21.04.2016

7532

Ubuntu-Server in AD - Winbind

Hallo zusammen,

ich versuche seit mehreren Tagen, einen Ubuntu 14.04-Server in eine Microsoft AD-Domain zu bekommen (s. Anleitung Samba Winbind.
Das Beitreten ist mir lt. Anzeige der Console des Linus-Servers und Anzeige des Servers im DC auch gelungen

Using short domain name -- PIRATEN
Joined 'PIRAT-WEB-01' to dns domain 'piraten.local'  

Allerdings bekomme ich weder die Domainunser (via wbinfo -u), noch die Gruppen innerhalb der Domain (wbinfo -g), angezeigt, sondern nur die Fehlermeldungen

root@Pirat-Web-01:~# wbinfo -u
Error looking up domain users
root@Pirat-Web-01:~# wbinfo -g
failed to call wbcListGroups: WBC_ERR_DOMAIN_NOT_FOUND
Error looking up domain groups

nachfolgend die smb.conf und die krb5.conf.

smb.conf

[global]
  security = ads	
  realm = PIRATEN.LOCAL
  password server = 192.168.1.12   
  workgroup = PIRATEN
  idmap uid = 10000-20000
  idmap gid = 10000-20000
  winbind enum users = yes
  winbind enum groups = yes
  winbind cache time = 10
  winbind use default domain = yes
  template homedir = /home/%U
  template shell = /bin/bash
  client use spnego = yes
  client ntlmv2 auth = yes
  encrypt passwords = yes
  restrict anonymous = 2
  domain master = no
  local master = no
  preferred master = no
  os level = 0

krb5.conf

[logging]
    default = FILE:/var/log/krb5.log

[libdefaults]
    ticket_lifetime = 24000
    clock_skew = 300
    default_realm = PIRATEN.LOCAL

[realms]
    PIRATEN.LOCAL = {
        kdc = 192.168.1.12:88
        admin_server = 192.168.1.12:464
        default_domain = PIRATEN.LOCAL
    }

[domain_realm]
    .piraten.local = PIRATEN.LOCAL
    piraten.local = PIRATEN.LOCAL

Ich hoffe auf eure Unterstützung!
Besten Dank,
Caspi

Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben

Content-ID: 302462

Url: https://administrator.de/contentid/302462

Ausgedruckt am: 22.11.2024 um 04:11 Uhr

16 Kommentare

Neuester Kommentar

Hi Caspi,
da ich grad auf der Flucht bin, vergleiche dein Vorgehen mit den Punkten 1-3 aus dieser Anleitung.
Die Rahmenbedingungen wie Betriebssystem als auch Version sind identisch.

Gruß,
Dani

Weitere Infos auch hier:
Netzwerk Management Server mit Raspberry Pi

Hi Dani,

besten Dank erst mal für deine Unterstützung.
Bin strikt nach der Anleitung vorgegangen, leider bekomme ich aber beim Punkt 2.8 (Funktionstest) den selben Fehler, wie auch in meiner Ausgangs-Config

root@Pirat-Web-01:~# wbinfo -t
checking the trust secret for domain WORKGROUP via RPC calls failed
wbcCheckTrustCredentials(WORKGROUP): error code was NT_STATUS_NO_SUCH_DOMAIN (0xc00000df)
failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR
Could not check secret
root@Pirat-Web-01:~# wbinfo -u
Error looking up domain users
root@Pirat-Web-01:~# wbinfo -g
failed to call wbcListGroups: WBC_ERR_DOMAIN_NOT_FOUND
Error looking up domain group

Gruß,
Caspi

PS: gegenseitiges Pingen über IP und DNS funktioniert!

Warum hast Du die Ports

kdc = 192.168.1.12:88
admin_server = 192.168.1.12:464

umgebogen?

Moin,

Die Links aus dem Forum hast du von den Kollegen ja schon erhalten.

Ich hatte damals bei Ubuntu auch ein paar Probleme, was für einen DC verwendest du?
Bei unseren 2012R2 DCs musste der Dienst "srv.sys" erst gestartet werden.

So kannst du schauen ob der Dienst überhaupt läuft:

sc query srv

Weitere Fragen:

Wie sieht deine nsswitch.conf aus?
Wie sieht deine resolv.conf aus?

Hier mal meine Config die auf einem Centos 7 läuft:

   workgroup = DOMAIN
   password server = DC.DOMAIN.LOCAL
   realm = DOMAIN.LOCAL
   security = ads
   idmap config * : range = 16777216-33554431
   template shell = /bin/sh
   kerberos method = secrets and keytab
   winbind use default domain = false
   winbind offline logon = true

VG
Val

@ Looser27,

das Portverbiegen war lt. der eingangs angesprochenen Anleitung so beschrieben (Samba Winbind
Habe das aber im ersten Step gerade gezogen - leider ohne Erfolg.

@ Valexus,

ich nutze eine SBS 2011, also eine gepimpten 2008R2.

Der "srv.sys" läuft

nsswitch.conf

# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:  
# `info libc "Name Service Switch"' for information about this file.  

passwd:         compat winbind
group:          compat winbind
shadow:         compat 

hosts:          files dns mdns4

networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

resolv.conf

# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
search PIRATEN.LOCAL
nameserver 192.168.1.12

Gruß,
Caspi

Die oben zitierte Anleitung ist mit einem Windows 2008 R2 erfolgreich getestet.

Hallo,

hosts: files dns mdns4

Das mdns4 muss raus bei .LOCAL nur files und dns darf da stehen, sonst gibt es Probleme mit dem auflösen über DNS.
Akternativ alles in der /etc/hosts eintragen aber das ist ja icht sinn der sache.

[global]

workgroup = PIRATEN
realm = piraten.local
security = ADS
winbind refresh tickets = Yes

idmap config * : backend = rid
idmap config * : range = 100000-1000000000
idmap config * : base_rid = 0

template shell = /bin/bash
winbind use default domain = Yes
winbind enum users = Yes
winbind enum groups = Yes
winbind nested groups = Yes
winbind expand groups = 10
client use spnego = yes
client max protocol = SMB3
encrypt passwords = true
nt acl support = yes
follow symlinks = yes
wide links = yes
unix extensions = no
load printers = no
smb ports = 445

Versuch das mal für Deinen Globalen Teil.
Ein Eintrag bei den Pams muss noch gemacht werden und über xrdp wäre dan auch eine Anmeldung von Windowsusern möglich.
Ein richtiger Join ist natürlich Notwendig

Gruß

Chonta

Hallo Chonta,

danke erst mal, leider hat aber auch diese Anpassung nix gebracht.
Habe jetzt die smb.conf mit deinem Inhalt gefüllt, bekomme aber nach wie vor die selbe Fehlermeldung, wie eingangs bzw. zwischendurch beschrieben.

root@Pirat-Web-01:~# wbinfo -t
checking the trust secret for domain WORKGROUP via RPC calls failed
wbcCheckTrustCredentials(WORKGROUP): error code was NT_STATUS_NO_SUCH_DOMAIN (0xc00000df)
failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR
Could not check secret
root@Pirat-Web-01:~# wbinfo -u
Error looking up domain users
root@Pirat-Web-01:~# wbinfo -g
failed to call wbcListGroups: WBC_ERR_DOMAIN_NOT_FOUND
Error looking up domain group

Die Anpassung an der nsswitch.conf habe ich gemacht, winbind und samba gestoppt und neu gestartet.

Sind ggf. noch weitere Anpassungen am DC notwendig?
Davon habe ich bisher allerdings nirgends etwas gelesen...

Gruß,
Caspi

Bist Du denn auch mit:

net ads join -U Administrator

der Domäne richtig beigetreten?

Das gemacht?

/etc/init.d/samba restart && /etc/init.d/winbind restart

Und den Server als ganzes schonmal neu gestartet?
Verwende die einstellungen seit 2003 DC und jetzt an einem 2012R2 DC von daher.

Gruß

Chonta

ja, bin der Domain erfolgreich (ohne Fehlermeldung) beigetreten und hab auch Samba und Winbind restarted.

Was mich verwundert ist der Hinweis bei wbinfo -g:

"...for domain WORKGROUP"

Aber die Domain heißt nicht WORKGROUP...
Dann der Fehler ggf. noch woanders her kommen (statische Config der NW-Karte oder ähnliches)?
Hab z.B. unter der Network connections noch eine zweite Schnittstelle, die ich nicht (bewusst) eingerichtet habe und noch nie genutzt habe...

Beim Domain-Beitritt wird die korrekte Domain jedoch angezeigt...

Gruß,
Caspi

okay, den zweiten Eintrag hab ich weg bekommen.
War ein Fehler im Network-Manager

Hat denn sonst noch jemand eine Idee?

Danke für eure Unterstützung.
Gruß, caspi

Zitat von @caspi-pirna:

Hat denn sonst noch jemand eine Idee?

Danke für eure Unterstützung.
Gruß, caspi

Fang nochmal mit einem frisch installierten Ubuntu an. Und dann Schritt für Schritt nach oben genannter Anleitung.

Trit mit dem Befehl den ich gepostet habe der Domäne nochmal bei, VORHER das Konto zurücksetzen und auf dem Linux Server den von mir genannten Eintrag für DNS berichtigen.

Und ggf auch den Server als gesamtes neu starten.
Habe bei einigen sambainstallationen das Problem gehabt das bis zu nach einem Gesamtneustart nix gehen wollte obwohl alles richtig war und die sambadienste auch neu gestartet wurden.

Gruß

Chonta

Hallo Chonta,

ich habe mich gestern Abend nochmal drüber gemacht - gestartet mit der allzeit gültigen Aussage REBOOT TUT GUT.
Und so war es auch. nach einem Reboot aller beteiligten Rechner / Server funktionierte die ganze Konstellation wie gewünscht!

Besten Dank für eure Unterstützung!

Schönen Sonntag noch!
Caspi

gelöst Frage Linux Samba

Mehr von caspi-pirna

Konverter PoE-RJ45 auf LWLcaspi-pirna - 3 Kommentare

Server fährt herunter, anstatt neu zu startencaspi-pirna - 14 Kommentare

Ubuntu 18.04 LTS: Aktualisierung LetsEncrypt- Zertifikate nicht möglichcaspi-pirna - 12 Kommentare

Ubuntu 18.04: Nach Upgrade von 16.04 startet Apache nicht mehrcaspi-pirna - 11 Kommentare

Heiß diskutiert