[Eisfair] Samba 20.3.0 Join Domain nicht möglich ohne sambaexpert

Kay Martinen usenet at martinen.de
Mi Nov 12 15:10:55 CET 2025 

Am 12.11.25 um 14:37 schrieb Marcus Röckrath:
> Hallo Mario,
> 
> Mario Reisinger wrote:
> 
>>> Wobei die angegebene Domain ja ein "beliebiger" Server sein kann, nicht
>>> zwingend der eis selbst; laut manpage:
>>
>> Laut Eisfair-Samba Doku darf er es nicht selbst sein, sondern muss ein
>> anderer.
>>
>> Zitat: "...Noch ein paar Hinweise und Warnungen: Tragt niemals den
>>             NETBIOS-Namen von eisfair selbst hier ein, da dann versucht
>>             wird, gegen einen Domain Controller auf eisfair zu
>>             authentifizieren, der hier gar nicht läuft!..."
> 
> Ok, danke für den Hinweis.
> 
> Ist es deiner Meinung nach zwingend, dass realm einen gültigen Wert haben
> muss, wenn SAMBA_PASSWORD_SERVER gesetzt ist, oder dürfte das leer sein?
> 
> Geht darum, ob hier in der eisfairKonfigurationsschicht Checks zu
> implmentieren wären.
> 
>>> realm (G)
>>>
>>>       This option specifies the kerberos realm to use. The realm is used
>>>       as
>>> the ADS equivalent of the NT4 domain. It is usually set to the DNS name
>>> of the kerberos server.
>>>
>>>       Default: realm =
>>>
>>>       Example: realm = mysambabox.mycompany.com
>>>
>>> Dann bräuchte man also im Samba-Paket eine neue Optipon SAMBA_REALM, die
>>> dann in die smb.conf als "real = ..." geschrieben wird, wenn
>>> SAMBA_PASSWORD_SERVER nicht leer ist.
>>>
>>
>> Ja, das würde "SambaExpert" ersparen und wäre aus meiner Sicht der
>> richtige Weg.
> 
> Gebe ich dir grundsätzlich Recht, möchte aber vorab alles Eventualitäten und
> Abhängigkeiten geklärt haben, damit ich da an der neuen Option nicht in
> Nachhinein rumreparieren muss.

Eventuell sollte man dann außerdem noch klären ob PASSWORD SERVER = 
<ads-host> ausreichend ist. Ist einige Jahre her das ich darüber im 
Zusammenhang mit Windows-Clients las, es könnte sich also geändert haben 
oder von der Server Role des Samba abhängig sein.

Zumindest früher soll es neben der obigen Option noch weiteres gebraucht 
haben um Benutzerkennungen verwalten oder mit anderen (linux) Konten 
verbinden zu können. Erkennbar war das von einem Windows-client IMO 
daran das beim anzeigen der Benutzer-berechtigungen auf einem Share des 
EIS dann nur kryptische Zeichenkolonnen (Windows SID?) zu sehen waren.

Evtl. hing das auch bei einem Windows 9x an einer dortigen Option 
"Benutzerlisten beziehen von <IP>" in den Login-einstellungen zum 
Netzwerk und ich verwechsele das.

Und der Password-server wird IMO nur genutzt wenn ein (Windows/SMB) 
Client auf ein SMB-share des EIS zugreift um dessen name und password 
vom Domaincontroller bestätigen zu lassen. Aber; wie ich meine; nur den, 
und nur zu dem Zweck.

Vielleicht ist das veraltet oder eine Role die es nicht mehr gibt 
aber... nur der Vollständigkeit halber.

Bye/
   /Kay

-- 
Posted via Leafnode

Mehr Informationen über die Mailingliste Eisfair