caspi-pirna
Goto Top

Ubuntu-Server in AD - Winbind

Hallo zusammen,

ich versuche seit mehreren Tagen, einen Ubuntu 14.04-Server in eine Microsoft AD-Domain zu bekommen (s. Anleitung Samba Winbind.
Das Beitreten ist mir lt. Anzeige der Console des Linus-Servers und Anzeige des Servers im DC auch gelungen
Using short domain name -- PIRATEN
Joined 'PIRAT-WEB-01' to dns domain 'piraten.local'  

Allerdings bekomme ich weder die Domainunser (via wbinfo -u), noch die Gruppen innerhalb der Domain (wbinfo -g), angezeigt, sondern nur die Fehlermeldungen
root@Pirat-Web-01:~# wbinfo -u
Error looking up domain users
root@Pirat-Web-01:~# wbinfo -g
failed to call wbcListGroups: WBC_ERR_DOMAIN_NOT_FOUND
Error looking up domain groups

nachfolgend die smb.conf und die krb5.conf.

smb.conf
[global]
  security = ads	
  realm = PIRATEN.LOCAL
  password server = 192.168.1.12   
  workgroup = PIRATEN
  idmap uid = 10000-20000
  idmap gid = 10000-20000
  winbind enum users = yes
  winbind enum groups = yes
  winbind cache time = 10
  winbind use default domain = yes
  template homedir = /home/%U
  template shell = /bin/bash
  client use spnego = yes
  client ntlmv2 auth = yes
  encrypt passwords = yes
  restrict anonymous = 2
  domain master = no
  local master = no
  preferred master = no
  os level = 0


krb5.conf
[logging]
    default = FILE:/var/log/krb5.log

[libdefaults]
    ticket_lifetime = 24000
    clock_skew = 300
    default_realm = PIRATEN.LOCAL

[realms]
    PIRATEN.LOCAL = {
        kdc = 192.168.1.12:88
        admin_server = 192.168.1.12:464
        default_domain = PIRATEN.LOCAL
    }

[domain_realm]
    .piraten.local = PIRATEN.LOCAL
    piraten.local = PIRATEN.LOCAL


Ich hoffe auf eure Unterstützung!
Besten Dank,
Caspi

Content-ID: 302462

Url: https://administrator.de/forum/ubuntu-server-in-ad-winbind-302462.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

Dani
Lösung Dani 21.04.2016 um 11:05:42 Uhr
Goto Top
Hi Caspi,
da ich grad auf der Flucht bin, vergleiche dein Vorgehen mit den Punkten 1-3 aus dieser Anleitung.
Die Rahmenbedingungen wie Betriebssystem als auch Version sind identisch.


Gruß,
Dani
aqui
aqui 21.04.2016 um 11:11:42 Uhr
Goto Top
caspi-pirna
caspi-pirna 21.04.2016 aktualisiert um 11:31:06 Uhr
Goto Top
Hi Dani,

besten Dank erst mal für deine Unterstützung.
Bin strikt nach der Anleitung vorgegangen, leider bekomme ich aber beim Punkt 2.8 (Funktionstest) den selben Fehler, wie auch in meiner Ausgangs-Config
root@Pirat-Web-01:~# wbinfo -t
checking the trust secret for domain WORKGROUP via RPC calls failed
wbcCheckTrustCredentials(WORKGROUP): error code was NT_STATUS_NO_SUCH_DOMAIN (0xc00000df)
failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR
Could not check secret
root@Pirat-Web-01:~# wbinfo -u
Error looking up domain users
root@Pirat-Web-01:~# wbinfo -g
failed to call wbcListGroups: WBC_ERR_DOMAIN_NOT_FOUND
Error looking up domain group

Gruß,
Caspi

PS: gegenseitiges Pingen über IP und DNS funktioniert!
Looser27
Looser27 21.04.2016 um 11:42:56 Uhr
Goto Top
Warum hast Du die Ports

kdc = 192.168.1.12:88
admin_server = 192.168.1.12:464

umgebogen?
119944
Lösung 119944 21.04.2016 um 11:45:58 Uhr
Goto Top
Moin,

Die Links aus dem Forum hast du von den Kollegen ja schon erhalten.

Ich hatte damals bei Ubuntu auch ein paar Probleme, was für einen DC verwendest du?
Bei unseren 2012R2 DCs musste der Dienst "srv.sys" erst gestartet werden.

So kannst du schauen ob der Dienst überhaupt läuft:
sc query srv


Weitere Fragen:
  • Wie sieht deine nsswitch.conf aus?
  • Wie sieht deine resolv.conf aus?


Hier mal meine Config die auf einem Centos 7 läuft:
   workgroup = DOMAIN
   password server = DC.DOMAIN.LOCAL
   realm = DOMAIN.LOCAL
   security = ads
   idmap config * : range = 16777216-33554431
   template shell = /bin/sh
   kerberos method = secrets and keytab
   winbind use default domain = false
   winbind offline logon = true

VG
Val
caspi-pirna
caspi-pirna 21.04.2016 aktualisiert um 12:06:51 Uhr
Goto Top
@ Looser27,

das Portverbiegen war lt. der eingangs angesprochenen Anleitung so beschrieben (Samba Winbind
Habe das aber im ersten Step gerade gezogen - leider ohne Erfolg.

@ Valexus,

ich nutze eine SBS 2011, also eine gepimpten 2008R2.

Der "srv.sys" läuft
svr

nsswitch.conf
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
# If you have the `glibc-doc-reference' and `info' packages installed, try:  
# `info libc "Name Service Switch"' for information about this file.  

passwd:         compat winbind
group:          compat winbind
shadow:         compat 

hosts:          files dns mdns4

networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis


resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
search PIRATEN.LOCAL
nameserver 192.168.1.12

Gruß,
Caspi
Looser27
Looser27 21.04.2016 um 12:29:10 Uhr
Goto Top
Die oben zitierte Anleitung ist mit einem Windows 2008 R2 erfolgreich getestet.
Chonta
Lösung Chonta 21.04.2016 um 12:40:05 Uhr
Goto Top
Hallo,

hosts: files dns mdns4
Das mdns4 muss raus bei .LOCAL nur files und dns darf da stehen, sonst gibt es Probleme mit dem auflösen über DNS.
Akternativ alles in der /etc/hosts eintragen aber das ist ja icht sinn der sache.

[global]

workgroup = PIRATEN
realm = piraten.local
security = ADS
winbind refresh tickets = Yes

idmap config * : backend = rid
idmap config * : range = 100000-1000000000
idmap config * : base_rid = 0

template shell = /bin/bash
winbind use default domain = Yes
winbind enum users = Yes
winbind enum groups = Yes
winbind nested groups = Yes
winbind expand groups = 10
client use spnego = yes
client max protocol = SMB3
encrypt passwords = true
nt acl support = yes
follow symlinks = yes
wide links = yes
unix extensions = no
load printers = no
smb ports = 445

Versuch das mal für Deinen Globalen Teil.
Ein Eintrag bei den Pams muss noch gemacht werden und über xrdp wäre dan auch eine Anmeldung von Windowsusern möglich.
Ein richtiger Join ist natürlich Notwendig

Gruß

Chonta
caspi-pirna
caspi-pirna 21.04.2016 um 13:27:57 Uhr
Goto Top
Hallo Chonta,

danke erst mal, leider hat aber auch diese Anpassung nix gebracht.
Habe jetzt die smb.conf mit deinem Inhalt gefüllt, bekomme aber nach wie vor die selbe Fehlermeldung, wie eingangs bzw. zwischendurch beschrieben.
root@Pirat-Web-01:~# wbinfo -t
checking the trust secret for domain WORKGROUP via RPC calls failed
wbcCheckTrustCredentials(WORKGROUP): error code was NT_STATUS_NO_SUCH_DOMAIN (0xc00000df)
failed to call wbcCheckTrustCredentials: WBC_ERR_AUTH_ERROR
Could not check secret
root@Pirat-Web-01:~# wbinfo -u
Error looking up domain users
root@Pirat-Web-01:~# wbinfo -g
failed to call wbcListGroups: WBC_ERR_DOMAIN_NOT_FOUND
Error looking up domain group

Die Anpassung an der nsswitch.conf habe ich gemacht, winbind und samba gestoppt und neu gestartet.

Sind ggf. noch weitere Anpassungen am DC notwendig?
Davon habe ich bisher allerdings nirgends etwas gelesen...

Gruß,
Caspi
Chonta
Chonta 21.04.2016 um 13:54:30 Uhr
Goto Top
Bist Du denn auch mit:

net ads join -U Administrator

der Domäne richtig beigetreten?

Das gemacht?

/etc/init.d/samba restart && /etc/init.d/winbind restart

Und den Server als ganzes schonmal neu gestartet?
Verwende die einstellungen seit 2003 DC und jetzt an einem 2012R2 DC von daher.

Gruß

Chonta
caspi-pirna
caspi-pirna 21.04.2016 um 14:36:03 Uhr
Goto Top
ja, bin der Domain erfolgreich (ohne Fehlermeldung) beigetreten und hab auch Samba und Winbind restarted.

Was mich verwundert ist der Hinweis bei wbinfo -g:

"...for domain WORKGROUP"

Aber die Domain heißt nicht WORKGROUP...
Dann der Fehler ggf. noch woanders her kommen (statische Config der NW-Karte oder ähnliches)?
Hab z.B. unter der Network connections noch eine zweite Schnittstelle, die ich nicht (bewusst) eingerichtet habe und noch nie genutzt habe...
network_connections

Beim Domain-Beitritt wird die korrekte Domain jedoch angezeigt...

Gruß,
Caspi
caspi-pirna
caspi-pirna 21.04.2016 um 14:42:38 Uhr
Goto Top
okay, den zweiten Eintrag hab ich weg bekommen.
War ein Fehler im Network-Manager
caspi-pirna
caspi-pirna 22.04.2016 um 10:00:18 Uhr
Goto Top
Hat denn sonst noch jemand eine Idee?

Danke für eure Unterstützung.
Gruß, caspi
Looser27
Lösung Looser27 22.04.2016 um 10:09:06 Uhr
Goto Top
Zitat von @caspi-pirna:

Hat denn sonst noch jemand eine Idee?

Danke für eure Unterstützung.
Gruß, caspi

Fang nochmal mit einem frisch installierten Ubuntu an. Und dann Schritt für Schritt nach oben genannter Anleitung.
Chonta
Lösung Chonta 22.04.2016 um 12:56:00 Uhr
Goto Top
Trit mit dem Befehl den ich gepostet habe der Domäne nochmal bei, VORHER das Konto zurücksetzen und auf dem Linux Server den von mir genannten Eintrag für DNS berichtigen.

Und ggf auch den Server als gesamtes neu starten.
Habe bei einigen sambainstallationen das Problem gehabt das bis zu nach einem Gesamtneustart nix gehen wollte obwohl alles richtig war und die sambadienste auch neu gestartet wurden.


Gruß

Chonta
caspi-pirna
caspi-pirna 24.04.2016 um 10:57:26 Uhr
Goto Top
Hallo Chonta,

ich habe mich gestern Abend nochmal drüber gemacht - gestartet mit der allzeit gültigen Aussage REBOOT TUT GUT.
Und so war es auch. nach einem Reboot aller beteiligten Rechner / Server funktionierte die ganze Konstellation wie gewünscht!

Besten Dank für eure Unterstützung!

Schönen Sonntag noch!
Caspi