Samba in w2k domäne integrieren

Zyrano

Zyrano

Tripel-As
Guten Tag,

Also ich arbeite in einer mit VMware ESX Server virtualisierten Windows - Umgebung. Ich möchte gerne aus verschiedenen Gründen meinen Linux (Suse10.3) Client in die Domäne integrieren. Daher habe ich Samba eingerichtet und konnte den Client (der bei meinem Host (Arbeitsplatz) als Virtualisierte Maschine läuft) auch mit dem Befehl "net join -S..." in die Domäne bringen. Also das Computerkonto, sowie Dhcp und Dns Einträge sind vorhanden.

Jetzt habe ich noch folgendes Problem. Wenn ich surfen will oder auf Freigeben im Netz zugreifen möchte wird immer Bernutzername/Passwort verlangt. Soweit nicht schlimm, jedoch wird es problematisch, wenn ich eine Installationsquelle hinzufügen möchte, da er dann nicht nach der Authentifizierung fragt und die Firewall mich nicht durchlässt. Da es sich hierbei um eine VM auf meinem Host handelt, möchte ich den Netzanschluss an dem mein Host hängt nicht auf einen Port in die DMZ stecken. Somit muss ich auf jeden Fall durch die Firewall. Ich setze hier eine Astaro Hardware Firewall ein. Diese holt sich Informationen aus der ADS vom DC, das ist im Alltag sehr hilfreich, da man die User nur von mir vordefinierten Gruppen schmeissen muss, jedoch führt dies zu dem Problem mit meinem Suse Client. Ich vermute das das Problem an ldap liegt. Würde von der Authentifizierung alles glatt laufen, würde ich auch nicht immer eine Anfrage nach Benutzernamen und Passwort erhalten, wenn ich auf Freigaben bzw. Internet zugreife.
ldap ist für die Authentifizierung im Active Directory zuständig. Korrigiert mich, wenn ich falsch liege... :think:

ldap vergleicht. SSID, dazu gehöriger Computername (in ADS), angemeldeter Benutzername (Domänen-Benutzer) !?!

Und dazu noch eine Frage -> das ein Suse Client in ein Windows Netzwerk kann weiss ich, aber warum kann ich dann bei der Anmeldung nicht Domäne/Lokaler PC wählen?

smb.conf
Code:
[global]
workgroup = Unsere_Domäne
netbios name = linuxclient
server string = Unser_DC.UNSERE_DOMÄNE.de
realm = UNSERE_DOMÄNE.de
idmap uid = 10000-15000
idmap gid = 10000-15000
winbind separator = /
winbind use default domain = yes
security = ADS
encrypt passwords = yes
password server = [email]Unser_DC@Unsere_Domäne.de[/email]
client use spnego = yes
auth methods = winbind
log level = 3
template homedir = /home/ads
usershare allow guests = No
usershare max shares = 100
passdb backend = tdbsam:IP_VOM_DC
#username map = /etc/samba/smbusers

[alles]
comment = Vollzugriff
path = /
browsable = yes
read only = no
guest ok = no
valid users = UNSERE_DOMÄNE/Administrator
create mask = 700
directory mask = 711

[vhosts]
comment = Hosts
path = /srv/www/vhosts
browsable = yes
read only = no
guest ok = no
valid users = @UNSERE_DOMÄNE/Edv
create mask = 755
directory mask = 755
------------------------------------------------------------------------
ldap.conf
Code:
BASE dc=UNSERE_DOMÄNE, dc=de
HOST UNSER_DC.UNSERE_DOMÄNE
URl ldap://UNSER_DC:389 <------- (ldap Port immer der selbe?)

Falls jemand ein Step by Step Howto hat oder mir erklären kann, wo der Fehler liegt wäre ich sehr erfreut :D
 
Zuletzt bearbeitet:
Seit fast 2 Jahren hier und kannst noch immer keine Code-Tags setzen... =/
 
Samba hat nix mit dem Surfen zu tun. Du brauchst einen lokalen Proxy, der NTLM beherrscht.
 
ähm ja ne is klar ---- samba hat nix mit dem proxy zu tun *roll*

wenn die firewall die Anfrage nur durchlässt, wenn ein Authentifizierung über ADS = also ldap erfolgreich durchgeführt wurde, dann hat es sehr wohl was damit zu tun. Die Hardware Firewall Astaro ist das Internet Gateway bzw.Proxy :oldman

*wäre sehr erfreut über konstruktive Vorschläge und nicht son kinderkram*

P.s. ich habe die Umgebung oben aufgeführt. Mir geht es nicht darum das ich surfen kann! Wie oben beschrieben kann ich das auch!!

Es geht mir um die Authentifizierung in der ADS... Diese läuft nicht vernünftig!
 
Zuletzt bearbeitet:
ähm ja ne is klar ---- samba hat nix mit dem proxy zu tun *roll*
wenn die firewall die Anfrage nur durchlässt, wenn ein Authentifizierung über ADS = also ldap erfolgreich durchgeführt wurde,

Erstmal: ADS = ldap ist Quark. Moderne Windows Systeme benutzen LDAP als UserDatenbank, kein Mensch authentifiziert sich per LDAP als Domänenuser. Authentifikation findet über Kerberos statt. Wenn du das als Kinderkram abtun willst ok, keine Ahnung zu haben ist auch ne Lösung. Samba hat nichts mit Kerberos zu tun.

Wie kann nun die Firewall prüfen, ob der Anwender authentifiziert ist? Dafür gibt es nur zwei (!) Wege, die ohne Passwortabfrage auskommen und vom Internet Explorer unterstützt sind und gleichzeitig auch sicher genug sind um in einer dedizierten Firewall verwendet zu werden. Auftritt, wer kann es raten, richtig, Kerberos oder NTLM. Beide werden über eine Erweitertung des HTTP Protokolls in den Headern mit übertragen. Dein Internetexplorer macht das automatisch. Firefox ab Version 3 auch. Die Abfrage von Benutzernamen und Kennwort lässt sich eventuell ebenfalls über Kerberos umgehen, das forsche ich jetzt aber sicher nicht mehr nach.

Mir geht es nicht darum das ich surfen kann! Wie oben beschrieben kann ich das auch!!
Dann hätte man es vielleicht oben nicht beschreiben sollen, wenn es einen nicht stört. Dann erspart man sich auch die Antworten von Leuten, die zwei Teilprobleme identifizieren und eins davon spontan lösen können...

EDIT: Interessant wäre, ob unter Windows der Firefox 2.X (mit frischem Profil) auch nach einem Kennwort fragt. Ansonsten wäre es interessant, woran die Firewall festmacht, dass man surfen darf...
 

Ähnliche Themen

Samba-Server mit Univention Corporate Server

Zugriff Ubuntu 16.04. auf Freigabe 18.04. LTS nicht möglich

Zugriff auf Samba Fileserver Freigaben verweigert(Samba 4 Active Directory Domäne)

Problem bei der Vergabe von Sciherheitsinformationen auf eine Freiagbe

Samba 4.5.12-Debian Rechtevergabe

Zurück
Oben