| Beide Seiten, vorherige ÜberarbeitungVorherige ÜberarbeitungNächste Überarbeitung | Vorherige Überarbeitung |
| linux:winbind [2019/10/16 10:40] – [Tricks] richard | linux:winbind [2024/04/17 11:16] (aktuell) – [Überwachung von Winbind mit snmpd] richard |
|---|
| password server = myDomcontr.my.dom.ain | password server = myDomcontr.my.dom.ain |
| realm = MY.DOM.AIN | realm = MY.DOM.AIN |
| idmap uid = 10000-20000 | idmap config MYNTDOM:range = 20000-30000 |
| idmap gid = 10000-20000 | idmap config MYNTDOM:backend = ad |
| | idmap config * : backend = tdb |
| # ab hier weitere Freigaben konfigurieren | # ab hier weitere Freigaben konfigurieren |
| </code> | </code> |
| <code bash>wbinfo -u</code> | <code bash>wbinfo -u</code> |
| Zeige mir alle Benutzer der Domäne an: | Zeige mir alle Benutzer der Domäne an: |
| <code bash>net ads user -U einDomänenbenutzer</code> | net ads user -U einDomänenbenutzer |
| | oder:\\ |
| | net rpc shell -U domadmin -S mydomctrl |
| | user list |
| Zeige mir alle Domänenbenutzer deren samaccountname mit a beginnt und deren LDAP-Felder der Domäne an: | Zeige mir alle Domänenbenutzer deren samaccountname mit a beginnt und deren LDAP-Felder der Domäne an: |
| <code bash>net ads search "(sAMAccountName=a*)" -U einDomänenbenutzer</code> | <code bash>net ads search "(sAMAccountName=a*)" -U einDomänenbenutzer</code> |
| Zeige mir Infos von einem Benutzer an: | Zeige mir Infos von einem Benutzer an: |
| wbinfo -i doedel | wbinfo -i doedel |
| | oder: |
| | net rpc shell -U domadmin -S mydomctrl |
| | user show doedel |
| | user edit description doedel |
| | Gruppeninfos: |
| | net rpc shell -U domadmin -S mydomctrl |
| | user info doedel |
| | Prüfe ob der Benutzer gesperrt ist: |
| | net rpc shell -U domadmin -S mydomctrl |
| | user edit autolock doedel |
| | quit |
| Prüfe das Passwort eines Benutzers: | Prüfe das Passwort eines Benutzers: |
| wbinfo -a doedel%seinPasswort | wbinfo -a doedel%seinPasswort |
| user edit pwnoexp myNTUser yes | user edit pwnoexp myNTUser yes |
| exit | exit |
| | Teste indirekt ob der Benutzer doedel in einer NT-Gruppe myntgroup ist: |
| | ntlm_auth --username=doedel --require-membership-of=MYNTDOM\\myntgroup |
| | |
| |
| \\ | \\ |
| </code> | </code> |
| Zeige mir alle Mitglieder der Gruppe "myNTGroup" an: | Zeige mir alle Mitglieder der Gruppe "myNTGroup" an: |
| <code bash>net groupmember list myNTGroup -S myNTDomController -U einDomänenbenutzer</code> | <code bash>net rpc group members myNTGroup -S myNTDomController -U einDomänenbenutzer</code> |
| Füge den Benutzer doedel in die Gruppe Luschies ein: | Füge den Benutzer doedel in die Domänengruppe Luschies ein: |
| <code bash>net RAP GROUPMEMBER ADD Luschies doedel -U domadm | <code bash>net RPC group addmem "MYNTGROUP\Luschies" doedel -U domadm |
| Enter domadm's password: geheim | Enter domadm's password: geheim |
| </code> | </code> |
| | Entferne den Benutzer doedel aus der Domänengruppe Luschies : |
| | <code bash>net RPC group delmem "MYNTGROUP\Luschies" doedel -U domadm |
| | Enter domadm's password: geheim |
| | </code> |
| | Zeige mit alle Benutzer mit den Gruppen-SIDS an: |
| | net usersidlist |
| \\ | \\ |
| Die im AD gemachten Änderungen werden nicht vom winbind übernommen:\\ | Die im AD gemachten Änderungen werden nicht vom winbind übernommen:\\ |
| <code>realm discover $(hostname -d) | <code>realm discover $(hostname -d) |
| realm list | realm list |
| net ads keytab list</code> | net ads keytab list |
| | klist</code> |
| | smbcontrol all dump-domain-list |
| \\ | \\ |
| | smb.conf neu einlesen: |
| | smbcontrol all reload-config |
| ====Erweiterungen in der /etc/samba/smb.conf:==== | ====Erweiterungen in der /etc/samba/smb.conf:==== |
| \\ | \\ |
| wenn auf allen Rechnern die selben GIDs verwendet werden sollen, dann auf allen Rechnern:\\ | wenn auf allen Rechnern die selben GIDs verwendet werden sollen, dann auf allen Rechnern:\\ |
| idmap backend = idmap_rid:MyNTDOM=10000-20000 | idmap backend = idmap_rid:MyNTDOM=10000-20000 |
| idmap uid = 10000-20000 | idmap config MYNTDOM:range = 20000-30000 |
| idmap gid = 10000-20000 | |
| dadurch erhält beispielsweise ein Benutzer mit der SID: ''S-1-5-21-2025429265-861567501-839522115-1409 ''\\ | dadurch erhält beispielsweise ein Benutzer mit der SID: ''S-1-5-21-2025429265-861567501-839522115-1409 ''\\ |
| auf allen Linuxrechnern die ID:''11409''. Das ist der letzte Teil der SID + der Wert von ''idmap uid''\\ | auf allen Linuxrechnern die ID:''11409''. Das ist der letzte Teil der SID + der Wert von ''idmap uid''\\ |
| **Eintrag per sed in smb.conf machen:**\\ | **Eintrag per sed in smb.conf machen:**\\ |
| sed -i '/^\[global]/a\winbind use default domain = yes' /etc/samba/smb.conf | sed -i '/^\[global]/a\winbind use default domain = yes' /etc/samba/smb.conf |
| | **erweiterte Dateiattribute unterstützen:**\\ |
| | vfs objects = acl_xattr |
| | map acl inherit = Yes |
| | store dos attributes = Yes |
| | |
| \\ | \\ |
| ====Backup/Restore von Winbindinformationen==== | ====Backup/Restore von Winbindinformationen==== |
| yast2 samba-client winbind enable | yast2 samba-client winbind enable |
| #test mit: | #test mit: |
| yast2 samba-client isdomainmember=MYNTDOMAIN | yast2 samba-client isdomainmember domain=MYNTDOMAIN |
| | Suse fügt evtl. nicht die Parameter in der ''/etc/samba/smb.conf'' hinzu: \\ |
| | winbind use default domain = yes |
| | winbind enum groups = yes |
| | winbind enum users = yes |
| | dann also diese hinzufügen.\\ |
| | wenn auch noch die homedirs automatisch angelegt werden sollen, dann: |
| | pam-config -a --mkhomedir |
| | |
| | ====Überwachung von Winbind mit snmpd==== |
| | apt install sudo snmpd |
| | wbinfo braucht Rootrechte zur Ausführung.\\ |
| | deshalb in der Datei ''/etc/sudoers'' folgende Zeile einfügen: |
| | Debian-snmp ALL = (root)NOPASSWD: /usr/bin/wbinfo -t |
| | in der Datei ''/etc/snmp/snmpd.conf'' folgende Zeile einfügen: |
| | extend wbinfo /usr/bin/sudo /usr/bin/wbinfo -t |
| | dann Snmpdienst neustarten: |
| | systemctl restart snmpd |
| | Danach sollte unter der OID ''1.3.6.1.4.1.8072.1.3.2.3.1.4.6.119.98.105.110.102.111'' oder ähnlich der Wert gleich 0 sein,\\ |
| | wenn wbinfo erfolgreich ist und 1 wenn es keine Verbindung zur Domäne hat oder Dienst aus ist.\\ |
| | Die OID kann abweichen und muss dann mit snmpwalk oder snmptester.exe ermittelt werden.\\ |
| | Danach kann in Prtg ein Sensor (SNMP Benutzerdef.) hinzugefügt werden. |
| | |
| ====Fehler==== | ====Fehler==== |
| <color red>Fehler:</color>\\ | <color red>Fehler:</color>\\ |