Samba 2.2.7 PDC für NT/W2K

**Jorge** · 03.12.02, 08:14

Hallo zusammen,

die meisten denken jetzt wahrscheinlich "Oh, nicht schon wieder!". Und genau so fühle ich mich auch :-(. Ich bekomme es einfach nicht gebacken mich an der Samba Domände anzumelden. Das Beitreten der Maschinen funktioniert dagegen ohne Problem, nur bringt mir das so nichts.

Aber von vorne:

Installiert ist Samba 2.2.7, aus den Sourcen kompiliert. Bei den Sourcen liegt ja nun gerade genug Dokumentation bei, habe es also so gemacht wie es dort steht - eigentlich Idiotensicher. Ergo sieht meine smb.conf so aus:

Code:

[global]
     ; Basic server settings
     netbios name = CFS-LX
     workgroup = NARNIA

     ; we should act as the domain and local master browser
     os level = 64
     preferred master = yes
     domain master = yes
     local master = yes

     ; security settings (must user security = user)
     security = user

     ; encrypted passwords are a requirement for a PDC
     encrypt passwords = yes

     ; support domain logons
     domain logons = yes

     ; where to store user profiles?
     logon path = \\%N\profiles\%u

     ; where is a user's home directory and where should it
     ; be mounted at?
     logon drive = H:
     logon home = \\%L\%u

     ; Automatic generation of machine accounts
     add user script = /usr/sbin/useradd -d /dev/null -g 100 -s 
/bin/false -M %u

     ; specify a generic logon script for all users
     ; this is a relative **DOS** path to the [netlogon] share
     logon script = logon.cmd

; necessary share for domain controller
[netlogon]
     comment = netlogon
     path = /netlogon
     read only = yes
     write list = ntadmin

; share for storing user profiles
[profiles]
     comment = profiles
     path = /ntprofile
     read only = no
     create mask = 0600
     directory mask = 0700

; testshare
[daten]
     comment = Testshare
     path = /daten
     read only = no

Alle smb.conf die ich über google und Webforen gefunden habe sehen im großen und ganze ähnlich aus. smbclient -L localhost sieht gut aus:

Code:

Domain=[NARNIA] OS=[Unix] Server=[Samba 2.2.7]

         Sharename      Type      Comment
         ---------      ----      -------
         netlogon       Disk      netlogon
         profiles       Disk      profiles
         daten          Disk      Testshare
         IPC$           IPC       IPC Service (Samba 2.2.7)
         ADMIN$         Disk      IPC Service (Samba 2.2.7)

         Server               Comment
         ---------            -------
         CBU-NT               Backup Rechner OB 4.1
         CFS-LX               Samba 2.2.7

         Workgroup            Master
         ---------            -------
         NARNIA               CFS-LX

Jetzt kommt das eigentliche Problem. Wie gesagt die Maschinen sind ohne Probleme Mitglied in der Domäne geworden, nur versuche ich jetzt z.B. mich als ein User anzumelden erhalte ich die Meldung von NT/W2K:

,----------------------------------------------------------
| Das System kann Sie nicht bei dieser Domäne anmelden, da das Computer-Konto des
| Systems in seiner primären Domäne fehlt, oder das Kennwort für dieses Computer-Konto ist | falsch.
`----------------------------------------------------------

Der User, mit welchem der Login versucht wurde, existiert im System (passwd) und ist in die ausser in der Standardgruppe "users" in der Gruppe "samba" zu finden.
Die entsprechenden Usr wurden Samba mittels "smbpasswd -a name" bekannt gemacht.

Die Verzeichnisse für das netlogon und die Profile bestehen:

Code:

ll /ntprofile /netlogon -d
drwxrwx---    2 root     samba          80 Dec  2 21:57 /netlogon
drwxrwx---    2 root     samba          48 Dec  2 21:55 /ntprofile

Das in der smb.conf angegebene logon.cmd existiert und alle haben leserechte (-rw-r--r--).

Das ganze habe ich sowohl mit meinen schon länger laufenden NT/W2K Maschinen versucht, als auch mit einer frisch installierten NT 4 WS Maschine.

Ich habe keine Idee mehr wo ich suchen soll, alles was Google mir zu gegebener Windows Fehlermeldung ausgegeben hat, brachte mich nicht weiter. Abgesehen davon waren die Antworten verwirrend.

Ach ja, das Betriebsystem ist ein LFS 4.0 mit Kernel 2.4.19.

Kann mir jemand eine Richtung zeigen?

**MrIch** · 03.12.02, 08:45

also ich denke, dass hat nichts mit den useraccounts und netlogon zu tun, sondern eher mit dem nicht vorhandenden computer account!

Existiert denn ein user testcomputer$, wenn der NT Rechner testcomputer heißt?

Was sagen denn de logfiles in /var/log/samba ?

**Jorge** · 03.12.02, 08:49

Original geschrieben von MrIch
also ich denke, dass hat nichts mit den useraccounts und netlogon zu tun, sondern eher mit dem nicht vorhandenden computer account!

Existiert denn ein user testcomputer$, wenn der NT Rechner testcomputer heißt?

Ja es existiert, da ich mich ja auch an der Domäne anmelden konnte. Wie Du an der smb.conf sehen kannst, wird dabei der Computer Account angelegt.

Was sagen denn de logfiles in /var/log/samba?

Welche brauchts denn? die von den clients (log.machinenname) oder das log.{s,n}mbd? Kann ich aber erst heute Abend nach liefern.

**snafoo** · 03.12.02, 10:26

ich weiß nicht, ob es daran liegen kann, aber zum erstellen eines maschinen accounts muss 'root' ein passwort in der smbpasswd haben (oder ein anderer user mit der uid 0). dieses passwort muss nicht mit dem systempasswort übereinstimmen.
[dieser user muss halt schreibrecht auf die /etc/passwd haben, da diese ja geändert wird]

desweiteren hab ich folgendes in meiner smb.conf:
---------
admin users = root
domain admin group = root
---------

dort muss halt der user mit der uid 0 bzw. den schreibrechten auf /etc/passwd stehen.

viel glück...

bei mir funktioniert es, allerdings ohne 'add user script', ich habs manuell gemacht.
und hier meine frage: was ist die option "-M" in useradd? steht nicht in der manpage. spezifiziert das den maschinen account, so dass man "\$" hinter dem namen weglassen kann?

**Jorge** · 03.12.02, 11:09

Original geschrieben von snafoo
ich weiß nicht, ob es daran liegen kann, aber zum erstellen eines maschinen accounts muss 'root' ein passwort in der smbpasswd haben (oder ein anderer user mit der uid 0). dieses passwort muss nicht mit dem systempasswort übereinstimmen.
[dieser user muss halt schreibrecht auf die /etc/passwd haben, da diese ja geändert wird]

root ist in der smbpasswd eingetragen.

desweiteren hab ich folgendes in meiner smb.conf:
---------
admin users = root
domain admin group = root
---------

dort muss halt der user mit der uid 0 bzw. den schreibrechten auf /etc/passwd stehen.

Den root user werde ich noch hinzufügen, verspreche mir allerdings nichts davon...
viel glück...

**MrIch** · 03.12.02, 11:12

naja vielleicht funktioniert das automatische Anlegen ja nicht...

welche logfiles... das kann ich so direkt nicht sagen, aber ich denke es sollte was in den log.computername stehen!

**Arnie** · 03.12.02, 11:33

Hallo,

ich hatte das gleiche problem allerdings mit win xp als client. es ließ sich durch das ändern eines registry-schlüssels lösen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\netlogon\parameters
"RequireSignOrSeal"=dword:00000000

mag sein, daß dies auch für win 2k funktioniert?

Tschüß
Arnie

**steve-bracket** · 03.12.02, 11:34

Mahlzeit
Geb jetzt auch noch meinen Senf dazu. :-)

Würde das ganze Schritt für Schritt probieren.

Zuerst den MachinenAccount anlegen,($ nicht vergessen) dann der Domäne beitreten.
Wenn's dann auch nicht klappt weiß ich leider keine konkrete Lösung.

Vielleicht hilft meine smb.conf weiter. (von einem bestehenden System)
Hier mal die global Section. (wäre bestimmt auch noch zu verbessern, aber sie funkt)

Übrigens
Diese Section ist mit nicht ganz klar
; where is a user's home directory and where should it
; be mounted at?
logon drive = H:
logon home = \\%L\%u <<--??????????????

viel Glück

fG Steve

[global]
passwd program = /usr/bin/passwd %u
domain master = yes
printing = bsd
encrypt passwords = true
logon path = \\%L\profiles\%U
character set = ISO8859-1
printcap name = /etc/printcap
logon script = logon.bat
passwd chat = New*password* %n\n New*password*(again)* % n\n *changed*
security = user
domain logons = yes
unix password sync = true
server string = samba server
workgroup = XXXXXXX
local master = yes
log file = /var/log/samba/%m
load printers = yes
logon drive = Q:
interfaces = 127.0.0.1/8, 192.168.0.1/24
bind interfaces only = yes
admin users = XXXX

**Jorge** · 04.12.02, 20:56

Oh man, ist das ein ******! Beim genauen Studium der log.smbd habe ich folgende Sequenz gefunden:

Code:

[2002/12/04 21:02:07, 3] smbd/negprot.c:reply_negprot(342)
  Requested protocol [PC NETWORK PROGRAM 1.0]
[2002/12/04 21:02:07, 3] smbd/negprot.c:reply_negprot(342)
  Requested protocol [XENIX CORE]
[2002/12/04 21:02:07, 3] smbd/negprot.c:reply_negprot(342)
  Requested protocol [MICROSOFT NETWORKS 1.03]
[2002/12/04 21:02:07, 3] smbd/negprot.c:reply_negprot(342)
  Requested protocol [LANMAN1.0]
[2002/12/04 21:02:07, 3] smbd/negprot.c:reply_negprot(342)
  Requested protocol [Windows for Workgroups 3.1a]
[2002/12/04 21:02:07, 3] smbd/negprot.c:reply_negprot(342)
  Requested protocol [LM1.2X002]
[2002/12/04 21:02:07, 3] smbd/negprot.c:reply_negprot(342)
  Requested protocol [LANMAN2.1]
[2002/12/04 21:02:07, 3] smbd/negprot.c:reply_negprot(342)
  Requested protocol [NT LM 0.12]
[2002/12/04 21:02:07, 3] smbd/negprot.c:reply_negprot(426)
  Selected protocol NT LM 0.12
[2002/12/04 21:02:07, 3] smbd/process.c:process_smb(878)
  Transaction 2 of length 131
[2002/12/04 21:02:07, 3] smbd/process.c:switch_message(685)
  switch message SMBsesssetupX (pid 11166)
[2002/12/04 21:02:07, 3] smbd/sec_ctx.c:set_sec_ctx(329)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2002/12/04 21:02:07, 3] smbd/reply.c:reply_sesssetup_and_X(858)
  Domain=[]  NativeOS=[Windows NT 1381] NativeLanMan=[]
[2002/12/04 21:02:07, 3] smbd/reply.c:reply_sesssetup_and_X(868)
  sesssetupX:name=[]
[2002/12/04 21:02:07, 3] smbd/reply.c:reply_sesssetup_and_X(1048)
  No such user nobody [] - using guest account
[2002/12/04 21:02:07, 1] smbd/reply.c:reply_sesssetup_and_X(1082)
  Username nobody is invalid on this system
[2002/12/04 21:02:07, 3] smbd/error.c:error_packet(94)
  error string = No such file or directory

Er versucht als User "nobody" etwas zu erledigen. Diesen User gab es aber bis gerade eben nicht. Nachdem ich den User angelegt habe ging auf einmal "net view" und die Maschinen waren sofort in der Netzwerkumgebung sichtbar und ich konnte auch in die Domäne hinein gehen.