Samba, ADS und Anmeldung über 2. ADS-Kontroller
Hi Leute,
ich hab folgendes Problem:
Ich habe eine Win-ADS mit 2 Servern(2003), einer davon ist noch ein PDC-Emulator(Migration von NT4 auf ADS). Läuft alles sauber und stabil.
Beide sind globale Katalog-Server, beide sind DNS und WINS-SERVER.
Dann haben wir noch eine Suse mit Samba 3.0.22 mit ADS Unterstützung.
Die Authentifizierung läuft per winbind. Klappt auch alles super.
Nun zum Problem: wenn der "1. Server der Domäne(den Kontroller, den ich als erstes installiert habe) " ausfällt, spinnt Samba total ab. Erst konnte ich mich sogar unter Linux nicht mehr anmelden, was aber wohl daran liegt, das ich als auth methods nur winbind angeben habe. Das werde ich morgen noch ändern auf winbind files oder winbind compat in der smb.conf. Dann läuft die auth halt über die passwd und die user können zumindest mit dem Samba weiter arbeiten, wenn der Kontroller 1 nicht da ist.
Aber wieso unterhält sich Samba nicht mit dem 2. Kontroller? Wo ist der Schalter versteckt, damit sich Samba mit beiden ADS-Kontrollern unterhalten kann und die auth weiterhin über winbind laufen kann?
hier mal meine Config-Files:
------------------------------------------------------------
/etc/samba # less smb.conf
[global]
workgroup = testdomain
realm = TESTDOMAIN.DE
server string = Samba-Fileserver
security = ADS
password server = *
auth methods = winbind
name resolve order = dns wins hosts
socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY
os level = 33
preferred master = No
local master = no
client use spnego = yes
encrypt passwords = yes
use spnego = yes
wins server = 192.168.1.20
idmap uid = 10000-20000
idmap gid = 10000-20000
template homedir = /vol1/user/%U
template shell = /bin/bash
winbind separator = +
winbind cache time = 10
winbind use default domain = yes
veto files = /*.eml/*.nws/riched20.dll/*.{*}/
valid users = @testdomain+Domänen-Benutzer
etc/krb5.conf:
##Einstellen des REALM
[libdefaults]
default_realm = TESTDOMAIN.DE
clockskew = 300
[realms]
TESTDOMAIN.DE = {
kdc = ADC1.TESTDOMAIN.DE
}
rem admin_server = MY.COMPUTER
rem kpasswd_server = MY.COMPUTER
rem }
rem OTHER.REALM = {
rem kdc = OTHER.COMPUTER
rem }
[domain_realm]
.kerberos.server = TESTDOMAIN.DE
[logging]
default = SYSLOG:NOTICE:DAEMON
kdc = FILE:/var/log/kdc.log
kadmind = FILE:/var/log/kadmind.log
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}
/etc/nsswitch.conf
rem passwd: files nis
rem shadow: files nis
rem group: files nis
passwd: files winbind
group: files winbind
hosts: files wins dns
networks: files wins dns
services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files
publickey: files
/etc/pam.d/samba
#%PAM-1.0
auth required pam_unix.so
account required pam_unix.so
?
Vielen Dank schon mal vorab für eure Hilfe
romann000
ich hab folgendes Problem:
Ich habe eine Win-ADS mit 2 Servern(2003), einer davon ist noch ein PDC-Emulator(Migration von NT4 auf ADS). Läuft alles sauber und stabil.
Beide sind globale Katalog-Server, beide sind DNS und WINS-SERVER.
Dann haben wir noch eine Suse mit Samba 3.0.22 mit ADS Unterstützung.
Die Authentifizierung läuft per winbind. Klappt auch alles super.
Nun zum Problem: wenn der "1. Server der Domäne(den Kontroller, den ich als erstes installiert habe) " ausfällt, spinnt Samba total ab. Erst konnte ich mich sogar unter Linux nicht mehr anmelden, was aber wohl daran liegt, das ich als auth methods nur winbind angeben habe. Das werde ich morgen noch ändern auf winbind files oder winbind compat in der smb.conf. Dann läuft die auth halt über die passwd und die user können zumindest mit dem Samba weiter arbeiten, wenn der Kontroller 1 nicht da ist.
Aber wieso unterhält sich Samba nicht mit dem 2. Kontroller? Wo ist der Schalter versteckt, damit sich Samba mit beiden ADS-Kontrollern unterhalten kann und die auth weiterhin über winbind laufen kann?
hier mal meine Config-Files:
------------------------------------------------------------
/etc/samba # less smb.conf
[global]
workgroup = testdomain
realm = TESTDOMAIN.DE
server string = Samba-Fileserver
security = ADS
password server = *
auth methods = winbind
name resolve order = dns wins hosts
socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY
os level = 33
preferred master = No
local master = no
client use spnego = yes
encrypt passwords = yes
use spnego = yes
wins server = 192.168.1.20
idmap uid = 10000-20000
idmap gid = 10000-20000
template homedir = /vol1/user/%U
template shell = /bin/bash
winbind separator = +
winbind cache time = 10
winbind use default domain = yes
veto files = /*.eml/*.nws/riched20.dll/*.{*}/
valid users = @testdomain+Domänen-Benutzer
etc/krb5.conf:
##Einstellen des REALM
[libdefaults]
default_realm = TESTDOMAIN.DE
clockskew = 300
[realms]
TESTDOMAIN.DE = {
kdc = ADC1.TESTDOMAIN.DE
}
rem admin_server = MY.COMPUTER
rem kpasswd_server = MY.COMPUTER
rem }
rem OTHER.REALM = {
rem kdc = OTHER.COMPUTER
rem }
[domain_realm]
.kerberos.server = TESTDOMAIN.DE
[logging]
default = SYSLOG:NOTICE:DAEMON
kdc = FILE:/var/log/kdc.log
kadmind = FILE:/var/log/kadmind.log
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}
/etc/nsswitch.conf
rem passwd: files nis
rem shadow: files nis
rem group: files nis
passwd: files winbind
group: files winbind
hosts: files wins dns
networks: files wins dns
services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files
publickey: files
/etc/pam.d/samba
#%PAM-1.0
auth required pam_unix.so
account required pam_unix.so
?
Vielen Dank schon mal vorab für eure Hilfe
romann000
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 36786
Url: https://administrator.de/forum/samba-ads-und-anmeldung-ueber-2-ads-kontroller-36786.html
Ausgedruckt am: 22.12.2024 um 23:12 Uhr
1 Kommentar