Am Samstag 02 Oktober 2004 18:04 schrieb Roland M. Kruggel:
> Am Samstag 02 Oktober 2004 16:37 schrieb Matthias Houdek:
> > > > Ne, nicht? Du arbeitest nicht wirklich als root?
> > >
> > > Nein, nicht der User mit dem gearbeitet wird. Der user mit dem
> > > ich den zutritt in die Dom�ne authentifiziere.
> >
> > Der hei�t root? Interessant.
> > Warum hat der User nicht auch unter Samba seinen User-Namen? root
> > ist ein Administrator-Account und sollte nirgends f�r
> > irgendwelche Remote- oder Netzwerkanmeldungen verwendet werden
> > (auch nicht Admin, Superuser o.�.). Es verwirrt und kann auch
> > schnell zu ungewollten Konfigurationen f�hren (der Samba-root
> > entspricht doch wohl nicht dem lokalen root des Linux?).
>
> Ich glaube da herrscht ein Missverst�ndmiss.
> Der User mit dem ich Arbeite und mit dem ich mich in der Dom�ne
> anmelden will ist nat�rlich nicht root.
>
> Aber wenn ich die XP-WS in die Dom�ne hineinbringen will wird doch
> ein Benutzer und passwort verlangt. Dort soll es root sein. So sind
> zu mindestens die Aussagen der Literatur.
OK, Grunds�tzliches:
Wenn man sich mit einer Windows-Workstation (egal, welches Windows) an
einer Windows-Dom�ne (auch Samba) anmelden will, brauchen sowohl der User
als auch die Workstation (WS) eine Authentifizierung (Anmeldename und
Passwort).
Bei einem Windows-PDC kann man, wenn man eine WS das erste Mal an eine
Dom�ne anmeldet, mit dieser WS "der Dom�ne beitreten". Das bedeutet nix
anderes, als dass �ber das Netz ein Account f�r diese WS auf dem PDC
anlegt. Daf�r ben�tigt man bei dieser erstmaligen Anmeldung der WS (nicht
eines Users!) nat�rlich Administrator-Rechte auf dem PDC.
Bei einem Samba-PDC war es lange Zeit nicht m�glich, eine WS �ber die
Anmeldeprozedur (quasi "on-the-fly" neu in den PDC einzutragen. Das geht
IMHO erst Samba 3.0. Daf�r braucht es aber einiger wichtiger Vorarbeiten
(Siehe unten). Und dann muss man f�r dieses erste Anmelden root sein (man
muss ja schlie�lich einen Linux-User neu anlegen.
Da du aber geschrieben hast, der Maschinen-Account existiert schon, kannst
du dir das sparen (IMHO ist das sowieso die bessere Methode, die
zugelassenen Rechner vorher selbst anzulegen. Zur Not macht das ein
Script, wenn es sehr viele sind).
> > Schick mal bitte die [global]-Section deiner smb.conf. Es gibt ja
> > verschiedene Arten, die User zu authentifizieren.
> >
> > BTW: Ist root auch als Samba-User enabled? (smbpasswd -e root)
>
> ja.
>
>
>
> smb.conf
> --snip
> # Global parameters
> [global]
> workgroup = SAMBA
> netbios name = SAMBAPDC
> server string = Samba %v (PDC) @ samba.netz
> browseable = no
> public = no
> writeable = no
> guest account = nobody
> guest ok = no
> log file = /var/log/samba/samba.log.%m
> domain master = yes
> preferred master = yes
> local master = yes
> prefered domain = yes
> domain logons = yes
> os level = 33
> security = user
> #add machine script = /usr/sbin/useradd -d /dev/null -g clientpc
> -s /bin/false %u
Diese Zeile sollte nat�rlich scharf sein, wenn du "on-the-fly" einer
Dom�ne beitreten willst. Au�erdem solltest du vor das "%u" ein "-M"
setzen.
> logon drive = X:
> logon path = \\%N\profiles\%u
> logon home = \\%N\%U\profiles
> logon script = logon.cmd
> encrypt passwords = yes
> update encrypted = yes
> #password level = 4
> password level = 3
> username level = 16
> unix password sync = yes
Willst du das wirklich?
Wenn ein User sein Windows-Passwort �ndert, �ndert sich automatisch auch
sein Linux-Passwort. Prinzipiell keine schlechte Idee, aber alle User
sollten es wissen und verstehen.
> passwd program = /usr/bin/passwd %u
> passwd chat = *password* %n\n *password* %n\n *successfull*
> domain admin users = root
Wie du siehst, k�nnte man hier euch einen anderen User verwenden (der
nat�rlich �ber die entsprechende Rechte verf�gen muss, aber halt nicht
�ber alle, die root hat).
> [...]
Au�erdem habe ich mal rausgesucht, was du in der Registry �ndern/eintragen
musst, damit das mit dem Beitritt klappt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netlogon\parameters
"RequireSignOrSeal"=dword:00000000
--
Gru�
MaxX
Hinweis: PMs an diese Adresse werden automatisch vernichtet (Filter
nach /dev/null).
