8
Von WinAD auf Sambashare zugreifen funktioniert nicht
Hallo, ich möchte aus meiner Windows AD Domäne auf einen Samba share zugreifen und komme nicht vorwärts hoffe Ihr könnt mir helfen.
Samba Version 3.5.6
Windows Server 2008 R2
Winbind
Kerberos
SSH
So ist die Konfiguration:
Ich habe einen Windows Server 2008 AD Server mit Windows 7 Clients. Nun habe ich einen Samba Server so eingerichtet das er sich in der Windows Domäne anmelden kann (Kerberos, Winbind). Das anmelden des Sambaservers am WinAD funktioniert auch einwandfrei. Ich habe ein Kerberosticket erhalten(mittels kinit) und wbinfo zeigt mir alle Benutzer und Gruppen aus dem AD an.
In der smb.conf habe ich angegeben das Benutzer aus dem AD xyz der Gruppe xyz das Recht haben auf den Ordner zu zugreifen(/var/www). @domäne+gruppe. Diese Gruppe exisitiert auf dem AD Server.
Soweit so gut.
Hier das Problem:
Ich habe ein share auf dem Sambaserver angelegt @domäne+Gruppe. Leider kann ich zwar den Ordner in der Netzwerkumgebung sehen wenn ich auf den Server klicke, aber ich kann nicht darauf zugreifen. Weder vom Sambaserver lokal mittels smbclient -L (NT_STATUS_LOGON_FAILURE)
noch vom WinAD aus (Win7 Clients) Fehler 53: Der Netzwerkpfad wurde nicht gefunden.
Hat jemand eine Idee woran das liegen könnte? Brauche dringend Hilfe!
Greetings and best regards
Ben
Samba Version 3.5.6
Windows Server 2008 R2
Winbind
Kerberos
SSH
So ist die Konfiguration:
Ich habe einen Windows Server 2008 AD Server mit Windows 7 Clients. Nun habe ich einen Samba Server so eingerichtet das er sich in der Windows Domäne anmelden kann (Kerberos, Winbind). Das anmelden des Sambaservers am WinAD funktioniert auch einwandfrei. Ich habe ein Kerberosticket erhalten(mittels kinit) und wbinfo zeigt mir alle Benutzer und Gruppen aus dem AD an.
In der smb.conf habe ich angegeben das Benutzer aus dem AD xyz der Gruppe xyz das Recht haben auf den Ordner zu zugreifen(/var/www). @domäne+gruppe. Diese Gruppe exisitiert auf dem AD Server.
Soweit so gut.
Hier das Problem:
Ich habe ein share auf dem Sambaserver angelegt @domäne+Gruppe. Leider kann ich zwar den Ordner in der Netzwerkumgebung sehen wenn ich auf den Server klicke, aber ich kann nicht darauf zugreifen. Weder vom Sambaserver lokal mittels smbclient -L (NT_STATUS_LOGON_FAILURE)
noch vom WinAD aus (Win7 Clients) Fehler 53: Der Netzwerkpfad wurde nicht gefunden.
Hat jemand eine Idee woran das liegen könnte? Brauche dringend Hilfe!
Greetings and best regards
Ben
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 178758
Url: https://administrator.de/contentid/178758
Ausgedruckt am: 22.11.2024 um 20:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo Ben,
ich bin jetzt kein Linux-Experte, habe aber ein paar Sambas auf NAS mit Debian eingerichtet.
Zuerst überprüfe unbedingt die Zeitsynchronität zwischen Samba und DC, am Besten stellst du auf dem Samba den DC als Zeitserver ein.
Lässt sich der Samba per Namen vom Windows PC aus auflösen?
Ist dieser im MS DNS korrekt eingetragen?
Bei meinen Sambas nutze ich immer eine Konsole (Webmin), komme halt aus der Windows-Umgebung.
Ab und an muss dann aber auch mal die Samba.conf manuell angepasst werden.
ich bin jetzt kein Linux-Experte, habe aber ein paar Sambas auf NAS mit Debian eingerichtet.
Zuerst überprüfe unbedingt die Zeitsynchronität zwischen Samba und DC, am Besten stellst du auf dem Samba den DC als Zeitserver ein.
Lässt sich der Samba per Namen vom Windows PC aus auflösen?
Ist dieser im MS DNS korrekt eingetragen?
Bei meinen Sambas nutze ich immer eine Konsole (Webmin), komme halt aus der Windows-Umgebung.
Ab und an muss dann aber auch mal die Samba.conf manuell angepasst werden.
Hi goscho,
danke erstmal frü den reply. Ja das funktioniert alles. Habe zwar kein tnp eingerichtet aber der Zeitunterschied beträgt nur ein paar sekunden.
DNS geht beidseitig, von Linux sowie von dem DC.
Es muss doch eine Lösung geben, wie ich vom WinAD auf dem Sambashare zugreifen kann. Habe die Gruppen aus dem DC auf dem Sambaserver mittels "groupmap add" eingetragen. Aber leider auch kein Erfolg.....
Webmin ja? Ok ich schaus mir mal an. Müsste doch aber auch so gehn?
Greetings
Ben
danke erstmal frü den reply. Ja das funktioniert alles. Habe zwar kein tnp eingerichtet aber der Zeitunterschied beträgt nur ein paar sekunden.
DNS geht beidseitig, von Linux sowie von dem DC.
Es muss doch eine Lösung geben, wie ich vom WinAD auf dem Sambashare zugreifen kann. Habe die Gruppen aus dem DC auf dem Sambaserver mittels "groupmap add" eingetragen. Aber leider auch kein Erfolg.....
Webmin ja? Ok ich schaus mir mal an. Müsste doch aber auch so gehn?
Greetings
Ben
Zitat von @BahamutXII:
Es muss doch eine Lösung geben, wie ich vom WinAD auf dem Sambashare zugreifen kann. Habe die Gruppen aus dem DC auf dem
Sambaserver mittels "groupmap add" eingetragen. Aber leider auch kein Erfolg.....
Ich hatte schon mal Probleme, wenn AD-Member einzeln eingetragen wurden, habe ich dann die Gruppe genommen, in der diese waren, hat es mit dem Zugriff geklappt.Es muss doch eine Lösung geben, wie ich vom WinAD auf dem Sambashare zugreifen kann. Habe die Gruppen aus dem DC auf dem
Sambaserver mittels "groupmap add" eingetragen. Aber leider auch kein Erfolg.....
Webmin ja? Ok ich schaus mir mal an. Müsste doch aber auch so gehn?
Natürlich müsste es auch so gehen. Ich bevorzuge aber GUIs.Ich glaube, du musst den AD-Usern noch Unix User zuordnen.
Schau mal in diese Anleitung von RedHat Samba.
Ja das würde doch aber bedeuten das ich jeden Nutzer aus dem AD auch lokal anlegen muss. Das ist sehr aufwendig beider Anzahl an Nutzern.
Zitat:
Ich hatte schon mal Probleme, wenn AD-Member einzeln eingetragen wurden, habe ich dann die Gruppe genommen, in der diese waren, hat es mit dem Zugriff geklappt. <<-- Genau das ist ja das was ich nicht möchte.
Hier nochmal meine conf:
[global]
log file = /var/log/samba/log.%m
idmap gid = 10000-20000
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
obey pam restrictions = Yes
winbind use default domain = yes
realm = domain.LOCAL
password server = domain.dc.local
passwd program = /usr/bin/passwd %u
allow hosts = xxx.xxx.2.0/24
dns proxy = No
server string = %h server
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
path = /var/www/
unix password sync = Yes
workgroup = Arbeitsgruppe
comment = Entwicklung
syslog = 0
security = ADS
panic action = /usr/share/samba/panic-action %d
max log size = 1000
pam password change = Yes
[entwicklung]
comment = entwicklungsordner
path = /var/www/
valid users = @domain.local+"ENTWICKLER" , @domain.local+"IT.Admins"
read only = No
create mask = 0660
directory mask = 0770
die Gruppen sind also eingetragen und existieren ebenfalls auch local auf dem Sambaserver. Trotzdem gehts nicht!?? Ich sitze jetzt seit drei Tagen daran. Es treibt mich in den Wahnsinn. Webmin habe ich installiert aber so recht finde ich dort auch keine Möglichkeit das so hinzubiegen wie ich das will.
Was hat es mit diesem Maschinenaccount auf sich? Der Sambaserver ist doch bereits AD Mitglied.
Ausserdem ist mir aufgefallen das mir wbinfo zwar alle AD GRuppen anzeigt aber mit passwd kann ich als AD Member natürlich nichts anfangen. Ist das das Problem? Es scheint so als seien zwar die Gruppen aus dem AD angebunden. Die Nutzer aus den Gruppen scheinen aber trotzdem keine Berechtigung zu haben sich am Server auch anzumelden. Wie löst man das?
Zitat:
Ich hatte schon mal Probleme, wenn AD-Member einzeln eingetragen wurden, habe ich dann die Gruppe genommen, in der diese waren, hat es mit dem Zugriff geklappt. <<-- Genau das ist ja das was ich nicht möchte.
Hier nochmal meine conf:
[global]
log file = /var/log/samba/log.%m
idmap gid = 10000-20000
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
obey pam restrictions = Yes
winbind use default domain = yes
realm = domain.LOCAL
password server = domain.dc.local
passwd program = /usr/bin/passwd %u
allow hosts = xxx.xxx.2.0/24
dns proxy = No
server string = %h server
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
path = /var/www/
unix password sync = Yes
workgroup = Arbeitsgruppe
comment = Entwicklung
syslog = 0
security = ADS
panic action = /usr/share/samba/panic-action %d
max log size = 1000
pam password change = Yes
[entwicklung]
comment = entwicklungsordner
path = /var/www/
valid users = @domain.local+"ENTWICKLER" , @domain.local+"IT.Admins"
read only = No
create mask = 0660
directory mask = 0770
die Gruppen sind also eingetragen und existieren ebenfalls auch local auf dem Sambaserver. Trotzdem gehts nicht!?? Ich sitze jetzt seit drei Tagen daran. Es treibt mich in den Wahnsinn. Webmin habe ich installiert aber so recht finde ich dort auch keine Möglichkeit das so hinzubiegen wie ich das will.
Was hat es mit diesem Maschinenaccount auf sich? Der Sambaserver ist doch bereits AD Mitglied.
Ausserdem ist mir aufgefallen das mir wbinfo zwar alle AD GRuppen anzeigt aber mit passwd kann ich als AD Member natürlich nichts anfangen. Ist das das Problem? Es scheint so als seien zwar die Gruppen aus dem AD angebunden. Die Nutzer aus den Gruppen scheinen aber trotzdem keine Berechtigung zu haben sich am Server auch anzumelden. Wie löst man das?
Moin. Falls noch aktuell: aktualisiere den Sambaserver mal umfassend. Evtl. nur ein Versionsbug. Deine Sambaversion ist veraltet.
Danke für den Tip, aber im Debain Repository ist das die aktuellste Version, Ich werds wohl auf eis legen müssen wenn das nicht klappt mit dem Versionsupdate.
Versuch mal auf einem client folgenden registrierungs schlüssel zu setzen.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"LMCompatibilityLevel"=dword:00000001
oder folge dieser anleitung:
http://www.builderau.com.au/blogs/codemonkeybusiness/viewblogpost.htm?p ...
dachte zwar das dieses problem bei 3.5.6 nicht mehr auftritt aber du kannst es ja mal versuchen.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"LMCompatibilityLevel"=dword:00000001
oder folge dieser anleitung:
http://www.builderau.com.au/blogs/codemonkeybusiness/viewblogpost.htm?p ...
dachte zwar das dieses problem bei 3.5.6 nicht mehr auftritt aber du kannst es ja mal versuchen.
Danke für den Tip. hat sich abe mittlerweile erledigt. Habe das Projekt leider aus kostengründen abbrechen müssen. Sollte ich es aber wieder versuchen, werde ich es beherzigen. Allerdings ist es mir bis heute schleierhaft wie eine einfache share freigabe solche Probleme verursachen kann. Samba ist ja nun wirklich nichts neues.
