B
BahamutXII
Grünschnabel
Hi guys,
Ich habe einen Windows Server 2008 AD Server mit Windows 7 Clients.
Nun habe ich einen Samba Server(3.5.6.) so eingerichtet das er sich in der Windows Domäne anmelden kann (Kerberos, Winbind). Das anmelden des Sambaservers am WinAD funktioniert auch einwandfrei.
Ich habe ein Kerberosticket erhalten(mittels kinit) und wbinfo zeigt mir alle Gruppen aus dem AD an.
Jedoch wbinfo passwd funzt nicht weil is Samba ist ein AD Member und nicht der DC.
In der smb.conf habe ich angegeben das Benutzer aus dem AD xyz der Gruppe xyz das Recht haben auf den Ordner zu zugreifen(/var/www). @Domäne+gruppe. Diese Gruppe exisitiert auf dem AD Server.
Hier meine smb.conf:
[global]
log file = /var/log/samba/log.%m
idmap gid = 10000-20000
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
obey pam restrictions = Yes
winbind use default domain = yes
realm = domain.LOCAL
password server = domain.dc.local
passwd program = /usr/bin/passwd %u
allow hosts = xxx.xxx.2.0/24
dns proxy = No
server string = %h server
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
path = /var/www/
unix password sync = Yes
workgroup = Arbeitsgruppe
comment = Entwicklung
syslog = 0
security = ADS
panic action = /usr/share/samba/panic-action %d
max log size = 1000
pam password change = Yes
[entwicklung]
comment = entwicklungsordner
path = /var/www/
valid users = @Domain.LOCAL+"ENTWICKLER" , @Domain.LOCAL+"IT.Admins"
read only = No
create mask = 0660
directory mask = 0770
....die Gruppen sind also eingetragen und existieren ebenfalls auch lokal auf dem Sambaserver. Trotzdem gehts nicht!??
Was hat es mit diesem Maschinenaccount auf sich? Der Sambaserver ist doch bereits AD Mitglied.
Ausserdem ist mir aufgefallen das mir wbinfo zwar alle AD GRuppen anzeigt aber mit passwd kann ich als AD Member natürlich nichts anfangen. Ist das das Problem? Es scheint so als seien zwar die Gruppen aus dem AD angebunden. Die Nutzer aus den Gruppen scheinen aber trotzdem keine Berechtigung zu haben sich am Server auch anzumelden. Wie löst man das?
Nun kann ich aber von meinen WinClients nicht auf die Freigabe zugreifen. Ich sehe zwar den Server als AD Mitglied aber jeder loginversuch mittels net use scheitert.
Ich hoffe Ihr könnt mir helfen, brauche dringend Hilfe.
Grüße
Ben
Ich habe einen Windows Server 2008 AD Server mit Windows 7 Clients.
Nun habe ich einen Samba Server(3.5.6.) so eingerichtet das er sich in der Windows Domäne anmelden kann (Kerberos, Winbind). Das anmelden des Sambaservers am WinAD funktioniert auch einwandfrei.
Ich habe ein Kerberosticket erhalten(mittels kinit) und wbinfo zeigt mir alle Gruppen aus dem AD an.
Jedoch wbinfo passwd funzt nicht weil is Samba ist ein AD Member und nicht der DC.
In der smb.conf habe ich angegeben das Benutzer aus dem AD xyz der Gruppe xyz das Recht haben auf den Ordner zu zugreifen(/var/www). @Domäne+gruppe. Diese Gruppe exisitiert auf dem AD Server.
Hier meine smb.conf:
[global]
log file = /var/log/samba/log.%m
idmap gid = 10000-20000
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
obey pam restrictions = Yes
winbind use default domain = yes
realm = domain.LOCAL
password server = domain.dc.local
passwd program = /usr/bin/passwd %u
allow hosts = xxx.xxx.2.0/24
dns proxy = No
server string = %h server
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
path = /var/www/
unix password sync = Yes
workgroup = Arbeitsgruppe
comment = Entwicklung
syslog = 0
security = ADS
panic action = /usr/share/samba/panic-action %d
max log size = 1000
pam password change = Yes
[entwicklung]
comment = entwicklungsordner
path = /var/www/
valid users = @Domain.LOCAL+"ENTWICKLER" , @Domain.LOCAL+"IT.Admins"
read only = No
create mask = 0660
directory mask = 0770
....die Gruppen sind also eingetragen und existieren ebenfalls auch lokal auf dem Sambaserver. Trotzdem gehts nicht!??
Was hat es mit diesem Maschinenaccount auf sich? Der Sambaserver ist doch bereits AD Mitglied.
Ausserdem ist mir aufgefallen das mir wbinfo zwar alle AD GRuppen anzeigt aber mit passwd kann ich als AD Member natürlich nichts anfangen. Ist das das Problem? Es scheint so als seien zwar die Gruppen aus dem AD angebunden. Die Nutzer aus den Gruppen scheinen aber trotzdem keine Berechtigung zu haben sich am Server auch anzumelden. Wie löst man das?
Nun kann ich aber von meinen WinClients nicht auf die Freigabe zugreifen. Ich sehe zwar den Server als AD Mitglied aber jeder loginversuch mittels net use scheitert.
Ich hoffe Ihr könnt mir helfen, brauche dringend Hilfe.
Grüße
Ben
