Migration einer bestehenden Samba Domäne auf UCS

Hallo Forum,

ich will einen bestehenden Samba PDC mit einem UCS ablösen. Das Script univention-pdc-takeover kann ich nicht verwenden, da das verwendete “net rpc vampire” nur bei Windows PDCs funkntioniert.

Irgendwie müsste doch eine Lösung mit pdbedit -i | -e möglich sein.

Hat jemand sowas schon mal gemacht?

Gibt es vielleicht sogar ein Skript, ähnlich dem univention-pdc-takeover?

Beste Grüße

Gerd Wilhelm

Hallo,

Um eine existierende Samba-Umgebung zu migrieren sind verschiedene Aspekte der jeweiligen Umgebung zu berücksichtigen. Eine wichtige Frage dabei, ist welche Daten genau migriert werden, beispielsweise reicht es nur die Benutzernamen zu übernehmen oder müssen auch die SID der Domäne sowie die RID der Benutzer übernommen werden. Einige weitere solcher Punkte müssen in Abhängigkeit zur vorhandenen Umgebung geklärt werden.

Generell kann man aber sagen, dass der Export der Daten beispielsweise mit dem Tool pdbedit durchgeführt werden kann. Der Import allerdings sollte mit Univention Directory Manager erfolgen, damit sichergestellt ist, dass die angelegten Objekte im LDAP-Verzeichnis für das Management-System valide Benutzer-Objekte darstellen. Weitere Details sind wie gesagt von der jeweiligen Umgebung abhängig.

Mit freundlichen Grüßen
Andreas Büsching

Hallo Herr Büsching.

Danke für die Antwort. Im konkreten Fall reicht es aus, wenn Benutzernamen Kennwort übernommen werden können. Benutzername ist ja kein Problem, aber gibt es eine möglichkeit das Kennwort zu übernehmen? Das Password-Backend des bisherigen Samba-PDC ist tbsam.

Beste Grüße

Gerd Wilhelm

Ich habe das Problem nun mittels Brute Force gelöst. Da es in der Umgebung keinerlei Passwortrichtlinie gab, konnten so über 80% der Kennwörter ermittelt werden.

Hierfür habe ich das Programm John the Ripper eingesetzt.

Mit besten Grüßen

Gerd Wilhelm

Hallo,

[quote=“gwilhelm”]Ich habe das Problem nun mittels Brute Force gelöst. Da es in der Umgebung keinerlei Passwortrichtlinie gab, konnten so über 80% der Kennwörter ermittelt werden.

Hierfür habe ich das Programm John the Ripper eingesetzt. [/quote]

Alternativ kann man auch die NT- und LM-Hashes aus Samba exportieren (mit pdbedit -w -u Benutzer). Die Kerberos-Keys für die Benutzer könnte man auf Basis des Skriptes /usr/share/univention-heimdal/kerberos_now aus den NT und LM-Hashes erzeugen (Das Skript ist dafür nicht erstellt worden, sollte aber die notwendigen Techniken erklären). Das Attribut userPassword kann ebenfalls aus dem Attribut sambaLMPassword gewonnen werden. Dafür muss der Inhalt des Attributes auf den Wert {LANMAN} gesetzt werden (Das ist nicht der Standard, funktioniert aber auch). Damit sollten dann auch die Passwörter für alle genutzten Authentisierungsmechanismn übernommen worden sein.

Sollten ausschließlich Windows-Clients im Einsatz sein, könnte man wahrscheinlich alternativ auch die NT- und LM-Hashes wiederherstellen und mit dem Kommandozeilen-Interface von Univention Directory Manager die Passwortänderung bei der nächsten Anmeldung setzen. Bei der Passwortänderung würden dann die die anderen Passwortattribute automatisch ausgefüllt werden.

Mit freundlichen Grüßen
Andreas Büsching

Hallo,
muss bei einer SAMBA LDAP Übernahme auf UCS der Hostname des alten Systems auf das neue System übernommen werden oder kann man einen anderen Hostnamen verwenden?

[quote=“uvuser”]Hallo,
muss bei einer SAMBA LDAP Übernahme auf UCS der Hostname des alten Systems auf das neue System übernommen werden oder kann man einen anderen Hostnamen verwenden?[/quote]

Es spricht eigentlich nichts dagegen einen neuen Namen zu verwenden. Im allgemeinen ist es zu empfehlen dann den alten Namen als NetBIOS Alias zu setzen: ucr set samba/netbios/aliases=<old hostname>

Viele Grüße
Stefan Gohmann

Hallo,

noch eine Frage zu diesem Thema.

Wenn man für das neue System einen neuen Hostnamen verwendet und den alten Hostnamen als Alias einträgt, kann es hier ein Problem geben, wenn der alte Domänencontroller (jetzt Memberserver) den gleichen alten Hostnamen beibehält?

lg

Hallo,

in einer Domäne muss immer sichergestellt sein, das ein Rechnername (in diesem Fall: NetBIOS Rechnername oder -Alias) nur genau ein Mal gesetzt wird. Also entweder auf dem Windows Server als Rechnername oder dem UCS Server als Netbios Alias.

Mit freundlichen Grüßen
Ingo Steuwer

Hallo,
danke für die Antwort. Kann ich dann so vorgehen, dass bei einer Migration von Win2000 auf UCS3 der UCS Server mit Samba4 einen neuen Hostnamen bekommt?
lg

Hallo,

die ursprünglichen Fragen in diesem Thread bezogen sich auf eine Migration von NT nach UCS mit Samba3, was mit UCS 2.x über Skripte im Produktumfang umgesetzt werden kann.

Eine automatisierte Migration von Active Directory auf UCS 3 mit Samba4 ist derzeit nicht im Produkt vorbereitet. Es bestehen dazu aber projektspezifische Implementierungen, die wir in den nächsten Wochen im Wiki veröffentlichen/dokumentieren werden. Bei kurzfristigem Bedarf melden Sie sich bitte bei Ihrem Ansprechpartner im Support oder Vertrieb.

Allgemein gilt: Bei einer Migration einer Windows-Domäne zu UCS muss der dazu genutzte UCS DC Master einen eindeutigen Rechnernamen haben, der von keinem anderen (produktiven) Windows System genutzt wird. Wenn Windows-Systeme deaktiviert werden, können die UCS Serversysteme migrierte Dienste übernehmen und dazu über einen NetBIOS- (NT/Samba3) und/oder DNS-Alias (Samba4, sonstiges) auch über den Namen des abgeschalteten Systems erreichbar sein. In keiner Situation dürfen zwei Windows Domänencontroller (egal ob NT, AD, Samba3 oder Samba4) über den gleichen Namen/Alias erreichbar sein.

Um auf die eigentliche Frage zurückzukommen:

[quote=“uvuser”]Kann ich dann so vorgehen, dass bei einer Migration von Win2000 auf UCS3 der UCS Server mit Samba4 einen neuen Hostnamen bekommt?
[/quote]
Ja, Sie müssen sogar so vorgehen das der UCS DC einen anderen Namen als der AD DC bekommt.

Mit freundlichen Grüßen
Ingo Steuwer

Mastodon