[[..:start|zurück]]
====== LAM + Samba-Benutzer + Samba-Domäne in OpenLDAP ======

Diese Anleitung beschreibt, wie man mit LDAP Account Manager (LAM) Samba-Benutzer, Gruppen und die Samba-Domäne in einem LDAP-System verwaltet – ohne LAM Pro.

=== Voraussetzungen ===
  * OpenLDAP ist eingerichtet
  * Das Samba-Schema (`samba.schema`) ist importiert
  * LAM ist im Browser erreichbar (z. B. `http://<server>:8080`)
  * Ein Samba-Domain-SID wurde ermittelt (z. B. `S-1-5-21-...`)

=== Samba-Schema importiert? ===
Überprüfen mit:

<code bash>
ldapsearch -Y EXTERNAL -H ldapi:/// -b cn=schema,cn=config | grep samba
</code>

=== SID der Samba-Domäne ermitteln ===
<code bash>
docker exec -it samba-ldap bash
smbpasswd -w <LDAP-Admin-Passwort>
net getlocalsid
</code>

Beispiel:
<code>
SID for domain MASH is S-1-5-21-3610194968-244073160-191320540
</code>

=== Samba-Domänen-Eintrag in LAM konfigurieren ===

Im LAM-Profil:
  * Bereich: **Samba-Domänen**
  * LDAP-Suffix: z. B. `ou=domains,dc=mash,dc=local` *(dieses OU muss existieren!)*
  * Attribute der Listen: `#sambaDomainName;#sambaSID`
  * Eigener Bezeichner: frei wählbar, z. B. `Hauptdomäne`
  * Zusätzlicher LDAP-Filter: leer
  * Versteckt: nicht aktivieren

Beispiel LDIF für `ou=domains`:
<code>
dn: ou=domains,dc=mash,dc=local
objectClass: organizationalUnit
ou: domains
</code>

=== LAM Module aktivieren ===

In den Profil-Einstellungen unter "Modules":
  * ✅ posixAccount
  * ✅ sambaSamAccount
  * ✅ posixGroup
  * ✅ sambaGroupMapping

Unter „Account types“:
  * Benutzer: `posixAccount + sambaSamAccount`
  * Gruppen: `posixGroup + sambaGroupMapping`

=== Samba-Benutzer anlegen (Beispiel) ===

Pflichtfelder für Samba-Funktion:
  * `uid`: benutzer1
  * `uidNumber`: z. B. 10001
  * `gidNumber`: z. B. 10001 (z. B. "Domain Users")
  * `homeDirectory`: /home/benutzer1
  * `loginShell`: /bin/bash
  * `sambaSID`: S-1-5-21-3610194968-244073160-191320540-1000
  * `sambaAcctFlags`: [U]
  * `sambaPrimaryGroupSID`: S-1-5-21-3610194968-244073160-191320540-513
  * `sambaDomainName`: MASH

Passwort für Samba (automatisch über LAM oder NT-Hash generieren):
  * `sambaNTPassword` (erzeugt über LAM beim Speichern)

=== Samba-Gruppen anlegen (optional) ===

Gruppe "Domain Users":
  * `cn`: domainusers
  * `gidNumber`: 10001
  * `sambaGroupType`: 2
  * `sambaSID`: S-1-5-21-3610194968-244073160-191320540-513

=== Samba-Domainobjekt pflegen ===

Eintrag unter:
  * DN: `sambaDomainName=MASH,ou=domains,dc=mash,dc=local`
  * `sambaSID`: S-1-5-21-3610194968-244073160-191320540
  * `sambaNextRid`: 1001
  * `sambaNextGroupRid`: 513
  * `sambaNextUserRid`: 1000

=== Ergebnis: ✅ ===
  * Benutzer mit Samba-Anmeldung
  * NT-Passwörter im LDAP gespeichert
  * Domänen-SID verwaltbar
  * Gruppenfreigaben konfigurierbar

=== Nächste Schritte ===
  * Samba-Share mit `valid users = @domainusers`
  * Optional: Maschinenkonten anlegen (`sambaAcctFlags: [W]`)