Re: Systempasswörter mit Samba nutzen
Hallo! Am Samstag 18 September 2010 schrieb Heiko Schlittermann: > Das müsstes Du mal bitte besser erklären. Backup impliziert noch kein > HA. Und wo LDAP HA by Design ist, kann ich auch nicht erkennen. > > Du brauchst Master und Slaves und eine gescheite Replikation - die > Openldap bietet. Aber das hat mit LDAP an sich nichts zu tun, denke ich. > > Und Du must den Clients beibringen, daß es nicht nur einen LDAP-Server > gibt und daß sie im Notfall mehrere probieren sollen, oder zu Krücken > wie DNS-Round-Robin greifen (was wieder mit HA nichts zu tun hat, außer Du > änderst die DNS-Einträge je nach Situation) … Was du noch vergessen hast: Diese Einträge unterscheiden sich noch mal grundlegend für Linux und Windows. Bind 9 unterstützt auch die von M$ eingeführten "Service"-Einträge im DNS. Diese nutzen die Clients ab Vista, um die Dienste-Server zu finden. Damit ist es bei mir z.B. möglich, die Rechner an eine Samba-Domäne anzubinden, den KMS-Server aber auf einem Windows2008-Server zu belassen. Diesen Einträgen lassen sich (analog zu E-Mail-Servern) auch Prioritäten zuordnen. Damit ist den Clients schnell klar, wer in welcher Reihenfolge zu fragen ist. Gruss Reiner ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Systempasswörter mit Samba nutzen
Am Donnerstag 16 September 2010, 10:05:36 schrieb Konrad Rosenbaum: > Bitte weiteres Blabla. Oder zumindest Links zu Howtos. Da werde ich doch mal Konfiguration+LDAP-Beispielnutzer aus einer Produktivumgebung herauskramen. Vielleicht wird da auch ein Stammtisch-Vortrag draus. -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Systempasswörter mit Samba nutzen
Am Mittwoch 15 September 2010, 21:59:57 schrieb Gunter Miegel: > viel besser hätte ich das auch nicht darstellen können. ;-) Danke für die Blumen. > Ein wichtiges "buzzword" zu dem Thema ist unbedingt: "ldapsam:editposix"! Und noch eins: smbldap > Alles im allem keine Lösung die man sich gerade mal so schnell aus dem > Ärmel schüttelt - ;-) Schon richtig. Aber einmal aufgesetzt und man - hat Ruhe vor den Nutzern: Für die geht es so, wie sie es erwarten - kann sich darauf verlassen: LDAP ist hochverfügbar by Design, dort liegen die einzigen "beweglichen" Daten, die in diesem Zusammenhang recht einfach regelmäßig zu sichern und bei Bedarf genauso einfach wieder herstellbar sind -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Systempasswörter mit Samba nutzen
On Wednesday 15 September 2010, Gunter Miegel wrote: > Bei Bedarf gibts auch von mir noch weiteres blabla, Literaturhinweise > usw... Bitte weiteres Blabla. Oder zumindest Links zu Howtos. Konrad signature.asc Description: This is a digitally signed message part. ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Systempasswörter mit Samba nutzen
Am 14.09.2010 17:02, schrieb William Epler: > Am Freitag 10 September 2010, 10:14:41 schrieb Heiko Schlittermann: >>> Gibt es keine Möglichkeit, Samba zu überreden, die Systemnutzer zu >>> nutzen, also kein extra DB? >> >> Nein. Meines Wissens geht das nicht. > Geht doch. > >> Du könntest LDAP nehmen, aber auch >> dort gibt es dann ein Passwort und ein SMB-Passwort-Hash. > Soweit korrekt. LDAP sollte man spätestens in gemischten Umgebungen auf dem > Samba-PDC immer als Backend haben. > >> unix password sync > Diese Option in smb.conf sorgt dafür, daß, wenn mit smbpasswd oder mit > Windows-Bordmitteln das Samba-Passwort geändert wird, dieses auch gleich für > PAM-Gebrauch mit gehasht wird (==> LDAP-Attribut "userPassword"). > >> SMB schickt die Passworte als Hash durch die Leitung, somit gehen die >> gängigen Verfahren (z.B. Authentifizierung gegen einen LDAP) nicht. > Bei Passwortänderungen wird das neue Passwort auf verschlüsseltem Weg dem > Domaincontroller zum Hashen übergeben. Dort setzt dann "unix password sync" > an. > >> Du wirst also immer zwei Passwort-DBs brauchen, > Richtig, aber die halten sich von alleine in sync, s.u. > >> die Du bestenfalls syncron halten könntest („unix password sync“ im Samba, >> und vielleicht gibt es ein pam-Modul, das auch das SMB-Passwort setzen >> könnte, wenn jemand „passwd” aufruft). > Genau das macht pam_smbpass. Es hasht das von "passwd" übergebene > Klartextpasswort für den Samba-PDC (LDAP-Attribut "sambaNTPassword"). > > Selbstverständlich ist es nicht vorgesehen, die verschiedenartigen Hashes > ineinander umzurechnen. Deshalb bedarf es einem initialen "passwd", > "smbpasswd" oder "Alt-Strg-Entf" für jeden Nutzer, um beide Hashes > gleichzuziehen. > > Also: > - Linux/UNIX-Maschinen gegen LDAP authentifizieren > - Samba-PDC mit LDAP-Backend > - Windows-Rechner zu Domänenmitgliedern machen > - LDAP-Inhalt regelmäßig sichern > - zurücklehnen ;-) > > Wenn Konfigurationsbeispiel gewünscht ==> Elektronenpost an Liste. > > Hallo, viel besser hätte ich das auch nicht darstellen können. ;-) Ein wichtiges "buzzword" zu dem Thema ist unbedingt: "ldapsam:editposix"! Alles im allem keine Lösung die man sich gerade mal so schnell aus dem Ärmel schüttelt - ;-) Bei Bedarf gibts auch von mir noch weiteres blabla, Literaturhinweise usw... Gruß Gunter ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Systempasswörter mit Samba nutzen
Am Freitag 10 September 2010, 10:14:41 schrieb Heiko Schlittermann: > > Gibt es keine Möglichkeit, Samba zu überreden, die Systemnutzer zu > > nutzen, also kein extra DB? > > Nein. Meines Wissens geht das nicht. Geht doch. > Du könntest LDAP nehmen, aber auch > dort gibt es dann ein Passwort und ein SMB-Passwort-Hash. Soweit korrekt. LDAP sollte man spätestens in gemischten Umgebungen auf dem Samba-PDC immer als Backend haben. > unix password sync Diese Option in smb.conf sorgt dafür, daß, wenn mit smbpasswd oder mit Windows-Bordmitteln das Samba-Passwort geändert wird, dieses auch gleich für PAM-Gebrauch mit gehasht wird (==> LDAP-Attribut "userPassword"). > SMB schickt die Passworte als Hash durch die Leitung, somit gehen die > gängigen Verfahren (z.B. Authentifizierung gegen einen LDAP) nicht. Bei Passwortänderungen wird das neue Passwort auf verschlüsseltem Weg dem Domaincontroller zum Hashen übergeben. Dort setzt dann "unix password sync" an. > Du wirst also immer zwei Passwort-DBs brauchen, Richtig, aber die halten sich von alleine in sync, s.u. > die Du bestenfalls syncron halten könntest („unix password sync“ im Samba, > und vielleicht gibt es ein pam-Modul, das auch das SMB-Passwort setzen > könnte, wenn jemand „passwd” aufruft). Genau das macht pam_smbpass. Es hasht das von "passwd" übergebene Klartextpasswort für den Samba-PDC (LDAP-Attribut "sambaNTPassword"). Selbstverständlich ist es nicht vorgesehen, die verschiedenartigen Hashes ineinander umzurechnen. Deshalb bedarf es einem initialen "passwd", "smbpasswd" oder "Alt-Strg-Entf" für jeden Nutzer, um beide Hashes gleichzuziehen. Also: - Linux/UNIX-Maschinen gegen LDAP authentifizieren - Samba-PDC mit LDAP-Backend - Windows-Rechner zu Domänenmitgliedern machen - LDAP-Inhalt regelmäßig sichern - zurücklehnen ;-) Wenn Konfigurationsbeispiel gewünscht ==> Elektronenpost an Liste. -- William Epler ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Re: Systempasswörter mit Samba nutzen
Hi! Am 10.09.2010 um 07:23 schrieb Luca Bertoncello: > Gibt es keine Möglichkeit, Samba zu überreden, die Systemnutzer zu nutzen, > also kein extra DB? Meines Wissens nach hilft da nur kerberos. Probiert habe ich es nicht, der Aufwand war mir zu hoch. MfG Sebastian -- Jeder ist notwendigerweise der Held seiner eigenen Lebensgeschichte. ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
Systempasswörter mit Samba nutzen
Hallo, Leute! Ich habe einen Server mit Ubuntu Lucid und Samba installiert. Nun habe ich einigen Nutzer auf dem Server, die Samba nutzen sollen. Leider jetzt muß ich immer mit tdbedit die Nutzer in Samba importieren (und die Leute müssen immer zu mir kommen und ihr Passwort eintippen). Gibt es keine Möglichkeit, Samba zu überreden, die Systemnutzer zu nutzen, also kein extra DB? Danke Luca Bertoncello (lucab...@lucabert.de) ___ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
