PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Roaming Profiles access denied



George Mason
12.12.03, 12:54
Hallo, ich habe bereits das Forum und das Netz durchsucht, aber bisher keine Lösung für mein Problem gefunden:

Samba läuft auf einem SuSE Linux Standard Server. Es war alles soweit vorkonfiguriert. Nur die Roaming Profiles funktionieren noch nicht.

Ich bin folgendermaßen vorgegangen, um einen Windows-Client, Computername spuhh1, Benutzername dvohh1 zum Mitglied der Domäne zu machen:

1. Mit dem SuSE-Administrationstool Cyrus den Benutzer dvohh1 erstellt. Diesen Benutzer zum Mitglied der Gruppe users gemacht.
2. Den Windows-Client in die Domäne gehoben. Computer fragt nach Benutzername/Passwort: root/root-passwort benutzt, willkommen in der Domäne.
3. Im Cyrus nachgesehen: es wurde ein Maschinenkonto erstellt (spuhh1$), sowie ein neuer Benutzer dvohh1, mit einem gleichnamigen Ordner unter /home.

drwx--x--x dvohh1 users dvohh1

in diesem Ordner gibt es einen Unterordner .msprofile.

drwx------ dvohh1 users .msprofile

Auf diese beiden Ordner kann ich als dvohh1 lesend und schreibend zugreifen.

4. Neustart des Rechners. Beim Anmelden die Domäne TKSHH gewählt. Dann kommt die Fehlermeldung:
Das servergespeicherte Profil ist nicht verfügbar. Sie werden mit dem lokal gespeicherten Profil angemeldet. Änderungen an ihrem Profil werden nicht auf dem Server gespeichert.

Weiter unten heisst es da: Details - Zugriff verweigert. Ich vermute, dass der Fehler in der smb.conf liegt, könnt ihr euch das mal anschauen?

hier ist meine smb.conf, ich habe Sambaxp neu installiert und arbeite mit der default-Config:

[global]
add user script=/usr/sbin/addsmbmachine2ldap %m
admin users=administrator
character set=ISO8859-15
client code page=850
domain admin group=@ntadmin root
domain logons=Yes
domain master=yes
encrypt passwords=Yes
ldap admin dn=uid=cyrus,dc=tkshh,dc=de
ldap del only sam attr=Yes
ldap filter=(&(uid=%u)(objectclass=sambaAccount))
ldap port=389
ldap server=localhost
ldap ssl=off
ldap suffix=dc=tkshh,dc=de
logon drive=p:
logon home=\\%L\%U
logon path=\\%L\%U\.msprofile
logon script=users.bat
map to guest=bad user
os level=255
preferred master=yes
printcap name=CUPS
printer admin=@ntadmin
printing=cups
security=user
socket options=SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY
time server=Yes
unix extensions=Yes
username map=/etc/samba/smbusers
veto files=/*.eml/*.nws/riched20.dll/*.{*}/
wins support=Yes
workgroup=TKSHH

[netlogon]
comment=Network Logon Service
path=/var/lib/samba/netlogon
browseable=No

[homes]
browseable=No
comment=Home Directories
inherit permissions=Yes
read only=No
valid users=%S

[Benutzer]
comment=Freigabe aller Benutzer
path=/home
writeable=Yes
inherit permissions=Yes
veto files=/aquota.user/groups/shares/

[Gruppen]
comment=Freigabe aller Gruppen
path=/home/groups
writeable=Yes
inherit permissions=Yes

Hier noch ein Auszug aus der log.smbd Logdatei

smbd version 2.2.5-SuSE started.
Copyright Andrew Tridgell and the Samba Team 1992-2002
[2003/12/12 13:11:26, 0] smbd/password.c:domain_client_validate(1549)
domain_client_validate: could not fetch trust account password for domain TKSHH
[2003/12/12 13:11:26, 0] passdb/pdb_ldap.c:pdb_getsampwnam(869)
LDAP search "(&(uid=dvohh1)(objectclass=sambaAccount))" returned 0 entries.
[2003/12/12 13:11:26, 0] passdb/pdb_ldap.c:pdb_getsampwnam(869)
LDAP search "(&(uid=dvohh1)(objectclass=sambaAccount))" returned 0 entries.
[2003/12/12 13:11:26, 0] passdb/pdb_ldap.c:pdb_getsampwnam(869)
LDAP search "(&(uid=dvohh1)(objectclass=sambaAccount))" returned 0 entries.
[2003/12/12 13:16:16, 0] smbd/password.c:domain_client_validate(1549)
domain_client_validate: could not fetch trust account password for domain TKSHH
[2003/12/12 13:16:16, 0] passdb/pdb_ldap.c:pdb_getsampwnam(869)
LDAP search "(&(uid=spuhh1_)(objectclass=sambaAccount))" returned 0 entries.
[2003/12/12 13:18:57, 0] smbd/password.c:domain_client_validate(1549)
domain_client_validate: could not fetch trust account password for domain TKSHH
[2003/12/12 13:22:18, 0] lib/util_sock.c:read_data(436)
read_data: read failure for 4. Error = Connection reset by peer

RichieX
15.12.03, 17:11
WinXP Client (Auch für W2K SP4):

http://www.linuxforen.de/forums/showthread.php?s=&threadid=26240&highlight=registry+winxp+samba

http://www.linuxforen.de/forums/showthread.php?s=&threadid=21356&highlight=registry+winxp+samba

RichieX

George Mason
15.12.03, 22:36
Vielen Dank für den Hinweis, das dort Beschriebene probiere ich gleich morgen mal aus! Es handelt sich allerdings um Win2kSP3 Rechner.

mamue
16.12.03, 08:25
Zugriff verweigert bedeutet nicht unbedingt, dass die Dateirechte nicht stimmen. Es kann auch leicht an der Registry liegen (NTUSER.DAT).
Wenn da schon etwas existiert, versuch mal, ob das Problem nach dem Löschen verschwindet. Ansonsten vielleicht mal den loglevel auf 2 setzen, um zu sehen, auf welche Dateien versucht wird zuzugreifen.

mamue

RichieX
16.12.03, 08:53
Hab mir nochmal dein Logfile angeschaut:


[2003/12/12 13:11:26, 0] smbd/password.c:domain_client_validate(1549)
domain_client_validate: could not fetch trust account password for domain TKSHH
[2003/12/12 13:11:26, 0] passdb/pdb_ldap.c:pdb_getsampwnam(869)
LDAP search "(&(uid=dvohh1)(objectclass=sambaAccount))" returned 0 entries.


Kann es sein, dass etwas mit deinem LDAP nicht hinhaut. Jedenfalls kann er den Benutzer, mit dem du dich anmeldest, nicht authentifiziert werden.

RichieX

George Mason
16.12.03, 12:02
So, der Registry Key war's nicht, ich erhalte nach wie vor die gleichen Fehlermeldungen!

@mamue: Danke, ich versuche das mit dem Loglevel mal!
Meinst Du, ich soll die komplette Datei ntuser.dat löschen? Die gibt es für jeden lokalen Windows-Benutzer unter Dokumente und Einstellungen, welche soll ich nehmen, die des Administrators, oder die des Default Users? Wobei: lokale Benutzerkonten will ich eh nicht verwenden, sondern ein Domänen-Logon mit Roaming Profiles.

@RichieX: Ich will es nicht hoffen, LDAP ist nämlich auf der Kiste vorkonfiguriert gewesen, ob ich da auch mal ran muss?

Brauche ich auch eine Abteilung [profile], bin gerade beim Stöbern im Samba Manual drauf gestoßen....

George Mason
16.12.03, 12:43
Ich habe jetzt den loglevel auf 2 gesetzt, das Logfile log.smbd für einmal Anmelden und wieder Abmelden habe ich diesem Post angehängt...

mamue
16.12.03, 16:41
Original samba-log von George Mason

connect to service azubi1 as user azubi1 (uid=502, gid=100) (pid 22867)


Fein. Samba findet sogar das Homeverzeichniss ;-)
net use x: /home müsste also gehen.
So schlimm kann es also eigentlich nicht sein.
Die Profile werden beim ersten Anmelden neu erzeugt, nimm ein Testaccount und lösch dort dessen gesamtes Profilverzeichniss, bei mir ist das der Pfad irgendwi /samba/profile/%U oder so ähnlich, ich würde dann also
cd /samba/profile
rm -rf azubi1
machen. Ich hatte gelegentlich auch schon eine solche Fehlermeldung, die damit verschwand. Die Profile sind kein vertrauenswürdiger Speicherort!

mamue

Edit: Mir fällt gerade die uid auf. Die RID sollte eigentlich =(502*2)+1000= 2004 sein, wenn ich mich nicht irre.
Kannst Du mal den ldif des user posten?

George Mason
17.12.03, 09:26
Original geschrieben von mamue
Fein. Samba findet sogar das Homeverzeichniss ;-)
net use x: /home müsste also gehen.
So schlimm kann es also eigentlich nicht sein.
Jo, net use x: /azubi1 führt zur Fehlermeldung, dass das Basisverzeichnis des Benutzers nicht angegeben wurde.

Die Profile werden beim ersten Anmelden neu erzeugt, nimm ein Testaccount und lösch dort dessen gesamtes Profilverzeichniss, bei mir ist das der Pfad irgendwi /samba/profile/%U oder so ähnlich, ich würde dann also
cd /samba/profile
rm -rf azubi1
machen. Ich hatte gelegentlich auch schon eine solche Fehlermeldung, die damit verschwand. Die Profile sind kein vertrauenswürdiger Speicherort!
Die Profile sollen in den Ordner /home/profiles/, was nie klappt. Leerer Ordner. Und ich lege den Account bei jedem Versuch neu an, nur um ganz sicher zu gehen.

Edit: Mir fällt gerade die uid auf. Die RID sollte eigentlich =(502*2)+1000= 2004 sein, wenn ich mich nicht irre.
Kannst Du mal den ldif des user posten?
wo finde ich den ldif?

[WCM]Manx
17.12.03, 10:13
Original geschrieben von mamue

Edit: Mir fällt gerade die uid auf. Die RID sollte eigentlich =(502*2)+1000= 2004 sein, wenn ich mich nicht irre.

... du irrst ;), aufpassen => kein Samba 3

Grüße

Manx

mamue
17.12.03, 13:02
Ich verstehe jetzt nicht, wie Du die user anlegst, in den logfiles sehe ich Meldungen von ldap, die Accounts legst Du scheinbar anders an?
getent passwd azubi1 sollte ein Ergebniss bringen.
ldapsearch -x uid=azubi1 oder cn=azubi1 sollte den Eintrag zu azubi1 bringen.


@[WCM]Manx
Bei samba3 kann ich die Zuordnung frei wählen (SID) bei samba2.2 wird sie algorithisch ermittelt, AFAIK.

mamue

RichieX
17.12.03, 15:24
Original geschrieben von George Mason

Die Profile sollen in den Ordner /home/profiles/, was nie klappt. Leerer Ordner. Und ich lege den Account bei jedem Versuch neu an, nur um ganz sicher zu gehen.


Wie sind denn die Berechtigungenauf diesem Verzeichnis. Es sollten alle lesen und schreiben können (am besten 777).

RichieX

George Mason
17.12.03, 15:50
Mit der Original smb.conf sieht das log.smb so aus:

[2003/12/17 15:26:36, 0] rpc_server/srv_pipe.c:api_pipe_netsec_process(1271)
Invalid auth info 68 or level 5 on schannel
[2003/12/17 15:26:36, 0] rpc_server/srv_pipe_hnd.c:process_request_pdu(508)
process_request_pdu: failed to do schannel processing.
[2003/12/17 15:26:36, 0] rpc_server/srv_pipe.c:api_pipe_netsec_process(1271)
Invalid auth info 68 or level 5 on schannel
[2003/12/17 15:26:36, 0] rpc_server/srv_pipe_hnd.c:process_request_pdu(508)
process_request_pdu: failed to do schannel processing.

Etwas anders, da security=user anstatt security=domain eingestellt ist, nehme ich an.

@Mamue: Ja, die User sowie deren Verzeichnisse werden über ldap angelegt, mittels cyrus, dem graphischen Administrationstool von SuSE.

@RichieX: die profiles liegen jetzt wieder unter /var/lib/samba/profiles. Der Ordner profiles gehört root und der Gruppe users, Berechtigungen sind nach wie vor drwxrwx---.

Der Befehl getent passwd dvohh1 ergibt das:
dvohh1:x:502:100:David Voigt:/home/dvohh1:/bin/bash

auch ldapsearch führt zum gewünschten Ergebnis. Ich setze jetzt die security nochmal auf share und einmal auf domain und gucke, was sich in den Logfiles ändert.

mamue
17.12.03, 16:52
Ich frage mich halt, ob denn auch ein sambaAccount angelegt worden ist, dann müsset bei "ldapsearch -x uid=ein-login" auch eine objectClasse sambaAccount existieren.

security = user ist schon richtig, meine ich.

mamue

[WCM]Manx
17.12.03, 16:54
Hi!

Damit ich vielleicht auch was produktives beitrage ;)
IMHO gehört:

security = user
und du brauchst doch auch eine [profiles] share, oder hab ich die übersehen?

Grüße

Manx

George Mason
17.12.03, 17:31
@mamue: ldapsearch funktioniert, die User sind angelegt. Und es gibt eine objectClass sambaAccount.

@Manx: der Server ist so konfiguriert, dass die Profile im Home-Directory des Users landen. Der Ordner .msprofile wird im Home-Directory erstellt und hat die entsprechenden Berechtigungen.
Security=user lasse ich jetzt so. Dann ist wenigstens die Fehlermeldung "domain_client_validate: could not fetch trust account password for domain TKSHH" weg.

Übrigens danke schon mal an alle, ich finde, wir kommen weiter!!

[WCM]Manx
17.12.03, 18:35
IMHO geht's aber ohne [profiles] share nicht, und außerdem:

http://samba.linuxbe.org/en/samba/config/pdc-1.html
Don't use a subdirectory of the home share to store the profile. Windows clients can sometimes maintain a connection to the [homes] share, even though there is no user logged in. Therefore, it is vital that the logon path does not include a reference to the homes share (i.e. setting this parameter to \\%L\%U\ profile will cause problems).

Manx

George Mason
17.12.03, 20:45
genialer Tipp, hab ich übersehen, danke!!

Warum geht es ohne [profiles] share nicht? Ich stelle das morgen auf jeden Fall noch mal so ein:

logon home = \\%L\%u\.msprofiles (für Windows 9x/Me)
logon path = \\%L\profiles\%u

Wahrscheinlich funktioniert danach weder das Löschen noch das Hinzufügen von Benutzern, weil die Benutzer und deren Verzeichnisse u.a. mit LDAP angelegt wurden. Ich nehme aber an, das man das umkonfigurieren kann.

Allerdings frage ich mich immer noch, warum die Profile nicht geschrieben werden können. Der Benutzer hat schließlich alle Rechte im .msprofiles-Verzeichnis und in /var/lib/samba/profiles zu r+w. Und ich denke mal, so war es von SuSE auch gedacht.

Andererseits war das Ganze nicht für Roaming Profiles gedacht, also werde ich wohl doch eine Profiles share einrichten, world writable.

rpc_server/srv_pipe.c:api_pipe_netsec_process(1271)
Invalid auth info 68 or level 5 on schannel

hm... bringt es vielleicht etwas, den log level höher als 2 zu stellen?

George Mason
18.12.03, 10:54
Tja, das war's wohl. Es funktioniert!!! Also, ich habe:

- die Pfade zu den Profilen geändert, so dass sie nicht innerhalb der Home-Verzeichnisses der Benutzer landen

- eine share eingerichtet namens [profiles], world writeable

- folgende Registry Keys eingestellt:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Netlogon\Parameters]
"DisablePasswordChange"=dword:00000000
"requiresignorseal"=dword:00000000
"requirestrongkey"=dword:00000000
"sealsecurechannel"=dword:00000001
"signsecurechannel"=dword:00000000
"DBFlag"="0"
"Update"="no"

und schon klappt die Anmeldung des Benutzers, das serverseitige Speichern der Profile, ... :D

Vielen Dank an alle, die diesen Thread gelesen haben und sich Gedanken gemacht haben! Besonders danke ich [WCM]Manx, RichieX und mamue, ohne Euch hätte ich es nicht geschafft...

prodigalson
13.01.04, 18:54
Hallo George,
hat sich dein Problem in Zwischenzeit mit der Clientanmeldung am Standardserver gelöst?
Wenn ja, wo lag das Problem?

Ich hatte ein änliches Problem mit meinem Standardserver. Ich konnte einen W2K Client ebenfalls nicht anmelden.
Das Problem lag am Server.
Die Option acl und userquota für das /home- Verzeichnis in der fstab wird bei einer
manuellen Partitionierung des Servers nicht automatisch gesetzt.
Ein Nachtrag in der fstab hat das Problem der Profilanmeldung gelöst.
Der W2K Client kann sich nun erfogreich am Server anmelden.

Leider habe ich noch das Problem, dass ich einen Suse 9 Client unter KDE ebenfalls am Server anmelden kann, er mir aber unter Gnome den Zugriff verweigert.
"Cannot write to $/home/.gcnome".
Dies betrifft auch gnome Programme, die auch unter KDE genutzt werden können. Z.B. Evolution. Hierbei treten ebenfalls Fehlermeldungen auf, die auf ein fehlendes Schreibrecht im Homeverzeichnis schließen lassen.
Schreibrechte des Users sind definitiv gesetzt!

Am W2K Client kann ich die Drucker über Samba nicht ansperchen.
"Zugriff verweigert".
Meine smb.conf entsricht deiner. Hattest du hierbei Probleme, oder nutzt du keinen Drucker über Samba?

Hattest du änliche Probleme?
Welcher Fehler lag bei deiner Konfiguration vor?

Gruß Rolf

George Mason
14.01.04, 06:35
Ja, mit den Druckern gibt es tatsächlich Probleme. Bin zur Zeit nicht an der Machine dran aber ich schau dann noch mal...