Beide Seiten, vorherige ÜberarbeitungVorherige ÜberarbeitungNächste Überarbeitung | Vorherige Überarbeitung |
linux:winbind [2019/10/16 10:40] – [Tricks] richard | linux:winbind [2024/04/17 11:16] (aktuell) – [Überwachung von Winbind mit snmpd] richard |
---|
password server = myDomcontr.my.dom.ain | password server = myDomcontr.my.dom.ain |
realm = MY.DOM.AIN | realm = MY.DOM.AIN |
idmap uid = 10000-20000 | idmap config MYNTDOM:range = 20000-30000 |
idmap gid = 10000-20000 | idmap config MYNTDOM:backend = ad |
| idmap config * : backend = tdb |
# ab hier weitere Freigaben konfigurieren | # ab hier weitere Freigaben konfigurieren |
</code> | </code> |
<code bash>wbinfo -u</code> | <code bash>wbinfo -u</code> |
Zeige mir alle Benutzer der Domäne an: | Zeige mir alle Benutzer der Domäne an: |
<code bash>net ads user -U einDomänenbenutzer</code> | net ads user -U einDomänenbenutzer |
| oder:\\ |
| net rpc shell -U domadmin -S mydomctrl |
| user list |
Zeige mir alle Domänenbenutzer deren samaccountname mit a beginnt und deren LDAP-Felder der Domäne an: | Zeige mir alle Domänenbenutzer deren samaccountname mit a beginnt und deren LDAP-Felder der Domäne an: |
<code bash>net ads search "(sAMAccountName=a*)" -U einDomänenbenutzer</code> | <code bash>net ads search "(sAMAccountName=a*)" -U einDomänenbenutzer</code> |
Zeige mir Infos von einem Benutzer an: | Zeige mir Infos von einem Benutzer an: |
wbinfo -i doedel | wbinfo -i doedel |
| oder: |
| net rpc shell -U domadmin -S mydomctrl |
| user show doedel |
| user edit description doedel |
| Gruppeninfos: |
| net rpc shell -U domadmin -S mydomctrl |
| user info doedel |
| Prüfe ob der Benutzer gesperrt ist: |
| net rpc shell -U domadmin -S mydomctrl |
| user edit autolock doedel |
| quit |
Prüfe das Passwort eines Benutzers: | Prüfe das Passwort eines Benutzers: |
wbinfo -a doedel%seinPasswort | wbinfo -a doedel%seinPasswort |
user edit pwnoexp myNTUser yes | user edit pwnoexp myNTUser yes |
exit | exit |
| Teste indirekt ob der Benutzer doedel in einer NT-Gruppe myntgroup ist: |
| ntlm_auth --username=doedel --require-membership-of=MYNTDOM\\myntgroup |
| |
| |
\\ | \\ |
</code> | </code> |
Zeige mir alle Mitglieder der Gruppe "myNTGroup" an: | Zeige mir alle Mitglieder der Gruppe "myNTGroup" an: |
<code bash>net groupmember list myNTGroup -S myNTDomController -U einDomänenbenutzer</code> | <code bash>net rpc group members myNTGroup -S myNTDomController -U einDomänenbenutzer</code> |
Füge den Benutzer doedel in die Gruppe Luschies ein: | Füge den Benutzer doedel in die Domänengruppe Luschies ein: |
<code bash>net RAP GROUPMEMBER ADD Luschies doedel -U domadm | <code bash>net RPC group addmem "MYNTGROUP\Luschies" doedel -U domadm |
Enter domadm's password: geheim | Enter domadm's password: geheim |
</code> | </code> |
| Entferne den Benutzer doedel aus der Domänengruppe Luschies : |
| <code bash>net RPC group delmem "MYNTGROUP\Luschies" doedel -U domadm |
| Enter domadm's password: geheim |
| </code> |
| Zeige mit alle Benutzer mit den Gruppen-SIDS an: |
| net usersidlist |
\\ | \\ |
Die im AD gemachten Änderungen werden nicht vom winbind übernommen:\\ | Die im AD gemachten Änderungen werden nicht vom winbind übernommen:\\ |
<code>realm discover $(hostname -d) | <code>realm discover $(hostname -d) |
realm list | realm list |
net ads keytab list</code> | net ads keytab list |
| klist</code> |
| smbcontrol all dump-domain-list |
\\ | \\ |
| smb.conf neu einlesen: |
| smbcontrol all reload-config |
====Erweiterungen in der /etc/samba/smb.conf:==== | ====Erweiterungen in der /etc/samba/smb.conf:==== |
\\ | \\ |
wenn auf allen Rechnern die selben GIDs verwendet werden sollen, dann auf allen Rechnern:\\ | wenn auf allen Rechnern die selben GIDs verwendet werden sollen, dann auf allen Rechnern:\\ |
idmap backend = idmap_rid:MyNTDOM=10000-20000 | idmap backend = idmap_rid:MyNTDOM=10000-20000 |
idmap uid = 10000-20000 | idmap config MYNTDOM:range = 20000-30000 |
idmap gid = 10000-20000 | |
dadurch erhält beispielsweise ein Benutzer mit der SID: ''S-1-5-21-2025429265-861567501-839522115-1409 ''\\ | dadurch erhält beispielsweise ein Benutzer mit der SID: ''S-1-5-21-2025429265-861567501-839522115-1409 ''\\ |
auf allen Linuxrechnern die ID:''11409''. Das ist der letzte Teil der SID + der Wert von ''idmap uid''\\ | auf allen Linuxrechnern die ID:''11409''. Das ist der letzte Teil der SID + der Wert von ''idmap uid''\\ |
**Eintrag per sed in smb.conf machen:**\\ | **Eintrag per sed in smb.conf machen:**\\ |
sed -i '/^\[global]/a\winbind use default domain = yes' /etc/samba/smb.conf | sed -i '/^\[global]/a\winbind use default domain = yes' /etc/samba/smb.conf |
| **erweiterte Dateiattribute unterstützen:**\\ |
| vfs objects = acl_xattr |
| map acl inherit = Yes |
| store dos attributes = Yes |
| |
\\ | \\ |
====Backup/Restore von Winbindinformationen==== | ====Backup/Restore von Winbindinformationen==== |
yast2 samba-client winbind enable | yast2 samba-client winbind enable |
#test mit: | #test mit: |
yast2 samba-client isdomainmember=MYNTDOMAIN | yast2 samba-client isdomainmember domain=MYNTDOMAIN |
| Suse fügt evtl. nicht die Parameter in der ''/etc/samba/smb.conf'' hinzu: \\ |
| winbind use default domain = yes |
| winbind enum groups = yes |
| winbind enum users = yes |
| dann also diese hinzufügen.\\ |
| wenn auch noch die homedirs automatisch angelegt werden sollen, dann: |
| pam-config -a --mkhomedir |
| |
| ====Überwachung von Winbind mit snmpd==== |
| apt install sudo snmpd |
| wbinfo braucht Rootrechte zur Ausführung.\\ |
| deshalb in der Datei ''/etc/sudoers'' folgende Zeile einfügen: |
| Debian-snmp ALL = (root)NOPASSWD: /usr/bin/wbinfo -t |
| in der Datei ''/etc/snmp/snmpd.conf'' folgende Zeile einfügen: |
| extend wbinfo /usr/bin/sudo /usr/bin/wbinfo -t |
| dann Snmpdienst neustarten: |
| systemctl restart snmpd |
| Danach sollte unter der OID ''1.3.6.1.4.1.8072.1.3.2.3.1.4.6.119.98.105.110.102.111'' oder ähnlich der Wert gleich 0 sein,\\ |
| wenn wbinfo erfolgreich ist und 1 wenn es keine Verbindung zur Domäne hat oder Dienst aus ist.\\ |
| Die OID kann abweichen und muss dann mit snmpwalk oder snmptester.exe ermittelt werden.\\ |
| Danach kann in Prtg ein Sensor (SNMP Benutzerdef.) hinzugefügt werden. |
| |
====Fehler==== | ====Fehler==== |
<color red>Fehler:</color>\\ | <color red>Fehler:</color>\\ |