Samba / Kerberos - Windows Domäne

godquake · October 7, 2010, 11:01am

Moin,

Benutze Open Suse 11.3 in Verbindung mit einem Windows 2003 Server mit der Domäne: Domäne.local

Ich bin per Winbind und Kerberos mit dem AD bereits verbunden, sprich ich sehe die User/Gruppen der Domäne, auch mit getent passwd sehe ich die Domänenuser. Nun möchte ich gerne auf die Freigabe auf dem Linux drauf. Auf die Freigabe komme ich vom Windows Server drauf, aber wenn ich z. B. neuen Ordner oder Datei erstellen möchte, dann sagt er mir “Zugriff vergweigert”

Hier meine krb5.conf:


[logging]
	default = FILE:SYSLOG:NOTICE:DAEMON
	kdc = FILE:/var/log/krb5/krb5kdc.log
	admin_server = FILE:/var/log/krb5/kadmind.log

[libdefaults]
	default_realm = Domain.LOCAL
	clockskew = 300

[realms]
DOMAIN.LOCAL = {
	default_domain = domain.local
	kdc = SRVEASY.DOMAIN.LOCAL
	admin_server = SRVEASY.DOMAIN.LOCAL
}

[domain_realm]
	.domain.local = DOMAIN.LOCAL

[appdefaults]
pam = {
	ticket_lifetime = 1d
	renew_lifetime = 1d
	forwardable = true
	proxiable = false
	minimum_uid = 1
	clockskew = 300
	external = sshd
	use_shmem = sshd
}

Hier meine SMB.Conf:


[global]
	workgroup = DOMAIN
	realm = DOMAIN.LOCAL
	netbios name = OFFSRV
	server string = OFFSRV
	security = ADS
	password server = srveasy.domain.local
	passdb backend = tdbsam  # should be default
	map untrusted to domain = Yes
	idmap uid = 10000 - 20000
	idmap gid = 10000 - 20000
	winbind separator = +
	winbind enum users = Yes
	winbind enum groups = Yes
	winbind use default domain = Yes
	winbind nested groups = No
	winbind refresh tickets = Yes
	idmap config DOMAIN : backend = rid
	idmap config DOMAIN : range = 10000 - 20000

[daten]
	comment = daten
	path = /srv/daten
	valid users = administrator
	write list = administrator
	force user = administrator
	acl group control = Yes

Hier meine nsswitch.conf:

passwd: files winbind
group:  files winbind

hosts:      files mdns4_minimal [NOTFOUND=return] dns
networks:    files dns

services:    files
protocols:    files
rpc:        files
ethers:        files
netmasks:    files
netgroup:    files nis
publickey:    files

bootparams:    files
automount:    files nis
aliases:    files

Wie gesagt, auf die Freigabe komme ich, aber kann da nichts erstellen mit dem “Administrator” vom Windows Server aus

Jemand eine Idee wo es dran hängt?

MFG
Peter

godquake · October 8, 2010, 11:50am

Moin moin,

So ich habe nun alle Domain User + Gruppen drauf, sprich mit getent passwd und group bekomme ich auf dem Linux alle User und Gruppen des AD angzeigt. Soweit so gut. Nur mit den Shares habe ich nun Probleme und zwar klappt der Befehl “valid users = User1” wunderbar, aber wenn ich “valids users = @group1” eintrage, bekomme ich die Fehlermeldung “Zugriff verweigert” vom Windows aus. Jemand eine Idee was ich falsch mache? User1 ist in der Gruppe “group1” im AD eingetragen, also müsste ich auf das Share ganz normal zugreifen können, aber es klappt einfach nicht. Weiss nicht mehr weiter…

morks · October 24, 2010, 12:52pm

Hallo,

ich glaube es muss @domain/group1 als valid users angegeben werden.

Gruß

morks

erikro · October 26, 2010, 10:12pm

Hallo zusammen,

entschuldige bitte, dass ich im Moment zu wenig Zeit habe und auch zu kaputt bin, um selbst nachzudenken. Deshalb nur ein Link, falls Du den noch nicht kennst:

Samba-HOWTO-Sammlung

Liebe Grüße

Erik