Hallo, bin mir gerade mein LDAP Verzeichnis neu am aufbauen und habe ein kleinens Proplem.

Das anlegen von Organisationseinheiten, Computern, Gruppen und Personen gestaltete sich per ldif problemlos. Die Benutzer habe ich mit
./pdbedit -a -u Benutzer
um die Samba attribute erweitert. Leider geht das aber (./pdbedit -a -m wks01$) nicht mit den Computern.
So kann ich mich nur in der Domäne anmelden wenn ich über ein Script in der smb.cof die Computer automatisch in LDAP anlegen.
Muss doch auch von Hand gehen. (In der Hilfe von pdbedit vorgesehen)

Poste auch gleich den Computer LDIF Eintrag und die Fehlermeldung:

***wks05.ldif***************************
dn: uid=wks05$,ou=computer,dc=samba,dc=de
objectClass: account
uid: wks05$
***wks05.ldif***************************

***Fehlermeldung***********************
linux:/usr/local/samba/bin # ./pdbedit -a -m wks05$
ldapsam_modify_entry: Failed to modify user dn= uid=wks05$,ou=computer,dc=samba,dc=de with: Object class violation
object class 'sambaSamAccount' requires attribute 'sambaSID'
ldapsam_add_sam_account: failed to modify/add user with uid = wks05$ (dn = uid=wks05$,ou=computer,dc=samba,dc=de)
Unable to add machine! (does it already exist?)
linux:/usr/local/samba/bin #!
***Fehlermeldung***********************

Schwachsinnig..oder...Naturlich existiert der wks eintrag schon und die samba sid sollte doch eigentlich pdbedit einfügen....


pnuernbe

Hi!

Eigentlich sollte es reichen die Computer ohne Samba-Attribute anzulegen.
Bei mir erweitert Samba die nötigen Einträge mit dem Domain-Beitritt, eben auch ohne Scripteintrag in der smb.conf.

versuch's mal, sonst aktiviere ich noch mal meine Sambakiste ;)

Manx

[edit] btw. das $ braucht's IMHO bei Machine-accounts und pdbedit auch nicht:
http://www.samba.org/samba/docs/man/pdbedit.8.html

Hmm..wenn es bei Dir geht, warum nur bei mir nicht. Findest Du der ldif Eintrag ist OK. Eine Anmedlung an der Domäne war leider nicht möglich..."Unbekannter Benutzername oder falsches Kennwort"...dachte ja deshalb, das ich unbedingt pdbedit einsetzen muss.

Kann auch im log nix finden...aber das muss nix heißen...ist mir vielleicht einfach en wenig zu Umfangreich im LogLevel 10...ich glaub im unteren Teil wird es interessant..

http://www.mrfuture.de/logs/log.smbd.wks05


pnuernbe

... schau's mir morgen (eigentlich heute) an ;)

Gute Nacht

Manx

Original geschrieben von [WCM]Manx
... schau's mir morgen (eigentlich heute) an ;)

Gute Nacht

Manx

Da sagst Du was...viel zu spät...

... ok. hab's mit Deinem LDIF versucht => selbes Ergebnis (gleicher Fehler)

Meins:


p166:/etc/ldap# less d600.ldif
dn: uid=d600$,ou=Computer,dc=manx,dc=homelinux,dc=org
objectClass: posixAccount
objectClass: account
uid: d600$
cn: d600$
loginShell: /bin/false
uidNumber: 2000
gidNumber: 10000
homeDirectory: /dev/null

... dann klappt's auch mit "pdbedit -a -m d600", oder automatisch beim Domainenbeitritt.
Steht das wo, dass man keinen posixAccount für Maschinen braucht?

Grüße

Manx

Hey Super:) scheint so zu Funktionieren...trägt die Attribute autom. bei Anmeldung in der Domäne ins Verzeichnis...Das posixAccount hatte ich einfach weggelassen...dachte das spielt nur für UNIX Maschinen ne Rolle.
Wenn ich mich aber in der Domäne anmelde, muss ich als Benutzername root eingeben und als passwort das passwort, welches ich auf die secrets.tdb gesetzt habe (normales root passwort funzt nicht).

Warum brauch ich dann überhaupt root. Kann ich nicht einfach einen meiner LDAP Benutzer auswählen ? Würd auch schöner aussehen als mit pdbedit -a -u root immer den root Eintrag im Verzeichnis zu haben.

Und wie sieht es mit dem Samba PDC selbst aus? Bei einem NT Domänenmodell ist doch auch der Server selbst in der Domäne. Müsste also meinen Linux Samba PDC noch irgendwie in das LDAP Verzeichnis hinzufügen...oder...?

..übrigens...Danke für die Hilfe...:D


pnuernbe

Hi!

Den Root braucht's irgendwie (dummerweise), find das auch unangenehm, aber mein Workaround.
Es ist möglich für root den POSIX-Teil in der /etc/shadow zu haben und den Samba-Account Teil im LDAP mit unterschiedlichen Passwörtern.

Sprich root existiert in /etc/shadow => ein "pdbedit -a -u root" bringt zwar einen Fehler (ich hab LDAP passwd sync auf YES) der root sambaSamAccount wird aber angelegt.
Aus Sicherheitsgründen verwende ich nicht das gleiche Passwort (obwohl's bis jetzt nur eine Testumgebung ist), falls die Windows NT/LM Hashes ersniffert würden.

Man könnte den Root-sambaSamAccount aber auch per LDIF anlegen.

Ich glaub, dass der PDC sowieso in der Domain ist, zumindest sieht man ihn ja in der Netzwerkumgebund, das passt schon.

Grüße

Manx

Steht das wo, dass man keinen posixAccount für Maschinen braucht?

könnt mich ärgern! hab das letztens in der samba-mailinglist gelesen, finde es aber nicht mehr

da wurde von einem der sambaentw. angegeben, dass machine accounts keine posixattribute benötigen


Warum brauch ich dann überhaupt root
um administrative tätigkeiten via RPC auszuführen (maschinen hinzufügen)

ein schöner thread
http://groups.google.de/groups?hl=de&lr=&ie=UTF-8&oe=UTF-8&threadm=wpjH.63v.25%40gated-at.bofh.it&rnum=29&prev=/groups%3Fq%3D%252Bwhy%2Bneed%2Broot%2Baccount%2Bsa mba%26hl%3Dde%26lr%3D%26ie%3DUTF-8%26oe%3DUTF-8%26start%3D20%26sa%3DN


Kann ich nicht einfach einen meiner LDAP Benutzer auswählen ?

probier es doch einfach, indem du mal einen user in die admingruppe (Domänen Administratoren) einfügst und dann unter seiner kennung eine maschine in die domäne fährst - müsste doch klappen,oder?


Würd auch schöner aussehen als mit pdbedit -a -u root immer den root Eintrag im Verzeichnis zu haben.

wo ist hier das problem?
das "aussehen" ist doch nicht wirklich relevant...


Und wie sieht es mit dem Samba PDC selbst aus? Bei einem NT Domänenmodell ist doch auch der Server selbst in der Domäne. Müsste also meinen Linux Samba PDC noch irgendwie in das LDAP Verzeichnis hinzufügen...oder...?

nicht notwendig, hab ich der sauberkeit halber aber gemacht (bzgl. evtl. erweiterung mit winbindd)
der PDC vertraut sich ja selbst und muss sich nicht gg. seine eigens verwaltete DB authentifzieren

greez