PDC Client

Aus Linupedia.org
Version vom 24. Juni 2007, 07:15 Uhr von Yehudi (Diskussion | Beiträge) (Bisschen Wikitauglicher gemacht)
Wechseln zu: Navigation, Suche

Client in die Domäne aufnehmen

Will man einen Client einer Domäne hinzufügen, muss der Server als PDC konfiguriert sein (Beispiel einer smb.conf). Weiter wird davon ausgegangen, dass root und alle gewünschten Benutzer mit smbpasswd angelegt wurden bzw. die User im LDAP-Verzeichnis existieren. Ist der Server einsatzbereit und kann man auf Shares wie in einem Peer-to-Peer Netz zugreifen (Stichwort "Netzlaufwerk verbinden"), werden wir nun die Client-PC's der Domäne hinzufügen.


Noch ein Hinweis: läuft Samba mit LDAP-Backend, sollte man auch das Script Samba mit LDAP - extended bei folgenden Schritten berücksichtigen!


Man meldet sich lokal als Admin am Client an und wechselt in die Systemsteuerung, System. In der Registerkarte Computername klickt man auf den Button Ändern, wählt in Mitglied von den Punkt Domäne und gibt sinnigerweise den Namen der Domäne an, wie sie in der smb.conf steht ([global]-Sektion der Punkt workgroup). Klickt man auf OK wird man nach einem Usernamen sowie einem Passwort gefragt. Gib hier root mit seinem in smbpasswd/LDAP-Verzeichnis angelegten Kennwort ein. Nach wenigen Sekunden sollte folgender Hinweis erscheinen:


Smb config client 01.jpg


Erscheint diese Meldung nicht, kommt also stattdessen eine Fehlermeldung, sollte man sich vergewissern, dass root mit smbpasswd -a root angelegt wurde und ein Maschinen-Account für den Client existiert – falls man in der [global]-Sektion der smb.conf nicht

    add machine script = /usr/sbin/useradd -g [maschinengruppe] -s /bin/false %u

angegeben hat (siehe smb.conf-Beispiel) passiert dies nämlich nicht automatisch! Will man einen Rechner "per Hand" eintragen, lauten die Befehle:

    useradd -s /bin/false [RECHERNAME]$
    smbpasswd -a -m [RECHNERNAME]

Überprüfe bei einem Fehler auch die smb.conf, um sicherzustellen, dass der Server auch wirklich als PDC eingerichtet wurde. Verwende hierzu den Befehl testparm


Für LDAP gilt übrigens folgender Befehl:

    add machine script = /usr/sbin/smbldap-useradd -w %u


Es sollte bei Problemen auch die /etc/ldap.conf überprüft werden. Hier muss der Eintrag nss_base_passwd ou=Computers,dc=firma_xyz,dc=de unter Anderem gesetzt sein! Die Logfiles /var/log/messages sowie /var/log/samba/log.smbd geben sicher den wertvollsten Hinweis darauf, wo das Problem liegt!


Nach erfolgreichem Aufnehmen des Rechners muss dieser neu gestartet werden. Bevor man sich aber anmeldet, sollte man sich mit den Benutzerprofilen auseinandersetzen!

Serverbasierende Profile

Sie machen Sinn, um dem User zu ermöglichen, seinen gewohnten Desktop – egal an welchem PC er sich im Netzwerk anmeldet – zur Verfügung zu stellen. Man bezeichnet soetwas als Roaming Profiles.


In der smb.conf muss in der [global]-Sektion logon path = /pfad/zum/profilordner gesetzt sein und außerdem das Share [profiles] existieren. Dieses sieht z. B. so aus:

[profiles]
       comment=Profile
       path=/srv/samba/profiles
       read only=no
       create mask=0600
       directory mask=0770
       browseable=no

Ist für einen User kein Profil-Verzeichnis in path angelegt, so wird dieses beim ersten Login erzeugt. Voraussetzung ist, dass der User in path (also /srv/samba/profiles) uneingeschränkte Rechte hat (Lese-, Schreib- und Ausführrecht!!!). Werden die Profil-Ordner von root aus einer Vorlage heraus angelegt (siehe weiter unten) reicht es, Lese- und Ausführungsrecht (r-x) für dieses Verzeichnis – sprich /srv/samba/profiles – zu vergeben, wobei der User für sein Profil-Verzeichnis /srv/samba/profiles/[username] aber wieder Vollzugriff benötigt, da beim Abmelden das Profil des Clients mit dem Servergespeicherten synchronisiert wird.


Treten beim Einloggen eines Users Probleme auf, dass er auf sein Profil nicht zugegriffen kann, wird also wahrscheinlich


a) kein Profil für den Benutzer in path existieren und der User für path keinen Vollzugriff besitzen, um ein neues Default-Profil anlegen zu können,

b) dem Benutzer fehlen die Vollzugriffsrechte auf seinen Profil-Ordner und/oder

c) dem User wurde das Leserecht auf die ntuser.dat / ntuser.man entzogen (siehe Punkt "Verbindliche, unveränderbare Profile")


Grafik 1


Profilvorlagen anlegen

Sollen die Benutzer nicht das "klickibunti" XP-Design als Standard verwenden, den Destkop und die Registry nicht ändern können, dann machen verbindliche, unveränderbare Profile Sinn. Problem: beim ersten Anmelden eines Users wird ein Profil-Verzeichnis angelegt – jedoch mit oben genannten Eigenschaften, die wir so nicht akzeptieren *G* Also basteln wir uns eine Vorlage. Das ist gar nicht so schwer: Voraussetzung ist, dass der Samba-Server eingerichtet ist und läuft, root in der smbpasswd/LDAP existiert und man auf das Share [profiles] als root schreibend zugreifen kann. Ist dies gegeben, meldet man sich an einem XP-Rechner mit Administrationsrechten lokal (nicht an der Domäne!) an.


Schritt 1: "vorlage"-User erstellen

Am XP-PC angemeldet, legen wir einen User "vorlage" an, vergeben ein Passwort, melden uns als Admin ab und als der "vorlage"-User am Rechner erneut an.


Schritt 2: Profil des "vorlagen"-Users anpassen

Ist man als "vorlage" angemeldet, passt man das Aussehen von Windows dementsprechend an – und zwar genau so, wie unsere Client-PC's dann aussehen sollen. Zu beachten: es sollten keine benutzerspezifischen Desktop-Symbole oder Startmenü-Einträge erstellt werden; einfach das Profil anpassen. Ist man mit dem Profil des Users "vorlage" zufrieden, meldet man sich ab und erneut als Administrator lokal an.


Tipp: man sollte nochmal in das erstellte Profil-Verzeichnis des Benutzers "vorlage" wechseln und dort nach den versteckten Dateien desktop.ini suchen, anschließend alle löschen. Grund: es existiert z. B. im Autostart-Ordner eine solche Datei. Kopiert man dann das Profil auf einen anderen User, ist diese Datei nicht mehr versteckt und wird bei jedem Anmelden geöffnet – das nervt meines Erachtens ziemlich. Zudem sollte man in der [homes] und [profiles]-Sektion das Attribut hide files = /desktop.ini/ verwenden, um die Dateien als "Versteckt" anzuzeigen.


Klicke auf Start, Ausführen und gib cmd ein. Stelle mit folgendem Befehl – natürlich angepasst an deinen Server – eine Verbindung zu diesem her:

    net use \\server01 /user:root

Nach Eingabe des root-Passwortes muss eine Bestätigung kommen, dass der Befehl erfolgreich ausgeführt wurde. Andernfalls sollte man prüfen, ob root in der smbpasswd/LDAP angelegt wurde!


Nun wechselt man in die Systemsteuerung, klickt auf System, Registerkarte Erweitert und klickt bei den Benutzerprofilen auf Einstellungen. Aus der Liste wählt man den "vorlage"-User aus und klickt dann auf Kopieren nach (Grafik 2). Bei Profil kopieren nach gibt man folgendes an:

    \\server01\profiles\vorlage

Bevor man nun auf OK klickt, muss man noch den Benutzer ändern. Auf den Button Ändern klicken und als Benutzer Jeder wählen. Grund: kopiert man das Profil später auf einen anderen User, so hat dieser Zugriffsprobleme auf sein Profil. Als Jeder werden die Rechte – wenn man so will – "neutral" vergeben.


Jetzt kann man auf OK klicken und das Profil wird auf den Server in das Profil-Share kopiert (Grafik 3). Wird der Zugriff verweigert oder tritt sonst ein Fehler auf: smb.conf und Zugriffsrechte auf den Ordner prüfen!


Grafik 2


Grafik 3


Verbindliche, unveränderbare Profile

Es ist häufig gewünscht, dass ein Benutzer sein Profil nicht ändern kann, um den Server z. B. durch das Abspeichern übergroßer Hintergrundbilder etc. nicht zu überlasten. Hier gibt’s einen einfachen Trick: benenne im Profil-Verzeichnis des Benutzers (am Besten gleich des "vorlage"-Benutzers) die Datei ntuser.dat in ntuser.man um und vergib nur das Leserecht auf die Datei:

    chmod 400 ntuser.man

damit soll verhindert werden, dass der Benutzer die Datei selbst wieder in ntuser.dat umbenennt. Das Leserecht ist jedoch zwingend erforderlich, bitte beachten! Außerdem ist darauf zu achten, im [profile]-Share das Attribut read only = yes zu setzen. Hier ist natürlich wieder zu berücksichtigen, dass dann für jeden User, der sich anmelden will, bereits ein Profil-Ordner vorhanden sein muss. Wichtig ist auch zu wissen, dass die "Eigenen Dateien" ebenfalls zum Profil zählen und in diesem Fall nicht gespeichert würden! Lies dir den Beitrag Poledit durch. Ich habe hier [[1]] eine ADM-Vorlage zum Download, welche u. a. Ordnerumleitung ermöglicht. So kannst du die "Eigenen Dateien" auf ein Netzlaufwerk verschieben.


Zusätzliche Anmkerung: die Profile – auch wenn sie serverbasierend sind – werden lokal am Client angelegt und beim Abmelden synchronisiert. Ich habe zum Testen der Funktionalität des unveränderbaren Profils ein Desktopbild eingefügt, mich abgemeldet und wieder angemeldet – das schien jedoch nicht zu funktionieren, da die Grafik wider erwarten angezeigt wurde. In Wirklichkeit war ein Neustart des Clients notwendig, dann funktionierte alles (frag' mich nicht warum...)!


Profilvorlage für User kopieren

Nachdem wir unser Vorlagen-Profil nun auf dem Server haben, müssen wir für jeden User einen Ordner mit den Dateien und Verzeichnissen aus dem Vorlage-Profil heraus erstellen. Wechsle in den Profil-Ordner (z. B. /srv/samba/profiles). Vergewissere dich, dass dort der Ordner vorlage existiert und gib dann folgende Befehle ein, um ein Profil für den User franz zu erstellen:

    cp -R vorlage/ franz
    chown -R franz franz
    chmod 700 franz

Was passiert hier: als erstes kopieren wir den gesamten Ordnerinhalt von vorlage in den Ordner franz. Als nächsten Schritt machen wir den Benutzer franz zum Eigentümer dieses Ordners und geben ihm (und nur ihm!) mit chmod Vollzugriff auf sein Profil. Andernfalls kommt es zu einem Fehler beim Login bzw. Logout (siehe Grafik 1).


Das soll's gewesen sein!

--Flo84 21:56, 14. Mai 2007 (CEST)

Quellen und weiterführende Links

  • Bitte mit Links ausfüllen.

Zurück zu Samba