Samba Paket in Freetz als Domain Controller

[Dirk921]

Hallo Zusammen,

ich habe mir vor kurzem Freetz "29.04.59freetz-1.0-stable-2740" auf meiner 7170 installiert. Als Pakete habe ich mir "Dnsmasq", "Dropbear" und "Samba" ausgewählt. Soweit auch alles prima. Ich würde nun gerne den Samba (auch per Hand) so konfigurieren, dass er als Domain Controller im Netzwerk arbeitet. Dabei ist es mir nur wichtig, dass die Passwörter zentral verwaltet werden, die Profile sollen weiterhin lokal gespeichert werden, da sonst die Box doch etwas arg belastet wird.

Wo es bei mir nun hapert ist die Erstellung neuer Benutzer in der smbpasswd. Zwar habe ich mir schon von hier aus Post #6 das Programm zum erweitern der Datei runtergeladen, das brachte mich aber nicht weiter. Es wird kein zusätzlicher Benutzer in der smbpasswd erstellt.

Da ich neu in diesem Gebiet bin, fällt es mir relativ schwer aus den vielen kleinen Tipps die man hier findet, dass zurechtzubasteln was ich benötige...

Vielen Dank und Grüße
Dirk

 

[matze1985]

zu domaincontroller kann ich dir leider nicht viel helfen, hatte hier (ab dem edit) aber mal das grobe Verhalten des smbpasswd, welches auf der Box ist von AVM, beschrieben.

Vielleicht bekommst du so deine Nuter.

 

[Dirk921]

Hey Danke!

Das sieht schonmal gut aus. Nutzer ist drin.
Nur wurde jetzt der ftpuser gekillt (der war da doch vorher drin, oder). Den brauch doch das ein oder andere Programm...
Blöd halt deswegen, da ich das PW von dem Acc nicht weiß...

Grüße
Dirk

edit: Scheint ihn aber nicht zu stören...
So, mal die smb.conf bearbeiten...

 

[Dirk921]

Hallo,

ich finde jetzt meine Domäne auf einem anderen Rechner. Nur wenn ich mich daran anmelden will und einen der eingetragenen Nutzer angeben kommt folgende Meldung: "Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort".

Beim suchen nach diesem Fehler scheine ich ein Maschinen-Konto anlegen zu müssen. Nur wie und wo? Oder gibt es noch andere Fehlerquellen die diesen Fehler verursachen können?

Viele Grüße
Dirk

 

[RalfFriedl]

Hast Du die Samba-Dokumentation zum Domänen-Controller gelesen?
Oder überhaupt, wie eine Windows-Domäne funktioniert?

Ein Maschinen-Konto braucht jeder Rechner, der Mitglied in einer Domäne sein soll.
Es ist nicht notwendig, wenn der Rechner nur in der gleichen Arbeitsgruppe ist und auf den Domänen-Controller zugreifen will.
Bei XP Home ist es meines Wissens gar nicht möglich, den Rechner in eine Domäne zu bringen, dann wäre auch kein Maschinen-Konto notwendig.

 

[Dirk921]

Ich habe von einem Bekannten eine Doku zu Samba bekommen. Allerdings nicht ganz gelesen, da mir 727 Seiten für mein kleines Heimnetzwerk doch etwas viel Stoff waren.

Dort steht auch drin, dass ich für meinen WinXP Pro PCs Maschinenkonten brauche, damit die Sambadomäne die Rechner akzeptiert. Leider steht in der Doku nicht, wie ich so ein Maschinenkonto bei Windows einrichte.

Wäre schön wenn mir jemand helfen könnte. Eine Doku oder ein Verweis wäre auch toll.

Danke
Dirk

 

[RalfFriedl]

Du hast doch schon eine Doku, sie ist Dir nur zu ausführlich. Vielleicht hat sie aber auch ein Inhaltsverzeichnis oder gar einen Index.

Ansonsten gibt es immer noch www.samba.org

Generell ist ein Maschinen-Konto ein normales Benutzerkonto, das als letztes Zeichen des Namens ein Dollar-Zeichen enthält, z.B. SERVER$

 

[chatweazle]

Also auf der FritzBox habe ich das noch nicht probiert - ich habe einen Samba PDC auf einer Linksys nslu2 die unter debian läuft.
Das HowTo hate ich von hier:
http://www.tecchannel.de/server/linux/1744753/

Vielleicht hilft Dir die Anleitung ja, das Ganze auf der FB nachzubauen.

Gruß,
Chatweazle

 

[Dirk921]

Hey RalfFriedl, die Anleitung hat ja wirklich ein Inhaltsverzeichnis, ist mir noch gar nicht aufgefallen! :groesste:

Danke für den Link und das mit dem Dollarzeichen. Ich wusste einfach nicht was ein Maschinenkonto ist. Und sogar die Suchenfunktion (ja, geht mit pdf auch) hat darüber in meiner Doku nichts gefunden. Vielleicht reicht das ja schon um rauszufinden wie ich die erstelle.


Danke chatweazle für den Link! Sieht vielversprechend aus, mal schauen ob ich das damit hinbekomme.


Grüße
Dirk

 

[morph027]

Also am einfachsten legst du ein Maschinenkonto mit

smbpasswd -m an. Weiß aber nicht, inwiefern die Binaries in dem freetz-Paket sind. Viel Erfolg.

 

[Dirk921]

Hallo morph027,

das ist leider das Problem, wie ich vorhin feststellen musste. Ich kann mit smbpasswd nur die klartext-smbpasswd in die verschlüsselte Variante umwandeln. Den Tipp dazu hat mir matze1985 gegeben.
Demnach kann ich auch keine Maschinen hinzufügen, genausowenig wie die Benutzer. Bei den Benutzer hilft ja der Workaround, gibt es sowas auch für die Maschinen?

Oder reicht es, wenn ich diesen Eintrag:
"doppy$:x:505:100:machine_nickname:/dev/null:/bin/false" (aus meiner Doku)
für jede Maschine per Hand zu der smbpasswd hinzufüge?

Viele Grüße
Dirk

 

[RalfFriedl]

Nein, die Zeile gehört in die /etc/passwd hinein. Danach kann das normale smbpasswd Programm den Eintrag in der smbpasswd Datei anlegen. Was AVM stattdessen als smbpasswd mitliefert, weiß ich nicht.

Generell gibt es mit der Datei /etc/passwd das Problem, daß der ctlmgr von AVM diese bei bestimmten Gelegenheiten überschreibt.

 

[Dirk921]

Ich habe die Zeile mal in die neue passwd-Datei (war vorher nicht vorhanden) im Pfad /var/mod/etc/ hineingeschrieben. Ein Aufruf von smbpasswd brauchte aber nur, dass die Benutzer von der smbpasswd.cleartext in die eigentliche smbpasswd geschrieben wurden. Die passwd wurde nicht angerührt...

Kann man vielleicht irgendwie das AVM-Programm smbpasswd ersetzen, so dass man die voll Funktionalität zur Verfügung hat, was die Verwaltung von Benutzern und Maschinen angeht?

Mmh, wäre natürlich blöd, wenn die passwd gekillt wird, aber davon kann man ja ne Sicherheitskopie machen. Steht ja eh nur Klartext drin. Sollte ja eigentlich die smbpasswd verschlüsselt werden.

 

[RalfFriedl]

Ich meinte schon /etc/passwd und nicht eine neue Datei in irgend einem anderen Verzeichnis.

 

[Dirk921]

Oh, sorry. Hab die passwd jetzt in /etc/ erweitert. Leider dasselbe Ergebnis.
Auche in passwd -l Rechnername$ brachte nichts, obwohl die Meldung:
"passwd: no record of Rechnername$ in /var/tmp/shadow, using /var/tmp/passwd
Password for Rechnername$ changed by root"
kam.

Oder liegt es vielleicht doch nicht am Maschinenkonto?

Viele Grüße
Dirk

 

[RalfFriedl]

Ich habe geschrieben, daß es einen Eintrag in der Datei /etc/passwd braucht, nicht, daß man danach noch mit passwd ein UNIX-Paßwort für den Account setzen soll. Soweit ich weiß, kümmert sich Samba nicht um die UNIX-Paßwörter.

Außerdem weiß ich nicht, inwieweit die AVM-Versionen der Programme eingeschränkt sind.

Ließ Dir doch mal den Abschnitt zum Domänen-Controller durch, dann hast Du ein besseres Verständnis für das ganze.

 

[Dirk921]

Ich habe zuerst den Eintrag in der passwd gesetzt. Als es danach nicht ging und dieselbe Fehlermeldung kam, habe ich das über die interne Funktion versucht. Ging auch nicht.

Den Abschnitt über die Domäne habe ich mir durgelesen und auch verstanden wozu ein PDC gut ist und was er für Konten braucht.
Wobei es offensichtlich problematisch ist, das mit den eingeschränkten Mitteln auf der FritzBox zu realisieren...

 

[astrapi]

du weißt nicht wirklich was ein PDC ist, und willst ausgerechnet auf der fritz.box einen?

 

[Dirk921]

Ja möchte ich.
Ich hab hier fünf Rechner im Heimnetzwerk mit unterschiedlichen Logins. Da ich in Windows nicht die einfachen Freigabe haben, sondern die Benutzer- bzw. Gruppengestützten, ist es ziemlich nervig auf jedem Rechner alle Konten anzulegen. Vor allem bei einem Passwortwechsel. Deswegen möchte ich das zentral auf einem DomänenController lagern. Und da die FritzBox immer an ist, und es einen Samba Mod gibt, sollte das ja klappen. Gibt ja auch einige Threads in die Richtung.
Es soll ja auch nicht das ganze Profil drauf, nur das Passwort und die entsprechenden Freigaben.