Samba 3.02 als PDC: Hoe slim users beheren?

Pagina: 1
Acties:
  • 453 views sinds 30-01-2008
  • Reageer

  • Burat
  • Registratie: Oktober 1999
  • Niet online

Burat

bos wortels

Topicstarter
Ik heb nu Samba 3.02a als PDC onder Debian draaien. Dit werkt lekker, ik kan er met een Windows XP client bij aanmelden en inloggen. Het loginscript uit netlogon werkt, shares worden goed gemaakt, etc.

Er is echter één ding waar ik niet goed uitkom, en dat is user management. Er zullen rond de 12 users zijn, die zowel een linux als een domain account moeten hebben. Ik wil graag op 1 plaats een account aanmaken, waarna die user zowel op de linuxbak kan inloggen als op het domain. Maar, de user moet ook via windows z'n password kunnen wijzigen (ctrl-alt-del, change password)...

Op dit moment moet ik met smbpasswd accounts aanmaken en kan ik nog niet in windows password wijzigen (dan hangt windows).

Wie kan mij verder helpen? Uit de HowTO's van Samba wordt ik niet echt wijzer. Daar staan natuurlijk alle mogelijkheden in, maar ik weet niet welke kant ik op moet. Ik las over MySQL om user accounts op te slaan, maar dan zijn het natuurlijk nog geen linux users...

Voor de duidelijkheid, hier smb.conf:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
[global]
# Server Names
workgroup               = MYDOMAIN
netbios name            = DEVBAK2
server string           = Devbak2 [Debian / Samba 3]

# Functions
time server             = Yes
local master            = Yes
preferred master        = Yes
domain master           = Yes
browseable              = Yes

# Server Settings
hosts allow             = 192.168.1.
hosts deny              = all
socket options          = TCP_NODELAY SO_SNDBUF=8192 SO_RCVBUF=8192
os level                = 33

# PDC Settings
domain logons           = Yes
security                = user
encrypt passwords       = Yes
passdb backend          = smbpasswd
logon path              =
logon script            = logon.bat
add machine script      = /usr/sbin/adduser --ingroup machines --home /dev/null --no-create-home 
--disabled-login --gecos "SAMBA Machine Account"  --shell /bin/fal$

unix password sync      = Yes
passwd program          = /usr/bin/passwd %u
passwd chat             = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n .
passwd chat debug       = Yes

admin users             = root

# Logging
log file        = /var/log/samba/log.%m
max log size    = 1000
syslog          = 0

[homes]
comment         = Home Directories
read only       = No
guest ok        = No
directory mask  = 0755
create mask     = 0755
public          = No

[netlogon]
comment         = Network Logon Service
path            = /etc/samba/netlogon
guest ok        = Yes
read only       = Yes

Homepage | Me @ T.net | Having fun @ Procurios | Collega's gezocht: Webontwikkelaar PHP


  • WHiZZi
  • Registratie: Januari 2001
  • Laatst online: 18-02 16:04

WHiZZi

Museumdirecteurtje

Als ik het dus goed begrijp wil je dat mensen in kunnen loggen op het SAMBA-domein en daarnaast ook shell toegang hebben :?

Als je nml shell toegang hebben zou je een script kunnen maken dat ze kunnen uitvoeren om hun samba/shell password te veranderen.. Of heb ik het nu helemaal mis ?

HomeComputerMuseum - Interactief computermuseum waar wij de geschiedenis van de thuiscomputer preserveren. Centraal gelegen in de Benelux.


  • Burat
  • Registratie: Oktober 1999
  • Niet online

Burat

bos wortels

Topicstarter
Ja, maar het zijn deels hele domme (cq: Word & Outlook) gebruikers die zeker niet in een shell hun pw gaan wijzigen :). En die moeten dus gewoon in Windows hun password kunnen wijzigen!

[ Voor 23% gewijzigd door Burat op 07-05-2004 09:31 ]

Homepage | Me @ T.net | Having fun @ Procurios | Collega's gezocht: Webontwikkelaar PHP


  • ismael86
  • Registratie: Oktober 2001
  • Laatst online: 21:05
Dat kan toch door gewoon op ctrl-alt-del te drukken en dan wachtwoord wijzigen.

  • Burat
  • Registratie: Oktober 1999
  • Niet online

Burat

bos wortels

Topicstarter
ismael86 schreef op 07 mei 2004 @ 11:17:
Dat kan toch door gewoon op ctrl-alt-del te drukken en dan wachtwoord wijzigen.
Nee, dat werkt niet :). Dan hangt windows, dwz: het user/password venster blijft staan met een zandloper erop. Harde reset is only way out.

Homepage | Me @ T.net | Having fun @ Procurios | Collega's gezocht: Webontwikkelaar PHP


  • Tha_Butcha
  • Registratie: November 2000
  • Laatst online: 30-01 13:59
ben ik heel toevallig zelf mee bezig.

moet je combineren met LDAP.
users sla je dan op in de LDAP directory. en laat je aan de linux-kant authenticeren via en PAM-LDAP plug-in en aan de windows kant via Samba, of via een dll (pgina).

links:

LDAP Howto
LDAP Implementation Howto
LDAP-SMB Howto
Exchange Server Howto
pGina

verder nog relevante links:

PHPLdapAdmin (web-client)
LDAP Browser/Editor (java based)

en natuurlijk deze

onder debian is het pakket bekend als slapd.

oftewel, eat your heart out. *)

Compromises are for the weak


Verwijderd

Noem dan ook meteen LAM even ;)
Webbased LDAP account manager met ondersteuning voor samba en unix accounts etc. :)
Erg handig iig voor LDAP based samba installaties.

Verder heb je natuurlijk nog de usermanager van Windows die perfect werkt op een Samba LDAP installatie. :)

  • Burat
  • Registratie: Oktober 1999
  • Niet online

Burat

bos wortels

Topicstarter
Verwijderd schreef op 07 mei 2004 @ 16:37:
Verder heb je natuurlijk nog de usermanager van Windows die perfect werkt op een Samba LDAP installatie. :)
Serieus? Zonder verdere aanpassingen? Dat is natuurlijk erg prettig! Ik had zelf als verdere serieuze optie nog opslaan in MySQL, maar dat zie ik eigenlijk nergens iemand doen.

LDAP wordt door jullie en een flink aantal HOWTO's genoemd, dus daar ga ik me maar eens in verdiepen.

Ik zou dan LDAP ook wel kunnen gebruiken als authentication voor ons intranet. Dan moet een record in de LDAP Database wel flexibel zijn (als in: geautomatiseerd en gemakkelijk attributen toevoegen en verwijderen)...

Homepage | Me @ T.net | Having fun @ Procurios | Collega's gezocht: Webontwikkelaar PHP


Verwijderd

Burat schreef op 08 mei 2004 @ 10:46:
[...]


Serieus? Zonder verdere aanpassingen? Dat is natuurlijk erg prettig! Ik had zelf als verdere serieuze optie nog opslaan in MySQL, maar dat zie ik eigenlijk nergens iemand doen.
Yupz serieus :) (LDAP is veel beter geschikt voor dit soort dingen, dan mysql. Ten eerste vanwege de snelheid en ten tweede vanwege de integratie met de rest van het systeem. Die kan volledig transparant zijn)

Bijna alle opties werken in de usermanager, op het definieren van inlogtijden na dan (je kan bijvoorbeeld wel instellen op welke machines er ingelogd mag worden, wat het wachtwoord moet zijn, of de gebruiker het wachtwoord moet veranderen, in welke groepen hij/zij zit, of het account enabled is, wat de homeshare is, wat de lokatie van het profiel is etc).

In Samba 3.0.3 zitten ook bad password lockout opties etc. Als je de smbldap-tools gebruikt (samba.idealx.org uit mijn hoofd) kun je erg leuk gebruikers gaan beheren (eventueel kun je zelfs eigen scripts integreren met de smbldap-tools). Je krijgt tot op dit moment alleen nog 2 foutmeldingen in de usermanager. Dat is bij het verwijderen van een user en bij het verwijderen van groepen. In beide gevallen krijg je een permission denied. Ondertussen is het commando echter wel gewoon succesvol uitgevoerd ;)
Ik zou zelf alleen nog even 2 dagen wachten op samba 3.0.4 ;)

Als het goed is komt dit weekend 3.0.4 uit, die de onlangs (door MS04-11 update) geintroduceerde RPC problemen bij wachtwoord wijzigingen oplost, naast een aantal memleaks in o.a. winbind en groepenumeraties. Bovengenoemd MS update zorgt er voor dat gebruikers een error krijgen bij het wijzigen van het wachtwoord, waarna ze het opnieuw moeten proberen (en uiteraard lukt dat weer niet). Ondertussen is het wachtwoord echter wel gewijzigd ;)
LDAP wordt door jullie en een flink aantal HOWTO's genoemd, dus daar ga ik me maar eens in verdiepen.

Ik zou dan LDAP ook wel kunnen gebruiken als authentication voor ons intranet. Dan moet een record in de LDAP Database wel flexibel zijn (als in: geautomatiseerd en gemakkelijk attributen toevoegen en verwijderen)...
Daar is pam_ldap en nss_ldap voor ;)

Krijg je volledig single signon en alle account/groep informatie (en andere informatie (mail, adresboeken etc)) mooi geintegreerd met je systeem, terwijl je ook nog lokale informatie kunt blijven behouden als je wil (/etc/passwd /etc/group). Daarnaast breng je zowel Linux als Windows informatie naar 1 centrale plaats, die goed te beheren is.

Het is even wat uitzoekwerk en ik raad ook aan op vertrouwd te raken met LDAP voordat je het in productie omgevingen gaat gebruiken. Als je echter een beetje met Linux om kunt gaan, dan zal LDAP ook niet echt een hele grote hindernis zijn ;)
Uiteraard heeft een LDAP oplossing weinig zin als we over het beheer van 2 of 3 gebruikers praten.

[ Voor 13% gewijzigd door Verwijderd op 08-05-2004 21:43 ]

Pagina: 1