Windows 7 Prof. + Samba PDC

chr0n0s

Stammuser
Guten Morgen,

ich werde mal versuchen in einem Tutorial meinen Leidensweg darzustellen - wie die Aufnahme von Windows 7 Prof. Clients in eine Samba-Domäne gut funktioniert.

Da ich viele Dinge eingestellt habe, damit das alles reibungslos funktioniert - kann es durchaus auch sein, dass einige Einstellungen nicht unbedingt zwingend erforderlich sind. Aber das könnt Ihr dann am besten selbst testen.

Inhalt:

  1. Infos
  2. Samba zum PDC machen
  3. Windows 7 Einstellungen
  4. Windows 7 in die Domäne aufnehmen
  5. Fertig
Vielleicht ändere ich im Laufe des Tutorials noch das Inhaltsverzeichnis.

Hinweis: Ich verzichte etwas auf Screenshots, da ich persönlich Bilderchen nicht so mag in Tutorials, aber versuche dennoch einige mit einzubringen. Bitte seht es mir nach - jeder schreibt es halt anders.

Hoffe es wird euch hilfreich sein.

Wichtig: Ihr dürft es gerne vervielfältigen, aber bitte mit dem Verweis auf das Forum und mit Hinweis auf den Autor, danke!

Grüße

chr0n0s
 
Zuletzt bearbeitet:

chr0n0s

Stammuser
1. Infos

Wie sieht die Umgebung aus?
ca. 60 PC-Arbeitsplätze mit Windows 7 Professional 64-Bit
3 "Haupt"-Server der Fujitsu Primergy Serie RX300
- Alle ähnlich ausgestattet (Xeon Prozessor, 32 GB RAM, 8TB Bruttokapazität)

Was für Linux-Server gibt es?
Alle 3 Server werden mit dem Betriebssystem Debian Squeeze 6.0.4 amd64 betrieben.

Es existiert ein PDC und ein BDC sowie ein Datenbankserver.

Welche Samba-Version wird eingesetzt?
Samba in der Version 3.5.6

Welche Dienste sind noch für die Domäne nötig?
Auf dem PDC und auf dem BDC läuft noch Bind9 (DNS-Server)
 
Zuletzt bearbeitet:

chr0n0s

Stammuser
2. Samba zum PDC machen

1. Samba installieren

Mittels
Code:
aptitude install samba
wir zuerst der Samba-Server installiert. Ich habe hier aptitude gewählt, da dieser auch gleich alle noch benötigten Pakete mit installiert und ggf. Abhängigkeiten mit auflöst.

2. Sambakonfiguration anpassen
Ich nutze den MC (Midnight Commander) und verwende deshalb auch immer nur diesen Befehl - selbstverständlich kann jeder seinen Kommandozeileneditor frei wählen - sollte dann nur die Befehle entsprechend anpassen.

Bearbeiten der Konfigurationsdatei smb.conf
Zuerst mache ich noch ein Backup der mitgelieferten smb.conf-Datei:

Code:
cp /etc/samba/smb.conf /etc/samba/smb.conf.bkp

danach wird eine neue smb.conf erstellt:

Code:
mcedit /etc/samba/smb.conf

Dort habe sind folgende Anpassungen zu tätigen:
Hinweis: Alle Einträge müssen entsprechend eurer geplanten/vorhanden Umgebung angepasst werden, deshalb kommentiere ich auch die entsprechenden Einträge

In der [global]-Sektion (Domain Controller Einstellungen):
Code:
[global]
workgroup = testdom                 # Muss angepasst werden

netbios name = servername         # Euren Hostname eintragen

server string = %h Testdomserver # %h setzt den Hostname autom., rest ist individuell - dient hauptsächlich des angezeigten Namens in der Windows-Netzwerkumgebung

[FONT="Courier New"]wins support = yes[/FONT]            # individuell, muss nicht zwingend gesetzt werden, bei uns in der Umgebung durch ältere Maschinen aber noch zwingend erforderlich

[FONT="Courier New"]dns proxy = no[/FONT]       # haben wir nicht

[FONT="Courier New"]domain master = yes[/FONT]   # Damit Samba auch ein Domaincontroller wird

[FONT="Courier New"]preferred master = yes[/FONT]   # Bisschen "Oberguru" spielen

[FONT="Courier New"]local master = yes [/FONT]  # Auch lokaler "Oberguru"

[FONT="Courier New"]domain logons = yes[/FONT]   # Damit auch domänenübergreifend die Authentifizierung/Anmeldung der Benutzer am Samba-PDC funktioniert

[FONT="Courier New"]os level = 65[/FONT]         # Wichtig, damit der Samba-Server (gerade beim Einsatz eines Backup Domain Controllers) der Master-Browser wird und "Oberguru" im Netzwerk bleibt

[FONT="Courier New"]logon path =[/FONT]   # Lasse ich leer, da ich keine servergespeicherten Profile einsetze

[FONT="Courier New"]logon drive = H: [/FONT] # Individuell, bei mir "H:" - welches jeder Benutzer als Netzlaufwerksbuchstabe zugeordnet bekommt - das Homeverzeichnis des Benutzers

[FONT="Courier New"]logon home =  \\%N\%U[/FONT]      # Damit wird das richtige Homeverzeichnis dem Benutzer zugeordnet

[FONT="Courier New"]logon script = logon.bat[/FONT]  # Batch-Datei für die Zuordnung der Netzlaufwerke. Hier ist der Dateiname ebenfalls individuell einstellbar

Weitere Anpassungen in der [global]-Sektion (Zeichensätze)
Code:
[FONT="Courier New"]unix charset = ISO8859-15[/FONT]        # Deutscher Zeichensatz, man sollte den Defaultwert abändern auf [FONT=Courier New]ISO8859-15[/FONT], alte Leier bzgl. Umlaute etc. 

[FONT="Courier New"]display charset = ISO8859-15[/FONT]  # Damit werden Umlaute usw. in der Windows-Netzwerkumgebung auch korrekt dargestellt

[FONT="Courier New"]dos charset = 850[/FONT]    # Gleiche Gesichte wie vorher

[global]-Sektion (Netzwerkeinstellungen) - Meine Server haben alle mind. 2 Netzwerkkarten, jedoch soll der Sambaserver nur über ein Interface ansprechbar sein:
Code:
[FONT="Courier New"]bind interfaces only = yes[/FONT]    # Damit "binde" ich meine Netzwerkkarte

[FONT="Courier New"]interfaces = 192.168.1.1/24[/FONT]  # IP-Adresse an welche Samba "gebunden" wird, sollte natürlich entsprechend angepasst werden

Einstellungen für die NTLMv2 - Authentifizierung in der [global]-Sektion.
Meiner Erkenntnis nach ist es nicht zwingend erforderlich, da ich aber entsprechende Einstellungen in den Gruppenrichtlinien von Windows setze, stelle ich die hier ein:
Code:
ntlm auth = yes   # NTLM-Authentifizierung

lanman auth = yes   # LanManager-Authentifizierung

client ntlmv2 auth = yes # NTLM Version 2 - Authentifizierung

Einstellungen in der [global]-Sektion fürs Debugging (Log) und Accounting:
Code:
log file = /var/log/samba/log.%m   # Anlegen des Log-Files, individuell einstellbar

max log size = 1000  # Größe des Log-Files bevor ein neues angelegt wird, individuell einstellbar

log level = 3  # Wie "tief" soll das Logging erfolgen, individuell einstellbar

syslog = 0    # Kann angepasst werden

panic action = /usr/share/samba/panic-action %d   # Panik!!

Samba-Authentifizierungseinstellungen in der [global]-Sektion:
Code:
security = user   # Je nach Art, kann dieses auch individuell eingestellt werden, z. Bsp. wenn man einen LDAP-Server einsetzt, sollte es angepasst werden

encrypt passwords = true   # Passwörter sollten verschlüsselt werden

passdb backend = tdbsam  # Passwortdatenbank des Samba-Servers, ist wiederrum auch individuell, z. Bsp. beim Einsatz eines LDAP-Servers ist das Backend anders

obey pam restrictions = yes  # Verteilte PAM-basierte Authentifizierung

unix password sync = yes   # Passwordsynchronisation Samba -> Unix/Linux

passwd program = /usr/bin/passwd %u  # Das Linux-Programm für das sezten von Unix/Linux-Userpasswörtern

passwd chat = "Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .    # Sagt eigentlich schon alles, bissle Kommunikation im Terminal zum setzen des Passworts

pam password change = yes   # Ändert ebenfalls bei PAM das Passwort

Domainuser/-gruppen/-maschine-Einstellungen in der [global]-Sektion.
Hier werde ich nichts weiter kommentieren, da es eindeutig ist, welches was macht. Diese Einstellungen sind auch wichtig, wenn man Webmin/SWAT einsetzt. Man kann diese Scripte mit individuellen Parametern ergänzen.

Hinweis: Ich setze hier die Unix-Programme ein, welche durchaus auch mit den Samba-Programmen/Scripten (gerade beim Einsatz eines LDAP-Servers sinnvoll) ersetzt werden können:
Code:
add user script = /usr/sbin/useradd %u

delete user script = /usr/sbin/userdel -r %u

add user to group script = /usr/sbin/groupmod -A %u %g

delete user from group script = /usr/sbin/groupmod -R %u %g

add machine script = /usr/sbin/useradd -g [I]Computergruppe[/I] -d /dev/null -s /bin/false -m %u

add group script = /usr/sbin/groupadd %g

delete group script = /usr/sbin/groupdel %g

Printing-/MISC-Einstellungen in der [global]-Sektion:
Code:
load printers = yes   # Wir wollen ja auch über Samba drucken.

printing = cups     # Hier wird das gute CUPS als Printserver eingesetzt

printcap name = cups   # Eine Bezeichnung bekommt es auch

socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192  # Dieses ist ein bisschen Samba-Tuning. Ist individuell einstellbar, dazu einfach die Manpage von Samba befragen. Ich habe die RECEIVE und SEND-Werte erhöht, da dieses in einer Gigabit-Umgebung mit entsprechenden Netzwerkgeräten durchaus Möglich ist die Pakete etwas Größer zu senden/empfangen.

idmap uid = 10000-20000   # Standardwerte, für das Setzen der User-IDs, kann individuell angepasst werden

idmap gid = 10000-20000   # Standardwerte, für das Setzen der Gruppen-IDs, kann individuell angepasst werden

# Winbind-Einstellungen, ich setze Winbind für die Linux- und Windows-NT Kontenverwaltung ein, muss nicht zwingend gesetzt werden.
winbind enum groups = yes

winbind enum users = yes

winbind cache time = 10

winbind separator = +  # Samba meldet das es bei diesem Separator zu Problemen kommen kann, ist aber eher in Verbindung mit ziemlich alten Windows-Betriebssystemen der Fall. Hatte bisher damit keine Probleme

winbind use default domain = yes

Damit ist die [global]-Sektion abgeschlossen und sollten nun ein paar Share Definitions durchführen.

Das Benutzerverzeichnis:
Code:
[homes]
comment = Benutzerverzeichnisse    # Individuelles Freigabekommentar

browseable = no    # Wird in der Netzwerkumgebung mit dem Flag "no" nicht angezeigt (also nicht durchsuchbar). Hier kann auch der Parameter browsable - ohne "e" - gesetzt werden

read only = no   # Die Benutzer sollen auch Schreiben können in ihrem Verzeichnis

force create mode = 0700   # Erzwingt die Rechte beim Anlegen von Dateien

security mask = 0700    # Parameter für die Änderung der Dateirechte

force directory mode = 0700 # Dasselbe wie "force create mode" nur im Bezug auf Verzeichnisse

directory security mask = 0700   # Parameter für die Änderung der Verzeichnisrechte

valid users = %S   # Dieser Parameter setzt die Zugriffsberechtigung auf das jeweilige Homeverzeichnis, %S ist nichts anderes als der Benutzer selbst

inherit owner = yes   # Muss nicht gesetzt werden, bezieht sich auf die Besitzerrechte im Windowsumfeld. Ist dieses auf 'yes' gesetzt, so wird der Benutzer automatisch zum Besitzer.

Der [netlogon]-Bereich für das logon.bat-Script:
Code:
[netlogon]
comment = Network Logon Service   # Nur Kommentar

path = /home/samba/netlogon  # Individuell wählbarer Unix-Pfad

guest ok = no   # Gäste haben hier nichts zu suchen

read only = yes   # Nur Leserechte im Verzeichnis, reicht auch für das ausführen des Logon-Scripts

write list = root  # Der Domänenadministrator darf allerdings schreiben

browseable = no  # Muss auch nicht durchsucht bzw. in der Netzwerkumgebung angezeigt werden

Kleiner Hinweis: Der write list-Parameter ist hier ziemlich wichtig, da eine Batchdatei nicht in der Kommandozeile von Linux geändert werden sollte, da hier die Formatierung einiges völlig zerlegt. Daher sollte die Batchdatei zwingend nur unter Windows angepasst/erstellt werden.

Eine Freigabe erstellen:
Code:
[Verwaltung]
comment = Verwaltungsdaten    # Individuelles Kommentar

path = /home/samba/Verwaltung  # Pfad zum Freigabeverzeichnis

browseable = yes   # Kann durchsucht werden bzw. wird in der Netzwerkumgebung angezeigt

read only = no  # Die User der Verwaltung sollen schreiben dürfen

valid users = @verwaltung  # Um es zu vereinfachen, wird hier nur eine Gruppe (verwaltung) definiert. Das @ davor bedeutet, dass eine Gruppe Zugriff hat, das @ ist dann zwingende Voraussetzung, sonst definiert Samba es als User und nicht als Gruppe

admin users = root     # Der Chef im Ring, also für die Freigabe

force group = verwaltung # In diesem Fall ist das @ keine Voraussetzung, da hier der Parameter "group" eindeutig ist, also werden alle angegebenen Werte als Gruppe behandelt.

acl check permissinos = yes  # Definiert den Zugriff auf die Sicherheitseinstellung unter Windows.

acl map full control = yes # Hat ebenfalls mit den Sicherheitseinstellung auf Windows-Maschinen zu tun.

# Die weiteren Angaben sind schon in der Benutzerverzeichnis-Sektion beschrieben:

security mask = 0770   

force create mode = 0770

directory security mask = 0770

inherit owner = yes

# Neu:
inherit permissions = yes   # Damit wird vom oberen Verzeichnis "vererbt"

Die Parameter inherit owner & inherit permissions überschreiben jeweils die force und security Werte, daher kann es auch ein wenig doppelt gemoppelt sein. Aber sei es drum :p

So, damit ist die Konfiguration von Samba erst einmal abgeschlossen!

Als nächstes sollten das Netlogon- und Verwaltung-Verzeichnis angelegt werden, ich gehe davon aus, dass jeder weiß wie das funktioniert und werde diese Wege nicht weiter beschreiben.

Zum Abschluß überprüfen wird die Samba-Konfiguration mit folgendem Befehl:
Code:
testparm

Spuckt hier Samba Fehler aus, sollte dieses überprüft und ggf. angepasst werden. Häufig sind es Schreibfehler oder falsche Parameter bzw. deren Werte.

Dann starten wird Samba mal neu durch:
Code:
/etc/init.d/samba restart

bzw. start, falls Samba noch nicht gestartet ist.

Und nun geht es zur Windows-Einstellung!
 
Zuletzt bearbeitet:

chr0n0s

Stammuser
3. Windows 7 Einstellungen

Windows 7 - die Sicherheits und Microsoft. Leider, leider mag Microsoft Samba nicht so gerne, daher sind hier einige Einstellung auf Windows-Ebene notwendig.

Dazu gehören: Registry, Gruppenrichtlinie, Netzwerkeinstellungen sowohl über das Netzwerk- und Freigabecenter sowie über die CMD (Eingabeaufforderung). Auch sollte noch eine Windows-Komponente deinstalliert werden.

1. Die Registry-Datei
In der Registry müssen einige Werte gesetzt bzw. geändert werden, damit Windows auch merkt, dass selbst Samba eine Domäne für Windows zur Verfügung stellen kann. Dazu kommt noch ein bisschen Tuning.

Also, erstellen wir uns lieber gleich eine Registry-Datei, damit diese auch für andere Clients zur Verfügung steht und man nicht alles selbst tippen muss. Ich habe die Datei SambaWin7.reg genannt, dieses ist natürlich individuell.

Die Dateiendung .reg ist zwingend erforderlich, damit Windows diese auch als solche erkennt.

Wir starten den Texteditor von Windows und tragen folgende Registry-Werte ein:
Code:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters]
"DomainCompatibilityMode"=dword:00000001
"DNSNameResolutionRequired"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"SlowLinkDetectEnabled"=dword:00000000
"DeleteRoamingCache"=dword:00000000
"WaitForNetwork"=dword:00000000
"CompatibleRUPSecurity"=dword:00000001

Sieht schlimmer aus als es ist. Diese Werte sollten in die Registry eingetragen werden, damit der Zutritt zur Samba-Domäne auch funktioniert.

Der erste Abschnitt beschreibt die Kompabilität zu anderen Domänen. I.d.R. sollten diese Eintragungen in der Registry für den Domänenbeitritt reichen, aber das führte bei mir zu Problemen, auch dauerte die Benutzeranmeldung an der Domäne eine halbe Ewigkeit. Das wollte ich nicht, also habe ich den zweiten Abschnitt eingefügt. Dieser "tunt" Windows ein wenig, gerade das Roaming Cache ist bei nicht servergespeicherten Profilen wichtig, da Windows sonst ständig versucht servergespeicherte Profile zu laden.

Sollte man servergespeicherte Profile einsetzen, so ist der Wert aus der Registry-Datei zu entfernen. Auch auf das Netzwerk müssen wir hier nicht warten, da eben keine Profile auf dem Server liegen.

Weitere Informationen zu den Einträgen sind entsprechend im Netz zu finden.

2. Die Gruppenrichtlinie
Gestartet werden kann der Gruppenrichtlinien-Edit über gpedit.msc oder über die Systemsteuerung.

Im Editor angekommen ändern wir folgende Einträge:

Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen
Code:
"Interaktive Anmeldung: Kein STRG+ALT+ENTF erforderlich" -> [B]aktivieren[/B]
Damit ist man das lässtige Drücken von STRG+ALT+ENTF los. Kann man, muss man nicht setzen
Code:
"Minimale Sitzungssicherheit für NTLM-SSP-basierte Server (einschl. sicherer RPC-Server)" -> [B]Häkchen bei 128-Bit Verschlüsselung entfernen[/B]
Windows verschlüsselt ja mittlerweile alles. Hier sollte darauf geachtet werden dass es der "sichere RPC-Server" ist und nicht der Eintrag darüber mit dem RPC-Client.
Code:
"Netzwerksicherheit: LAN-Manager-Authentifizierungsebene" -> [B]auf LM- und NTLM-Antworten senden (NTLMv2 verwenden)[/B] setzen
Das zum Thema Authentifizierung ntlmv2 in der smb.conf (wie oben beschrieben)

Computerkonfiguration -> Administrative Vorlagen -> System -> Benutzerprofile
Code:
"Nur lokale Benutzerprofile zulassen" -> [B]aktivieren[/B]
Code:
"Pfad des servergespeicherten Profils für alle Benutzer festlegen" -> deaktivieren
Da wir keine servergespeicherten Profile anlegen und Windows zwingen wollen, nur lokale Profile zu vewenden, werden diese Werte entsprechend angepasst.

Solltet Ihr servergespeicherte Profile verwenden wollen, dann solltet Ihr diese Werte nicht ändern.

3. Die Netzwerkeinstellungen
Vielleicht bin ich da altmodisch (sowas machte man noch zu guten alten Windows NT, Windows 2000 Server bzw. Suse 8er Zeiten ;-) )

Wir ändern die Adaptereinstellungen im Netzwerk- und Freigabecenter unseres LAN-Adapters.
Code:
TCP/IPv6 -> Häkchen entfernen
Ist jedem selbst überlassen, da wir kein IPv6 in der Umgebung einsetzen, kann es entfernt werden. Unnötiger Netzwerkverkehr muss auch nicht sein.

TCP/IPv4 anklicken -> Eigenschaften -> Erweitert -> WINS
Da wir Samba ebenfalls zu einem WINS-Server gemacht haben, tragen wir die WINS-Adresse entsprechend dort ein (dazu müssen wir die bind-Adresse nehmen, welche in der smb.conf eingetragen wurde: 192.168.1.1)

Als nächstes importieren wir die LMHOSTS-Datei, dazu wählen wir den entprechenden Button aus. Im folgenden Dialog wechseln wir ins folgende Verzeichnis:
Code:
C:\Windows\System32\drivers\etc\
dort wird die Datei lmhosts.sam mit der rechten Maustaste geöffnet und zum bearbeiten der Editor gewählt.

Eintrag in die lmhosts.sam:
Code:
192.168.1.1 Servername #PRE #DOM:TESTDOM
Datei speichern und schließen. (Hier euren Domänennamen eintragen)

Warum das ganze? Wer vielleicht noch die früheren Zeiten kennt, wurde gerne dort der PDC mit der primären Domäne definiert, somit umgeht man ein wenig den DNS-Server, steht dieser mal nicht zur Verfügung, klappt die Domänenanmeldung bzw. die Benutzeranmeldung trotzdem und es wird mir keine Fehlermeldung gebracht. Beachten: Nach dem #DOM: kein Leerzeichen verwenden!

Nettes Feature, muss man selbst wissen! :D

Danach wird die Datei entsprechend geöffnet und Windows liest die Datei ein.

Außerdem wird in den erweiterten TCP/IP-Einstellungen noch
Code:
NetBIOS über TCP/IP
aktiviert.

Mit übernehmen und Ok beenden wir das ganze.

4. CMD / Eingabeaufforderung
Über Start -> cmd eingeben und die Konsole aufrufen. Dort geben wir folgende Befehle ein:
Code:
netsh interface tcp set global autotuning=disabled
Der Hintergrund des deaktivierens vom "Auto Tuning" ist folgender: In der smb.conf haben wir die socket options für Receive und Send auf 8192 erhöht. Wenn das "Auto Tuning" deaktiviert ist, handelt der Client (Windows) und der Server (Samba) die Protokollgröße der Fenster selbst aus, insofern gibt der Server dies vor und der Client arbeitet damit bzw. nimmt es an.

Der 2. Befehl:
Code:
ocsetup MSRDC-Infrastructure /uninstall

Zuerst, kann man dieses auch über Systemsteuerung -> Programme und Funktionen -> Windows Komponenten -> Remoteunterschiedskomprimierung deinstallieren

Dieses schaltet eine Art Netzwerkkompression ab, welches hinderlich sein kann bei der Kommunikation mit dem Samba-Server, gerade in Bezug auf Kopieren, Löschen auf dem Server vom Windows-Client aus.

Vielleicht auch ein bisschen viel Schnickschnack, aber es funktioniert alles reibungslos!

Wichtig: Windows einmal neu starten, damit alle Änderungen auch wirksam werden.
 
Zuletzt bearbeitet:

chr0n0s

Stammuser
4. Windows 7 in die Domäne aufnehmen

Wenn alles erledigt ist und gut (vorallem ohne Probleme) funktioniert hat, sollten wir uns an den Beitritt in die Domäne machen:

1. Unix und Samba den PC bekannt machen
Damit der PC auch der Domäne bekannt ist, sollten wir auf dem Linux-Server noch 2 Dinge erledigen:
Code:
useradd -g Computergruppe -d /dev/null -s /bin/false -m PC-Name$

Die Computergruppe und den PC-Name entsprechend der Gruppenbezeichnung bzw. des Computernamens vom Windows-PC anpassen.

Code:
smbpasswd -a -m PC-Name$

Mit dem letzten Befehl fügen wir Samba den Computer zu. Somit ist der PC nun auch Samba bekannt und kann in die Domäne aufgenommen werden.

2. Windows 7 in die Domäne aufnehmen
Über Start -> Computer (rechte Maustaste) -> Eigenschaften:
Code:
Im Bereich: Einstellungen für Computernamen, Domäne und Arbeitsgruppe
auf Einstellungen ändern klicken.

Im nächsten Dialog auf den Button "Ändern" klicken, den Bereich Domäne auswählen und unseren Domänennamen eintragen. Bei mir TESTDOM, bei euch bitte den eingestellten Domänennamen eintragen.

Dann fragt Windows nach dem Benutzer und dem Passwort, bei mir ist es Root und das PW dazu.

Nach ein bisschen Sanduhr-Feeling hat der Beitritt mit "Willkommen in der Domäne TESTDOM" funktioniert und wir starten den PC neu.

Danach sollte die Benutzeranmeldung mit einem Domänenbenutzer funktionieren.
 
Zuletzt bearbeitet:

chr0n0s

Stammuser
5. Fertig

Das war es also!

Ich werde das alles noch mal durchlesen und ggf. anpassen.

Viel Spaß und viel Glück.

Hoffe es ist euch eine Hilfe bei Windows 7 und Samba-Domänen.

Angeblich soll mit Samba 4 alles ganz anders und besser werden, schauen wir mal.
 

GrafZahl

Member of Honour
kurzer sicherheitshinweis:

LM/NTLMv1 ist ein potentielles sicherheitsproblem ... aktuelle samba builds sollten NTLMv2 beherschen
 

chr0n0s

Stammuser
kurzer sicherheitshinweis:

LM/NTLMv1 ist ein potentielles sicherheitsproblem ... aktuelle samba builds sollten NTLMv2 beherschen

Deshalb ja in der Gruppenrichtlinie:

Code:
"Netzwerksicherheit: LAN-Manager-Authentifizierungsebene" -> auf LM- und NTLM-Antworten senden (NTLMv2 verwenden) setzen

In der smb.conf wird auch ntlmv1 verwendet, wegen den "alten" PCs. Aber, wenn PCs ab Windows XP eingesetzt werden, dann sollte nur ntlmv2 genügen.
 

GrafZahl

Member of Honour
das ist ja das problem ...

wenn du lm/ntlm(v1) sendest hat der angreifer nen hash, den er problemllos gegen frei verfügbare rainbowtables laufen lassen kann ... sprich die ersten 14 stellen deiner kennworte sind bekannt ...

wenn ntlmv1 zugelassen ist aber v2 verwendet werden soll, kann man downgrade angriffe durchführen ...
 
Oben