Samba im AD über LDAPS

O

ollenburg

Grünschnabel
Hallo zusammen,
ich hätt da gern mal ein Problem.
Ich habe einen Sambaserver auf einem SLES11.1 als AD-Mitglied am Laufen. Er dient dort als Fileserver und macht seine Arbeit auch wunderbar. Das IDMAPping macht Winbind über RFC2307.
Nun möchte unser AD-Administrator auf LDAPS umstellen und den Port 389 dichtmachen. Wie kriege ich nun Winbind dazu, nur noch über LDAPS an die DCs zu gehen?
Schaue ich mir den Samba GenCache an findet sich dort immer wieder die Namensauflösung von "NBT/<Domain>#1C" zum Port 389 der jeweiligen DCs und er macht auch brav eine Netzwerkverbindung dahin auf. (In der smb.conf ist NetBIOS eigentlich mit disable netbios = yes ausgeschaltet.)
Viele Grüße
Andreas
 
Winbind wird über die smb.conf configuriert.
Vieleicht gehts wenn du überall ldaps://ldap.domain.de statt ldap://ldap.domain.de einträgst
 
Hallo Simon,
eigentlich eine gute Idee, nur ist aus einigen anderen Gründen das "idmap backend" nicht auf "ldap" sondern auf "ad" gesetzt.
Selbst wenn ich ihm nun "winbind rpc only = yes" setze - also das er kein LDAP machen soll - interessiert ihn das nicht und er macht die Verbindung nach Port 389 eines DCs auf.
Das "idmap backend" jetzt auf ldap zu setzen will ich nicht da ich nicht sicher bin, ob er dann alle bestehenden Mappings weiter sauber auflöst.
Viele Grüße
Andreas
 
eigentlich hat das ADS ja auch LDAPS als Standard.
Ich würde einfach mal testen ob er sich dann nicht anderweitig bedient sobald der Port dich ist.
389/tcp open ldap
445/tcp open microsoft-ds
636/tcp open ldapssl
 
Naja, so standardmäßig ist das mit dem LDAP bei AD nun nicht - ist ja schließlich Microsoft ;-) Testen ist in einer Produktiv-Umgebung eine ganz schlechte Idee - udn fällt daher momentan aus.

Die SRV-Einträge auf dem DNS-Server zu _ldap gehen jedenfalls alle auf Port 389, auch wenn LDAPS bereits schon läuft.

VG
Andreas
 
Klar ist das nicht ratsam ;-). Bei uns ist ADDS stand 2008 ( deshalb kann ich da zu Samba nicht viel sagen weil "geht nicht" ) aber da ist LDAPS im Standard an. Mit einem LDAP Browser, wie dem Apache Directory Studio, komm ich da ohne Probs LDAPS ran, dabei wird die nur ein Zertifikat noch angeboten.


LDAPS scheint es im default wohl noch nicht allzu lange zu geben
http://support.microsoft.com/kb/321051

Wenn du ihn dann evtl nur auf AD lässt kann es evtl dann nicht mehr gehen. Könnt ihr nicht per Richtlinie oder so dafür sorgen das der Samba auf 389 gehen darf und nur der Rest nicht mehr?
 
Zuletzt bearbeitet:
Moin,

das mit den Richtlinien kann klappen, aber wer weiss wie andere Services die mit AD zusammenspielen dann reagieren. Wahrscheinlich einige gar nicht mehr.

Der DC soll ruhig noch ein wenig über 389 plaudern. Wichtig ist, dass unser Samba den nicht mehr nutzt sondern schon vor Abschaltung auf 636 geht damit wir von der Linuxseite unser OK geben können.

Gruß
Andreas
 

Ähnliche Themen

Sambaserver im Netzwerk nicht sichtbar

Samba 4 AD Member Server

Samba Server loses AD membership

Server will nicht in die Domain

Samba PDC - Probleme mit der Vertrauensstellung

Zurück
Oben