samba - zwei Authentication Backends

[altmetaller]

Hallo,

ich habe auf dem samba-Server lokale Benutzer und fahre parallel dazu eine Domäne mit einem DC.

Es gibt Benutzer, die in der Domäne andere Kennwörter haben als auf dem SMB-Server. Kann ich einen samba-Server so konfigurieren, dass er nur dann den DC fragt, wenn die Domäne vorangestellt ist?
Ich stelle mir das so vor:

• Benutzername hanswurst -> samba authentifiziert gegen die lokale Datenbank
• Benutzername DOM\hanswurst -> samba authentifiziert gegen den DC

Bezüglich der Freigaben stelle ich mir innerhalb der Freigabe so etwas vor:

Code: Alles auswählen

valid users = hanswurst,DOM\hanswurst

Ginge das? Wenn ja - wie?

Gruß,
Jörg

[oln]

Moin.
Ist der Samba Domainmitglied?
Dann regelt das eigentlich die krb5.conf ob defaultdomain oder nicht.
Weiterhin regel ich das über ACLs und dann den User in eine Gruppe der Domain packen.

[oln]

Bezüglich der Freigaben stelle ich mir innerhalb der Freigabe so etwas vor:

Code: Alles auswählen

valid users = hanswurst,DOM\hanswurst

Achso noch vergessen. Ja das geht. Sieht dann so aus:

Code: Alles auswählen

valid users = @"Domain\GruppeOderUser" , @"LocalerUserOderGruppe"

[altmetaller]

Ist der Samba Domainmitglied?

Nein.

Der Samba-Server ist eigentlich mein "in schön" Produktivserver. Ich bastle gerade in einem Testnetz mit einem UCS Domaincontroller und Windows-Clients und möchte von dort aus gelegentlich auf den Samba zugreifen, um Dateien in das Testnetz zu übertragen. Das Testnetz selber hat keinen Internetzugriff und darf (via Firewall) ausschließlich auf den SMB-Port des Samba-Servers zugreifen.

Ich habe die Befürchtung, dass ich mir da zu viele Abhängigkeiten mache wenn ich den Samba an den UCS klemme - zumal ich jetzt schon weiß, dass der irgendwann wieder verschwinden wird

[oln]

Ist der Samba Domainmitglied?

Nein.

Und wie kommen dann die Logins aus der Domain auf den Samba? Woher soll der die kennen? LDAP Abfragen oder wie?

[altmetaller]

Und wie kommen dann die Logins aus der Domain auf den Samba? Woher soll der die kennen? LDAP Abfragen oder wie?

Wie gesagt - ich stelle mir das so vor, dass Samba grundsätzlich erst einmal seine eigene Datenbank fragt und nur dann, wenn die Domäne angegeben wird, den UCS Domaincontroller befragt.

Das ist natürlich auch eine gewisse Abhängigkeit. Aber eine Beziehung auf Domänenebene (z.B. Samba als Member) geht ja durchaus noch ein Stück weiter - zum Beispiel in Bezug auf die FSMO Rollen usw.

[oln]

Aber um den USC als LoginController zu fragen, muss der Samba ja in die Domain. Und dann ist das auch kein Problem.
Ich glaube du hast eine falsche Vorstellung wie das gehen soll.

[altmetaller]

Aber um den USC als LoginController zu fragen, muss der Samba ja in die Domain.

Stimmt, Du glaubst Eigentlich kann man einen DC auch via LDAP usw. befragen und ich hatte gehofft, dass es über diesen Weg ohne eine Verknüpfung der Domänen geht.

Aber egal - es ist eh' nur ein Test und ich bin durchaus fähig, Grenzen zu akzeptieren

[oln]

Moin,
es geht auch mit LDAP aber das ist wie "auf Knien durch die Wüste". Wenn du einen DC hast, dann benutze den doch. Macht das alles viel leichter.
Wenn du Hilfe dabei benötigst den Samba in die Domain zu nehmen, dann kann ich dir helfen.