Authentifizierung gegen ein AD und lokale Benutzer

[CC_karsten]

Guten Morgen alle zusammen,

ich habe mich gerade hier im Forum angemeldet, da ich in nächster Zeit einiges mit Samba zu tun bekommen werde. Kenntnisse sind auf jeden Fall vorhanden, aber man weiß ja nie...

Eine Frage hätte ich aber gleich, ist mehr zum Verständnis für später gedacht, ein akutes Problem steht noch nicht hinter mir:

Es existiert ein Samba-Server (SLES11), auf dessen Freigaben sich die Benutzer über das AD eines W2k8 R2 authentifizieren. Weiterhin existieren auf dem Linux-Rechner noch lokale Benutzer, mit Samba-Berechtigung (Benutzer und Passwort in der tdbsam vorhanden).
Meine Frage wäre ob es möglich ist, mit einem der lokalen Benutzer des Samba von einer beliebigen Workstation im Netzwerk auf die Freigaben zugreifen zu können. Oder läuft diese Anfrage ins Leere, weil Benutzer/Passwort ausschließlich im AD des Domaincontrollers gesucht werden und nicht auch in der tdbsam des Samba-Servers?

Für hilfreiche Tipps immer dankbar,

Karsten

 

[Remidemi]

Hi

Das wirst du über die security Anweisung lösen.
security = domain fürs AD
security = user für lokale Samaba Authentifizierung

 

[CC_karsten]

Vielen Dank (und sorry für die späte Reaktion)!

Mir stellt sich nur noch die Frage, ob man auch beide security- Optionen in einer smb.conf verwenden kann? Ich dachte immer, dass eine Einstellung priorisiert behandelt und eine zweite dann nicht mehr abgefragt wird. Also dass man entweder mit den lokalen Samba-Usern Zugriff bekommt oder denen vom AD? Kann mir dazu jemand noch eine Aussage geben?

Vielen Dank nochmals,

Karsten

 

[CC_karsten]

update:

Alle Unklarheiten geklärt. Habe die Anmeldeszenarien testweise durchgespielt, es funktionieren sowohl Anmeldungen übers AD als auch über lokale Samba-Benutzer. Mein Fehler war nur, dafür zuerst einen alten W2k-Client zu verwenden. Der hatte Probleme mit den lokalen Benutzern und kannte nur AD-Member (trotz zusätzlichem Maschinen-Account auf dem Samba). Warum das nicht klappen will, muss ich noch herausfinden, aber grundsätzlich ist erstmal alles fein!

Karsten

 

[Remidemi]

Super ;-)

 

[CC_karsten]

Na ja, beflügelt durch den "Anfangserfolg" wollte ich jetzt noch dem Problem mit der W2k-Workstation auf den Grund gehen, aber die bremst mich immer wieder erfolgreich aus... Wenn es interessiert, dies ist der Stand, der mich gerade verzweifeln lässt:

W2k-Workstation, letztmögliches Patchlevel
Samba-Server mit Freigaben, lokalen Samba-Usern und Authentifizierung gegen ein AD (Kerberos & likewise-open)
W2k8 R2, als Domain-Controller, aktuelles Patchlevel

Jetzt passiert folgendes:
Die Anmeldung mit dem W2k an einer Freigabe mit einem AD-Benutzer funktioniert.
Die Anmeldung mit dem W2k an einer Freigabe mit einem lokalen Samba-Benutzer funktioniert nicht.
An allen anderen Workstations (ausnahmslos WinXP SP3) kann ich mich auf die Shares sowohl mit AD-Benutzern als auch mit lokalen Samba-Benutzern verbinden.

Setze ich in der smb.conf security = user (Standard ist security = ads), dann kann ich mich mit dem lokalen Samba-Benutzer vom W2k aus anmelden, allerdings sind dann logischerwesie die Domain-Member überall draußen.

Was noch unternommen wurde:
der lokale Samba-Benutzer existiert als Konto ebenfalls auf dem W2k (hat dort lokale Admin-Rechte und ist angemeldet)
noch einen Samba-Benutzer erstellt, mit dem Rechner-Namen des W2k (unter SLES natürlich vorher auch) - danach hat die Anmeldung sogar kurzzeitig funktioniert allerdings nur bis zum Neustart der Samba-Dienste

Alle anderen Tipps, die man sich so ergoogeln kann, sind eigentlich auch umgesetzt (NetBIOS über TCP/IP auf dem W2k, password encryption, usw...). Das Problem kann nur noch auf dem W2k liegen (denke ich), aber wo??
Also ich komme an dem Punkt nicht mehr weiter, wenn jemand den goldenen Tipp parat haben sollte, wäre ich sehr dankbar!!

Gruß
Karsten

 

[Remidemi]

Ist die W2k Workstation in der gleichen Workgroup wie die anderen Maschinen ?

 

[CC_karsten]

ja, gleiche Domäne.
Der Fehler am W2k ist übrigens der bekannte "1326 - unbekannter User oder Passwort" (oder so ähnlich).

Und noch ein Nachtrag, bevor dieser Vorschlag kommt:

Ich könnte natürlich den W2k zum Domain-Member machen und alles wäre gut -die Authentifizierung gegen das AD klappt ja. Nur leider ist die ganze Domäne eine Produktivumgebung und wird jährlich einer Auditierung durch den Kunden unterzogen. Der W2k ist ein Maschinen-Client (mehrere Mitarbeiter verwenden den Benutzer) und das wird in der AD-Umgebung gar nicht gern gesehen. Die Lösung mit dem lokalen Samba-Benutzer geht gerade noch so durch, daher die Notwendigkeit, mit dem W2k nur direkt auf die Samba-Shares zugreifen zu können.

Karsten

 

[CC_karsten]

Der Fall ist gelöst. Ich habe es bis heute verpennt, auf dem W2k beim net use - Befehl vor den gewünschten Benutzer noch den Hostnamen zu setzen. damit sucht er explizit nur dort und nicht im ganzen AD. Und siehe da:

net use K: \\hostname\freigabe /user:user ging nicht
net use K: \\hostname\freigabe /user:hostname\user funktioniert!!

Dann noch ein abschließendes Kopf -> Tisch und der Fall war gelöst...

Gruß
Karsten