balubaer
Goto Top

Samba 3.0.20 auf SuSE 10.0 mit Windows 2003 Domänen-Authentifizierung

Probleme mit Freigaben auf SuSE 10.0 Samba-Server mit Authentifizierung gegen Active Directory von Windows 2003

Hallo Leute,

ich habe ein nicht leicht zu knackendes Problem, glaub ich, und hoffe, dass hier viellicht jemand ist, der mir mit meinen bescheidenen Samba-Kenntnissen aushelfen kann.

Ich habe einen (aktualisieren) Windows 2003 Server (inkl. Exchange 2003), der ebenso ein Active-Directory (AD) beinhaltet. Jenes AD soll als Authentifizierungsgrundlage für die (Samba-)Shares auf einer Linux-Maschine werden. Der Linux-Server ist mit (Novell) SuSE 10.0 bestückt und beinhaltet unter Anderem Samba in der Version 3.0.20-4-SUSE und das MIT-Kerberos5 in der Version 1.4.1-5 (beides von der SuSE-DVD bzw. geupdatet über YOU, Stand: 09.11.2005)

Ich habe mich auch grundsätzlich und überhaupt an die Anleitung von Samba.org bzw. von http://www.pro-linux.de/work/server/samba3-domaene.html gehalten. Das kuriose ist:

a) ich kann mit kinit ein (offensichtlich gültiges) Kerberos-Ticket erzeugen (ersichtlich mit "klist")
b) ich kann mich mit "net join -S domain -UAdministrator%pass" in der Domäne anmelden und habe dann auch im AD ein entsprechendes Computer-Konto
c) "wbinfo -u" und "wbinfo -g" liefern die Domänen-User bzw. Domänen-Gruppen
d) "getent passwd" und "getent group" liefern sowohl lokale, als auch die AD-User bzw. -Gruppen

Wenn ich dann allerdings auf eine Freigabe mit einem Windows-XP-Rechner zugreifen will, bekomme ich die Windows-typische Anmeldeaufforderung (was ja schon mal nicht sein sollte, da ich ja an dem Rechner bereits als Domänen-Nutzer angemeldet bin und die Freigabe für alle Domänen-Benutzer erreichbar sein soll) und selbst, wenn ich dann die Benutzer-Daten nochmals mit angebe, funktioniert die Anmeldung nicht. Auch der Versuch, auf die Freigabe "alles" zugreifen zu können (mit dem Administrator-Konto der Domäne)

Wo liegt denn nun das Problem?

Hier mal meine Konfigurationsdateien (auszugsweise):

###
###smb.conf
###
[global]
workgroup = DOMAIN
netbios name = devel
server string = devel
realm = DOMAIN.DMN
idmap uid = 10000-15000
idmap gid = 10000-15000
winbind separator = /
winbind use default domain = yes
security = ADS
encrypt passwords = yes
password server = ad-server@domain.dmn
client use spnego = yes
auth methods = winbind
log level = 3
template shell = /bin/bash
template homedir = /home/ads
username map = /etc/samba/smbusers

[alles]
comment = Vollzugriff
path = /
browsable = yes
read only = no
guest ok = no
valid users = DOMAIN/Administrator
create mask = 700
directory mask = 711

[vhosts]
comment = Hosts
path = /srv/www/vhosts
browsable = yes
read only = no
guest ok = no
valid users = @Domain/gruppe
create mask = 755
directory mask = 755


###
### krb5.conf
###
[libdefaults]
default_realm = EXOZETBERLIN.XOZ
clockskew = 300

[realms]
DOMAIN.DMN = {
kdc = AD-SERVER@DOMAIN.DMN
admin_server = AD-SERVER@DOMAIN.DMN
default_domain = DOMAIN
}

[domain_realm]
.domain.dmn = DOMAIN.DMN
domain.dmn = DOMAIN.DMN

[logging]
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
default = FILE:/var/log/krb5lib.log

[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 10000
debug = false
try_first_pass = true
}


Beim Kerberos finde ich merkwürdig, dass die unter "logging" angegebenen Dateien in keinster Weise mit Daten beschrieben werden. Selbst nach einem touch bleiben die Dateien leer?! Schlecht für's Debugging. face-sad


Hier noch ein Auszug aus den Logs von Samba:

###
### log.smbd
###
(...)
[2005/11/09 15:34:03, 3] smbd/sesssetup.c:reply_sesssetup_and_X_spnego(619)
NativeOS=[Windows 2002 Service Pack 2 2600] NativeLanMan=[Windows 2002 5.1] PrimaryDomain=
[2005/11/09 15:34:03, 3] smbd/sesssetup.c:reply_spnego_negotiate(480)
Got OID 1 2 840 48018 1 2 2
[2005/11/09 15:34:03, 3] smbd/sesssetup.c:reply_spnego_negotiate(480)
Got OID 1 2 840 113554 1 2 2
[2005/11/09 15:34:03, 3] smbd/sesssetup.c:reply_spnego_negotiate(480)
Got OID 1 3 6 1 4 1 311 2 2 10
[2005/11/09 15:34:03, 3] smbd/sesssetup.c:reply_spnego_negotiate(483)
Got secblob of size 1189
[2005/11/09 15:34:03, 3] smbd/sesssetup.c:reply_spnego_kerberos(179)
Ticket name is [COMPUTER$@DOMAIN.DMN]
[2005/11/09 15:34:03, 1] smbd/sesssetup.c:reply_spnego_kerberos(263)
Username DOMAIN.DMN/COMPUTER$ is invalid on this system
[2005/11/09 15:34:03, 3] smbd/error.c:error_packet(147)
error packet at smbd/sesssetup.c(267) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE
[2005/11/09 15:34:03, 3] smbd/process.c:process_smb(1114)
(...)
[2005/11/09 15:34:03, 3] smbd/sesssetup.c:reply_sesssetup_and_X_spnego(619)
NativeOS=[Windows 2002 Service Pack 2 2600] NativeLanMan=[Windows 2002 5.1] PrimaryDomain=
[2005/11/09 15:34:03, 3] smbd/sesssetup.c:reply_spnego_negotiate(480)
Got OID 1 2 840 48018 1 2 2
[2005/11/09 15:34:03, 3] smbd/sesssetup.c:reply_spnego_negotiate(480)
Got OID 1 2 840 113554 1 2 2
[2005/11/09 15:34:03, 3] smbd/sesssetup.c:reply_spnego_negotiate(480)
Got OID 1 3 6 1 4 1 311 2 2 10
[2005/11/09 15:34:03, 3] smbd/sesssetup.c:reply_spnego_negotiate(483)
Got secblob of size 1329
[2005/11/09 15:34:03, 3] smbd/sesssetup.c:reply_spnego_kerberos(179)
Ticket name is [user@DOMAIN.DMN]
[2005/11/09 15:34:03, 1] smbd/sesssetup.c:reply_spnego_kerberos(263)
Username DOMAIN.DMN/user is invalid on this system
[2005/11/09 15:34:03, 3] smbd/error.c:error_packet(147)
error packet at smbd/sesssetup.c(267) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE
[2005/11/09 15:34:03, 3] smbd/process.c:timeout_processing(1366)
timeout_processing: End of file from client (client has disconnected).
(...)


Beim Start von smbd erscheint noch folgende Meldung von log.smbd:

(...)
[2005/11/09 15:54:22, 3] smbd/server.c:main(850)
Becoming a daemon.
[2005/11/09 15:54:22, 2] lib/tallocmsg.c:register_msg_pool_usage(56)
Registered MSG_REQ_POOL_USAGE
[2005/11/09 15:54:22, 2] lib/dmallocmsg.c:register_dmalloc_msgs(71)
Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED
[2005/11/09 15:54:22, 3] libsmb/namequery.c:resolve_lmhosts(855)
resolve_lmhosts: Attempting lmhosts lookup for name ad-server.domain.dmn<0x20>
[2005/11/09 15:54:22, 3] libsmb/namequery.c:resolve_wins(752)
resolve_wins: Attempting wins lookup for name ad-server.domain.dmn<0x20>
[2005/11/09 15:54:22, 3] libsmb/namequery.c:resolve_wins(755)
resolve_wins: WINS server resolution selected and no WINS servers listed.
[2005/11/09 15:54:22, 3] libsmb/namequery.c:resolve_hosts(917)
resolve_hosts: Attempting host lookup for name ad-server.domain.dmn<0x20>
[2005/11/09 15:54:22, 3] libads/ldap.c:ads_connect(285)
Connected to LDAP server 192.168.12.243
[2005/11/09 15:54:22, 3] libads/ldap.c:ads_server_info(2514)
got ldap server name ad-server@DOMAIN.DMN, using bind path: dc=DOMAIN,dc=DMN
[2005/11/09 15:54:22, 3] libads/sasl.c:ads_sasl_spnego_bind(206)
ads_sasl_spnego_bind: got OID=1 2 840 48018 1 2 2
[2005/11/09 15:54:22, 3] libads/sasl.c:ads_sasl_spnego_bind(206)
ads_sasl_spnego_bind: got OID=1 2 840 113554 1 2 2
[2005/11/09 15:54:22, 3] libads/sasl.c:ads_sasl_spnego_bind(206)
ads_sasl_spnego_bind: got OID=1 2 840 113554 1 2 2 3
[2005/11/09 15:54:22, 3] libads/sasl.c:ads_sasl_spnego_bind(206)
ads_sasl_spnego_bind: got OID=1 3 6 1 4 1 311 2 2 10
[2005/11/09 15:54:22, 3] libads/sasl.c:ads_sasl_spnego_bind(215)
ads_sasl_spnego_bind: got server principal name =ad-server$@DOMAIN.DMN
[2005/11/09 15:54:22, 3] libsmb/clikrb5.c:ads_krb5_mk_req(384)
ads_krb5_mk_req: krb5_cc_get_principal failed (No credentials cache found) <<<<< was sagt das aus?
[2005/11/09 15:54:22, 3] libsmb/clikrb5.c:ads_cleanup_expired_creds(321)
Ticket in ccache[MEMORY:prtpub_cache] expiration Thu, 10 Nov 2005 01:54:21 GMT
[2005/11/09 15:54:22, 3] printing/printing.c:start_background_queue(1321)
start_background_queue: Starting background LPQ thread
[2005/11/09 15:54:22, 2] smbd/server.c:open_sockets_smbd(330)
waiting for a connection


Weiss Jemand vielleicht Rat? Selbst das manuelle Kompilieren/Konfigurieren einer von Samba.org geladenen aktuellen Version (3.0.20b) brachte keine Abhilfe!

Danke für jedwedige Hilfe...

Gruß
Dennis Galander

Content-ID: 19383

Url: https://administrator.de/contentid/19383

Ausgedruckt am: 20.11.2024 um 03:11 Uhr

7036
7036 09.11.2005 um 19:19:57 Uhr
Goto Top
Hi,

1. Firewall abschalten! In der Firewall den Samba dienst aufnehmen
2. laufen die Dienste rcsmb, rcnmb und rcwinwind?
3. läuft der xinet - Dienst?

mfg
Siggi
Balubaer
Balubaer 14.11.2005 um 10:46:42 Uhr
Goto Top
Hi Siggi,

die Firewall habe ich vorsorglich schon abgeschaltet gehabt, solange die Maschine noch nicht fertig konfiguriert ist.

Die Dienste SMB, NMB und Winbind sind konfiguriert und laufen auch fleissig vor sich hin (sonst hätte ich ja keine logs bekommen).

Xinetd haben wir nicht laufen auf der Maschine, da die Dienste ja als Daemons laufen...

Gruß
Dennis
7036
7036 14.11.2005 um 11:00:33 Uhr
Goto Top
Hi Dennis,

also ich habe eine ähnliche konfiguration laufen nach der gleichen Anleitung und es läuft wie gewünscht.

Die Konfiguration habe genauso und es läuft.

Schau Dir mal bitte diese Info hier an: http://www.netadmintools.com/part172.html
und vor allem die Screenshots unter dem Link!

Ich habe beim Beitritt zu einer Domäne Probleme gehabt und dann mit "net join ads" gelöst.!!!

Uhrzeitsync und Kerberos scheinen aber richtig zu laufen...

Sag mal bescheid...

Gruß und Viel Erfolg
Siggi
7036
7036 14.11.2005 um 11:02:37 Uhr
Goto Top
Hi,

habe noch eine IDEE:

hast du in der /etc/nsswitsch.conf die Benutzerdatenbank an winbind weitergeleitet?

passwd: files winbind
group: files winbind

IST SEHR WICHTIG????
Balubaer
Balubaer 14.11.2005 um 15:02:46 Uhr
Goto Top
Hi Siggi,

danke für die Anleitung.

Ich bin soweit nochmals durchgegangen und habe den allerletzen Abschnitt nicht erfolgreich durchbringen können:

devel:~ # smbclient xozserver5.exozetberlin.xoz/ax -k
OS=[Windows Server 2003 3790 Service Pack 1] Server=[Windows Server 2003 5.2]
tree connect failed: NT_STATUS_BAD_NETWORK_NAME

Auch mit "devel:~ # smbclient
192.168.12.243/ax -k" funktioniert es nicht.

In der /etc/nsswitch.conf steht bei mir

passwd: compat winbind
group: compat winbind

Aber auch files statt compat hat nix gebracht. face-sad
Balubaer
Balubaer 14.11.2005 um 15:13:20 Uhr
Goto Top
Ups,

ein kleiner Fehler ist mir da unterlaufen.

Also, den smbclient-Befehl kann ich problemlos ausführen und mich auf der Freigabe auf dem Server "bewegen".

Was allerdings noch immer nicht klappt ist der Zugriff auf eine der Samba-Freigaben. Ich erhalte immernoch das Anmelde-Popup-Fenster... face-sad

Gruß
Dennis
7036
7036 14.11.2005 um 18:27:26 Uhr
Goto Top
Hi Dennis,
...
1. ads_krb5_mk_req: krb5_cc_get_principal failed (No credentials cache found) <<<<< was sagt das aus?

ich habe mir deine Logs mal genauer angesehen! Deine Kerberos stimmt nicht !!!
DU:
...
[libdefaults]
default_realm = EXOZETBERLIN.XOZ

kdc = AD-SERVER@DOMAIN.DMN
admin_server = AD-SERVER@DOMAIN.DMN
default_domain = DOMAIN

ICH:
[libdefaults]
default_realm = DOMAIN.DMN

kdc = AD-SERVER.DOMAIN.DMN
admin_server = AD-SERVER.DOMAIN.DMN
default_domain = DOMAIN.DMN


2. in der smb.conf hast du username map = /etc/samba/smbusers stehen!
Dieser Eintrag könnte SAMBA in die Irre führen da er ja die User über die Winbind konfigurieren soll....kommentiere den Eintrag mal aus!!!


und vergleiche bitte noch einmal deine Einträge in der nsswitch.conf!

Gruß Siggi
Balubaer
Balubaer 14.11.2005 um 19:35:46 Uhr
Goto Top
Hi Siggi,

also, die Einträge der krb5.conf habe ich (wohl schon letzte Woche) korrigiert. Ich habe sie jetzt auch an Deine Konfig ein wenig angepasst.

Trotzdem streikt die Kiste.

Das log.smbd sagt mir (mit loglevel 3), wenn ich einfach mal vom Explorer heraus ein Freigabe ansprechen will, folgendes:

[2005/11/14 19:29:26, 3] smbd/oplock.c:init_oplocks(1380)
open_oplock_ipc: opening loopback UDP socket.
[2005/11/14 19:29:26, 3] smbd/oplock_linux.c:linux_init_kernel_oplocks(309)
Linux kernel oplocks enabled
[2005/11/14 19:29:26, 3] smbd/oplock.c:init_oplocks(1411)
open_oplock ipc: pid = 26813, global_oplock_port = 1183
[2005/11/14 19:29:26, 3] smbd/process.c:process_smb(1114)
Transaction 0 of length 137
[2005/11/14 19:29:26, 3] smbd/process.c:switch_message(900)
switch message SMBnegprot (pid 26813) conn 0x0
[2005/11/14 19:29:26, 3] smbd/sec_ctx.c:set_sec_ctx(288)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2005/11/14 19:29:26, 3] smbd/negprot.c:reply_negprot(466)
Requested protocol [PC NETWORK PROGRAM 1.0]
[2005/11/14 19:29:26, 3] smbd/negprot.c:reply_negprot(466)
Requested protocol [LANMAN1.0]
[2005/11/14 19:29:26, 3] smbd/negprot.c:reply_negprot(466)
Requested protocol [Windows for Workgroups 3.1a]
[2005/11/14 19:29:26, 3] smbd/negprot.c:reply_negprot(466)
Requested protocol [LM1.2X002]
[2005/11/14 19:29:26, 3] smbd/negprot.c:reply_negprot(466)
Requested protocol [LANMAN2.1]
[2005/11/14 19:29:26, 3] smbd/negprot.c:reply_negprot(466)
Requested protocol [NT LM 0.12]
[2005/11/14 19:29:26, 3] smbd/negprot.c:reply_nt1(337)
using SPNEGO
[2005/11/14 19:29:26, 3] smbd/negprot.c:reply_negprot(559)
Selected protocol NT LM 0.12
[2005/11/14 19:29:26, 3] smbd/process.c:process_smb(1114)
Transaction 1 of length 1420
[2005/11/14 19:29:26, 3] smbd/process.c:switch_message(900)
switch message SMBsesssetupX (pid 26813) conn 0x0
[2005/11/14 19:29:26, 3] smbd/sec_ctx.c:set_sec_ctx(288)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_sesssetup_and_X(751)
wct=12 flg2=0xc807
[2005/11/14 19:29:26, 2] smbd/sesssetup.c:setup_new_vc_session(704)
setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_sesssetup_and_X_spnego(588)
Doing spnego session setup
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_sesssetup_and_X_spnego(619)
NativeOS=[Windows 2002 Service Pack 2 2600] NativeLanMan=[Windows 2002 5.1] PrimaryDomain=
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_spnego_negotiate(480)
Got OID 1 2 840 48018 1 2 2
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_spnego_negotiate(480)
Got OID 1 2 840 113554 1 2 2
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_spnego_negotiate(480)
Got OID 1 3 6 1 4 1 311 2 2 10
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_spnego_negotiate(483)
Got secblob of size 1189
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_spnego_kerberos(179)
Ticket name is [DENNIS$@EXOZETBERLIN.XOZ]
[2005/11/14 19:29:26, 1] smbd/sesssetup.c:reply_spnego_kerberos(263)
Username EXOZETBERLIN/DENNIS$ is invalid on this system
[2005/11/14 19:29:26, 3] smbd/error.c:error_packet(147)
error packet at smbd/sesssetup.c(267) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE
[2005/11/14 19:29:26, 3] smbd/process.c:process_smb(1114)
Transaction 2 of length 1560
[2005/11/14 19:29:26, 3] smbd/process.c:switch_message(900)
switch message SMBsesssetupX (pid 26813) conn 0x0
[2005/11/14 19:29:26, 3] smbd/sec_ctx.c:set_sec_ctx(288)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_sesssetup_and_X(751)
wct=12 flg2=0xc807
[2005/11/14 19:29:26, 2] smbd/sesssetup.c:setup_new_vc_session(704)
setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_sesssetup_and_X_spnego(588)
Doing spnego session setup
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_sesssetup_and_X_spnego(619)
NativeOS=[Windows 2002 Service Pack 2 2600] NativeLanMan=[Windows 2002 5.1] PrimaryDomain=
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_spnego_negotiate(480)
Got OID 1 2 840 48018 1 2 2
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_spnego_negotiate(480)
Got OID 1 2 840 113554 1 2 2
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_spnego_negotiate(480)
Got OID 1 3 6 1 4 1 311 2 2 10
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_spnego_negotiate(483)
Got secblob of size 1329
[2005/11/14 19:29:27, 3] smbd/sesssetup.c:reply_spnego_kerberos(179)
Ticket name is [dgalander@EXOZETBERLIN.XOZ]
[2005/11/14 19:29:27, 1] smbd/sesssetup.c:reply_spnego_kerberos(263)
Username EXOZETBERLIN/dgalander is invalid on this system <<< diese Zeile scheint sehr wichtig!!!

[2005/11/14 19:29:27, 3] smbd/error.c:error_packet(147)
error packet at smbd/sesssetup.c(267) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE
[2005/11/14 19:29:27, 3] smbd/process.c:timeout_processing(1366)
timeout_processing: End of file from client (client has disconnected).
[2005/11/14 19:29:27, 3] smbd/sec_ctx.c:set_sec_ctx(288)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2005/11/14 19:29:27, 2] smbd/server.c:exit_server(608)
Closing connections
[2005/11/14 19:29:27, 3] smbd/connection.c:yield_connection(69)
Yielding connection to
[2005/11/14 19:29:27, 3] smbd/server.c:exit_server(652)
Server exit (normal exit)


Und ich erhalte das Anmeldefenster... wie immer! ;)

Die nsswitch.conf habe ich auch auf "files winbind" angepasst... muss ich eigentlich auch in der pam.d noch weitere Anpassungen machen?

Und noch 'ne Frage: warum loggt Kerberos nichts, obwohl ich Angaben unter [logging] gemacht habe? Die Dateien sind leer...

Gruß
Dennis
2795
2795 15.11.2005 um 13:27:31 Uhr
Goto Top
Hi,

ich arbeite im Augenblick mit SUSE 9.2 und Samba 3.0.x.
So wie du das Problem schilderst würde ich zwei Sachen prüfen

1. Gibt es den User als SambaUser?
2. Und wird die Gruppenstruktur aus der ADS auf dem LINUX-Server wiedergespiegelt?


Kerl
Balubaer
Balubaer 15.11.2005 um 15:02:21 Uhr
Goto Top
Hi Kerl,

1. der Witz an der Sache soll ja grade sein, dass Samba nicht extra 'nen User angelegt bekommen soll, sondern sich den User aus der AD holt, sonst könnte ich mir den ganzen Aufwand ja sparen.

2. Ich weiss nicht ganz genau, was Du damit meinst, aber der getent-Befehl funktioniert und zeigt mir dann halt sowohl die lokalen User/Gruppen, wie auch die "gemappten" AD-User/-Gruppen.

Es scheint mir so, als ob das Kerberos-Ticketing richtig funktioniert und Samba die User auch sehen kann, aber sie nicht lokal "anwenden" kann.

Dennis
7036
7036 15.11.2005 um 16:20:00 Uhr
Goto Top
Hi Dennis,

hast du dich um "2. in der smb.conf hast du username map = /etc/samba/smbusers stehen! " gekümmert?

Gruß Siggi
Balubaer
Balubaer 15.11.2005 um 18:25:32 Uhr
Goto Top
Hi Siggi,

ja, dass habe ich sofort nach Deinem Posting gemacht. Hat aber leider auch nicht wirklich geholfen.

Mein Problem ist mittlerweile, dass ich die mögliche/n Fehlerquelle/n nicht wirklich lokalisieren kann und daher nicht genau weiss, wo ich noch nachschauen sollte.

Der Rechner ist in der Domäne (hab ich im AD auf dem Win2k3-Server gesehen) also hat das JOINEN funktioniert. Kann ich daraus schliessen, dass das Kerberos-Ticketing funktioniert?! Schon, oder?

Da das getent mir neben den lokalen, auch die AD-Daten mit ausgibt, kann ich doch auch davon ausgehen, dass winbind sich korrekt mit dem AD-Server unterhalten kann, oder?

Also scheint doch (nach meinem Laien-Verständis) die Kommunikation lokal irgendwie zu haken. (Samba intern? Oder Samba <-> Rest des Linux-Systems?)

Gruß
Dennis
2795
2795 18.11.2005 um 09:19:48 Uhr
Goto Top
Hi,

ich nochmal. Ich habe mehrere Versuche hinter mir zwischen einem Win2003-Server(PDC) und einem Linux-Servermit SAMBA 3.0.9.x über den Eintrag

security = ads

zu vermitteln.

Erfahrungsgemäß benimmt sich aber mein SAMBA-Server wie ein NT4-Server.
Nachdem ich

security = domain

eingetragen habe hats geklappt.


Kerl

Anm.: Ich hatte gehofft das Samba 3.0.20.x die Sache mit dem ADS besser in Griff hat?!
sugo
sugo 16.12.2005 um 21:22:11 Uhr
Goto Top
Also ich habe so ziemlich dasselbe Problem.

kinit funktioniert und klist zeigt ein ticket an.

Samba (habe es mit 3.0.20b und 3.0.21rc2 versucht) ist
nach meinem Dafürhalten richtig konfiguriert.

Der PC ließ sich ohne Problem ins AD hängen und
auch die Winbind Authentifizierung funktioniert
einwandfrei, doch führe ich klist nach dem Anmelden
aus meldet er keine credentials.

Das Samba log meldet einmal in der smb logdatei
das erfolgreiche Anfordern eines Tickets für die Maschine.
Komischerweise meldet die winbind Logdatei wenige
Sekunden später ebenso das Nichvorhandensein eines
Tickets für die Maschine und das erneute Anfordern eines
Tickets für die Maschine.

Eine Anforderung eines Tickets für den Benutzer scheint
nicht zu erfolgen. Die Anmeldung erfolgt wohl mit NTLM.
Verbindungsversuche an ein Share des Win2k3 Servers
verlangen erneut das Passwort (auch logisch da kein
ticket gecached).

Ich tippe nach längerm Probieren doch auf einen Bug
in Samba. Weiß vielleicht jemand ob man in Samba
irgendwie NTLM deaktivieren kann, oder sonst einen
Tip.

Mein System:
Fedora 4 mit neuesten Update
Samba upgedatet auf 3.0.20b und dann auf 3.0.21rc2
Win2k3 DC und Win2k DC, beide als pw-Server getested
7036
7036 20.12.2005 um 13:34:35 Uhr
Goto Top
Hi zusammen,

schaut euch mal diesen Link an. Ist eine deutsche Samba 3.0 Übersetzung mit zahlreichen Howto's

http://gertranssmb3.berlios.de/

Viel Erfolg noch.
Gruß Siggi