samba: security = domain geht nicht, aber security = server

[romeofox]

Hi.

Ich habe versucht, einem Samba-Server (2.2.3a) beizubringen, dass er die Useraccounts gegen einen PDC (auch samba) verifiziert. Der Server ist beim PDC erfolgreich in der Domäne eingetragen, der User ist dort bekannt und auch auf dem Server lokal im Unix existent.
Die smb.conf sieht so aus:

Code:

[global]
        workgroup = OMC
        os level = 2
        encrypt passwords = Yes
        guest account = Nobody
        map to guest = Bad User
        username map = /etc/samba/smbusers
        log level = 3
        security = domain
        password server = TODESSTERN
        socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY
        local master = No
        interfaces = 192.168.130.200/255.255.255.0
        wins support = No
        wins server = 192.168.130.10
        character set = ISO8859-15
        client code page = 850
        veto files = /*.eml/*.nws/riched20.dll/*.{*}/

[RF-Test]
        comment = Testverzeichnis
        read only = No
        writeable = yes
        browseable = Yes
        create mask = 0664
        directory mask = 0775
        path = /var/mnt/rftest
        valid users = @users

Leider wird der Windows-User immer nach User/Passwort gefragt. Im Log sehe ich nur, dass versucht wird, den User lokal zu authentisieren. Eine Anfrage an den PDC findet anscheinend nicht statt.

Code:

[2006/03/07 10:55:34, 3] smbd/oplock.c:init_oplocks(1184)
  open_oplock_ipc: opening loopback UDP socket.
[2006/03/07 10:55:34, 3] lib/util_sock.c:open_socket_in(798)
  bind succeeded on port 0
[2006/03/07 10:55:34, 3] smbd/oplock_linux.c:linux_init_kernel_oplocks(295)
  Linux kernel oplocks enabled
[2006/03/07 10:55:34, 3] smbd/oplock.c:init_oplocks(1215)
  open_oplock ipc: pid = 2483, global_oplock_port = 33873
[2006/03/07 10:55:34, 3] smbd/process.c:process_smb(860)
  Transaction 0 of length 72
[2006/03/07 10:55:34, 2] smbd/reply.c:reply_special(92)
  netbios connect: name1=TRILLIAN         name2=FERTIG
[2006/03/07 10:55:34, 2] smbd/reply.c:reply_special(111)
  netbios connect: local=trillian remote=fertig
[2006/03/07 10:55:34, 3] smbd/process.c:process_smb(860)
  Transaction 1 of length 137
[2006/03/07 10:55:34, 3] smbd/process.c:switch_message(667)
  switch message SMBnegprot (pid 2483)
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/negprot.c:reply_negprot(348)
  Requested protocol [PC NETWORK PROGRAM 1.0]
[2006/03/07 10:55:34, 3] smbd/negprot.c:reply_negprot(348)
  Requested protocol [LANMAN1.0]
[2006/03/07 10:55:34, 3] smbd/negprot.c:reply_negprot(348)
  Requested protocol [Windows for Workgroups 3.1a]
[2006/03/07 10:55:34, 3] smbd/negprot.c:reply_negprot(348)
  Requested protocol [LM1.2X002]
[2006/03/07 10:55:34, 3] smbd/negprot.c:reply_negprot(348)
  Requested protocol [LANMAN2.1]
[2006/03/07 10:55:34, 3] smbd/negprot.c:reply_negprot(348)
  Requested protocol [NT LM 0.12]
[2006/03/07 10:55:34, 3] smbd/negprot.c:reply_negprot(432)
  Selected protocol NT LM 0.12
[2006/03/07 10:55:34, 3] smbd/process.c:process_smb(860)
  Transaction 2 of length 138
[2006/03/07 10:55:34, 3] smbd/process.c:switch_message(667)
  switch message SMBsesssetupX (pid 2483)
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/reply.c:reply_sesssetup_and_X(848)
  Domain=[]  NativeOS=[Windows 2000 2195] NativeLanMan=[Windows 2000 5.0]
[2006/03/07 10:55:34, 3] smbd/reply.c:reply_sesssetup_and_X(858)
  sesssetupX:name=[]
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:push_sec_ctx(282)
  push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1
[2006/03/07 10:55:34, 3] smbd/uid.c:push_conn_ctx(285)
  push_conn_ctx(0) : conn_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:get_current_groups(162)
  get_current_groups: user is in 2 groups: 65533, 65534
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:pop_sec_ctx(421)
  pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:get_current_groups(162)
  get_current_groups: user is in 2 groups: 65533, 65534
[2006/03/07 10:55:34, 3] smbd/password.c:register_vuid(328)
  uid 65534 registered to name nobody
[2006/03/07 10:55:34, 3] smbd/password.c:register_vuid(330)
  Clearing default real name
[2006/03/07 10:55:34, 3] smbd/password.c:register_vuid(332)
  User name: nobody     Real name: nobody
[2006/03/07 10:55:34, 3] smbd/process.c:chain_reply(1005)
  Chained message
[2006/03/07 10:55:34, 3] smbd/process.c:switch_message(667)
  switch message SMBtconX (pid 2483)
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/password.c:authorise_login(864)
  authorise_login: ACCEPTED: guest account and guest ok (nobody)
[2006/03/07 10:55:34, 3] smbd/service.c:make_connection(488)
  Connect path is /tmp
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:push_sec_ctx(282)
  push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1
[2006/03/07 10:55:34, 3] smbd/uid.c:push_conn_ctx(285)
  push_conn_ctx(0) : conn_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:get_current_groups(162)
  get_current_groups: user is in 2 groups: 65533, 65534
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:pop_sec_ctx(421)
  pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:get_current_groups(162)
  get_current_groups: user is in 2 groups: 65533, 65534
[2006/03/07 10:55:34, 3] lib/util_seaccess.c:se_access_check(244)
  se_access_check: user sid is S-1-5-21-1990960070-3193826302-1231426128-132068
[2006/03/07 10:55:34, 3] lib/util_seaccess.c:se_access_check(248)
  se_access_check: also S-1-5-21-1990960070-3193826302-1231426128-132067
[2006/03/07 10:55:34, 3] lib/util_seaccess.c:se_access_check(248)
  se_access_check: also S-1-5-21-1990960070-3193826302-1231426128-132069
[2006/03/07 10:55:34, 3] lib/util_seaccess.c:se_access_check(248)
  se_access_check: also S-1-1-0
[2006/03/07 10:55:34, 3] lib/util_seaccess.c:se_access_check(248)
  se_access_check: also S-1-5-2
[2006/03/07 10:55:34, 3] lib/util_seaccess.c:se_access_check(248)
  se_access_check: also S-1-5-32-546
[2006/03/07 10:55:34, 3] smbd/vfs.c:vfs_init_default(99)
  Initialising default vfs hooks
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (65534, 65533) - sec_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(319)
  2 user groups:
  65533 65534
[2006/03/07 10:55:34, 3] smbd/vfs.c:vfs_ChDir(669)
  vfs_ChDir to /tmp
[2006/03/07 10:55:34, 3] smbd/service.c:make_connection(615)
  fertig (192.168.130.202) connect to service IPC$ as user nobody (uid=65534, gid=65533) (pid 2483)
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/reply.c:reply_tcon_and_X(395)
  tconX service=ipc$ user=nobody
[2006/03/07 10:55:34, 3] smbd/process.c:process_smb(860)
  Transaction 3 of length 43
[2006/03/07 10:55:34, 3] smbd/process.c:switch_message(667)
  switch message SMBulogoffX (pid 2483)
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/reply.c:reply_ulogoffX(1730)
  ulogoffX vuid=100
[2006/03/07 10:55:34, 3] smbd/process.c:process_smb(860)
  Transaction 4 of length 39
[2006/03/07 10:55:34, 3] smbd/process.c:switch_message(667)
  switch message SMBtdis (pid 2483)
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/service.c:close_cnum(655)
  fertig (192.168.130.202) closed connection to service IPC$
[2006/03/07 10:55:34, 3] smbd/connection.c:yield_connection(48)
  Yielding connection to IPC$
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/process.c:process_smb(860)
  Transaction 5 of length 197
[2006/03/07 10:55:34, 3] smbd/process.c:switch_message(667)
  switch message SMBsesssetupX (pid 2483)
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/reply.c:reply_sesssetup_and_X(848)
  Domain=[OMC]  NativeOS=[Windows 2000 2195] NativeLanMan=[Windows 2000 5.0]
[2006/03/07 10:55:34, 3] smbd/reply.c:reply_sesssetup_and_X(858)
  sesssetupX:name=[fertig]
[2006/03/07 10:55:34, 0] smbd/password.c:domain_client_validate(1517)
  domain_client_validate: could not fetch trust account password for domain OMC
[2006/03/07 10:55:34, 1] smbd/password.c:pass_check_smb(555)
  Couldn't find user 'fertig' in passdb.
[2006/03/07 10:55:34, 2] smbd/reply.c:reply_sesssetup_and_X(962)
  NT Password did not match for user 'fertig'!
[2006/03/07 10:55:34, 2] smbd/reply.c:reply_sesssetup_and_X(972)
  Defaulting to Lanman password for fertig
[2006/03/07 10:55:34, 1] smbd/password.c:pass_check_smb(555)
  Couldn't find user 'fertig' in passdb.
[2006/03/07 10:55:34, 1] smbd/reply.c:reply_sesssetup_and_X(998)
  Rejecting user 'fertig': bad password
[2006/03/07 10:55:34, 3] smbd/error.c:error_packet(91)
  error string = No such file or directory
[2006/03/07 10:55:34, 3] smbd/error.c:error_packet(103)
  error packet at smbd/reply.c(1000) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE

Ändere ich den Security-Level auf Server klappt alles, ich sehe im Log auch schön, wie der PDC angefragt wird:

Code:

[2006/03/07 10:57:34, 3] smbd/oplock.c:init_oplocks(1184)
  open_oplock_ipc: opening loopback UDP socket.
[2006/03/07 10:57:34, 3] lib/util_sock.c:open_socket_in(798)
  bind succeeded on port 0
[2006/03/07 10:57:34, 3] smbd/oplock_linux.c:linux_init_kernel_oplocks(295)
  Linux kernel oplocks enabled
[2006/03/07 10:57:34, 3] smbd/oplock.c:init_oplocks(1215)
  open_oplock ipc: pid = 3286, global_oplock_port = 33874
[2006/03/07 10:57:34, 3] smbd/process.c:process_smb(860)
  Transaction 0 of length 72
[2006/03/07 10:57:34, 2] smbd/reply.c:reply_special(92)
  netbios connect: name1=TRILLIAN         name2=FERTIG
[2006/03/07 10:57:34, 2] smbd/reply.c:reply_special(111)
  netbios connect: local=trillian remote=fertig
[2006/03/07 10:57:34, 3] smbd/process.c:process_smb(860)
  Transaction 1 of length 137
[2006/03/07 10:57:34, 3] smbd/process.c:switch_message(667)
  switch message SMBnegprot (pid 3286)
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/negprot.c:reply_negprot(348)
  Requested protocol [PC NETWORK PROGRAM 1.0]
[2006/03/07 10:57:34, 3] smbd/negprot.c:reply_negprot(348)
  Requested protocol [LANMAN1.0]
[2006/03/07 10:57:34, 3] smbd/negprot.c:reply_negprot(348)
  Requested protocol [Windows for Workgroups 3.1a]
[2006/03/07 10:57:34, 3] smbd/negprot.c:reply_negprot(348)
  Requested protocol [LM1.2X002]
[2006/03/07 10:57:34, 3] smbd/negprot.c:reply_negprot(348)
  Requested protocol [LANMAN2.1]
[2006/03/07 10:57:34, 3] smbd/negprot.c:reply_negprot(348)
  Requested protocol [NT LM 0.12]
[2006/03/07 10:57:34, 3] libsmb/namequery.c:resolve_lmhosts(752)
  resolve_lmhosts: Attempting lmhosts lookup for name TODESSTERN<0x20>
[2006/03/07 10:57:34, 3] lib/util_sock.c:open_socket_out(830)
  Connecting to 192.168.130.10 at port 445
[2006/03/07 10:57:34, 2] lib/util_sock.c:open_socket_out(859)
  error connecting to 192.168.130.10:445 (Connection refused)
[2006/03/07 10:57:34, 3] lib/util_sock.c:open_socket_out(830)
  Connecting to 192.168.130.10 at port 139
[2006/03/07 10:57:34, 3] smbd/password.c:server_cryptkey(1063)
  connected to password server TODESSTERN
[2006/03/07 10:57:34, 3] smbd/password.c:server_cryptkey(1080)
  got session
[2006/03/07 10:57:34, 3] smbd/password.c:server_cryptkey(1095)
  password server OK
[2006/03/07 10:57:34, 3] smbd/negprot.c:reply_nt1(185)
  using password server validation
[2006/03/07 10:57:34, 3] smbd/negprot.c:reply_negprot(432)
  Selected protocol NT LM 0.12
[2006/03/07 10:57:34, 3] smbd/process.c:process_smb(860)
  Transaction 2 of length 138
[2006/03/07 10:57:34, 3] smbd/process.c:switch_message(667)
  switch message SMBsesssetupX (pid 3286)
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/reply.c:reply_sesssetup_and_X(848)
  Domain=[]  NativeOS=[Windows 2000 2195] NativeLanMan=[Windows 2000 5.0]
[2006/03/07 10:57:34, 3] smbd/reply.c:reply_sesssetup_and_X(858)
  sesssetupX:name=[]
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:push_sec_ctx(282)
  push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1
[2006/03/07 10:57:34, 3] smbd/uid.c:push_conn_ctx(285)
  push_conn_ctx(0) : conn_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:get_current_groups(162)
  get_current_groups: user is in 2 groups: 65533, 65534
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:pop_sec_ctx(421)
  pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:get_current_groups(162)
  get_current_groups: user is in 2 groups: 65533, 65534
[2006/03/07 10:57:34, 3] smbd/password.c:register_vuid(328)
  uid 65534 registered to name nobody
[2006/03/07 10:57:34, 3] smbd/password.c:register_vuid(330)
  Clearing default real name
[2006/03/07 10:57:34, 3] smbd/password.c:register_vuid(332)
  User name: nobody     Real name: nobody
[2006/03/07 10:57:34, 3] smbd/process.c:chain_reply(1005)
  Chained message
[2006/03/07 10:57:34, 3] smbd/process.c:switch_message(667)
  switch message SMBtconX (pid 3286)
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/password.c:authorise_login(864)
  authorise_login: ACCEPTED: guest account and guest ok (nobody)
[2006/03/07 10:57:34, 3] smbd/service.c:make_connection(488)
  Connect path is /tmp
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:push_sec_ctx(282)
  push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1
[2006/03/07 10:57:34, 3] smbd/uid.c:push_conn_ctx(285)
  push_conn_ctx(0) : conn_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:get_current_groups(162)
  get_current_groups: user is in 2 groups: 65533, 65534
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:pop_sec_ctx(421)
  pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:get_current_groups(162)
  get_current_groups: user is in 2 groups: 65533, 65534
[2006/03/07 10:57:34, 3] lib/util_seaccess.c:se_access_check(244)
  se_access_check: user sid is S-1-5-21-1990960070-3193826302-1231426128-132068
[2006/03/07 10:57:34, 3] lib/util_seaccess.c:se_access_check(248)
  se_access_check: also S-1-5-21-1990960070-3193826302-1231426128-132067
[2006/03/07 10:57:34, 3] lib/util_seaccess.c:se_access_check(248)
  se_access_check: also S-1-5-21-1990960070-3193826302-1231426128-132069
[2006/03/07 10:57:34, 3] lib/util_seaccess.c:se_access_check(248)
  se_access_check: also S-1-1-0
[2006/03/07 10:57:34, 3] lib/util_seaccess.c:se_access_check(248)
  se_access_check: also S-1-5-2
[2006/03/07 10:57:34, 3] lib/util_seaccess.c:se_access_check(248)
  se_access_check: also S-1-5-32-546
[2006/03/07 10:57:34, 3] smbd/vfs.c:vfs_init_default(99)
  Initialising default vfs hooks
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (65534, 65533) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(319)
  2 user groups:
  65533 65534
[2006/03/07 10:57:34, 3] smbd/vfs.c:vfs_ChDir(669)
  vfs_ChDir to /tmp
[2006/03/07 10:57:34, 3] smbd/service.c:make_connection(615)
  fertig (192.168.130.202) connect to service IPC$ as user nobody (uid=65534, gid=65533) (pid 3286)
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/reply.c:reply_tcon_and_X(395)
  tconX service=ipc$ user=nobody
[2006/03/07 10:57:34, 3] smbd/process.c:process_smb(860)
  Transaction 3 of length 43
[2006/03/07 10:57:34, 3] smbd/process.c:switch_message(667)
  switch message SMBulogoffX (pid 3286)
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/reply.c:reply_ulogoffX(1730)
  ulogoffX vuid=100
[2006/03/07 10:57:34, 3] smbd/process.c:process_smb(860)
  Transaction 4 of length 39
[2006/03/07 10:57:34, 3] smbd/process.c:switch_message(667)
  switch message SMBtdis (pid 3286)
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/service.c:close_cnum(655)
  fertig (192.168.130.202) closed connection to service IPC$
[2006/03/07 10:57:34, 3] smbd/connection.c:yield_connection(48)
  Yielding connection to IPC$
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/process.c:process_smb(860)
  Transaction 5 of length 197
[2006/03/07 10:57:34, 3] smbd/process.c:switch_message(667)
  switch message SMBsesssetupX (pid 3286)
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/reply.c:reply_sesssetup_and_X(848)
  Domain=[OMC]  NativeOS=[Windows 2000 2195] NativeLanMan=[Windows 2000 5.0]
[2006/03/07 10:57:34, 3] smbd/reply.c:reply_sesssetup_and_X(858)
  sesssetupX:name=[fertig]
[2006/03/07 10:57:35, 3] smbd/sec_ctx.c:push_sec_ctx(282)
  push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1
[2006/03/07 10:57:35, 3] smbd/uid.c:push_conn_ctx(285)
  push_conn_ctx(0) : conn_ctx_stack_ndx = 0
[2006/03/07 10:57:35, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2006/03/07 10:57:35, 3] smbd/sec_ctx.c:get_current_groups(162)
  get_current_groups: user is in 1 groups: 100
[2006/03/07 10:57:35, 3] smbd/sec_ctx.c:pop_sec_ctx(421)
  pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:35, 3] smbd/sec_ctx.c:get_current_groups(162)
  get_current_groups: user is in 1 groups: 100
[2006/03/07 10:57:35, 3] smbd/password.c:register_vuid(328)
  uid 507 registered to name fertig
[2006/03/07 10:57:35, 3] smbd/password.c:register_vuid(330)
  Clearing default real name
[2006/03/07 10:57:35, 3] smbd/password.c:register_vuid(332)
  User name: fertig     Real name:
[2006/03/07 10:57:35, 3] smbd/process.c:chain_reply(1005)
  Chained message
[2006/03/07 10:57:35, 3] smbd/process.c:switch_message(667)
  switch message SMBtconX (pid 3286)
[2006/03/07 10:57:35, 3] smbd/sec_ctx.c:set_sec_ctx(314)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:35, 3] smbd/password.c:authorise_login(745)
  authorise_login: ACCEPTED: validated uid ok as non-guest (user=fertig)

Was fehlt, damit das auch mit security = domain funktioniert?

Ciao, René

[stefan-h]

Vielleicht funkt's

Richten einen Maschinen-Account für den Samba-Server ein
führe Folgendes aus
net rpc join -U root%password

http://gertranssmb3.berlios.de/output/ServerType.html

[Sargnagel]

Jetzt hat mein Browser doch meinen ganzen schönen Text gelöscht...

Also nochmal:

Der Parameter "password-server" wird normalerweise bei "security=domain" nicht ausgewertet (weiß es jemand besser?), wohl aber bei "security=server". Der PDC der Domäne wird per Broadcast gefunden, wenn ich mich recht erinnere. Damit sollte die Angabe der Workgroup ausreichen.

Die smb.conf eines Mitgliedsservers meiner Domäne sieht so aus:

Code:

[global]
        workgroup = WG
        server string = Plattenserver
        security = DOMAIN
        passwd chat = 
        socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY
        logon path = 
        logon home = 
        os level = 2
        preferred master = No
        local master = No
        domain master = No
        ldap ssl = no
        admin users = @root
        printer admin = @root
        veto files = /*.nws/riched20.dll/*.{*}/

Vielleicht funkt's

Richten einen Maschinen-Account für den Samba-Server ein
führe Folgendes aus
net rpc join -U root%password

http://gertranssmb3.berlios.de/output/ServerType.html

Das Beitreten zu einer Domäne geht bei Samba 2 noch nicht mit "net", sondern mit smbpasswd: http://lug.krems.cc/docu/samba/ch06_03.html (ganz unten)
Ein Trustaccount auf dem PDC reicht noch nicht. Man muss mit dem entsprechenden Server der Domäne auch beitreten.

Grüzi!
Marc

[romeofox]

Hallo stefan-h.

Es handelt sich noch um einen 2.2.3a Server, net gibt's erst ab samba 3.0.
Ich hab es mal mit dem 2.2er equivalent smbpasswd probiert:

Code:

smbpasswd -D 2  -j OMC -r TODESSTERN -U Administrator%password
added interface ip=192.168.130.200 bcast=192.168.130.255 nmask=255.255.255.0
error connecting to 192.168.130.10:445 (Connection refused)
failed session setup
Error connecting to TODESSTERN
Unable to join domain OMC.

Das mit dem Port 445 war mir schon in den Logs aufgefallen, da aber security = server geht, hatte ich das nicht als Problem angesehen. Auf dem Todesstern lauscht da wirklich nix. Welcher Samba-Dienst steckt denn dahinter, d.h. was muss ich konfigurieren/starten, damit da was lauscht? Oder ist die 2.2.3a einfach zu alt?

Ciao, René

[Sargnagel]

Meinen Beitrag nicht gelesen?

Welche Distribution verwendest Du? Läuft der PDC korrekt? Funktionieren Logons von Windows-Clients aus?

"connetion refused" deutet darauf hin, dass entweder auf Todesstern kein Samba läuft oder dort auf diesen Ports keine Verbindungen angenommen werden.
netstat -tuplen auf Todesstern zeigt die lauschenden Dienste an. Kannst Du das posten?

Samba wird mit

Code:

/etc/init.d/smb start
/etc/init.d/nmb start

gestartet.

Grüzi...
Marc

[emba]

my 2 cents:

Der Parameter "password-server" wird normalerweise bei "security=domain" nicht ausgewertet

falsch

Der Parameter "password-server" wird normalerweise bei "security=domain" nicht ausgewertet

oder per wins, oder dns, oder ...

greez

[Sargnagel]

Morgen...

Emba, steckt da ein Sinnfehler in Deinem letzten Posting? Klär' mich mal auf, wofür der Parameter "password server" bei "security=domain" steht...

Grüzi!

[emba]

er steht für dasselbe, wie bei "security = server"

password server (G)

By specifying the name of another SMB server or Active Directory domain controller with this option, and using security = [ads|domain|server] it is possible to get Samba to to do all its username/password validation using a specific remote server.

ich glaube du verkennst die bedeutung von "security = domain"

greez

[romeofox]

Meinen Beitrag nicht gelesen?

Welche Distribution verwendest Du? Läuft der PDC korrekt? Funktionieren Logons von Windows-Clients aus?

Gelesen ja, aber er kam wärend ich an der Antwort an stefan-h schrieb, daher da nicht berücksichtigt.
Distribution von Trillian ist SuSE 8.0 mit Samba 2.2.3a (aus der Distri), auf Todesstern läuft eine SuSE 7.3 mit einem (nicht von mir) selbstkompilierten Samba 2.2.5.
Der PDC läuft (m.E.) seit Jahren einwandfrei. Auch die Logons von unseren W2k-Clients.

"connetion refused" deutet darauf hin, dass entweder auf Todesstern kein Samba läuft oder dort auf diesen Ports keine Verbindungen angenommen werden.
netstat -tuplen auf Todesstern zeigt die lauschenden Dienste an. Kannst Du das posten?

Samba läuft, aber nur auf den NT-Ports 137, 138 und 139. Port 445 gibts IMHO doch erst ab W2k, oder?

Code:

netstat -tuplen
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       User       Inode      PID/Program name
tcp        0      0 0.0.0.0:5666            0.0.0.0:*               LISTEN      0          3203       487/inetd
tcp        0      0 0.0.0.0:617             0.0.0.0:*               LISTEN      0          3209       495/nlservd
tcp        0      0 0.0.0.0:139             0.0.0.0:*               LISTEN      0          1509       375/smbd
tcp        0      0 0.0.0.0:111             0.0.0.0:*               LISTEN      0          742        238/portmap
tcp        0      0 0.0.0.0:21              0.0.0.0:*               LISTEN      65534      1075       352/proftpd (accept
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      0          420        200/sshd
tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      0          1625       401/sendmail: accep
tcp        0      0 0.0.0.0:639             0.0.0.0:*               LISTEN      0          2404       459/rpc.rquotad
udp        0      0 0.0.0.0:514             0.0.0.0:*                           0          547        213/syslogd
udp        0      0 127.0.0.1:55556         0.0.0.0:*                           0          466412693  13562/smbd
udp        0      0 192.168.130.10:137      0.0.0.0:*                           0          1506       379/nmbd
udp        0      0 0.0.0.0:137             0.0.0.0:*                           0          1503       379/nmbd
udp        0      0 192.168.130.10:138      0.0.0.0:*                           0          1507       379/nmbd
udp        0      0 0.0.0.0:138             0.0.0.0:*                           0          1504       379/nmbd
udp        0      0 127.0.0.1:59540         0.0.0.0:*                           0          538428474  16103/smbd
udp        0      0 127.0.0.1:59553         0.0.0.0:*                           0          539855918  19064/smbd
udp        0      0 127.0.0.1:46883         0.0.0.0:*                           0          278434782  1040/smbd
udp        0      0 127.0.0.1:59300         0.0.0.0:*                           0          526341520  9777/smbd
udp        0      0 127.0.0.1:59558         0.0.0.0:*                           0          539985834  7379/smbd
udp        0      0 127.0.0.1:59432         0.0.0.0:*                           0          529401292  4414/smbd
udp        0      0 127.0.0.1:59573         0.0.0.0:*                           0          540281272  19486/smbd
udp        0      0 127.0.0.1:59576         0.0.0.0:*                           0          540427221  9656/smbd
udp        0      0 127.0.0.1:59321         0.0.0.0:*                           0          526492041  3231/smbd
udp        0      0 127.0.0.1:59326         0.0.0.0:*                           0          526635404  27432/smbd
udp        0      0 127.0.0.1:59589         0.0.0.0:*                           0          542146238  25470/smbd
udp        0      0 127.0.0.1:59590         0.0.0.0:*                           0          542258929  11647/smbd
udp        0      0 127.0.0.1:59079         0.0.0.0:*                           0          523937297  19076/smbd
udp        0      0 127.0.0.1:59592         0.0.0.0:*                           0          542258947  11650/smbd
udp        0      0 127.0.0.1:59596         0.0.0.0:*                           0          542288854  16477/smbd
udp        0      0 127.0.0.1:59597         0.0.0.0:*                           0          542292762  17080/smbd
udp        0      0 127.0.0.1:59598         0.0.0.0:*                           0          542296680  17681/smbd
udp        0      0 127.0.0.1:59089         0.0.0.0:*                           0          523957664  22472/smbd
udp        0      0 127.0.0.1:59092         0.0.0.0:*                           0          523974616  25257/smbd
udp        0      0 127.0.0.1:57941         0.0.0.0:*                           0          507589725  15343/smbd
udp        0      0 127.0.0.1:59606         0.0.0.0:*                           0          542602525  27101/smbd
udp        0      0 127.0.0.1:59482         0.0.0.0:*                           0          536537971  2641/smbd
udp        0      0 127.0.0.1:59485         0.0.0.0:*                           0          536644573  21564/smbd
udp        0      0 127.0.0.1:55518         0.0.0.0:*                           0          465932386  7161/smbd
udp        0      0 127.0.0.1:55519         0.0.0.0:*                           0          465934348  7458/smbd
udp        0      0 127.0.0.1:59492         0.0.0.0:*                           0          536916275  2138/smbd
udp        0      0 127.0.0.1:59495         0.0.0.0:*                           0          537042510  22013/smbd
udp        0      0 127.0.0.1:59370         0.0.0.0:*                           0          527137579  12654/smbd
udp        0      0 0.0.0.0:111             0.0.0.0:*                           0          695        238/portmap
udp        0      0 127.0.0.1:59124         0.0.0.0:*                           0          524284504  10763/smbd
udp        0      0 127.0.0.1:58998         0.0.0.0:*                           0          520564151  23734/smbd
udp        0      0 127.0.0.1:59128         0.0.0.0:*                           0          524319957  14752/smbd
udp        0      0 127.0.0.1:59385         0.0.0.0:*                           0          528704545  16387/smbd
udp        0      0 127.0.0.1:59130         0.0.0.0:*                           0          524385617  23267/smbd
udp        0      0 192.168.130.10:123      0.0.0.0:*                           0          1806       405/ntpd
udp        0      0 127.0.0.1:123           0.0.0.0:*                           0          1805       405/ntpd
udp        0      0 0.0.0.0:123             0.0.0.0:*                           0          1804       405/ntpd
udp        0      0 0.0.0.0:636             0.0.0.0:*                           0          2399       459/rpc.rquotad

Samba wird mit

Code:

/etc/init.d/smb start
/etc/init.d/nmb start

gestartet.

Bei SuSE sind beide Starts in /etc/init.d/smb zusammengefasst.

Auf Trillian ist übrigens auch kein Port 445 offen.

Ciao, René

[romeofox]

Hab den Fehler gefunden, er saß, wie so oft, zwischen den Ohren!

Beim wiederholten Lesen von http://lug.krems.cc/docu/samba/ch06_03.html (Gaaanz unten) war mir dann doch noch aufgefallen, das die smbpasswd-Befehlszeile smbpasswd -j SIMPLE -r beowulf doch von dem abwich, was ich bisher alles versucht hatte. Habe laso den Samba auf Trillian gestoppt, dann smbpasswd -j OMC -r TODESSTERN ausgeführt (Ergebnis: 2006/03/08 10:39:00 : change_trust_account_password: Changed password for domain OMC. Joined domain OMC.) Samba wieder gestartet, dann ging's auf einmal!!!

Ich war bislang felsenfest davon ausgegangen, dass Trillian bereits der Domäne beigetreten war. Wie kann man sowas denn prüfen (die secrets.tdb existierte)?

Ciao, René

[Sargnagel]

er steht für dasselbe, wie bei "security = server"



ich glaube du verkennst die bedeutung von "security = domain"

greez

Ich habe den Parameter noch nie benutzt, möglicherweise ging da was an mir vorbei... Danke für die Belehrung Wenn ich das richtig verstehe, braucht man ihn aber nur, wenn man einen speziellen Server verwenden möchte und nicht den ersten in Frage kommenden, oder?

Grüzi!
Marc

[emba]

nö,

der parameter kommt hauptsächlich in frage, wenn du keine domain gejoined bist

greez

[Sargnagel]

Impliziert das dann nicht "security=server"?

[emba]

nein, denn security=server ist etwas anderes als "domain" level security.

greez

[Sargnagel]

Du missverstehst mich da möglicherweise noch immer. Der Unterschied ist mir klar, aber seis drum...

Grüzi.
Marc