Univention Bugzilla – Bug 24030
Meta-Bug: Windows-Kapitel Handbuch 3.0
Last modified: 2015-04-01 13:47:24 CEST
Sammel-Bug für QA des überarbeiteten Maildienste-Kapitels. Bei der Überarbeitung mitkorrigierte Bugs (damit die QA sinnvollerweise für alle Bugs, von der gleichen Person durchgeführt wird): AD Connector: Bug 17456 Bug 8598 Bug 11587 Bug 12950 Bug 14533 Bug 17562 Bug 17761 Bug 20801 Bug 21851 Bug 22590 Bug 23956 Samba: Bug 20835 Bug 23663 Bug 23873
Weitere Bugs: Bug 14732 Bug 15266
Bug 21853
Bug 24762
Für den AD-Connector wurde ein separater Bug angelegt: Bug 24908
Bitte einmal QA über das komplette Kapitel 8 mit Ausnahme des AD-Connector-Kapitels, dafür gibt es einen separaten Bug. Die englische Version muss nicht inhaltlich QAt werden (da bereits beim Einpflegen der Inhalte des Übersetzers erfolgt), es sollte aber noch kurz gegengeprüft werden, ob ggf. Textblöcke fehlen oder noch irgendwo deutsche Texte auftauchen.
In Abschnitt 8.6.2 "Samba-3-Domäene vertraut Windows-Domäne" kann der Aufruf "net idmap secret WINDOWSDOMAIN `cat /etc/ldap.secret`" raus (War das nicht schonmal entfernt worden? Siehe Bug 18293 Comment 2). Vor dem "net rpc trustdom establish <Windowsdomain>" muss die Firewall für Antworten auf Netbios-Broadcasts freigeschaltet werden. Dafür gibt es Bug 25243, aber aktuell muss das noch manuell angepasst werden. Zusätzlich sind einige Anpassungen an der winbind-Konfiguration sinnvoll, die im Wiki unter https://hutten.knut.univention.de/mediawiki/index.php/Vertrauensstellungen dokumentiert sind: ------------------------------------------------------------ ## 1. Firewall Anpassung: echo "iptables -I INPUT 1 -p udp --sport 137 -j ACCEPT" \ >> /etc/security/packetfilter.d/50_local.sh /etc/init.d/univention-firewall restart ### Zusätzlich sind folgende Einstellungen sinnvoll: ## ## 2. Für die Auflösung von SIDs per "wbinfo -n WINDOM+user1" muss die winbind ## Konfiguration per /etc/samba/local.conf angepasst werden: echo -e "[global]\nwinbind rpc only = yes" >> /etc/samba/local.conf ## 3. Für "wbinfo -u" muss zusätzlich ein gültiger Domänen-Account mit Passwort ## angegeben werden, mit dem winbind Domänenbenutzer nachschauen kann: net setauthuser -U Administrator ## 4. Nach diesen Anpassungen muss winbind neu gestartet werden net rpc trustdom establish <Windowsdomain> /etc/init.d/winbind restart ## 5. wenn man lokale Authentifikation per winbind ermöglichen will, dann muss ## man vermutlich winbind in die UCR-Variable auth/methods aufnehmen: eval "$(univention-config-registry shell)" univention-config-registry set auth/methods="$auth_methods winbind" ## 6. Abschliessend kann ein nscd restart nicht schaden: /etc/init.d/nscd restart ------------------------------------------------------------
Nur mit der folgenden Befehlsfolge net setauthuser -UAdministrator /etc/init.d/winbind restart ucr set auth/methods="krb5 ldap unix winbind" /etc/init.d/nscd restart funktionierte bei mir die Auflösung der Windows-Domäenenbenutzer an der UCS-Domäne. Ohne diese Kommandos funktionierte sie weder auf DC Slave noch auf Memberserver, d.h. diese Befehle din nicht optional. Erst nach diesen drei Kommandos verlief ein getent passwd WINDOWSDOMAIN+user1 erfolgreich (auch mit Benutzer-Namen, die es definitiv nur in der Windows-Domäne gab, d.h. Bug 25244 spielte da nicht rein).
(In reply to comment #6) > In Abschnitt 8.6.2 "Samba-3-Domäene vertraut Windows-Domäne" kann der Aufruf > "net idmap secret WINDOWSDOMAIN `cat /etc/ldap.secret`" raus (War das nicht > schonmal entfernt worden? Siehe Bug 18293 Comment 2). > > > Vor dem "net rpc trustdom establish <Windowsdomain>" muss die Firewall für > Antworten auf Netbios-Broadcasts freigeschaltet werden. Dafür gibt es > Bug 25243, aber aktuell muss das noch manuell angepasst werden. Die beiden Punkte habe ich in die Doku aufgenommen. > Zusätzlich sind einige Anpassungen an der winbind-Konfiguration sinnvoll, die > im Wiki unter > https://hutten.knut.univention.de/mediawiki/index.php/Vertrauensstellungen > dokumentiert sind: Dazu habe ich Bug 25254 angelegt.
Verified.