Samba im AD über LDAPS

Dieses Thema im Forum "Samba" wurde erstellt von ollenburg, 26.07.2011.

  1. #1 ollenburg, 26.07.2011
    ollenburg

    ollenburg Grünschnabel

    Dabei seit:
    26.07.2011
    Beiträge:
    4
    Zustimmungen:
    0
    Ort:
    Lippe - wo sonst??
    Hallo zusammen,
    ich hätt da gern mal ein Problem.
    Ich habe einen Sambaserver auf einem SLES11.1 als AD-Mitglied am Laufen. Er dient dort als Fileserver und macht seine Arbeit auch wunderbar. Das IDMAPping macht Winbind über RFC2307.
    Nun möchte unser AD-Administrator auf LDAPS umstellen und den Port 389 dichtmachen. Wie kriege ich nun Winbind dazu, nur noch über LDAPS an die DCs zu gehen?
    Schaue ich mir den Samba GenCache an findet sich dort immer wieder die Namensauflösung von "NBT/<Domain>#1C" zum Port 389 der jeweiligen DCs und er macht auch brav eine Netzwerkverbindung dahin auf. (In der smb.conf ist NetBIOS eigentlich mit disable netbios = yes ausgeschaltet.)
    Viele Grüße
    Andreas
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. #2 simon..., 26.07.2011
    simon...

    simon... Jungspund

    Dabei seit:
    26.07.2011
    Beiträge:
    16
    Zustimmungen:
    0
    Winbind wird über die smb.conf configuriert.
    Vieleicht gehts wenn du überall ldaps://ldap.domain.de statt ldap://ldap.domain.de einträgst
     
  4. #3 ollenburg, 26.07.2011
    ollenburg

    ollenburg Grünschnabel

    Dabei seit:
    26.07.2011
    Beiträge:
    4
    Zustimmungen:
    0
    Ort:
    Lippe - wo sonst??
    Hallo Simon,
    eigentlich eine gute Idee, nur ist aus einigen anderen Gründen das "idmap backend" nicht auf "ldap" sondern auf "ad" gesetzt.
    Selbst wenn ich ihm nun "winbind rpc only = yes" setze - also das er kein LDAP machen soll - interessiert ihn das nicht und er macht die Verbindung nach Port 389 eines DCs auf.
    Das "idmap backend" jetzt auf ldap zu setzen will ich nicht da ich nicht sicher bin, ob er dann alle bestehenden Mappings weiter sauber auflöst.
    Viele Grüße
    Andreas
     
  5. #4 kartoffel200, 27.07.2011
    kartoffel200

    kartoffel200 AMD Fanboy Since 2003

    Dabei seit:
    12.03.2007
    Beiträge:
    938
    Zustimmungen:
    0
    Ort:
    L wie localhost
    eigentlich hat das ADS ja auch LDAPS als Standard.
    Ich würde einfach mal testen ob er sich dann nicht anderweitig bedient sobald der Port dich ist.
    389/tcp open ldap
    445/tcp open microsoft-ds
    636/tcp open ldapssl
     
  6. #5 ollenburg, 27.07.2011
    ollenburg

    ollenburg Grünschnabel

    Dabei seit:
    26.07.2011
    Beiträge:
    4
    Zustimmungen:
    0
    Ort:
    Lippe - wo sonst??
    Naja, so standardmäßig ist das mit dem LDAP bei AD nun nicht - ist ja schließlich Microsoft ;-) Testen ist in einer Produktiv-Umgebung eine ganz schlechte Idee - udn fällt daher momentan aus.

    Die SRV-Einträge auf dem DNS-Server zu _ldap gehen jedenfalls alle auf Port 389, auch wenn LDAPS bereits schon läuft.

    VG
    Andreas
     
  7. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  8. #6 kartoffel200, 27.07.2011
    Zuletzt bearbeitet: 27.07.2011
    kartoffel200

    kartoffel200 AMD Fanboy Since 2003

    Dabei seit:
    12.03.2007
    Beiträge:
    938
    Zustimmungen:
    0
    Ort:
    L wie localhost
    Klar ist das nicht ratsam ;-). Bei uns ist ADDS stand 2008 ( deshalb kann ich da zu Samba nicht viel sagen weil "geht nicht" ) aber da ist LDAPS im Standard an. Mit einem LDAP Browser, wie dem Apache Directory Studio, komm ich da ohne Probs LDAPS ran, dabei wird die nur ein Zertifikat noch angeboten.


    LDAPS scheint es im default wohl noch nicht allzu lange zu geben
    http://support.microsoft.com/kb/321051

    Wenn du ihn dann evtl nur auf AD lässt kann es evtl dann nicht mehr gehen. Könnt ihr nicht per Richtlinie oder so dafür sorgen das der Samba auf 389 gehen darf und nur der Rest nicht mehr?
     
  9. #7 ollenburg, 28.07.2011
    ollenburg

    ollenburg Grünschnabel

    Dabei seit:
    26.07.2011
    Beiträge:
    4
    Zustimmungen:
    0
    Ort:
    Lippe - wo sonst??
    Moin,

    das mit den Richtlinien kann klappen, aber wer weiss wie andere Services die mit AD zusammenspielen dann reagieren. Wahrscheinlich einige gar nicht mehr.

    Der DC soll ruhig noch ein wenig über 389 plaudern. Wichtig ist, dass unser Samba den nicht mehr nutzt sondern schon vor Abschaltung auf 636 geht damit wir von der Linuxseite unser OK geben können.

    Gruß
    Andreas
     
Thema:

Samba im AD über LDAPS

Die Seite wird geladen...

Samba im AD über LDAPS - Ähnliche Themen

  1. Wiederherstellen von überschriebenen Dokumenten auf debian samba

    Wiederherstellen von überschriebenen Dokumenten auf debian samba: Ich habe ein Problem. Vor Kurzem hat der Trojaner cryptologer einen Schaden eingerichtet. Glücklicherweise gab es eine Sicherung auf...
  2. Samba4 AD DC über VPN

    Samba4 AD DC über VPN: Ich verwende momentan einen Debian 8 root Server bei strato. Ein VPN i(l2tp/ipsec) ist installiert und der interfacename für die Verbindung ist...
  3. Per Samba falsche Angaben zum freien Speicherplatz übertragen

    Per Samba falsche Angaben zum freien Speicherplatz übertragen: Moin, ich habe ein altes Mainboard zu einem NAS umgebaut auf dem ein Ubuntu läuft. Ist kein spezielles NAS-System, es war halt nur drauf. An...
  4. Samba4 AD Gruppen erlauben/erbieten über PAM und Winbind

    Samba4 AD Gruppen erlauben/erbieten über PAM und Winbind: Hi, ich habe ein kleines Problem mit meinem Samba Server. Seit letztem Jahr betreibe ich eine NAS in meinem Netzwerk auf dem ein Samba4 AD...
  5. Samba subnetzübergreifend

    Samba subnetzübergreifend: Hallo liebe User, Ich habe hier eine gewachsene Serverstruktur übernommen. Samba-Domäne und so ca. 30 Windows clients, und ein paar...