Linbo mit echter Windows Active Directory Domäne

Hallo Zusammen

hat jemand von euch bereits „erfolgreich“ ein Linbo System mit einer echten MIcrosoft Active Directory Domäne am laufen?

LG
Marcel

Hallo Marcel

Nein, das geht auch gar nicht. Es funktioniert nur mit dem Samba AD, das auf dem Schulserver läuft.

VG, Dorian

Hallo Marcel,

entspricht quasi Null dem Design der Lösung. Aber den „echten“ Microsoft AD Server kann man bestimmt als zweiten DC innerhalb der Lösung für AD Replikation betreiben,

Viele Grüße
Thomas

Hallo Marcel,

mal rein interessehalber: Warum sollte man so ein Setup wählen? Welchen Mehrwert bietet mir das „echte“ MS Active Directory. Zugegeben…die Samba Version auf dem Ubuntu 18.04 ist schon etwas „angestaubt“… da sollte man in nicht allzu ferner Zukunft einen Versionswechsel anstreben.

Aber grundsätzlich habe ich auch hier noch keine AD Funktion vermisst, die ein „echter“ AD mir böte, und für die ich im Rahmen einer Schullösung auch nicht wirklich eine Einsatzmöglichkeit sehe.

Viele Grüße
Thomas

1 Like

Hallo Thomas,

weil die nur die clonfunktion der lmn nutzen wollen.
Sie haben das früher mit rembo gemacht, das ist aber technisch outdatet: also willen sie linbo.
Gute Idee soweit, nur ist die AD Integration von linbo weit fortgeschritten.
Ich denke, deine replikation könnte ein weg sein: auch wenn er schwierig ist, weil man das Image nach dem join erst erstellen sollte, wenn der replikant (die lmn) gesynt wurde (also „aktuell“ ist).

Andernfalls müßte das per scripte nach dem syncen gemacht werden: Domainpasswort aus fremden AD auslesen und reinpatchen: da wird es aber heftig.
Wie genau hat rembo das gemacht?
Könnt ihr das rembo Image (bei dem es geht) weiterverwenden?

LG

Holger

Hallo Tjordan

das ist eine sehr gute Frage. Ich versuche mich kurz zu halten.

History gesehen, haben wir die Musterlösung Rembo/myshn bei diesem Firmenkunden zur Imageerstellung verwendet. Anfänglich noch mit der eigenen Samba Domäne, später aber mit einem eingenen Microsoft AD, weil der Kunde einen echten Windows Server benötigt hat. SQL etc. AB diesem Zeitpunkt kam auch Windows 7 inst spiel und da Rembo beim Start eines Rechner, den Domänen Join per RPC (oder so ähnlich) durchgeführt hat, klappte es auch mit dem echten Windows Server. Wir hatten damals einfach nur „Glück“ gehabt. Die Code Schnippsel kann ich euch gerne Zukommen lassen, da das Rembo/MySHN System immer noch läuft.

Den Wechsel zu Linbo wurde aufgrund der UEFI Bios Variante nötig. Rembo kann kein UEFI. Die Dell Rechner die der Kunde neu erhalten hat, können nur noch UEFI und kein Legacy BOIS mehr.

Das war der Startschuss für Linbo. Und ich „blauäugig wie ich bin“ habe mit über den DomainJoin keine gedanke gemacht.

Warum muss der Windows AD Server noch laufen. Das AD des Kunden ist dermassen gewachsen, das wir es behalten wollen. Ein gleichzeitiger Wechsel auf Windows 10 muss der Kunde haben und würde mit dem bestehen AD keinen grossen Aufwand für uns bedeuten. Welches AD besser oder Schlechter ist, steht ausser Frage. Es ist lediglich der Umfang des bestehenden AD’s der uns bei weiter Verwendung keinen Aufwand beschert.

Weiss du wie Linbo den Domain Join ausführt?

LG
Marcel

Ich könnte die Stelle im Script suchen, wo Rembo die Domäne joint. Bringt dir das was?

Das Rembo Image läuft noch als W7 und legacy Bios, ob es auf den neuen Clients läuft, bzw. wie ich das abbilde damit wir hier einen Aussage treffen können habe ich mir noch nicht überlegt.

Hast du da einen Ansatz, oder weshalb fragst du?

LG
Marcel

Ja, das habe ich hier erklärt:

Das für euer Szenario umzubauen würde viel Eigenarbeit bedeuten. Linbo ist einfach nicht dafür ausgelegt, mit einem Fremden AD zu arbeiten, da es das Server- und nich Clientseitig macht. Ihr müsstet die ganze Domainjoinerei selbst implementieren.

VG, Dorian

Hallo Dorian

also das hab ich dann so verstanden. Würde ich meinen Client in die linuxmuster Domäne joinen, würde der Server, weil er einen Client erkennt, die macct Datei erzeugen, richtig?

LG
Marcel

Hallo Zusammen.

zunächst einmal die Info, wenn ich in die linuxmuster domäne joine, wird auch die macct datei erstellt. Also das System tut was es soll.

Jetzt mein Denkansatz.

Was wäre, wenn der Samba Server ein Mitgliedsserver des echten Windows AD’s wäre, dann könnte es doch auch mit sophomorix klappen.

Was meint Ihr?

LG
Marcel

Hallo Marcel,

…ich weiß es nicht …
Und da das so wohl auch niemand hier ein setzt, wirst du leider wenig Hilfe bekommen können.
Da müßtest du dich selber durch schlagen.

Problem sehe ich bei: du willst ja die Cleints an der Hauptdomäne joinen.
Wenn dein Server als Slave am Windows AD hängt: kann man dann „am Slave“ joinen?
… keine Ahnung …

LG

Holger

Hallo Holger

Seitens Windows geht das, wenn 2x DC im EInsatz, dann spiegeln die sich gegenseitig. Ich habs jetz sogar geschaft, das der Samba Server als 2ter DC in der WIndows Domöne ist. Aber das spiegeln klappt nicht.

Gibt es hier im Forum ein Samba Spezialisten? Oder kannst du mir ein deutschsprachiges Samba Forum empfehlen.

Vielen Dank im Voraus.
LG
Marcel

Hallo Marcel,

ist der Samba Server wirklich als DC in der Windows Domain oder nur als Computer?

Viele Grüße
Christian

Hallo Christian

mittlerweile als echter DC, ich kann sogar die User abrufen, anlegen und Passwörter ändern. Alles mit dem befehl „samba-tool“ etc.

lediglich der Befehl: sophomorix-check, bring einen AD_bind_admin Fehler error 52e, was bedeutet das der User da ist, aber das Passwort nicht stimmt.
Ich vermute dass das Passwort in /etc/linuxmuster/.secret als Klartext drin steht und das sophomorix das falsch interpretiert.

Kannst du mit hierbei helfen?

LG
Marcel
DC1
DC3

mayr3 ist der besagte samba server

Hier der Fehler

Ich muss dazu sagen das ich es jetzt mal ohne Passwort versucht habe, mit Passwort kommt es zur ähnlichen Meldung.

Hier jetzt mit Passwort

Hallo Marcel,
ich hab das mal versucht das nachzubauen. Das Windows AD hast du auf Funktionsebene 2008R2 heruntergestuft oder war das bereits auf der Stufe? Sonst funktioniert das hinzufügen des Samba DC gar nicht.

Kannst du dich als global-admin in der Webkonsole anmelden?
Bei mir geht das nicht mehr, sobald die beiden DC zusammen im Windows AD sind.
Gibt samba-tool user list bei dir noch den global-admin aus oder nur noch die User aus dem Windows AD?

Viele Grüße
Christian

Hallo Marcel,

grundsätzlich ist die Samba Doku recht gut. Zu deinem speziellen Problem siehe Joining a Samba DC to an Existing Active Directory - SambaWiki

Potentiell problematisch ist, dass das Setup von linuxmuster.net nicht auf dieses Szenario ausgelegt ist. Die Lösung will eine eigene Domain zu kreieren und nicht als DC einer bereits bestehenden Domain beitreten.

Weiterhin schwierig ist, dass SAMBA derzeit ohne drittanbieter Tools nicht in der Lage ist das Sysvol eines Windows-Servers zu replizieren. Das wird aber auch in dem o.a. Artikel beschrieben.

Gruß
Thomas

P.S. Mit viel Gewurschtel bekommt man das vielleicht hin, auf die Gefahr das einem das Konstrukt beim nächsten Update um die Ohren fliegt.

Nein, das geht bei mir auch nicht mehr, habe sogar einen global-admin in AD angelegt.
iergendwie kann sophomorix doch nicht sauber ans AD gelangen.

Hast du da noch eine Idee?

Davon gehe ich aus. Deshalb hab ich bis jetzt alles peinlichst genau dokumentiert.
Was Samba betrifft, scheint alles recht gut zusammen zu spielen. Nur der Sophomorix Teil, den ich ja für die Maschinen Accounts benötige, der scheint noch nicht so recht.

Ja, aber nur weil ich diesen auch im Windows AD angelegt habe

Hi,

Verstehe ich das richtig: Du hast ein bestehendes AD mit einer eigenen Struktur und hast dieses in das Linuxmuster Samba gespiegelt?

In dem Fall kann das alles überhaupt nicht funktionieren, weil Sophomorix eine bestimmte Struktur im AD braucht. Auch die Objekte, die Sophomorix anlegt, haben ein eigenes Schema (also eigene Attribute). Auch diese werden von Sophomorix, der Webui und allen anderen Teilen von LMN gebraucht.

VG, Doriam