romann000
Goto Top

Samba, ADS und Anmeldung über 2. ADS-Kontroller

Hi Leute,

ich hab folgendes Problem:

Ich habe eine Win-ADS mit 2 Servern(2003), einer davon ist noch ein PDC-Emulator(Migration von NT4 auf ADS). Läuft alles sauber und stabil.

Beide sind globale Katalog-Server, beide sind DNS und WINS-SERVER.

Dann haben wir noch eine Suse mit Samba 3.0.22 mit ADS Unterstützung.

Die Authentifizierung läuft per winbind. Klappt auch alles super.

Nun zum Problem: wenn der "1. Server der Domäne(den Kontroller, den ich als erstes installiert habe) " ausfällt, spinnt Samba total ab. Erst konnte ich mich sogar unter Linux nicht mehr anmelden, was aber wohl daran liegt, das ich als auth methods nur winbind angeben habe. Das werde ich morgen noch ändern auf winbind files oder winbind compat in der smb.conf. Dann läuft die auth halt über die passwd und die user können zumindest mit dem Samba weiter arbeiten, wenn der Kontroller 1 nicht da ist.

Aber wieso unterhält sich Samba nicht mit dem 2. Kontroller? Wo ist der Schalter versteckt, damit sich Samba mit beiden ADS-Kontrollern unterhalten kann und die auth weiterhin über winbind laufen kann?

hier mal meine Config-Files:
------------------------------------------------------------
/etc/samba # less smb.conf

[global]
workgroup = testdomain
realm = TESTDOMAIN.DE
server string = Samba-Fileserver
security = ADS
password server = *
auth methods = winbind
name resolve order = dns wins hosts
socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY
os level = 33
preferred master = No
local master = no
client use spnego = yes
encrypt passwords = yes
use spnego = yes
wins server = 192.168.1.20
idmap uid = 10000-20000
idmap gid = 10000-20000
template homedir = /vol1/user/%U
template shell = /bin/bash
winbind separator = +
winbind cache time = 10
winbind use default domain = yes
veto files = /*.eml/*.nws/riched20.dll/*.{*}/
valid users = @testdomain+Domänen-Benutzer



etc/krb5.conf:

##Einstellen des REALM
[libdefaults]
default_realm = TESTDOMAIN.DE
clockskew = 300

[realms]
TESTDOMAIN.DE = {
kdc = ADC1.TESTDOMAIN.DE
}
rem admin_server = MY.COMPUTER
rem kpasswd_server = MY.COMPUTER
rem }
rem OTHER.REALM = {
rem kdc = OTHER.COMPUTER
rem }

[domain_realm]
.kerberos.server = TESTDOMAIN.DE

[logging]
default = SYSLOG:NOTICE:DAEMON
kdc = FILE:/var/log/kdc.log
kadmind = FILE:/var/log/kadmind.log

[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}



/etc/nsswitch.conf

rem passwd: files nis
rem shadow: files nis
rem group: files nis

passwd: files winbind
group: files winbind


hosts: files wins dns
networks: files wins dns

services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files
publickey: files

/etc/pam.d/samba


#%PAM-1.0
auth required pam_unix.so
account required pam_unix.so

?


Vielen Dank schon mal vorab für eure Hilfe

romann000

Content-ID: 36786

Url: https://administrator.de/contentid/36786

Ausgedruckt am: 09.11.2024 um 00:11 Uhr

romann000
romann000 31.07.2006 um 13:26:41 Uhr
Goto Top
Hi an Alle,

mit ein bisschen Testen hab ich den passenden Schalter gefunden.

Man trägt unter realms bei
[realms]
TESTDOMAIN.DE = {
kdc = ADC1.TESTDOMAIN.DE
kdc = ADC2.TESTDOMAIN.DE
}

einfach noch einen 2. Server ein.

Manchmal ist es doch so einfach.....

mfg
romann000