5
Samba und LDAP
Hallo Zusammen,
ich versuche gerade einen PDC mit Samba und LDAP als PasswortBackend aufzubauen.
Die Freigaben sind über die LDAP Kennungen erreichbar und auch die Gruppen Zuordnung ist kein Problem.
Mein Problem ist das Anmelden an der Domain.
Ich konnte mit einem Admin Account zwar in die Domain Join aber ich kann mich mit meinem Windows 7 Rechner nicht anmelden.
Wenn ich versuche mich mit dem Benutzer anzumelden mit dem ich beigetreten bin bekommen ich von Windows diese Meldung:
Die Anmeldung der Dienstes "Benutzerprofildienst" ist fehlgeschlagen. Das Benutzerprofil kann nicht geladen werden"
wenn ich mich mit einem Benutzer anmelde der die selben Rechte hat bekomme ich als Fehlermeldung:" Ein an das System angeschlossenen Gerät funktioniert nicht Einwand frei".
Wenn ich auf dem Server ein net rpc testjoin mache bekomme ich diese Antwort:
Failed to open /var/lib/samba/secrets.tdb
Failed to open /var/lib/samba/secrets.tdb
Failed to open /var/lib/samba/secrets.tdb
Failed to open /var/lib/samba/secrets.tdb
get_schannel_session_key: could not fetch trust account password for domain 'TESTDOMAIN'
net_rpc_join_ok: failed to get schannel session key from server PDC-SERVER for domain TESTDOMAIN. Error was NT_STATUS_CANT_ACCESS_DOMAIN_INFO
Join to domain 'TESTDOMAIN' is not valid: NT_STATUS_CANT_ACCESS_DOMAIN_INFO
Wo liegt das Problem?
Und was kann ich dagegen tun?
Was braucht Ihr? SMB.CONF? Logs?
Vielen Dank für eure Hilfe!
ich versuche gerade einen PDC mit Samba und LDAP als PasswortBackend aufzubauen.
Die Freigaben sind über die LDAP Kennungen erreichbar und auch die Gruppen Zuordnung ist kein Problem.
Mein Problem ist das Anmelden an der Domain.
Ich konnte mit einem Admin Account zwar in die Domain Join aber ich kann mich mit meinem Windows 7 Rechner nicht anmelden.
Wenn ich versuche mich mit dem Benutzer anzumelden mit dem ich beigetreten bin bekommen ich von Windows diese Meldung:
Die Anmeldung der Dienstes "Benutzerprofildienst" ist fehlgeschlagen. Das Benutzerprofil kann nicht geladen werden"
wenn ich mich mit einem Benutzer anmelde der die selben Rechte hat bekomme ich als Fehlermeldung:" Ein an das System angeschlossenen Gerät funktioniert nicht Einwand frei".
Wenn ich auf dem Server ein net rpc testjoin mache bekomme ich diese Antwort:
Failed to open /var/lib/samba/secrets.tdb
Failed to open /var/lib/samba/secrets.tdb
Failed to open /var/lib/samba/secrets.tdb
Failed to open /var/lib/samba/secrets.tdb
get_schannel_session_key: could not fetch trust account password for domain 'TESTDOMAIN'
net_rpc_join_ok: failed to get schannel session key from server PDC-SERVER for domain TESTDOMAIN. Error was NT_STATUS_CANT_ACCESS_DOMAIN_INFO
Join to domain 'TESTDOMAIN' is not valid: NT_STATUS_CANT_ACCESS_DOMAIN_INFO
Wo liegt das Problem?
Und was kann ich dagegen tun?
Was braucht Ihr? SMB.CONF? Logs?
Vielen Dank für eure Hilfe!
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 250470
Url: https://administrator.de/forum/samba-und-ldap-250470.html
Ausgedruckt am: 14.03.2025 um 16:03 Uhr
5 Kommentare
Neuester Kommentar
Hallo,
da Du noch am Anfang stehst, steig auf SAMBA4 um. Das bringt ein echtes AD mit und läßt sich auch wie ein Windows DC administrieren.
Noch btrfs als Dateisystem für Samba installation und die Freigaben und Du hast eine tolle Lösung.
Gruß
Chonta
da Du noch am Anfang stehst, steig auf SAMBA4 um. Das bringt ein echtes AD mit und läßt sich auch wie ein Windows DC administrieren.
Noch btrfs als Dateisystem für Samba installation und die Freigaben und Du hast eine tolle Lösung.
Gruß
Chonta
Hallo ,
bei wikiubuntu gibt es eine hervoragende Anleitung.
http://wiki.ubuntuusers.de/Samba_Server_PDC?redirect=no
Wenn Du nach der Anleitung vorgehst sollte alles klappen.
Die Fehlermeldung sagt ja Testdomain ist not valid.
Also bestimt ein Fehler in der smb.conf
Gruss
bei wikiubuntu gibt es eine hervoragende Anleitung.
http://wiki.ubuntuusers.de/Samba_Server_PDC?redirect=no
Wenn Du nach der Anleitung vorgehst sollte alles klappen.
Die Fehlermeldung sagt ja Testdomain ist not valid.
Also bestimt ein Fehler in der smb.conf
Gruss
Ja Samba 4 wäre einem Lösung aber ich bin mir da noch zu unsicher was LDAP angeht daher vorerst Samba 3 und sobald die Hardware getauscht ist, die DNS Server in den einzelnen Netzen installiert sind und die Zentralen Dienste wie LDAP und der DNS Server funktioniert werde ich auch SAMBA 4 und AD in Angriff nehmen. Aber leider sind im Moment noch zu viele Baustellen die voher noch gechlossen werden müssen. Momentan Scheitert es vorallen an der entsprechenden Hardware und an den DSL Leitungen (aber das ist eine anderes Thema, also vorerst einen ganz normalen PDC mit Samba 3 und LDAP (zentral) als Backend)
Hier die smb.conf:
Ich bin jetzt nicht so 100% sicher was den Umgang mit der SMB.Conf angeht... Ich finde den Fehler nicht...
und übrigens im LDAP ist sowohl die Domain als auch der PC sauber hinterlegt.
[global]
workgroup = TESTDOMAIN
netbios name = PDC-SERVER
deadtime = 10
log level = 1
log file = /var/log/samba/log.%m
max log size = 5000
debug pid = yes
debug uid = yes
syslog = 0
utmp = yes
security = user
lanman auth = yes
client lanman auth = yes
client plaintext auth = yes
domain logons = yes
os level = 65
logon path =
logon home =
logon drive = K:
logon script =
preferred master = yes
passdb backend = ldapsam:"ldap://ldap.fritz.box/"
ldap ssl = off
ldap admin dn = cn=admin,dc=ldap,dc=fritz,dc=box
ldap delete dn = no
## Sync UNIX password with Samba password
## Method 1:
ldap password sync = yes
## Method 2:
;ldap password sync = no
;unix password sync = yes
;passwd program = /usr/sbin/smbldap-passwd -u '%u'
;passwd chat = "Changing *\nNew password*" %n\n "*Retype new password*" %n\n"
ldap suffix = dc=ldap,dc=fritz,dc=box
ldap user suffix = ou=Users
ldap machine suffix = ou=Computers
ldap idmap suffix = ou=Idmap
add user script = /usr/sbin/smbldap-useradd -m '%u' -t 1
rename user script = /usr/sbin/smbldap-usermod -r '%unew' '%uold'
delete user script = /usr/sbin/smbldap-userdel '%u'
set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'
add group script = /usr/sbin/smbldap-groupadd -p '%g'
delete group script = /usr/sbin/smbldap-groupdel '%g'
add user to group script = /usr/sbin/smbldap-groupmod -m '%u' '%g'
delete user from group script = /usr/sbin/smbldap-groupmod -x '%u' '%g'
add machine script = /usr/sbin/smbldap-useradd -w '%u' -t 1
[NETLOGON]
path = /var/lib/samba/netlogon
browseable = no
share modes = no
[homes]
comment = Home Directories
valid users = %S, %D%w%S
browseable = No
read only = No
inherit acls = YesIch bin jetzt nicht so 100% sicher was den Umgang mit der SMB.Conf angeht... Ich finde den Fehler nicht...
und übrigens im LDAP ist sowohl die Domain als auch der PC sauber hinterlegt.
Nicht nur eine sondern auch im Falle der Andministration für Windowsclients die bessere und vor allem leichtere (Installation, und Administration)
In meinen Augen eine falsche herangehensweise. Das was Du jetzt mit LDAP machst hilft Dir nachher bei einer Umstellung auf SAMBA4 und AD nicht wirklich außer Du betreibst SAMBA4 als reinen Fileserver mit LDAP-Anbindung und verschenkst die AD Komponente.
SAMBA4 macht neben AD auch DNS und in einer AD-Umgebung andere DNS-Server als die DC/SAMBA4-DC einzusetzen ist keine gute Idee.
Gruß
Chonta
#Nachtrag
ldap://ldap.fritz.box/
Am Anfang erzählst Du was von Testdomain und dann steht in deiner config die fritzbox drin? Das kann nicht gehen.
LDAP oder AD beides braucht ein sauberes DNS mit einem richtigen DNS-Server der von allen Cleints und Servern als DNS-Server verwendet wird.
Bei der Verwendung von .local Domänen müssen bei Linux die wichtigen Server in der /etc/hosts eingetragen sein. Hatte bisher mit .local und Linux immer das Problem das die Namensauflösung nur mit /etc/hosts funktionierte.
aber ich bin mir da noch zu unsicher was LDAP angeht daher vorerst Samba 3
Das MS AD ist zwar an LDAP angeleht aber nicht mit einem anderem LDAP so wirklich kompatibel.und sobald die Hardware getauscht ist, die DNS Server in den einzelnen Netzen installiert sind und die Zentralen Dienste wie LDAP und der DNS
Server funktioniert werde ich auch SAMBA 4 und AD in Angriff nehmen. Aber leider sind im Moment noch zu viele Baustellen die voher
noch gechlossen werden müssen. Momentan Scheitert es vorallen an der entsprechenden Hardware und an den DSL Leitungen (aber
das ist eine anderes Thema, also vorerst einen ganz normalen PDC mit Samba 3 und LDAP (zentral) als Backend)
Server funktioniert werde ich auch SAMBA 4 und AD in Angriff nehmen. Aber leider sind im Moment noch zu viele Baustellen die voher
noch gechlossen werden müssen. Momentan Scheitert es vorallen an der entsprechenden Hardware und an den DSL Leitungen (aber
das ist eine anderes Thema, also vorerst einen ganz normalen PDC mit Samba 3 und LDAP (zentral) als Backend)
In meinen Augen eine falsche herangehensweise. Das was Du jetzt mit LDAP machst hilft Dir nachher bei einer Umstellung auf SAMBA4 und AD nicht wirklich außer Du betreibst SAMBA4 als reinen Fileserver mit LDAP-Anbindung und verschenkst die AD Komponente.
SAMBA4 macht neben AD auch DNS und in einer AD-Umgebung andere DNS-Server als die DC/SAMBA4-DC einzusetzen ist keine gute Idee.
Gruß
Chonta
#Nachtrag
ldap://ldap.fritz.box/
Am Anfang erzählst Du was von Testdomain und dann steht in deiner config die fritzbox drin? Das kann nicht gehen.
LDAP oder AD beides braucht ein sauberes DNS mit einem richtigen DNS-Server der von allen Cleints und Servern als DNS-Server verwendet wird.
Bei der Verwendung von .local Domänen müssen bei Linux die wichtigen Server in der /etc/hosts eingetragen sein. Hatte bisher mit .local und Linux immer das Problem das die Namensauflösung nur mit /etc/hosts funktionierte.
