# OpenLDAP, Apache, Samba Authentifikation OHNE PDC

## thomasfr

Hallo allerseits!

Ich bin nach diesem How To aus dem Forum vorgegangen und kann mich via nun SSH, Samba und Apache mit denselben Credentials einloggen. Soweit so gut. Doch eigentlich brauche ich den gesamten Domain Controller Kram für Samba nicht. Das einzige was möglich sein sollte ist das jeder angelegte User auch via Samba Share auf sein Home Verzeichnis zugreifen kann.

Ich kann natürlich in der smb.conf einfach domain master = no, domain logins = no, usw. setzen, aber ich hab trotzdem noch die ganzen Attribute vom Samba Schema, die ich meiner Meinung nach ja nicht brauche.

Meine Frage ist jetzt ob es möglich ist Samba so zu konfigurieren das er nicht das komplette samba Domain Schema verwendet. Also nur die minimal benötigten Attribute.

Wenn ja, wie? Wo ansetzen? Eigenes LDAP Schema entwerfen?

Ausserdem verwende ich die smbldap-tools. Soweit ich sehe werden diese Scripte dazu verwendet die User im LDAP in einem AD zu verwalten. Das bedeutet das ich diese Scripte dann ja nicht mehr verwenden kann, wenn ich ein anderes Schema verwende. Wo und wie müsste ich dann neue User anlegen. Ich denke das müsste dann ja an mehreren Enden sein (useradd, ldap,...?)

Vielleicht sehe ich auch einfach den Wald vor lauter Bäumen nicht mehr....  :Wink: 

Für Hinweise, Tipps und Erklärungen wäre ich sehr dankbar!!!

----------

## moe

Auch wenn ich den Sinn dahinter nicht ganz verstehe, sollte es theoretisch machbar sein. Aber ich vermute dass das ne Riesenfummelei wird, bis du rausgefunden hast welche Attribute nötig sind (nötig im Sinne von Samba&Co), und welche nicht. Was soll das ganze dann bezwecken, ein aufgeräumteres LDAP-Verzeichnis?

 *Quote:*   

> Soweit ich sehe werden diese Scripte dazu verwendet die User im LDAP in einem AD zu verwalten.

  Ein AD ist es nicht, aber ähnlich.

 *Quote:*   

> Wo und wie müsste ich dann neue User anlegen. Ich denke das müsste dann ja an mehreren Enden sein (useradd, ldap,...?) 

 

Nur im LDAP, du hast ja mit der Änderungen in /etc/pam.d/system-auth und /etc/nsswich.conf gesagt, dass Unix-Systemnutzer auch im LDAP zu finden sind. Das einzige was evtl. mehrfach gemacht werden muss sind die Passworteinträge im LDAP, ich weiß spontan nicht ausm Kopf ob Samba/Linux da einen gleichen verwenden (können) oder obs mehrere gibt, die mit dem smbldap-skripten synchron gehalten werden.

Gruß Maurice

----------

## papahuhn

Hi,

wir haben bei uns Samba-Authentifizierung über LDAP, aber ich weiss nicht, ob das auch ein PDC ist. Wenn du mir sagst, was LDAP&Samba als PDC auszeichnet, kann ich dir sagen, ob unsere Konfiguration "minimal" ist.

Unsere Useraccounts erben von posixAccount, shadowAccount, und sambaSamAccount. Das Passwort lässt sich für für alle Bereiche über standard "passwd" setzen, wenn man das entsprechende PAM-Modul benutzt.

----------

## thomasfr

Vielen Danke für Eure Antworten.

Vielleicht muss ich ein wenig weiter ausholen um verständlich zu machen was ich bezwecke. Eines vorweg: Es ist leicht möglich das es einfacher ohne zu bewerkstelligen ist. Für diese Hinweise bin ich sehr dankbar.

Ich bin dabei eine Entwicklungs Appliance für VMWare auf Basis von Gentoo zu erstellen, die einen kompletten Application Stack (Apache, MySQL, Postgres, PHP, Subversion, etc...) zur Verfügung stellt. Angefangen hat es eigentlich als persönliche Appliance aber mittlerweile haben es auch einige ebenfalls als sehr brauchbar empfunden und verwenden es auch. Da einiges in der "ersten" Version von mir nicht so ausgelegt war wie es einige aber verwenden möchten bin ich jetzt dabei das System zu überdenken und neu zu erstellen. Diese Appliance sollte nun auch MultiUser fähig sein (In der "ersten Version" war es darauf ausgelegt das die Appliance nur von einem Entwickler verwendet wird). 

Also jemand der die entsprechenden root Rechte besitzt (Chef, Abteilungsleiter, WerAuchImmer, etc...) neue User anlegen kann. 

Dies sollte natürlich möglichst einfach sein  :Rolling Eyes:  . Ein neu angelegter User hat dann automatisch Zugriff per SSH, auf sein Homeverzeichnis mittels Samba und auch auf ein Subversion Repos. (evtl. kommen da noch andere Systeme über HTTP dazu, die sich ebenfalls authentifizeiren müssen). Logischerweise sollte man sich immer mit demselben User/Password anmelden können. Deswegen habe ich LDAP ausgewählt. Keine Ahnung ob es eine bessere Lösung gibt? Habt ihr Vorschläge?

Die Appliance sollte sich aber ganz einfach in ein vorhandens Netzwerk integrieren lassen und sollte auch keine Netzwerk Services zur Verfügung stellen - aus diesem Grund möchte ich den ganzen Domain Controller Kram erst gar nicht im LDAP Schema drin haben. Und auch damit ich ein aufgeräumtes LDAP Verzeichnis habe und keine überflüssigen Attribute, etc. mitschleppe. Oder spricht eigentlich nix dagegen?

 *Quote:*   

> 
> 
> wir haben bei uns Samba-Authentifizierung über LDAP, aber ich weiss nicht, ob das auch ein PDC ist. Wenn du mir sagst, was LDAP&Samba als PDC auszeichnet, kann ich dir sagen, ob unsere Konfiguration "minimal" ist. 
> 
> 

 

PDC = Primary Domain Controller. Am PDC melden sich alle Windows User an. Die User Profile werden am PDC gespeichert. Die Rechte der User werden über den PDC konfiguriert. 

LG Tom

----------

## papahuhn

 *thomasfr wrote:*   

>  Deswegen habe ich LDAP ausgewählt. Keine Ahnung ob es eine bessere Lösung gibt? Habt ihr Vorschläge?

 

Das wäre vielleicht probierenswert http://www.freebsddiary.org/samba-pam.php. LDAP halte ich nämlich für ne große Frickelei.

 *thomasfr wrote:*   

> 
> 
> PDC = Primary Domain Controller. Am PDC melden sich alle Windows User an. Die User Profile werden am PDC gespeichert. Die Rechte der User werden über den PDC konfiguriert. 

 

Das haben wir wohl nicht. Allerdings sind die ganzen /etc/passwd Daten in unseren Userdatensätzen, die für Samba zusätzlich die Felder sambaSID, sambaAcctFlags, sambaLMPassword, sambaNTPassword und sambaPwdLastSet beinhalten.

----------

## thomasfr

 *Quote:*   

> 
> 
> Das wäre vielleicht probierenswert http://www.freebsddiary.org/samba-pam.php. LDAP halte ich nämlich für ne große Frickelei. 
> 
> 

 

Werd ich mir gleich anschauen, klingt interessant und nicht nach einer "Mit Kanonen auf Spatzen schießen" Lösung so wie ich es jetzt hab!  :Wink: 

Danke

----------

