darkrealm Wiki - Benutzerbeiträge [de]

OSX

2019-04-14T23:02:50Z

Reimecker:

== OSX auf blanker HD installieren ==
=== Mit OSX ===
# Timecapsule backup-Share mounten
# USB-Stick vorher löschen (mit Festplatten-Dienstprogramm)
# im Terminal eingeben: <pre>sudo /Volumes/backups-1/Install\<OSX Version>.app/Contents/Resources/createinstallmedia --volume /Volumes/<USB-Stick> --applicationpath /Volumes/backups-1/Install\ <OSX Version>.app</pre>
# USB-Stick auswerfen
# Installieren

=== Mit Linux ===

== ältere OSX Versionen installieren ==

Bei älteren OSX Versionen kann es passieren daß während der Installation die Meldung "Kann nicht verifizieren, eventuell beschädigt.." oder ähnliches erscheint, dann muss man das Datum temporär über das Terminal ändern.

* El Capitan : date 010100002016

2019-04-13T21:31:56Z

Reimecker:

=SAMBA 4 AD=

== Haupt-DC provisionieren ==

=== Vorbereitung ===
* Prüfen ob samba läuft
* Prüfen auf Vorhandensein und ggf. löschen:
** /var/lib/samba
** /var/lock/samba
** /var/cache/samba
** /etc/samba/smb.conf

=== Provisionierung ===
<pre>
samba-tool domain provision --use-rfc2307 --option="interfaces=lo br0" --option="bind interfaces only=yes" --site=Rebental --realm=HERRMANN.AD --domain=HERRMANN --server-role=dc --dns-backend=BIND9_DLZ --adminpass=PASSWORD
</pre>
* Erklärung:
** --use-rfc2307 : AD benutzen um POSIX Attribute zu speichern
** --site=Rebental : AD Site
** --realm=HERRMANN.AD : (Kerberos) Realm setzen
** --domain=HERRMANN : Domain setzen ( 1. Part von Realm)
** --server-role=dc : Server role setzen auf Domain Controller
** --dns-backend=BIND9_DLZ : DNS Server Backend setzen auf BIND
** --adminpass=PASSWORD : Administrator Passwort setzen
** --option="interfaces=lo br0" : lo und br0 (IPv4 UND IPv6 !)
** --option="bind interfaces only=yes" : Nur auf oben genannten Interfaces binden
*** --option="template shell = /bin/bash" : Default Login shell setzen
*** --Option="template homedir = /home/%U" : Default homedir setzen

* Mögliche Fehler:
** Unable to determine the DomainSID, can not enforce uniqueness constraint on local domainSIDs Erklärung hier: https://lists.samba.org/archive/samba/2018-May/215697.html

=== DNS Backend einrichten ===
* in /etc/bind/named.conf hinzufügen:
<pre>
include "/var/lib/samba/bind-dns/named.conf";
</pre>
und im options {} Block :
<pre>
tkey-gssapi-keytab "/var/lib/samba/bind-dns/dns.keytab";
</pre>
BIND neu starten:
<pre>
systemctl restart named
</pre>
=== sysvol und netlogon shares verschieben und/etc/samba/smb.conf anpassen ===
<pre>
mv /var/lib/samba/sysvol /mnt/storage/samba/
</pre>

<pre>
[netlogon]
comment = Netlogon Directory
path = /mnt/storage/samba/sysvol/herrmann.ad/scripts
read only = No
vfs objects = btrfs

[sysvol]
comment = System Volume Information
path = /mnt/storage/samba/sysvol
read only = No
vfs objects = btrfs

[profiles]
comment = Roaming Profiles
path = /mnt/storage/samba/profiles
read only = no
vfs objects = btrfs

</pre>

=== samba starten ===
<pre>
systemctl start samba
</pre>

== Rechner zur Domain hinzufügen ==
* Auf Windows-Rechner als lokaler Administrator einloggen
* Einstellungen->Konten->Auf Arbeits- oder Schulkonto zugreifen->Verbinden->Dieses Gerät in eine lokale Active-Directory Domäne einbinden
* Domänenname: HERRMANN
* Domänen-Admin Administrator und Kennwort eingeben
* Konto hinzufügen : Administrator / Administrator (Warum dieser Schritt ?)
* neu starten

== Gruppenrichtlinien einrichten (optional) ==

https://wiki.samba.org/index.php/Roaming_Windows_User_Profiles

== Standorte und Subnetze zuteilen ==
* Auf Windows-Rechner als Domänen-Administrator einloggen
* RSAT-Tools herunterladen von https://www.microsoft.com/de-DE/download/details.aspx?id=45520 und installieren
* Active Directory Standorte und -Dienste starten
* Neuen Standort hinzufügen
** Name: Wehlach, Verknüpfungsname: DEFAULTIPSITELINK
* Neues Subnetz:
** Präfix: 192.168.1.0/24
** Standortobjekt: Rebental
* Neues Subnetz:
** Präfix: 192.168.2.0/24
** Standortobjekt: Wacholderweg

Quelle: https://wiki.samba.org/index.php/Active_Directory_Sites

== Zweiten DC einrichten ==
=== Vorbereitung wie beim Haupt-DC ===
[[#Vorbereitung]]

=== DC hinzufügen ===
<pre>
samba-tool domain join herrmann.ad DC --dns-backend=BIND9_DLZ --option="idmap_ldb:use rfc2307=yes" --option="interfaces=lo br0" --option="bind interfaces only=yes" --site=Wacholderweg --server=192.168.1.240 -U"HERRMANN\Administrator"
</pre>
* ToDo: warum --server=192.168.1.240 ? (wahrscheinlich weil herrmann.ad noch nicht über DNS auflösbar ist)
=== DNS Backend einrichten ===
* in /etc/bind/named.conf hinzufügen:
<pre>
include "/var/lib/samba/private/named.conf";
</pre>
und im options {} Block :
<pre>
tkey-gssapi-keytab "/var/lib/samba/private/dns.keytab";
</pre>
BIND neu starten:
<pre>
systemctl restart named
</pre>
=== samba starten ===
<pre>
systemctl start samba
</pre>
=== Replikation überprüfen und ggf. einrichten ===
Quelle : https://wiki.samba.org/index.php/Verifying_and_Creating_a_DC_DNS_Record

* Auf beiden DC ausführen:
<pre>
samba-tool drs showrepl
</pre>
* Auf dem Rechner wo ein Fehler (WERR_BADFILE oder ähnliches) gemeldet wird, folgendes ausführen:
<pre>
host -t A nexus.herrmann.ad.
</pre>
* Falls NXDOMAIN gemeldet wird, muss der Rechner ins DNS manuell eingetragen werden (Samba 4.6 und früher):
** <pre>samba-tool dns add shodan.herrmann.ad herrmann.ad nexus.herrmann.ad A 192.168.2.240 -Uadministrator</pre>
** Nochmal prüfen : <pre>host -t A nexus.herrmann.ad.</pre>
* Ergebnis sollte sein : <pre>nexus.herrmann.ad has address 192.168.2.240</pre>

<pre>ldbsearch -H /var/lib/samba/private/sam.ldb '(invocationId=*)' --cross-ncs objectguid</pre>
objectGUID von CN=NTDS Settings,CN=NEXUS merken
<pre>host -t CNAME <objectGUID>_msdcs.herrmann.ad.</pre>
Fall NXDOMAIN, folgendes ausführen:
<pre>samba-tool dns add shodan.herrmann.ad _msdcs.herrmann.ad <objectGUID> CNAME nexus.herrmann.ad -Uadministrator</pre>
Replikation nochmal überprüfen
Falls immer NTTIME(0) als Zeitangabe steht <pre>chgrp ntp /var/lib/samba/ntp_signd</pre> (Hat wahrscheinlich doch nicht mit den Benutzerrechten zu tun)

Hinweis: Bei GLIBC 7.30 gibts Probleme beim DNS-Auflösen mit _ im Namen !! (_msdcs....). Dann die Einträge direkt in die /etc/hosts eintragen

Hinweis 2: Bei Replikationsproblemen wars bis jetzt IMMER ein DNS-Problem !!!

== Rechner als Domain Member zur Domäne hinzufügen ==

<pre>net ads join -UAdministrator</pre>

Falls obiger Befehl mit ERROR_DNS_GSS_ERROR oder ... failt, in der /etc/hosts eintragen:

<pre><IP Adresse> <HOSTNAME>.herrmann.ad <HOSTNAME></pre>

== Domänenbenutzer hinzufügen ==

=== Domänenbenutzer migrieren ===

Bevor man die Domain verlässt, mit transwiz https://www.forensit.com/Downloads/Transwiz.msi das gewünschte Profil backuppen. Dann die Domain verlassen, die neue Domain joinen und mit transwiz das gesicherte Profil wiederherstellen.

# Mit transwiz das gewünschte Profil sichern
# Domain verlassen
# Registry-Einträge in HKLM/Software/Microsoft/Windows NT/CurrentVersion/ProfileList löschen
# C:\Users\<Benutzer> löschen
# Domain joinen
# Entsprechenden Benutzer im AD anlegen falls noch nicht vorhanden
# Mit transwiz das gewünschte Profil wiederherstellen

== Roaming Profiles Scheissdreck ==

Als Profilpfad immer den Rechnernamen mit angeben ! (\\shodan.herrmann.ad\profiles anstatt \\herrmann.ad\profiles)

Falls beim Anmelden eines neuen Benutzers "Windows wird vorbereitet..." OHNE SCHWARZEN HINTERGRUND angezeigt wird, und höchstwahrscheinlich nach der Anmeldung sofort die Meldung "Wir konnten Sie nicht an diesem Konto anmelden" erscheint, in HKLM/Software/Microsoft/Windows NT/CurrentVersion/ProfileList die entsprechende SID löschen. Passiert meistens wenn man einen Benutzer löscht, und mit demselben Namen neu erstellt. Löschen des <username>.V6 Verzeichnis auf dem [profiles] share und/oder löschen des lokalen Profils hilft hier nicht, es muss die SID in der lokalen Registry gelöscht werden. Fall beim ersten Anmelden der Hintergrund schwarz wird und "wir bereiten alles vor..." erscheint, ist der Ablauf (wahrscheinlich) richtig.

== Hinweise ==

*MSI-Programme müssen für <Domain Computers> lesbar sein.
*Bei Fehlern bei Ausführung von sama-tool ntacl sysvolcheck : vfs_objects EXPLIZIT angeben ! (vfs_objects = acl_xattr) [https://bugzilla.samba.org/show_bug.cgi?id=10321]
*profiles-share Berechtigungen:
**Standard UNIX Berechtigungen:
**0 drwxrwx--- 1 root users 16 19. Jan 13:14 profiles
*'users' Gruppe muss auf dem DC die 'Domain Users' Gruppe sein. (Im AD Domain Users muss gidNumber 100 sein)
**smbcacls Berechtigungen ( smbcacls //shodan/profiles / -UAdministrator )
**REVISION:1
**CONTROL:SR|PD|SI|DI|DP
**OWNER:HERRMANN\Administrator
**GROUP:HERRMANN\Domain Admins
**ACL:CREATOR OWNER:ALLOWED/OI|CI|IO/FULL
**ACL:HERRMANN\Domain Admins:ALLOWED/0x0/RWX
**ACL:NT AUTHORITY\SYSTEM:ALLOWED/0x0/FULL
**ACL:HERRMANN\Domain Users:ALLOWED/OI|CI/FULL
[[Datei:Windows profile acls.png]]

== Sysvol Replikation ==

rsync-workaround

Scheinbar muss die Gruppe JEDER/EVERYONE Lesezugriff auf SYSVOL und alle Unterordner haben daß Gruppenrichtlinien auf dem 2. DC angewendet werden.

Gentoo-Neuinstallation

2019-04-12T19:29:43Z

Reimecker:

== Pakete ==

# systemd
#* eselect profile 25 (default/linux/amd64/17.0/systemd (stable))
# echo '"FEATURES=ccache distcc" >> /etc/portage/make.conf'
# emerge -v ccache
#* Prüfen durch vorhandensein von /var/tmp/ccache
# distcc
#* distcc-config --set-hosts +zeroconf
# emerge -DNUuv world
# emerge -v gentoolkit
# emerge -v vim
# emerge -v emacs
# emerge -v screen
# emerge -v ccze

2019-03-24T18:35:48Z

Reimecker:

Bei <pre>su -</pre> mit Fehler <pre>su: Berechtigung verweigert</pre> gibt es folgende Möglichkeiten:

# lokale wheel-Gruppe komplett aus /etc/group entfernen (bevorzugt)
# /etc/pam.d/su anpassen
# /etc/nsswitch.conf anpassen

Grund ist daß wenn die lokale wheel-Gruppe vorhanden ist, jedoch der su-Benutzer nicht in dieser Gruppe ist, der ldap-Server danach nicht mehr abgefragt wird und deshalb die Authentifizierung fehlschlägt.

Su und ldap

2019-03-24T18:21:48Z

Reimecker:

2019-03-02T13:40:58Z

Reimecker: /* SYSLINUX */

PXE Booting

2019-03-02T09:18:52Z

Reimecker: Die Seite wurde neu angelegt: „== EFI == === SYSLINUX === === GRUB === === PXELINUX === == BIOS == === SYSLINUX === === GRUB === === PXELINUX ===“

== EFI ==

=== SYSLINUX ===

=== GRUB ===

=== PXELINUX ===

== BIOS ==

=== SYSLINUX ===

=== GRUB ===

=== PXELINUX ===

Samba

2019-02-19T20:10:22Z

Reimecker:

=SAMBA 4 AD=

== Haupt-DC provisionieren ==

=== Vorbereitung ===
* Prüfen ob samba läuft
* Prüfen auf Vorhandensein und ggf. löschen:
** /var/lib/samba
** /var/lock/samba
** /var/cache/samba
** /etc/samba/smb.conf

=== Provisionierung ===
<pre>
samba-tool domain provision --use-rfc2307 --option="interfaces=lo br0" --option="bind interfaces only=yes" --site=Rebental --realm=HERRMANN.AD --domain=HERRMANN --server-role=dc --dns-backend=BIND9_DLZ --adminpass=PASSWORD
</pre>
* Erklärung:
** --use-rfc2307 : AD benutzen um POSIX Attribute zu speichern
** --option="interfaces=lo br0" : lo und br0 (IPv4 UND IPv6 !)
** --option="bind interfaces only=yes" : Nur auf oben genannten Interfaces binden
** --site=Rebental : AD Site
** --realm=HERRMANN.AD : (Kerberos) Realm setzen
** --domain=HERRMANN : Domain setzen ( 1. Part von Realm)
** --server-role=dc : Server role setzen auf Domain Controller
** --dns-backend=BIND9_DLZ : DNS Server Backend setzen auf BIND
** --adminpass=PASSWORD : Administrator Passwort setzen

=== DNS Backend einrichten ===
* in /etc/bind/named.conf hinzufügen:
<pre>
include "/var/lib/samba/bind-dns/named.conf";
</pre>
und im options {} Block :
<pre>
tkey-gssapi-keytab "/var/lib/samba/bind-dns/dns.keytab";
</pre>
BIND neu starten:
<pre>
systemctl restart named
</pre>
=== sysvol und netlogon shares verschieben und/etc/samba/smb.conf anpassen ===
<pre>
mv /var/lib/samba/sysvol /mnt/storage/samba/
</pre>

<pre>
[netlogon]
comment = Netlogon Directory
path = /mnt/storage/samba/sysvol/herrmann.ad/scripts
read only = No
vfs objects = btrfs

[sysvol]
comment = System Volume Information
path = /mnt/storage/samba/sysvol
read only = No
vfs objects = btrfs

[profiles]
comment = Roaming Profiles
path = /mnt/storage/samba/profiles
read only = no
vfs objects = btrfs

</pre>

=== samba starten ===
<pre>
systemctl start samba
</pre>

== Rechner zur Domain hinzufügen ==
* Auf Windows-Rechner als lokaler Administrator einloggen
* Einstellungen->Konten->Auf Arbeits- oder Schulkonto zugreifen->Verbinden->Dieses Gerät in eine lokale Active-Directory Domäne einbinden
* Domänenname: HERRMANN
* Domänen-Admin Administrator und Kennwort eingeben
* Konto hinzufügen : Administrator / Administrator (Warum dieser Schritt ?)
* neu starten

== Gruppenrichtlinien einrichten (optional) ==

https://wiki.samba.org/index.php/Roaming_Windows_User_Profiles

== Standorte und Subnetze zuteilen ==
* Auf Windows-Rechner als Domänen-Administrator einloggen
* RSAT-Tools herunterladen von https://www.microsoft.com/de-DE/download/details.aspx?id=45520 und installieren
* Active Directory Standorte und -Dienste starten
* Neuen Standort hinzufügen
** Name: Wehlach, Verknüpfungsname: DEFAULTIPSITELINK
* Neues Subnetz:
** Präfix: 192.168.1.0/24
** Standortobjekt: Rebental
* Neues Subnetz:
** Präfix: 192.168.2.0/24
** Standortobjekt: Wacholderweg

Quelle: https://wiki.samba.org/index.php/Active_Directory_Sites

== Zweiten DC einrichten ==
=== Vorbereitung wie beim Haupt-DC ===
[[#Vorbereitung]]

=== DC hinzufügen ===
<pre>
samba-tool domain join herrmann.ad DC --dns-backend=BIND9_DLZ --option="idmap_ldb:use rfc2307=yes" --option="interfaces=lo br0" --option="bind interfaces only=yes" --site=Wacholderweg --server=192.168.1.240 -U"HERRMANN\Administrator"
</pre>
* ToDo: warum --server=192.168.1.240 ? (wahrscheinlich weil herrmann.ad noch nicht über DNS auflösbar ist)
=== DNS Backend einrichten ===
* in /etc/bind/named.conf hinzufügen:
<pre>
include "/var/lib/samba/private/named.conf";
</pre>
und im options {} Block :
<pre>
tkey-gssapi-keytab "/var/lib/samba/private/dns.keytab";
</pre>
BIND neu starten:
<pre>
systemctl restart named
</pre>
=== samba starten ===
<pre>
systemctl start samba
</pre>
=== Replikation überprüfen und ggf. einrichten ===
Quelle : https://wiki.samba.org/index.php/Verifying_and_Creating_a_DC_DNS_Record

* Auf beiden DC ausführen:
<pre>
samba-tool drs showrepl
</pre>
* Auf dem Rechner wo ein Fehler (WERR_BADFILE oder ähnliches) gemeldet wird, folgendes ausführen:
<pre>
host -t A nexus.herrmann.ad.
</pre>
* Falls NXDOMAIN gemeldet wird, muss der Rechner ins DNS manuell eingetragen werden (Samba 4.6 und früher):
** <pre>samba-tool dns add shodan.herrmann.ad herrmann.ad nexus.herrmann.ad A 192.168.2.240 -Uadministrator</pre>
** Nochmal prüfen : <pre>host -t A nexus.herrmann.ad.</pre>
* Ergebnis sollte sein : <pre>nexus.herrmann.ad has address 192.168.2.240</pre>

<pre>ldbsearch -H /var/lib/samba/private/sam.ldb '(invocationId=*)' --cross-ncs objectguid</pre>
objectGUID von CN=NTDS Settings,CN=NEXUS merken
<pre>host -t CNAME <objectGUID>_msdcs.herrmann.ad.</pre>
Fall NXDOMAIN, folgendes ausführen:
<pre>samba-tool dns add shodan.herrmann.ad _msdcs.herrmann.ad <objectGUID> CNAME nexus.herrmann.ad -Uadministrator</pre>
Replikation nochmal überprüfen
Falls immer NTTIME(0) als Zeitangabe steht <pre>chgrp ntp /var/lib/samba/ntp_signd</pre> (Hat wahrscheinlich doch nicht mit den Benutzerrechten zu tun)

Hinweis: Bei GLIBC 7.30 gibts Probleme beim DNS-Auflösen mit _ im Namen !! (_msdcs....). Dann die Einträge direkt in die /etc/hosts eintragen

Hinweis 2: Bei Replikationsproblemen wars bis jetzt IMMER ein DNS-Problem !!!

== Rechner als Domain Member zur Domäne hinzufügen ==

<pre>net ads join -UAdministrator</pre>

Falls obiger Befehl mit ERROR_DNS_GSS_ERROR oder ... failt, in der /etc/hosts eintragen:

<pre><IP Adresse> <HOSTNAME>.herrmann.ad <HOSTNAME></pre>

== Domänenbenutzer hinzufügen ==

=== Domänenbenutzer migrieren ===

Bevor man die Domain verlässt, mit transwiz https://www.forensit.com/Downloads/Transwiz.msi das gewünschte Profil backuppen. Dann die Domain verlassen, die neue Domain joinen und mit transwiz das gesicherte Profil wiederherstellen.

1. Mit transwiz das gewünschte Profil sichern
2. Domain verlassen
3. Registry-Einträge in HKLM/Software/Microsoft/Windows NT/CurrentVersion/ProfileList löschen
4. C:\Users\<Benutzer> löschen
5. Domain joinen
6. Mit transwiz das gewünschte Profil wiederherstellen

== Roaming Profiles Scheissdreck ==

Als Profilpfad immer den Rechnernamen mit angeben ! (\\shodan.herrmann.ad\profiles anstatt \\herrmann.ad\profiles)

Falls beim Anmelden eines neuen Benutzers "Windows wird vorbereitet..." OHNE SCHWARZEN HINTERGRUND angezeigt wird, und höchstwahrscheinlich nach der Anmeldung sofort die Meldung "Wir konnten Sie nicht an diesem Konto anmelden" erscheint, in HKLM/Software/Microsoft/Windows NT/CurrentVersion/ProfileList die entsprechende SID löschen. Passiert meistens wenn man einen Benutzer löscht, und mit demselben Namen neu erstellt. Löschen des <username>.V6 Verzeichnis auf dem [profiles] share und/oder löschen des lokalen Profils hilft hier nicht, es muss die SID in der lokalen Registry gelöscht werden. Fall beim ersten Anmelden der Hintergrund schwarz wird und "wir bereiten alles vor..." erscheint, ist der Ablauf (wahrscheinlich) richtig.

== Hinweise ==

*MSI-Programme müssen für <Domain Computers> lesbar sein.
*Bei Fehlern bei Ausführung von sama-tool ntacl sysvolcheck : vfs_objects EXPLIZIT angeben ! (vfs_objects = acl_xattr) [https://bugzilla.samba.org/show_bug.cgi?id=10321]
*profiles-share Berechtigungen:
**Standard UNIX Berechtigungen:
**0 drwxrwx--- 1 root users 16 19. Jan 13:14 profiles
*'users' Gruppe muss auf dem DC die 'Domain Users' Gruppe sein. (Im AD Domain Users muss gidNumber 100 sein)
**smbcacls Berechtigungen ( smbcacls //shodan/profiles / -UAdministrator )
**REVISION:1
**CONTROL:SR|PD|SI|DI|DP
**OWNER:HERRMANN\Administrator
**GROUP:HERRMANN\Domain Admins
**ACL:CREATOR OWNER:ALLOWED/OI|CI|IO/FULL
**ACL:HERRMANN\Domain Admins:ALLOWED/0x0/RWX
**ACL:NT AUTHORITY\SYSTEM:ALLOWED/0x0/FULL
**ACL:HERRMANN\Domain Users:ALLOWED/OI|CI/FULL
[[Datei:Windows profile acls.png]]

== Sysvol Replikation ==

rsync-workaround

Scheinbar muss die Gruppe JEDER/EVERYONE Lesezugriff auf SYSVOL und alle Unterordner haben daß Gruppenrichtlinien auf dem 2. DC angewendet werden.