bahamutxii
Goto Top

Von WinAD auf Sambashare zugreifen funktioniert nicht

Hallo, ich möchte aus meiner Windows AD Domäne auf einen Samba share zugreifen und komme nicht vorwärts hoffe Ihr könnt mir helfen.

Samba Version 3.5.6
Windows Server 2008 R2
Winbind
Kerberos
SSH

So ist die Konfiguration:

Ich habe einen Windows Server 2008 AD Server mit Windows 7 Clients. Nun habe ich einen Samba Server so eingerichtet das er sich in der Windows Domäne anmelden kann (Kerberos, Winbind). Das anmelden des Sambaservers am WinAD funktioniert auch einwandfrei. Ich habe ein Kerberosticket erhalten(mittels kinit) und wbinfo zeigt mir alle Benutzer und Gruppen aus dem AD an.
In der smb.conf habe ich angegeben das Benutzer aus dem AD xyz der Gruppe xyz das Recht haben auf den Ordner zu zugreifen(/var/www). @domäne+gruppe. Diese Gruppe exisitiert auf dem AD Server.

Soweit so gut.

Hier das Problem:

Ich habe ein share auf dem Sambaserver angelegt @domäne+Gruppe. Leider kann ich zwar den Ordner in der Netzwerkumgebung sehen wenn ich auf den Server klicke, aber ich kann nicht darauf zugreifen. Weder vom Sambaserver lokal mittels smbclient -L (NT_STATUS_LOGON_FAILURE)
noch vom WinAD aus (Win7 Clients) Fehler 53: Der Netzwerkpfad wurde nicht gefunden.

Hat jemand eine Idee woran das liegen könnte? Brauche dringend Hilfe!


Greetings and best regards
Ben

Content-ID: 178758

Url: https://administrator.de/forum/von-winad-auf-sambashare-zugreifen-funktioniert-nicht-178758.html

Ausgedruckt am: 23.12.2024 um 17:12 Uhr

goscho
goscho 12.01.2012 um 10:30:48 Uhr
Goto Top
Hallo Ben,

ich bin jetzt kein Linux-Experte, habe aber ein paar Sambas auf NAS mit Debian eingerichtet.

Zuerst überprüfe unbedingt die Zeitsynchronität zwischen Samba und DC, am Besten stellst du auf dem Samba den DC als Zeitserver ein.
Lässt sich der Samba per Namen vom Windows PC aus auflösen?
Ist dieser im MS DNS korrekt eingetragen?

Bei meinen Sambas nutze ich immer eine Konsole (Webmin), komme halt aus der Windows-Umgebung.
Ab und an muss dann aber auch mal die Samba.conf manuell angepasst werden.
BahamutXII
BahamutXII 12.01.2012 um 10:46:43 Uhr
Goto Top
Hi goscho,

danke erstmal frü den reply. Ja das funktioniert alles. Habe zwar kein tnp eingerichtet aber der Zeitunterschied beträgt nur ein paar sekunden.
DNS geht beidseitig, von Linux sowie von dem DC.

Es muss doch eine Lösung geben, wie ich vom WinAD auf dem Sambashare zugreifen kann. Habe die Gruppen aus dem DC auf dem Sambaserver mittels "groupmap add" eingetragen. Aber leider auch kein Erfolg.....

Webmin ja? Ok ich schaus mir mal an. Müsste doch aber auch so gehn?

Greetings
Ben
goscho
goscho 12.01.2012 um 11:15:39 Uhr
Goto Top
Zitat von @BahamutXII:
Es muss doch eine Lösung geben, wie ich vom WinAD auf dem Sambashare zugreifen kann. Habe die Gruppen aus dem DC auf dem
Sambaserver mittels "groupmap add" eingetragen. Aber leider auch kein Erfolg.....
Ich hatte schon mal Probleme, wenn AD-Member einzeln eingetragen wurden, habe ich dann die Gruppe genommen, in der diese waren, hat es mit dem Zugriff geklappt.


Webmin ja? Ok ich schaus mir mal an. Müsste doch aber auch so gehn?
Natürlich müsste es auch so gehen. Ich bevorzuge aber GUIs.

Ich glaube, du musst den AD-Usern noch Unix User zuordnen.
Schau mal in diese Anleitung von RedHat Samba.
BahamutXII
BahamutXII 12.01.2012 um 13:09:31 Uhr
Goto Top
Ja das würde doch aber bedeuten das ich jeden Nutzer aus dem AD auch lokal anlegen muss. Das ist sehr aufwendig beider Anzahl an Nutzern.


Zitat:
Ich hatte schon mal Probleme, wenn AD-Member einzeln eingetragen wurden, habe ich dann die Gruppe genommen, in der diese waren, hat es mit dem Zugriff geklappt. <<-- Genau das ist ja das was ich nicht möchte.

Hier nochmal meine conf:

[global]
log file = /var/log/samba/log.%m
idmap gid = 10000-20000
passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
obey pam restrictions = Yes
winbind use default domain = yes
realm = domain.LOCAL
password server = domain.dc.local
passwd program = /usr/bin/passwd %u
allow hosts = xxx.xxx.2.0/24
dns proxy = No
server string = %h server
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
path = /var/www/
unix password sync = Yes
workgroup = Arbeitsgruppe
comment = Entwicklung
syslog = 0
security = ADS
panic action = /usr/share/samba/panic-action %d
max log size = 1000
pam password change = Yes

[entwicklung]
comment = entwicklungsordner
path = /var/www/
valid users = @domain.local+"ENTWICKLER" , @domain.local+"IT.Admins"
read only = No
create mask = 0660
directory mask = 0770

die Gruppen sind also eingetragen und existieren ebenfalls auch local auf dem Sambaserver. Trotzdem gehts nicht!?? Ich sitze jetzt seit drei Tagen daran. Es treibt mich in den Wahnsinn. Webmin habe ich installiert aber so recht finde ich dort auch keine Möglichkeit das so hinzubiegen wie ich das will.

Was hat es mit diesem Maschinenaccount auf sich? Der Sambaserver ist doch bereits AD Mitglied.
Ausserdem ist mir aufgefallen das mir wbinfo zwar alle AD GRuppen anzeigt aber mit passwd kann ich als AD Member natürlich nichts anfangen. Ist das das Problem? Es scheint so als seien zwar die Gruppen aus dem AD angebunden. Die Nutzer aus den Gruppen scheinen aber trotzdem keine Berechtigung zu haben sich am Server auch anzumelden. Wie löst man das?
DerWoWusste
DerWoWusste 18.01.2012 um 00:18:03 Uhr
Goto Top
Moin. Falls noch aktuell: aktualisiere den Sambaserver mal umfassend. Evtl. nur ein Versionsbug. Deine Sambaversion ist veraltet.
BahamutXII
BahamutXII 18.01.2012 um 20:26:02 Uhr
Goto Top
Danke für den Tip, aber im Debain Repository ist das die aktuellste Version, Ich werds wohl auf eis legen müssen wenn das nicht klappt mit dem Versionsupdate.
distel
distel 30.01.2012 um 16:37:55 Uhr
Goto Top
Versuch mal auf einem client folgenden registrierungs schlüssel zu setzen.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"LMCompatibilityLevel"=dword:00000001

oder folge dieser anleitung:

http://www.builderau.com.au/blogs/codemonkeybusiness/viewblogpost.htm?p ...

dachte zwar das dieses problem bei 3.5.6 nicht mehr auftritt aber du kannst es ja mal versuchen.
BahamutXII
BahamutXII 30.01.2012 um 21:46:44 Uhr
Goto Top
Danke für den Tip. hat sich abe mittlerweile erledigt. Habe das Projekt leider aus kostengründen abbrechen müssen. Sollte ich es aber wieder versuchen, werde ich es beherzigen. Allerdings ist es mir bis heute schleierhaft wie eine einfache share freigabe solche Probleme verursachen kann. Samba ist ja nun wirklich nichts neues.