wild-wolf
Goto Top

Samba 3 + LDAP zu Samba 4

Hallo liebe Mitstreiter.
Ich habe ein Problem, was mich seid mehreren Tagen die Haare raufen lässt.

Ich muss einen Samba 3 DC In Place auf einen Samba 4 migrieren.
Ich habe auch schon diverse Anleitungen durchprobiert. Und komme immer nur bis zu dem Punkt, wo ich folgendes Ausführen soll:

  1. samba-tool domain classicupgrade --dbdir=/usr/local/samba.PDC/dbdir/ --use-xattrs=yes --realm=samdom.example.com --dns-backend=SAMBA_INTERNAL /usr/local/samba.PDC/etc/smb.PDC.conf

Allerdings bekomme ich dann die Meldung, das dieses Tool nicht existiert. Wenn ich jetzt noch zusätzlich das Paket "sernet-samba-ad" installiere, ist zwar das Tool vorhanden, allerdings wird damit auch slapd deinstalliert.
Wenn ich dann den Befehl ausführe, erhalte ich die Meldung: Error: Can't contact LDAP server

Was mache ich falsch?
Es muss doch irgendeine Möglichkeit geben ...

Content-ID: 254740

Url: https://administrator.de/contentid/254740

Ausgedruckt am: 05.11.2024 um 19:11 Uhr

Gersen
Gersen 13.11.2014, aktualisiert am 14.11.2014 um 00:43:19 Uhr
Goto Top
Hallo,

samba-tool ist nmM ein Bestandteil von Samba 4.

Das Paket "sernet-samba-ad" deinstalliert slapd, weil "Samba Active Directory will start its own LDAP server". Die Installation per Paket ist nicht so ohne. Du kannst "sernet-samba-ad" installieren, Samba stoppen, die hier beschriebenen Anpassungen vornehmen, slapd dann wieder installieren und starten, das Upgrade vornehmen. Dann ist die Frage, ob Du slapd weiterhin verwenden willst oder den in SAMBA integrierten LDAP-Server verwenden willst (in dem Fall die Anpassungen rückgängig machen und slapd deinstallieren).

Gruß,
Gersen
Wild-Wolf
Wild-Wolf 14.11.2014 um 09:04:53 Uhr
Goto Top
THX. Bin schon einen Schritt weiter.

Jetzt kommt das:

Reading smb.conf
Provisioning
Exporting account policy
Exporting groups
Ignoring group 'Administrators' S-1-5-32-544 listed but then not found: Unable to enumerate members for alias, (-1073741487,NT_STATUS_NO_SUCH_ALIAS)
Ignoring group 'Account Operators' S-1-5-32-548 listed but then not found: Unable to enumerate members for alias, (-1073741487,NT_STATUS_NO_SUCH_ALIAS)
Ignoring group 'Print Operators' S-1-5-32-550 listed but then not found: Unable to enumerate members for alias, (-1073741487,NT_STATUS_NO_SUCH_ALIAS)
Ignoring group 'Backup Operators' S-1-5-32-551 listed but then not found: Unable to enumerate members for alias, (-1073741487,NT_STATUS_NO_SUCH_ALIAS)
Ignoring group 'Replicators' S-1-5-32-552 listed but then not found: Unable to enumerate members for alias, (-1073741487,NT_STATUS_NO_SUCH_ALIAS)
Exporting users
Skipping wellknown rid=500 (for username=root)
Next rid = 101045
Failed to connect to ldap URL 'ldap:ex.example.local' - LDAP client internal error: NT_STATUS_BAD_NETWORK_NAME
Failed to connect to 'ldap:
ex.example.local' with backend 'ldap': (null)
ERROR(<type 'exceptions.NameError'>): uncaught exception - global name 'ProvisiongError' is not defined
File "/usr/lib/python2.6/dist-packages/samba/netcmd/__init__.py", line 175, in _run
return self.run(*args, **kwargs)
File "/usr/lib/python2.6/dist-packages/samba/netcmd/domain.py", line 1321, in run
useeadb=eadb, dns_backend=dns_backend, use_ntvfs=use_ntvfs)
File "/usr/lib/python2.6/dist-packages/samba/upgrade.py", line 801, in upgrade_from_samba3
raise ProvisiongError("Could not open ldb connection to %s, the error message is: %s" % (url, e))
Gersen
Gersen 14.11.2014 um 09:56:58 Uhr
Goto Top
In einem Post, dessen Fehlermeldung Deiner ziemlich nahe kommt, wird als Workaround empfohlen, in der smb.conf für den LDAP nicht den DNS-Namen, sondern die IP zu verwenden.

Gruß,
Gersen
Wild-Wolf
Wild-Wolf 14.11.2014 um 13:02:33 Uhr
Goto Top
Super das scheint zu gehen.
Nur was mich wundert, dass es nach "Commiting 'add users to groups' transaction to disk" nicht weitergeht.

Das steht bestimmt schon über 30 min da.
Laut Anleitung sollte das kommen: Setting password for administrator
Gersen
Gersen 14.11.2014 um 13:23:33 Uhr
Goto Top
Du kannst dem Befehl "samba-tool" mittels -d einen Debuglevel mitgeben, der vielleicht besser zeigt, ob sich da was (wenn ja, was) tut. 0 = kaum Ausgaben, 10 = furchtbar...
Wild-Wolf
Wild-Wolf 14.11.2014 aktualisiert um 14:29:42 Uhr
Goto Top
Also wenn ich mit -d 5 laufen lasse, kommt diese Meldung in schleife:
Finding user Administrator
Trying _Get_Pwnam(), username as lowercase is administrator
Trying _Get_Pwnam(), username as given is Administrator
Trying _Get_Pwnam(), username as uppercase is ADMINISTRATOR
Checking combinations of 0 uppercase letters in administrator
Get_Pwnam_internals didn't find user [Administrator]!

und mit d2 hängt es bei

Processing section "[netlogon]"
Processing section "[sysvol]"
Module 'acl_xattr' loaded
connect_acl_xattr: setting 'inherit acls = true' 'dos filemode = true' and 'force unknown acl user = true' for service Unknown Service (snum == -1)
connect_acl_xattr: setting 'inherit acls = true' 'dos filemode = true' and 'force unknown acl user = true' for service Unknown Service (snum == -1)
Processing section "[netlogon]"
Processing section "[sysvol]"
connect_acl_xattr: setting 'inherit acls = true' 'dos filemode = true' and 'force unknown acl user = true' for service sysvol
Gersen
Gersen 14.11.2014 um 16:54:58 Uhr
Goto Top
Gibts denn in Deinem alten LDAP einen Nutzer "Administrator"?

Btw: Hier ist auch noch ein sinnvolles How-To, insbesondere zu Prüfungen vorab. Du musst Dir nur die Gentoo-spezifischen Teile rausdenken...
Wild-Wolf
Wild-Wolf 17.11.2014 aktualisiert um 11:59:37 Uhr
Goto Top
Also im LDAP sehe ich ihn net, aber mit pdbedit -Lv existiert der angeblich