Samba en Active Directory

GX schreef op dinsdag 02 oktober 2007 @ 13:38:
Als je die Howto gelezen had, had je er misschien inmiddels meer van begrepen. Het idee is vrij eenvoudig (de uitvoering niet); je moet gewoon de configuratie die samba gebruikt (inclusief shares) in de ldap hangen.

[ Voor 11% gewijzigd door Zwerver op 02-10-2007 14:04 ]

Zwerver schreef op dinsdag 02 oktober 2007 @ 14:02:
[...]


En hoe ga jij (adhv die howto) de koppeling maken met de AD? Die AD gaat echt niet weg (neem ik aan) dus is het nodig om samba de AD uit te laten lezen... das wat anders dan wat die howto beschrijft....

Voor de TS, er zijn wel wat howto's te vinden die samba tegen de AD laten authenticaten, maar ik kan even geen up2date vinden. Check anders even de man-pages over de security=ADS optie, alhoewel ik niet weet of die doet wat jij wil

GX schreef op dinsdag 02 oktober 2007 @ 14:05:
[...]

Die howto beschrijft hoe je samba tegen ldap laat authenticaten. Dat lijkt mij stap 1. Wat heeft dat precies te maken met AD weg laten gaan?

Zwerver schreef op dinsdag 02 oktober 2007 @ 15:15:
Hij wil tegen de AD authenticaten, iets wat ingewikkelder ligt dan botweg tegen een normale ldap te authen Vandaar dat ik je vraag of je weet hoe hij dat moet doen

Zwerver schreef op dinsdag 02 oktober 2007 @ 15:15:
[...]

Hij wil tegen de AD authenticaten, iets wat ingewikkelder ligt dan botweg tegen een normale ldap te authen Vandaar dat ik je vraag of je weet hoe hij dat moet doen

Jungian schreef op dinsdag 02 oktober 2007 @ 15:22:
[...]

offtopic:
Een "normale" LDAP bestaat niet. Ik neem aan dat je OpenLDAP bedoelt ?

GX schreef op dinsdag 02 oktober 2007 @ 15:34:
[...]

AD is gewoon een LDAP implementatie, met z'n eigenaardigheden, maar die ontdek je gaandeweg? Ik heb er in het verleden in ieder geval nog geen grote problemen mee gehad (noot: dat was geen samba maar een eigen applicatie).

Zwerver schreef op dinsdag 02 oktober 2007 @ 15:54:
AD is geen gewone LDAP-implementatie maar een hele brakke Vandaar dat het niet _even_ meewerkt

14.3.2.1. Active Directory Domain Member Server
The following smb.conf file shows a sample configuration needed to implement an Active Directory domain member server. In this example, Samba authenticates users for services being run locally but is also a client of the Active Directory. Ensure that your kerberos realm parameter is shown in all caps (for example realm = EXAMPLE.COM). Since Windows 2000/2003 requires Kerberos for Active Directory authentication, the realm directive is required. If Active Directory and Kerberos are running on different servers, the password server directive may be required to help the distinction.

code:

1 2 3 4 5 6

[global] realm = EXAMPLE.COM security = ADS encrypt passwords = yes # Optional. Use only if Samba cannot determine the Kerberos server automatically. password server = kerberos.example.com

In order to join a member server to an Active Directory domain, the following steps must be completed:

• Configuration of the smb.conf file on the member server
• Configuration of Kerberos, including the /etc/krb5.conf file, on the member server
• Creation of the machine account on the Active Directory domain server
• Association of the member server to the Active Directory domain

To create the machine account and join the Windows 2000/2003 Active Directory, Kerberos must first be initialized for the member server wishing to join the Active Directory domain. To create an administrative Kerberos ticket, type the following command as root on the member server:

code:

1	root# kinit administrator@EXAMPLE.COM

The kinit command is a Kerberos initialization script that references the Active Directory administrator account and Kerberos realm. Since Active Directory requires Kerberos tickets, kinit obtains and caches a Kerberos ticket-granting ticket for client/server authentication. For more information on Kerberos, the /etc/krb5.conf file, and the kinit command, refer to Chapter 19 Kerberos.

To join an Active Directory server (windows1.example.com), type the following command as root on the member server:

code:

1	root# net ads join -S windows1.example.com -U administrator%password

Since the machine windows1 was automatically found in the corresponding Kerberos realm (the kinit command succeeded), the net command connects to the Active Directory server using its required administrator account and password. This creates the appropriate machine account on the Active Directory and grants permissions to the Samba domain member server to join the domain.

Note
Since security = ads and not security = user is used, a local password backend such as smbpasswd is not needed. Older clients that do not support security = ads are authenticated as if security = domain had been set. This change does not affect functionality and allows local users not previously in the domain.

[ Voor 3% gewijzigd door Clueless op 05-10-2007 16:29 ]