NO_MEMORY

Dove sbaglio???

grazie
IK

:-(

[Rampage]

ma sul PDC hai dei gruppi?
o hai solo degli utenti?

nel senso che sul PDC i gruppi non devono essere quelli unix, ma quelli samba

come tu per ogni utente unix del PDC avrai fatto
smbpasswd -a nomeutente
per creare la sua entry nel database di samba, la stessa cosa la dovrai fare per i gruppi, e poi assegnare gli utenti ai gruppi...

[wike]

sul PDC ho 7 gruppi nel file /etc/group  e 20 utenti nel file /etc/passwd.
Dopo aver creato i gruppi e gli utenti linux ho digitato smbpasswd -a per ogni utente.

Devo farlo anche per ogni gruppo? Inoltre il gruppo non deve avere una password??

[wike]

Rampage  6 un mito...  mi hai messo in testa la soluzione del problema

Effettivamente avevo creato (sul PDC)  utenti e gruppi a livello Unix  e solo utenti a livello Samba. Adesso con il comando net groupmap add ... ho creato tutti i gruppi a livello di dominio e poi con gpasswd -a user group ho associato gli utenti ai gruppi.

Adesso dal File server con wbinfo -u e wbinfo -g vedo correttamente sia gli utenti del dominio che i gruppi.  Piano piano mi avvicino alla soluzione.

Se sul file server devo associare ad un file un determinato utente del dominio mi da però ancora errore:

chown user nomefile  ---> restituisce utente sconosciuto.

Domanda:devo ancora far sì che gli utenti del dominio diventino anche utenti di macchina linux sul file server? Se si come faccio?

grazie
Ike