[teilweise gelöst] LDAP Authentifizierung für separaten Samba Server

Probleme mit Samba, NFS, FTP und Co.
Antworten
Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

[teilweise gelöst] LDAP Authentifizierung für separaten Samba Server

Beitrag von joe2017 » 07.08.2017 14:57:10

Hallo zusammen,

ich weiß ich bin hier nicht im Ubuntu Forum, jedoch sind wir mit unserem Unternehmen gerade dabei die Entscheidung für unser zukünftiges Betriebssystem zu treffen.
Nachdem wir aktuell mit einer ganz simplen Sache im Ubuntu Forum nicht weiter kommen, haben wir uns gedacht, dass wir im Debian Forum wahrscheinlich die qualifizierteren Fachleute finden. Vielleicht könnte sich dennoch jemand diesm Problem annehmen und uns davon überzeugen, dass wir hier besser aufgehoben sind.

Ich denke mal, dass ich das ganze unter Debian genauso konfigurieren muss. Die Anmeldung meiner Clients am LDAP Server funktioniert. Jedoch kann ich keine Freigabe am Client mounten. Hier wird die Authentifizierung anscheinend nicht durchgereicht.

getent passwd & getent group liefert mir am Samba Server und am Client die entsprechenden Ldap Einträge.

Es geht um folgendes Szenario:
  • LDAP Server (16.04) 192.168.1.195
  • Samba Server (16.04) 192.168.1.197
  • Client (16.04) 192.168.1.198
  • Ich möchte keinen Samba PDC
  • Ich benötige den Samba auf einem separaten Server
Anbei meine Step-by-Step Anleitung:
LDAP Server

nano /etc/hostname #change

Code: Alles auswählen

LDAP.local.net
reboot
apt-get install slapd ldap-utils
nano /etc/ldap/ldap.conf #change

Code: Alles auswählen

BASE    dc=local,dc=net
URI     ldap://localhost:389
dpkg-reconfigure slapd
  • No
  • local.net
  • local.net
  • MDB
  • No
  • Yes
  • No
apt-get install phpldapadmin
nano /etc/phpldapadmin/config.php #change

Code: Alles auswählen

$servers->setValue('server','name','LDAP Server');
$servers->setValue('server','host','192.168.1.195');
$servers->setValue('server','base',array('dc=local,dc=net'));
$servers->setValue('login','bind_id','cn=admin,dc=local,dc=net');
// $config->custom->appearance['hide_template_warning'] = true;
reboot

SAMBA & CLIENT

apt-get install ldap-auth-client nscd
dpkg-reconfigure ldap-auth-config
apt-get -y install libpam-pwquality
nano /etc/nsswitch.conf #change

Code: Alles auswählen

passwd:		compat ldap
group:		compat ldap
shadow:		compat ldap
nano /etc/pam.d/common-password #change

Code: Alles auswählen

password        requisite                       pam_pwquality.so retry=3 minlen=12 minclass=4 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 maxsequence=3
password        [success=2 default=ignore]      pam_unix.so obscure use_authtok try_first_pass sha512 remember=5
nano /etc/pam.d/common-account #add

Code: Alles auswählen

account required                        pam_access.so
nano /etc/pam.d/common-session #add

Code: Alles auswählen

session required	pam_mkhomedir.so skel=/etc/skel umask=0077
SAMBA-Server

apt-get install samba
mkdir /files
chmod 770 /files
mkdir /files/data
chmod 770 /files/data
nano /etc/samba/smb.conf #add/change

Code: Alles auswählen

[global]
workgroup = local.net

#   passdb backend = tdbsam

# LDAP Settings
   passdb backend = ldapsam:ldap://192.168.1.195
   # Der LDAP-Suffix
   ldap suffix = dc=local,dc=net
   # Admin-DN
   ldap admin dn = cn=admin,dc=local,dc=net
   # User-, Gruppen- und Maschinen-Suffix
   ldap user suffix = ou=Users
   ldap group suffix = ou=Groups
   ldap machine suffix = ou=Computers
   ldap idmap suffix = ou=Idmap
   ldap delete dn = no
   ldap passwd sync = yes
   unix password sync = yes
   # or off if TLS/SSL is not configured
   #ldap ssl = start tls
   #ldap ssl = <no/ssl/start_tls>
   ldap ssl = no

# Scripte zum Hinzufügen/Löschen von Usern, Gruppen und Maschinen
   add user script = /usr/sbin/smbldap-useradd -m -a %u
   delete user script = /usr/sbin/smbldap-userdel %u
   add group script = /usr/sbin/smbldap-groupadd -p %g
   delete group script = /usr/sbin/smbldap-groupdel %g
   add user to group script = /usr/sbin/smbldap-groupmod -m %g %u
   delete user from group script = /usr/sbin/smbldap-groupmod -x %g %u
   set primary group script = /usr/sbin/smbldap-usermod -g %g %u
   add machine script = /usr/sbin/smbldap-useradd -i -w %u

[data]
  comment = Data
  path = /files/data
  browseable = yes
  read only = no
  guest ok = no
smbpasswd -w "LDAP admin Password"
chown testuser:users /files/data/

Ist ein Import des SAMBA Schemas im LDAP zwingend notwendig? Ich möchte keine Domain Controller im SAMBA einrichten und es werden ausschließlich Ubuntu/Debian Clients kommunizieren.

Mache ich irgendwo ein Denkfehler? Es würde mich freuen wenn ich wenigstens hier eine qualifizierte Antwort finden würde. Dies würde mir sicherlich bei der Entscheidung zwischen Ubuntu / Debian weiterhelfen.
Zuletzt geändert von joe2017 am 01.07.2018 09:45:38, insgesamt 1-mal geändert.

Benutzeravatar
HZB
Beiträge: 486
Registriert: 22.10.2003 11:52:15
Wohnort: Wien

Re: LDAP Authentifizierung für separaten Samba Server

Beitrag von HZB » 30.08.2017 20:26:13

Und was funktioniert jetzt nicht ?

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: LDAP Authentifizierung für separaten Samba Server

Beitrag von joe2017 » 15.09.2017 11:30:57

Ich habe das ganze Thema jetzt mit NFS und Kerberos anstatt SAMBA gelöst.

Trotzdem Danke.

Antworten