Freenas als member server

german

#1

Guten Abend,

Ich versuche seit zwei Wochen mit Handbuch, Foren und ein bis zwei Linuxbüchern ein Freenas System in UCS einzubinden, bisher ist es mir leider noch nicht wirklich gelungen. Ich poste mal die Einrichtungsoberfläche von freenas, evtl. ist das anschaulicher für eine Hilfe, was evlt. eingetragen werden sollte.

Ich möchte die Gruppen- und Benutzerverwaltung von UCS verwenden und in Freenas Samba-Freigaben erstellen, die über UCS-Benutzer verwaltet werden können.
Ziel ist, dass Domänen-UserClients (windows, os x, linux) die Freenas-Freigaben automatisch benutzen können.

Ein paar Fragen (mehr und weniger speziell):

  • ist es sinnvoller dies über LDAP zu verwirklichen?
  • die Einrichtung (freenas scripte) brechen mit der Einrichtung von winbind ab, danach werden scripte zum Abbruch des joins aufgerufen. Woran könnte das liegen?
  • ich habe freenas als Rechner in UCS erstellt. Muss ich weitere principals erstellen? (host/freenas… wird ja automatisch erstellt)
  • sollte ich das Rechner-Passwort manuell erstellen und in freenas als /etc/machine.secret speichern?
  • ohne vorherige Einrichtung eines Rechners in UCS verbindet Freenas als Windows Server/Host (bzw. legt diesen Rechner in UCS an), allerdings bricht das join auch in dieser Systemrolle ab.

Gerne auch Tipps zur Fehlersuche etc.

Vielen Dank und viele Grüße,
Bernd



#2

Moin,

ich habe zwar selber FreeNAS noch nie in ein UCS gejoint, aber ein paar der Punkte kann ich direkt beantworten.

Ich bin mir bei vielen der Optionen auch überhaupt nicht sicher, aber meine Hoffnung ist, dass die Defaultwerte für einen Join in eine Windows-Domäne richtig sind. Generell: Logdateien auf dem FreeNAS durchforsten. Auf dem Server sieht man bei einem fehlschlagenden Join normalerweise wenig.

Ich hätte gesagt, dass beides klappen sollte; wenn das FreeNAS kein Mitglied der Windows-Domäne ist, dann würden Windows-Clients beim Zugriff auf das NAS halt Benutzername & Passwort schicken anstelle einer Kerberos-Authentifizierung. Ob es wirklich sinnvoller ist? Naja, wenn’s anders nicht hinzukriegen ist, warum dann nicht versuchen? :slight_smile:

Logdateien auf dem FreeNAS durchsuchen. Auf dem Server kannst du auch in /var/log/samba nachschauen, aber beim Joinen ist meist der Client derjenige mit den interessanteren Logmeldungen.

Beim Joinen eines Clients in eine Windows-Domäne wird alles automatisch angelegt. Daher können manuell angelegte Objekte ein Problem darstellen (können, müssen aber nicht, je nach Objekten und was angelegt wurde). Bitte löschen Sie alle FreeNAS-betreffenden Objekte und versuchen Sie es erneut.

Nein, das /etc/machine.secret ist ein UCS-eigener Mechanismus, der nur von UCS benutzt wird.

Ah ok. Schade. Siehe oben mit dem Logdateien.


#3

Vielen Dank für Ihre Antwort und die Zeit, die Sie sich genommen haben!
Es hilft mir schon viel an nicht mehr so vielen falschen Stellen zu suchen :slight_smile:

Es gibt wohl eine Stelle in den Freenas Scripten an denen Kerberos scheitert und er nicht das richtige Ticket für winbind anfordert/ bekommt. Das initiale kinit geht gut, aber nachher klappt das joinen doch nicht. (es scheint als komme Freenas irgendwie nicht richtig vom lokalen Samba los und konfiguriert lokale Benutzer für eine lokale Domäne?)
Mal sehen, ob ich noch herausfinde, was Freenas da alles macht.

Die Verbindung mit LDAP funktioniert, wenn es mit AD nicht weitergeht, dann mache ich es so.
Evtl. würde ich noch einmal einen log posten, falls ich da nicht weiterkomme.

Vielen Dank und viele Grüße,
Bernd


#4

Moin,

bei Kerberos-Problemen sollten Sie unbedingt sicherstellen, dass die Rechneruhren der beteiligten Rechner (FreeNAS-Gerät und UCS Master) exakt übereinstimmen. Sinnvollerweise sollten Sie auch NTP einsetzen, um das dauerhaft zu gewährleisten, da bei einem Auseinanderlaufen irgendwann dann auch kein Anmelden mehr möglich sein würde.

Weiterhin können Sie mal das »verbose logging« anschalten, das im Screenshot zu sehen ist. Vielleicht erzählt das mehr.

Generell bietet die FreeNAS-Doku zur Domänenintegration noch Hinweise, die ich zumindest mal durchlesen würde (wobei ich das Anlegen eines DNS-Eintrags auf dem Server weglassen würde, das macht UCS automatisch).


#5

Nimm mal zum joinen nicht den User Administrator ;-).
Das Problem, das man ein Freenas nicht in die Domäne bekommt hab ich auch öfters in reinen Windowsumgebungen. Einfach Defaulteinstellungen im FreeNas und einen anderen Domänenaccount genommen und schon klapperts.


#6

Vielen Dank für die weiteren Anregungen.

  • ntp-server sind gesetzt
  • die Freenas Doku gelesen
    Ich probiere weiter, auch mit einem anderen Namen mit entsprechenden Gruppenrechten, manchmal scheint auch ‘warten’ zu helfen.

DNS ist tatsächlich eine Abweichung zur Standardinstallation, da ich einen externen DHCP-Server verwende und den DNS Server auf dem UCS von Hand pflege. Evtl. sollte ich das mal ändern, wobei dies weder für Windows noch für OSX-Clients bisher nötig war.


#7

und dann sind es vielleicht doch so Fehler wie ein falscher DNS Eintrag in Freenas wie 196.168.xx.x
:-0
Ich hätte ohne Versicherung, dass es doch mit der Standardmaske gehen sollte, noch weiter an sehr vielen anderen falschen Stellen gesucht - danke für den Support.
moin, moin…