cp-nilsen Skrevet 3. november 2006 Del Skrevet 3. november 2006 Følger denne guiden om å lage en linux-filserver som samarbeider med AD. Jeg skal legge inn pakkene heimdal, opanldap og samba3. Guiden bruker kildekode, men jeg føler heller for å bruke apt. Men apt finner ingen pakker som heter heimdal, bare heimdal-servers, heimdal-clients etc. Hvilke av disse skal jeg bruke? Evt begge? Det samme gjelder opnldap også. Eller har noen evt. en bedre guide? Lenke til kommentar
JonJ Skrevet 3. november 2006 Del Skrevet 3. november 2006 Hvis du setter opp en server, skal du sikkert ha server-pakkene. Lenke til kommentar
cp-nilsen Skrevet 3. november 2006 Forfatter Del Skrevet 3. november 2006 Hmm.. ja jeg skal jo ha en samba-server, men hva med heimdal og openldap? Lenke til kommentar
cp-nilsen Skrevet 3. november 2006 Forfatter Del Skrevet 3. november 2006 Har prøvd nå med source-versjonene, men får problemer med make på haimdal... ./.libs/libeditline.a(editline.o): In function `TTYinfo': /home/nilsen/download/samba/heimdal-0.7/lib/editline/editline.c:245: undefined reference to `tgetent' Lenke til kommentar
cp-nilsen Skrevet 6. november 2006 Forfatter Del Skrevet 6. november 2006 Er det ingen som har erfaring med dette? Lenke til kommentar
kyrsjo Skrevet 6. november 2006 Del Skrevet 6. november 2006 Hvis du setter opp en server, skal du sikkert ha server-pakkene. 7209558[/snapback] Kan være at samba bruker heimdal-klienten til å kople på AD-servere. Lenke til kommentar
cp-nilsen Skrevet 6. november 2006 Forfatter Del Skrevet 6. november 2006 Hvis du setter opp en server, skal du sikkert ha server-pakkene. 7209558[/snapback] Kan være at samba bruker heimdal-klienten til å kople på AD-servere. 7227301[/snapback] Jepp, det er det jeg også lurer litt på. Prøver meg bare fram nå, så får vi se hvordan det går Lenke til kommentar
cp-nilsen Skrevet 6. november 2006 Forfatter Del Skrevet 6. november 2006 Nå har jeg installert alle pakkene, men har problemer med konfigureringen... Når jeg prøver å koble til domenekontrolleren skjer dette: #Prøver å koble til domene som ikke fungerer: kinit Administrator@FEILDOMENE kinit(v5): Cannot resolve network adress for KDC in requested realm while getting initial credentials #Prøver å koble til eksisterende domene kinit Administrator@DOMENE Password for Administrator@DOMENE: kinit(v5): Clock skew too great while getting initial credentials Ser jo ut som han finner domenet, men autentiseringen eller noe annet feiler.. Lenke til kommentar
rekyl Skrevet 6. november 2006 Del Skrevet 6. november 2006 "Clock skew" er vel forskjell i klokken på klient og server. Du kan jo kanskje prøve å stille klokken på en av dem? Lenke til kommentar
comicz Skrevet 6. november 2006 Del Skrevet 6. november 2006 Når du holder på med slikt er det viktig at klokker er i sync... Uansett, lykke til, men jeg tror du har litt å jobbe med om du går kildekodeveien... Jeg har litt erfaring, men ikke med heimdal/AD. Samba og LDAP, derimot, kjenner jeg bedre. Lenke til kommentar
cp-nilsen Skrevet 6. november 2006 Forfatter Del Skrevet 6. november 2006 Hmm. Det burde funke nå, alle pakker er installert og konfigurert og jeg har fått koblet meg på domenet. Når jeg kjører kommandoene getent passwd og getent group lister den opp brukere og grupper på domenet, så det ser bra ut. Men allikevel får ingen tilgant på sharet :/ Bruker denne smb.conf-fila (bare byttet ut med vårt domene etc) [global]# global options needed by samba to communicate with # Windows 2003 Active Directory realm = SAMPLEDOMAIN.INVALID workgroup=SAMPLEDOMAIN password server = controller.sampledomain.invalid security = ADS encrypt passwords = yes # winbind configuration: mapping ADS users to # uid's and gid's, enabling the enumeration of users # and groups. # winbind separator is the character that separates # user or group names from the domain name. winbind separator = + idmap uid = 10000-20000 idmap gid = 10000-20000 winbind enum users=yes winbind enum groups=yes # Example share definition [public] comment = Public data directory read only = no path = /sambapublic user = @"SAMPLEDOMAIN+domain users" Når jeg da prøver å koble til fra en windowsmaskin med en bruker som er medlem av domain users burde jo dette fungere...men det gjør det selvfølgelig ikke Lenke til kommentar
comicz Skrevet 6. november 2006 Del Skrevet 6. november 2006 Den user-linje under public så merkelig ut spør du meg. Finnes katalogen /sambapublic ? Forøvrig kjenner jeg ikke til "security=ADS", så jeg vet ikke helt hva det ligger i det... Lenke til kommentar
cp-nilsen Skrevet 6. november 2006 Forfatter Del Skrevet 6. november 2006 (endret) Den user-linje under public så merkelig ut spør du meg. Finnes katalogen /sambapublic ? Forøvrig kjenner jeg ikke til "security=ADS", så jeg vet ikke helt hva det ligger i det... 7228368[/snapback] Jepp, katalogen finnes, og har satt 777-rettigheter bare for å være sikker på at det ikke er der begrensningen ligger. Regner med ADS står for AD-server. Er enig i at user-linja ser rar ut.. Som du ser setter jeg "+" til å være skillet mellom domenenavn og gruppe/bruker lenger oppe. Så det skal bety at alle som er medlem av gruppen domain users under domenet skal ha tilgang. Edit: grunnen til at det skal stå @ foran er visst siden jeg skal definere en gruppe. Skal du kun ha en bruker skal du ikke ha @ foran. Endret 6. november 2006 av cp-nilsen Lenke til kommentar
comicz Skrevet 6. november 2006 Del Skrevet 6. november 2006 Ja, du, det er jeg helt klar over, men dersom du skal åpne for f.eks. "Administrator" vil linjen se mer slik ut meg bekjent: @DOMAIN\Administrator . For meg ser det ut som du har tatt eksempellinjen uten å redigere den. Klager ikke Samba? Du må jo teste dette, kommenter ut users-linjen, gi alle tilgang osv osv. Få ting til å funke. Lenke til kommentar
cp-nilsen Skrevet 6. november 2006 Forfatter Del Skrevet 6. november 2006 Jeg er helt sikker på at det skal være + som seperator, og ikke \, selv om dette ville virket mer naturlig, men som du ser så definerer vi "winbind separator = + " lenger oppe. Alle andre eksempler jeg har sett har de også brukt +. Lenke til kommentar
comicz Skrevet 6. november 2006 Del Skrevet 6. november 2006 Da stemmer det sikkert, jeg kjenner ikke opplegget. Lenke til kommentar
kyrsjo Skrevet 6. november 2006 Del Skrevet 6. november 2006 Når du holder på med slikt er det viktig at klokker er i sync... Uansett, lykke til, men jeg tror du har litt å jobbe med om du går kildekodeveien... Jeg har litt erfaring, men ikke med heimdal/AD. Samba og LDAP, derimot, kjenner jeg bedre. 7228145[/snapback] Synk begge mot en ntp-server, f.eks. ntp.uio.no. Evt. så tror jeg NTP er innebygget i AD? Lenke til kommentar
cp-nilsen Skrevet 7. november 2006 Forfatter Del Skrevet 7. november 2006 Joda, begynner å få det meste til nå, men har et lite problem. Jeg får ikke til å sette begrensningen i Samba. Dette er greit nok, for det er mer praktisk å sette på filnivå. Jeg kan for eksempel kjøre "chown DOMENE+Administrator:Domene+"Domain Admins" /enmappe" for å gi administrator og domain admins rettigheter. Men hvis jeg vil gi spesielle tillatelser også til andre grupper? F.eks. gi Domain admins og administrator fulle rettigheter, domain users leserettigheter og andre ingen rettigheter? Kan man definere flere grupper som eier av en fil i Linux? Lenke til kommentar
kyrsjo Skrevet 7. november 2006 Del Skrevet 7. november 2006 Standard unix-permissions tillater kun en gruppe som eier av en fil, men det finnes noen utvidede saker. Husker dog ikke hva de heter nå... Lenke til kommentar
comicz Skrevet 7. november 2006 Del Skrevet 7. november 2006 Kan du ikke bare sette dette i smb.conf? ( write list = @Admins er et godt tips for å hjelpe deg på vei? ) Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå