PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba 3.02a OpenLDAP 2.1 PDC Joinen



READY
06.04.04, 15:17
Hallo,

seit mehreren Wochen befasse ich mich nun mit LDAP im Zusammenhang mit Samba. Bin grade dabei eine Testumgebung mit Openldap 2.1 mit Samba 3.02a als PDC aufzubauen.
Ich las bereits sämtliche Dokumentationen, Howto's die irgendwo greifbar waren.
Doch leider wird mir der Versuch die PDC Domäne zu betreten mit einer (unter Windows) Fehlermeldung quittiert:

"Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt"

Unter mit "net join" (Linux):

[2004/04/06 14:59:44, 0] utils/net_rpc_join.c:net_rpc_join_newstyle(240)
error looking up rid for user burnstation$: NT_STATUS_NONE_MAPPED

Zur Umgebung:

Burnstation ist der Samba Server. (SuSE 9.0)
Mobil1 der Windows XP Pro Test Client.
TEST.INT ist die Samba Domäne.
Ich verwende Group Mapping (Konfiguration aus der Ldif Struktur ersichtlich).

Zu meiner Konfiguration:
Samba (smb.conf):


[global]
netbios name = burnstation
workgroup = test.int
#passwd backend = tdbsam
os level = 34

domain master = yes
domain logons = yes
preferred master = yes
local master = yes
wins support = yes

log level = 50
log file = /var/log/samba/log.smbd

logon path = \\%N\profiles\%u
logon drive = H:
logon home = \\burnstation\%u\winprofile
logon script = logon.cmd

server string = %h PDC
valid chars = 148:153 132:142 129:154 225
veto files = /*.eml/*.nws/riched20.dll/*.{*}/
map archive = No
mangled names = No
character set = ISO8859-1
socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY

security = user
null passwords = Yes
encrypt passwords = Yes

# LDAP
passdb backend = ldapsam:ldap://127.0.0.1
ldap suffix = dc=burnstation,dc=smb-net
ldap admin dn = uid=root,o=users,dc=burnstation,dc=smb-net
ldap port = 389
ldap server = 127.0.0.1
ldap ssl = no
ldap user suffix = o=users
ldap group suffix = o=groups
ldap machine suffix = o=computers
ldap filter = (&(uid=%u)(objectclass=sambaSamAccount))

[netlogon]
path = /var/lib/samba/netlogon
read only = yes
write list = ntadmin,root

[profiles]
path = /var/lib/samba/profiles
comment = Profiles
browseable = yes
public = yes
read only = no
writeable = yes
create mask = 0644
directory mask = 0755

[homes]
comment = Home Directories
browseable = yes
public = yes
read only = no
writeable = yes
create mask = 0644
directory mask = 0755


Openldap (slapd.conf):



TLSCertificateFile /etc/openldap/certificates/servercrt.pem
TLSCertificateKeyFile /etc/openldap/certificates/serverkey.pem
TLSCACertificateFile /etc/openldap/certificates/cacert.pem

include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/misc.schema
include /etc/openldap/schema/openldap.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/samba.schema
include /etc/openldap/schema/uidpool.schema

include /etc/openldap/slapd.access.conf

pidfile /var/run/slapd/slapd.pid
argsfile /var/run/slapd/slapd.args
loglevel 256

database ldbm
suffix "dc=burnstation,dc=smb-net"
rootdn "cn=Manager,dc=burnstation,dc=smb-net"
rootpw ******
directory /var/lib/ldap
index cn,sn,uid,displayName pres,sub,eq
index uidNumber,gidNumber eq
index sambaSID eq
index sambaPrimaryGroupSID eq
index sambaDomainName eq
index default sub



Die Openldap Ldif Struktur:



dn: o=users,dc=burnstation,dc=smb-net
o: users
objectClass: organization
structuralObjectClass: organization

dn: uid=root,o=users,dc=burnstation,dc=smb-net
cn: root
displayName: root root
gecos: root root
gidNumber: 0
homeDirectory: /root
loginShell: /bin/bash
sambaAcctFlags: [U ]
sambaPrimaryGroupSID: S-1-5-21-1033472183-1631895051-3950298177-512
shadowLastChange: 11778
uid: root
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
objectClass: sambaSamAccount
structuralObjectClass: account
sambaDomainName: TEST.INT
uidNumber: 0
sambaSID: S-1-5-21-1033472183-1631895051-3950298177-500
sambaPwdMustChange: 2147483647
sambaLMPassword: ******
sambaNTPassword: ******
userPassword:: ******
sambaPwdCanChange: 1080739329
sambaPwdLastSet: 1080739329

dn: uid=deruser,o=users,dc=burnstation,dc=smb-net
uid: deruser
cn: der
sn: user
userPassword:: ******
loginShell: /bin/bash
uidNumber: 1000
gidNumber: 1000
homeDirectory: /home/deruser
shadowMin: -1
shadowMax: 999999
shadowWarning: 7
shadowInactive: -1
shadowExpire: -1
shadowFlag: 0
objectClass: top
objectClass: person
objectClass: posixAccount
objectClass: shadowAccount
structuralObjectClass: person




dn: o=groups,dc=burnstation,dc=smb-net
o: groups
objectClass: organization
structuralObjectClass: organization

dn: cn=users,o=groups,dc=burnstation,dc=smb-net
objectClass: posixGroup
objectClass: top
objectClass: sambaGroupMapping
gidNumber: 100
cn: users
structuralObjectClass: posixGroup
sambaGroupType: 2
displayName: Domain Users
sambaSID: S-1-5-21-1033472183-1631895051-3950298177-513

dn: cn=admins,o=groups,dc=burnstation,dc=smb-net
cn: admins
gidNumber: 200
structuralObjectClass: posixGroup
objectClass: top
objectClass: posixGroup
objectClass: sambaGroupMapping
sambaGroupType: 2
sambaSID: S-1-5-21-1033472183-1631895051-3950298177-512
displayName: Domain Admins

dn: cn=computers,o=groups,dc=burnstation,dc=smb-net
cn: computers
gidNumber: 300
sambaGroupType: 2
objectClass: top
objectClass: posixGroup
objectClass: sambaGroupMapping
structuralObjectClass: posixGroup
sambaSID: S-1-5-21-1033472183-1631895051-3950298177-515
displayName: Domain Computers

dn: cn=root,o=groups,dc=burnstation,dc=smb-net
cn: root
gidNumber: 0
sambaGroupType: 2
memberUid: root
objectClass: top
objectClass: posixGroup
objectClass: sambaGroupMapping
structuralObjectClass: posixGroup
displayName: System Operators
sambaSID: S-1-5-21-1033472183-1631895051-3950298177-512

dn: cn=controllers,o=groups,dc=burnstation,dc=smb-net
cn: controllers
displayName: Domain Controllers
sambaGroupType: 2
memberUid: $burnstation
objectClass: top
objectClass: posixGroup
objectClass: sambaGroupMapping
structuralObjectClass: posixGroup
gidNumber: 400
sambaSID: S-1-5-21-1033472183-1631895051-3950298177-516

dn: cn=nobody,o=groups,dc=burnstation,dc=smb-net
cn: nobody
displayName: Domain Guests
sambaGroupType: 2
objectClass: top
objectClass: posixGroup
objectClass: sambaGroupMapping
structuralObjectClass: posixGroup
sambaSID: S-1-5-21-1033472183-1631895051-3950298177-514
gidNumber: 65533




dn: o=computers,dc=burnstation,dc=smb-net
o: computers
objectClass: organization
structuralObjectClass: organization

dn: uid=mobil1__$,o=computers,dc=burnstation,dc=smb-net
gidNumber: 300
uid: mobil1__$
cn: mobil1
homeDirectory: /dev/null
objectClass: top
objectClass: sambaSamAccount
objectClass: posixAccount
objectClass: account
structuralObjectClass: account
uidNumber: 1004
sambaAcctFlags: [W ]
sambaSID: S-1-5-21-1033472183-1631895051-3950298177-3008

dn: uid=burnstation$,o=computers,dc=burnstation,dc=smb-net
gidNumber: 300
uid: burnstation$
cn: burnstation
homeDirectory: /dev/null
objectClass: top
objectClass: sambaSamAccount
objectClass: posixAccount
objectClass: account
structuralObjectClass: account
sambaPrimaryGroupSID: S-1-5-21-1033472183-1631895051-3950298177-515
uidNumber: 1005
sambaAcctFlags: [W ]
sambaSID: S-1-5-21-1033472183-1631895051-3950298177-3010

dn: uid=mobil1$,o=computers,dc=burnstation,dc=smb-net
cn: mobil1
gidNumber: 300
homeDirectory: /dev/null
objectClass: top
objectClass: sambaSamAccount
objectClass: posixAccount
objectClass: account
sambaPrimaryGroupSID: S-1-5-21-1033472183-1631895051-3950298177-515
sambaSID: S-1-5-21-1033472183-1631895051-3950298177-3006
uid: mobil1$
uidNumber: 1003
structuralObjectClass: account
sambaAcctFlags: [W ]




dn: sambaDomainName=TEST.INT,dc=burnstation,dc=smb-net
sambaDomainName: TEST.INT
sambaSID: S-1-5-21-1033472183-1631895051-3950298177-516
sambaAlgorithmicRidBase: 1000
objectClass: sambaDomain
structuralObjectClass: sambaDomain


Falls ihr mir Hinweise/Tipps geben könnt: her damit!
Auf Wunsch poste ich auch Ldap/Samba/Ethereal Debugging.
Mich peröhnlich hat esn icht weiter gebracht obwohl ich die Unmengen an Logs sehr genau durch gegangen bin.
Hoffe auf Antwort!

-ready

emba
06.04.04, 22:39
ich entsinne micht, dass ich die selbe fehlermeldung (zuordnung ... ) hatte, als etwas mit den SIDs im ldap nicht stimmte

was gibt

net getlocalsid (evtl. mal noch zusätzlich die domäne dem tool mitgeben) ?

wieso besitzen deine user/maschinen noch keine samba-attribute ?
was gibt "net groupmap list -d0" ?

kannst du denn, wenn du mal einen richtigen sambauser angelegt hast, lokal auf der linux kiste ein verzeichnis mounten, um zu sehen, ob er überhaupt richtig gegen ldap geht?

greez

READY
07.04.04, 08:57
Hallo,

erstmal danke für deine Antwort.


was gibt

net getlocalsid (evtl. mal noch zusätzlich die domäne dem tool mitgeben) ?


burnstation:~ # net getlocalsid
SID for domain BURNSTATION is: S-1-5-21-1033472183-1631895051-3950298177

burnstation:~ # net getlocalsid TEST.INT
SID for domain TEST.INT is: S-1-5-21-1033472183-1631895051-3950298177-516


wieso besitzen deine user/maschinen noch keine samba-attribute ?

Die Machinen (burnstation, mobil1) besitzen doch Samba Attribute. Der Benutzer root ebenfalls, solange ich mich nicht mit irgendeinem Benutzer an der Domaine anmelde brauche ich ihm ja auch keine Samba Attribute zu geben. Ich hatte auch schon Benutzer mit Samba Attributen in Ldap Directory doch die auch wieder während der Testerei entfernt, ich bezweifle auch stark dass es damit etwas zu tun hat.


was gibt "net groupmap list -d0" ?
burnstation:~ # net groupmap list -d0
Domain Users (S-1-5-21-1033472183-1631895051-3950298177-513) -> users
Domain Admins (S-1-5-21-1033472183-1631895051-3950298177-512) -> admins
Domain Computers (S-1-5-21-1033472183-1631895051-3950298177-515) -> computers
System Operators (S-1-5-21-1033472183-1631895051-3950298177-512) -> root
Domain Guests (S-1-5-21-1033472183-1631895051-3950298177-514) -> nobody
Domain Controllers (S-1-5-21-1033472183-1631895051-3950298177-516) -> controllers

..die Groupmaps sollten eigentlich passen soweit.


kannst du denn, wenn du mal einen richtigen sambauser angelegt hast, lokal auf der linux kiste ein verzeichnis mounten, um zu sehen, ob er überhaupt richtig gegen ldap geht?
Das habe ich so noch nicht probiert, aber dass er gegen Ldap geht bin ich mir ziemlich sicher, jedenfalls ist es den Logs zu entnehmen. Ich werde es mal testen und die Ergebnisse kundtun.

Hier mal noch ein bisschen Debugging:

Teile der log.smbd bei der Anmeldung mit der Testmaschine "laptop" an PDC "burnstation":


[2004/04/06 16:57:52, 5] lib/smbldap.c:smbldap_search(919)
smbldap_search: base => [dc=burnstation,dc=smb-net], filter => [(&(&(uid=LAPTOP$)(objectclass=sambaSamAccount))(object class=sambaSamAccount))], scope => [2
]
[2004/04/06 16:57:52, 11] lib/smbldap.c:smbldap_open(828)
smbldap_open: already connected to the LDAP server
[2004/04/06 16:57:52, 2] passdb/pdb_ldap.c:init_sam_from_ldap(462)
init_sam_from_ldap: Entry found for user: laptop$
[2004/04/06 16:57:52, 10] passdb/pdb_get_set.c:pdb_set_username(593)
pdb_set_username: setting username laptop$, was
[2004/04/06 16:57:52, 10] passdb/pdb_get_set.c:pdb_set_init_flags(493)
element 11 -> now SET
[2004/04/06 16:57:52, 10] passdb/pdb_get_set.c:pdb_set_domain(620)
pdb_set_domain: setting domain TEST.INT, was
[2004/04/06 16:57:52, 11] passdb/pdb_get_set.c:pdb_set_init_flags(505)
element 13 -> now DEFAULT
[2004/04/06 16:57:52, 10] passdb/pdb_get_set.c:pdb_set_nt_username(647)
pdb_set_nt_username: setting nt username laptop$, was
[2004/04/06 16:57:52, 10] passdb/pdb_get_set.c:pdb_set_init_flags(493)
element 14 -> now SET
[2004/04/06 16:57:52, 10] passdb/pdb_get_set.c:pdb_set_user_sid_from_string(533)
pdb_set_user_sid_from_string: setting user sid S-1-5-21-1033472183-1631895051-3950298177-3012
[2004/04/06 16:57:52, 10] passdb/pdb_get_set.c:pdb_set_user_sid(520)
pdb_set_user_sid: setting user sid S-1-5-21-1033472183-1631895051-3950298177-3012
[2004/04/06 16:57:52, 10] passdb/pdb_get_set.c:pdb_set_init_flags(493)
element 17 -> now SET
[2004/04/06 16:57:52, 10] lib/smbldap.c:smbldap_get_single_attribute(301)
smbldap_get_single_attribute: [sambaPrimaryGroupSID] = [<does not exist>]
[2004/04/06 16:57:52, 10] passdb/pdb_get_set.c:pdb_set_group_sid(556)
pdb_set_group_sid: setting group sid S-1-5-21-1033472183-1631895051-3950298177-516-513
[2004/04/06 16:57:52, 11] passdb/pdb_get_set.c:pdb_set_init_flags(505)
element 18 -> now DEFAULT
[2004/04/06 16:57:52, 10] passdb/pdb_compat.c:pdb_set_group_sid_from_rid(100)
pdb_set_group_sid_from_rid:
setting group sid S-1-5-21-1033472183-1631895051-3950298177-516-513 from rid 513
[2004/04/06 16:57:52, 11] passdb/pdb_get_set.c:pdb_get_init_flags(189)
element 17: SET
[2004/04/06 16:57:52, 10] lib/smbldap.c:smbldap_get_single_attribute(301)
smbldap_get_single_attribute: [sambaPwdLastSet] = [<does not exist>]
[2004/04/06 16:57:52, 10] lib/smbldap.c:smbldap_get_single_attribute(301)
smbldap_get_single_attribute: [sambaLogonTime] = [<does not exist>]
[2004/04/06 16:57:52, 10] lib/smbldap.c:smbldap_get_single_attribute(301)
smbldap_get_single_attribute: [sambaLogoffTime] = [<does not exist>]
[2004/04/06 16:57:52, 10] lib/smbldap.c:smbldap_get_single_attribute(301)
smbldap_get_single_attribute: [sambaKickoffTime] = [<does not exist>]
[2004/04/06 16:57:52, 10] lib/smbldap.c:smbldap_get_single_attribute(301)
smbldap_get_single_attribute: [sambaPwdCanChange] = [<does not exist>]
[2004/04/06 16:57:52, 10] lib/smbldap.c:smbldap_get_single_attribute(301)
smbldap_get_single_attribute: [sambaPwdMustChange] = [<does not exist>]
[2004/04/06 16:57:52, 10] lib/smbldap.c:smbldap_get_single_attribute(301)
smbldap_get_single_attribute: [displayName] = [<does not exist>]
[2004/04/06 16:57:52, 10] passdb/pdb_get_set.c:pdb_set_fullname(674)
pdb_set_full_name: setting full name laptop, was
[2004/04/06 16:57:52, 10] passdb/pdb_get_set.c:pdb_set_init_flags(493)
element 12 -> now SET
[2004/04/06 16:57:52, 10] lib/smbldap.c:smbldap_get_single_attribute(301)
smbldap_get_single_attribute: [sambaHomeDrive] = [<does not exist>]
[2004/04/06 16:57:52, 10] passdb/pdb_get_set.c:pdb_set_dir_drive(755)
pdb_set_dir_drive: setting dir drive H:, was NULL
[2004/04/06 16:57:52, 11] passdb/pdb_get_set.c:pdb_set_init_flags(505)
element 3 -> now DEFAULT
[2004/04/06 16:57:52, 10] lib/smbldap.c:smbldap_get_single_attribute(301)
smbldap_get_single_attribute: [sambaHomePath] = [<does not exist>]
[2004/04/06 16:57:52, 10] passdb/pdb_get_set.c:pdb_set_homedir(782)
pdb_set_homedir: setting home dir \\burnstation\%u\winprofile, was
[2004/04/06 16:57:52, 11] passdb/pdb_get_set.c:pdb_set_init_flags(505)
element 1 -> now DEFAULT
[2004/04/06 16:57:52, 10] lib/smbldap.c:smbldap_get_single_attribute(301)
smbldap_get_single_attribute: [sambaLogonScript] = [<does not exist>]
[2004/04/06 16:57:52, 10] passdb/pdb_get_set.c:pdb_set_logon_script(701)
pdb_set_logon_script: setting logon script logon.cmd, was
[2004/04/06 16:57:52, 11] passdb/pdb_get_set.c:pdb_set_init_flags(505)
element 4 -> now DEFAULT
[2004/04/06 16:57:52, 10] lib/smbldap.c:smbldap_get_single_attribute(301)
smbldap_get_single_attribute: [sambaProfilePath] = [<does not exist>]
[2004/04/06 16:57:52, 4] lib/substitute.c:automount_server(318)
Home server: burnstation
[2004/04/06 16:57:52, 10] passdb/pdb_get_set.c:pdb_set_profile_path(728)
pdb_set_profile_path: setting profile path \\burnstation\profiles\%u, was
[2004/04/06 16:57:52, 11] passdb/pdb_get_set.c:pdb_set_init_flags(505)
element 2 -> now DEFAULT
[2004/04/06 16:57:52, 10] lib/smbldap.c:smbldap_get_single_attribute(301)
smbldap_get_single_attribute: [description] = [<does not exist>]
[2004/04/06 16:57:52, 10] lib/smbldap.c:smbldap_get_single_attribute(301)
smbldap_get_single_attribute: [sambaUserWorkstations] = [<does not exist>]
[2004/04/06 16:57:52, 10] lib/smbldap.c:smbldap_get_single_attribute(301)
smbldap_get_single_attribute: [sambaMungedDial] = [<does not exist>]
[2004/04/06 16:57:52, 10] lib/smbldap.c:smbldap_get_single_attribute(301)
smbldap_get_single_attribute: [sambaLMPassword] = [<does not exist>]
[2004/04/06 16:57:52, 10] lib/smbldap.c:smbldap_get_single_attribute(301)
smbldap_get_single_attribute: [sambaNTPassword] = [<does not exist>]
[2004/04/06 16:57:52, 10] passdb/pdb_get_set.c:pdb_set_init_flags(493)
element 19 -> now SET
[2004/04/06 16:57:52, 10] passdb/pdb_get_set.c:pdb_set_init_flags(493)
element 15 -> now SET
[2004/04/06 16:57:52, 10] passdb/pdb_get_set.c:pdb_set_init_flags(493)
element 16 -> now SET
[2004/04/06 16:57:52, 10] passdb/pdb_get_set.c:pdb_set_init_flags(493)
element 26 -> now SET
[2004/04/06 16:57:52, 11] passdb/pdb_get_set.c:pdb_set_init_flags(482)
element 33 -> now CHANGED
[2004/04/06 16:57:52, 11] passdb/pdb_get_set.c:pdb_get_init_flags(199)
element 20: DEFAULT
[2004/04/06 16:57:52, 3] smbd/sec_ctx.c:pop_sec_ctx(386)
pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2004/04/06 16:57:52, 5] rpc_parse/parse_samr.c:init_samr_r_lookup_names(4709)
init_samr_r_lookup_names
[2004/04/06 16:57:52, 5] rpc_server/srv_samr_nt.c:_samr_lookup_names(1429)
_samr_lookup_names: 1429
[2004/04/06 16:57:52, 5] rpc_parse/parse_prs.c:prs_debug(82)
000000 samr_io_r_lookup_names
[2004/04/06 16:57:52, 5] rpc_parse/parse_prs.c:prs_uint32(635)
0000 num_rids1: 00000000
[2004/04/06 16:57:52, 5] rpc_parse/parse_prs.c:prs_uint32(635)
0004 ptr_rids : 00000000
[2004/04/06 16:57:52, 5] rpc_parse/parse_prs.c:prs_uint32(635)
0008 num_types1: 00000000
[2004/04/06 16:57:52, 5] rpc_parse/parse_prs.c:prs_uint32(635)
000c ptr_types : 00000000
[2004/04/06 16:57:52, 5] rpc_parse/parse_prs.c:prs_ntstatus(665)
0010 status: NT_STATUS_NONE_MAPPED

...blablabla


Funktion in dem zuständigem C-File:


NTSTATUS _samr_lookup_names(pipes_struct *p, SAMR_Q_LOOKUP_NAMES *q_u, SAMR_R_LOOKUP_NAMES *r_u)
{
uint32 rid[MAX_SAM_ENTRIES];
uint32 local_rid;
enum SID_NAME_USE type[MAX_SAM_ENTRIES];
enum SID_NAME_USE local_type;
int i;
int num_rids = q_u->num_names2;
DOM_SID pol_sid;
fstring sid_str;
uint32 acc_granted;

r_u->status = NT_STATUS_OK;

DEBUG(5,("_samr_lookup_names: %d\n", __LINE__));

ZERO_ARRAY(rid);
ZERO_ARRAY(type);

if (!get_lsa_policy_samr_sid(p, &q_u->pol, &pol_sid, &acc_granted)) {
init_samr_r_lookup_names(p->mem_ctx, r_u, 0, NULL, NULL, NT_STATUS_OBJECT_TYPE_MISMATCH);
return r_u->status;
}

if (!NT_STATUS_IS_OK(r_u->status = access_check_samr_function(acc_granted, 0, "_samr_lookup_names"))) { /* Don't know the acc_bits yet */
return r_u->status;
}

if (num_rids > MAX_SAM_ENTRIES) {
num_rids = MAX_SAM_ENTRIES;
DEBUG(5,("_samr_lookup_names: truncating entries to %d\n", num_rids));
}

DEBUG(5,("_samr_lookup_names: looking name on SID %s\n", sid_to_string(sid_str, &pol_sid)));

for (i = 0; i < num_rids; i++) {
fstring name;
DOM_SID sid;
int ret;

r_u->status = NT_STATUS_NONE_MAPPED;

rid [i] = 0xffffffff;
type[i] = SID_NAME_UNKNOWN;

ret = rpcstr_pull(name, q_u->uni_name[i].buffer, sizeof(name), q_u->uni_name[i].uni_str_len*2, 0);

/*
* we are only looking for a name
* the SID we get back can be outside
* the scope of the pol_sid
*
* in clear: it prevents to reply to domain\group: yes
* when only builtin\group exists.
*
* a cleaner code is to add the sid of the domain we're looking in
* to the local_lookup_name function.
*/

if ((ret > 0) && local_lookup_name(name, &sid, &local_type)) {
sid_split_rid(&sid, &local_rid);

if (sid_equal(&sid, &pol_sid)) {
rid[i]=local_rid;
type[i]=local_type;
r_u->status = NT_STATUS_OK;
}
}
}

init_samr_r_lookup_names(p->mem_ctx, r_u, num_rids, rid, (uint32 *)type, r_u->status);

DEBUG(5,("_samr_lookup_names: %d\n", __LINE__));

return r_u->status;
}



Ldap Logfile beim Join des Testpc's "laptop" in die Domäne 'burnstation"



Apr 6 16:57:52 burnstation slapd[15677]: conn=3070 fd=32 ACCEPT from IP=127.0.0.1:60506 (IP=0.0.0.0:389)
Apr 6 16:57:52 burnstation slapd[2414]: conn=3070 op=0 BIND dn="uid=root,o=users,dc=burnstation,dc=smb-net" method=128
Apr 6 16:57:52 burnstation slapd[2414]: conn=3070 op=0 BIND dn="uid=root,o=users,dc=burnstation,dc=smb-net" mech=simple ssf=0
Apr 6 16:57:52 burnstation slapd[2414]: conn=3070 op=0 RESULT tag=97 err=0 text=
Apr 6 16:57:52 burnstation slapd[15679]: conn=3070 op=1 SRCH base="dc=burnstation,dc=smb-net" scope=2 filter="(&(objectClass=sambaDomain)(sambaDomainName=TE
ST.INT))"
Apr 6 16:57:52 burnstation slapd[15679]: conn=3070 op=1 SRCH attr=sambaDomainName sambaNextRid sambaNextUserRid sambaNextGroupRid sambaSID sambaAlgorithmicR
idBase objectClass
Apr 6 16:57:52 burnstation slapd[15679]: conn=3070 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Apr 6 16:57:52 burnstation slapd[15705]: conn=3070 op=2 SRCH base="dc=burnstation,dc=smb-net" scope=2 filter="(&(&(uid=root)(objectClass=sambaSamAccount))(o
bjectClass=sambaSamAccount))"
Apr 6 16:57:52 burnstation slapd[15705]: conn=3070 op=2 SRCH attr=uid uidNumber gidNumber homeDirectory sambaPwdLastSet sambaPwdCanChange sambaPwdMustChange
sambaLogonTime sambaLogoffTime sambaKickoffTime cn displayName sambaHomeDrive sambaHomePath sambaLogonScript sambaProfilePath description sambaUserWorkstati
ons sambaSID sambaPrimaryGroupSID sambaLMPassword sambaNTPassword sambaDomainName objectClass sambaAcctFlags sambaMungedDial
Apr 6 16:57:52 burnstation slapd[15705]: conn=3070 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Apr 6 16:57:52 burnstation slapd[15677]: conn=3071 fd=33 ACCEPT from IP=127.0.0.1:60507 (IP=0.0.0.0:389)
Apr 6 16:57:52 burnstation slapd[2414]: conn=3071 op=0 BIND dn="" method=128
Apr 6 16:57:52 burnstation slapd[2414]: conn=3071 op=0 RESULT tag=97 err=0 text=
Apr 6 16:57:52 burnstation slapd[2414]: conn=3071 op=1 SRCH base="dc=burnstation,dc=smb-net" scope=2 filter="(uid=root)"
Apr 6 16:57:52 burnstation slapd[2414]: conn=3071 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Apr 6 16:57:52 burnstation slapd[15705]: conn=3071 op=2 SRCH base="o=groups,dc=burnstation,dc=smb-net" scope=1 filter="(&(objectClass=posixGroup)(|(memberUi
d=root)(uniqueMember=uid=root,o=users,dc=burnstati on,dc=smb-net)))"
Apr 6 16:57:52 burnstation slapd[15705]: conn=3071 op=2 SRCH attr=cn userPassword memberUid uniqueMember gidNumber
Apr 6 16:57:52 burnstation slapd[15705]: conn=3071 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Apr 6 16:57:52 burnstation slapd[15679]: conn=3070 op=3 SRCH base="o=groups,dc=burnstation,dc=smb-net" scope=2 filter="(&(objectClass=sambaGroupMapping)(gid
Number=0))"
Apr 6 16:57:52 burnstation slapd[15679]: conn=3070 op=3 SRCH attr=gidNumber sambaSID sambaGroupType description displayName cn objectClass
Apr 6 16:57:52 burnstation slapd[15679]: conn=3070 op=3 SEARCH RESULT tag=101 err=0 nentries=1 text=
Apr 6 16:57:52 burnstation slapd[2414]: conn=3071 op=3 SRCH base="dc=burnstation,dc=smb-net" scope=2 filter="(uid=root)"
Apr 6 16:57:52 burnstation slapd[2414]: conn=3071 op=3 SEARCH RESULT tag=101 err=0 nentries=1 text=
Apr 6 16:57:52 burnstation slapd[15705]: conn=3071 op=4 SRCH base="o=groups,dc=burnstation,dc=smb-net" scope=1 filter="(&(objectClass=posixGroup)(|(memberUi
d=root)(uniqueMember=uid=root,o=users,dc=burnstati on,dc=smb-net)))"
Apr 6 16:57:52 burnstation slapd[15705]: conn=3071 op=4 SRCH attr=cn userPassword memberUid uniqueMember gidNumber
Apr 6 16:57:52 burnstation slapd[15705]: conn=3071 op=4 SEARCH RESULT tag=101 err=0 nentries=1 text=
Apr 6 16:57:52 burnstation slapd[15679]: conn=3070 op=4 SRCH base="dc=burnstation,dc=smb-net" scope=2 filter="(&(&(uid=root)(objectClass=sambaSamAccount))(o
bjectClass=sambaSamAccount))"
Apr 6 16:57:52 burnstation slapd[15679]: conn=3070 op=4 SRCH attr=uid uidNumber gidNumber homeDirectory sambaPwdLastSet sambaPwdCanChange sambaPwdMustChange
sambaLogonTime sambaLogoffTime sambaKickoffTime cn displayName sambaHomeDrive sambaHomePath sambaLogonScript sambaProfilePath description sambaUserWorkstati
ons sambaSID sambaPrimaryGroupSID sambaLMPassword sambaNTPassword sambaDomainName objectClass sambaAcctFlags sambaMungedDial
Apr 6 16:57:52 burnstation slapd[15679]: conn=3070 op=4 SEARCH RESULT tag=101 err=0 nentries=1 text=
Apr 6 16:57:52 burnstation slapd[2414]: conn=3070 op=5 SRCH base="dc=burnstation,dc=smb-net" scope=2 filter="(&(&(uid=laptop$)(objectClass=sambaSamAccount))
(objectClass=sambaSamAccount))"
Apr 6 16:57:52 burnstation slapd[2414]: conn=3070 op=5 SRCH attr=uid uidNumber gidNumber homeDirectory sambaPwdLastSet sambaPwdCanChange sambaPwdMustChange
sambaLogonTime sambaLogoffTime sambaKickoffTime cn displayName sambaHomeDrive sambaHomePath sambaLogonScript sambaProfilePath description sambaUserWorkstatio
ns sambaSID sambaPrimaryGroupSID sambaLMPassword sambaNTPassword sambaDomainName objectClass sambaAcctFlags sambaMungedDial
Apr 6 16:57:52 burnstation slapd[2414]: conn=3070 op=5 SEARCH RESULT tag=101 err=0 nentries=1 text=
Apr 6 16:57:52 burnstation slapd[15705]: conn=3070 op=6 SRCH base="dc=burnstation,dc=smb-net" scope=2 filter="(&(&(uid=LAPTOP$)(objectClass=sambaSamAccount)
)(objectClass=sambaSamAccount))"
Apr 6 16:57:52 burnstation slapd[15705]: conn=3070 op=6 SRCH attr=uid uidNumber gidNumber homeDirectory sambaPwdLastSet sambaPwdCanChange sambaPwdMustChange
sambaLogonTime sambaLogoffTime sambaKickoffTime cn displayName sambaHomeDrive sambaHomePath sambaLogonScript sambaProfilePath description sambaUserWorkstati
ons sambaSID sambaPrimaryGroupSID sambaLMPassword sambaNTPassword sambaDomainName objectClass sambaAcctFlags sambaMungedDial
Apr 6 16:57:52 burnstation slapd[15705]: conn=3070 op=6 SEARCH RESULT tag=101 err=0 nentries=1 text=
Apr 6 16:57:52 burnstation slapd[15677]: conn=3070 fd=32 closed
Apr 6 16:57:52 burnstation slapd[15677]: conn=3071 fd=33 closed



Ich kann die Informationen keiner eindeutigen Fehlerquelle zuordnen, vielleicht kann es jemand.

-ready

[WCM]Manx
07.04.04, 09:45
Hi!

Ich schieß jetzt total aus der Hüfte.
Nimm mal aus der smb.conf testweise die Zeile mit "ldap filter =" heraus.
IMHO ist in der "Samba Howto Collection" definitiv ein Fehler.
Mit irgendeiner Einstellung gab's bei mir auch Probleme.

Grüße

Manx

READY
07.04.04, 10:02
Manx']Nimm mal aus der smb.conf testweise die Zeile mit "ldap filter =" heraus.
IMHO ist in der "Samba Howto Collection" definitiv ein Fehler.
Getestet, keine Besserung :/

[WCM]Manx
07.04.04, 10:20
Hi!

O.k ich schau mir den Post und die Logs noch näher an.
Ich glaube mich erinneren zu können, dass bei mir im Zusammenhang mit dem Domainbeitritt folgendes passiert ist.

Ich lege den Computer nur als posixAccount an.
Beim Beitritt werden die SambaAttribute automatisch eingetragen.
Deshalb fand er IMHO bei mir den ComputerAccount nicht über den ldap filter mit sambaSamAccount.

Versuch mal nur einen posixaccount für den Laptop:


p166:/etc/ldap# less d600.ldif
dn: uid=laptop$,o=computer,...
objectClass: posixAccount
objectClass: account
uid: laptop$
cn: laptop$
loginShell: /bin/false
uidNumber: 2000
gidNumber: 10000
homeDirectory: /dev/null

uid, cn, usw. anpassen

Eventuell noch in der smb.conf die schannels abdrehen.
testparm -v |grep schannel 2x RETURN
Sollte client schannel = yes und server schannel = yes in [global] auf "no" eintragen.

Grüße

Manx

READY
07.04.04, 10:56
Manx']Hi!
Ich lege den Computer nur als posixAccount an.
Beim Beitritt werden die SambaAttribute automatisch eingetragen.
Deshalb fand er IMHO bei mir den ComputerAccount nicht über den ldap filter mit sambaSamAccount.
Naja um einen Account als Workstation zu kennzeichnen braucht man:
sambaAcctFlags: [W ]
Das setzt wiederum, die objectClass "sambaSamAccount" vorraus.
Ich lege meine Samba 3 Maschinenaccounts mit dem Template vom phpLdapAdmin an. Wenn ich meinen Testpc frisch anlege sieht das so aus:


dn: uid=mobil1$,o=computers,dc=burnstation,dc=smb-net
gidNumber: 300
uidNumber: 1007
uid: mobil1$
sambaSID: S-1-5-21-1033472183-1631895051-3950298177-3014
sambaAcctFlags: [W ]
cn: mobil1
homeDirectory: /dev/null
objectClass: top
objectClass: sambaSamAccount
objectClass: posixAccount
objectClass: account
Und ich denke, dass es so passt!


Manx']Eventuell noch in der smb.conf die schannels abdrehen.
testparm -v |grep schannel 2x RETURN
Sollte client schannel = yes und server schannel = yes in [global] auf "no" eintragen.
testparm -v |grep schannel
client schannel = Auto
server schannel = Auto

Auf "No" umgeschrieben, keine Besserung.

-ready

emba
07.04.04, 15:25
ich glaube hier liegt der fehler


burnstation:~ # net getlocalsid
SID for domain BURNSTATION is: S-1-5-21-1033472183-1631895051-3950298177

burnstation:~ # net getlocalsid TEST.INT
SID for domain TEST.INT is: S-1-5-21-1033472183-1631895051-3950298177-516

die letzte SID darf nicht -516 am ende haben (es ist ja ein eintrag für eine DOMAIN SID und keinen PDC)!
checke deine ldap einträge und ändere das


dn: sambaDomainName=TEST.INT,dc=burnstation,dc=smb-net
sambaDomainName: TEST.INT
sambaSID: S-1-5-21-1033472183-1631895051-3950298177-516
sambaAlgorithmicRidBase: 1000
objectClass: sambaDomain
structuralObjectClass: sambaDomain

in


dn: sambaDomainName=TEST.INT,dc=burnstation,dc=smb-net
sambaDomainName: TEST.INT
sambaSID: S-1-5-21-1033472183-1631895051-3950298177
sambaAlgorithmicRidBase: 1000
objectClass: sambaDomain
structuralObjectClass: sambaDomain

mal schaun, obs dann klappt
versuch das trotzdem mal mit dem mount in der kommandozeile, das würde mich mal interessieren
greez

READY
07.04.04, 15:47
ich glaube hier liegt der fehler


burnstation:~ # net getlocalsid
SID for domain BURNSTATION is: S-1-5-21-1033472183-1631895051-3950298177

burnstation:~ # net getlocalsid TEST.INT
SID for domain TEST.INT is: S-1-5-21-1033472183-1631895051-3950298177-516

die letzte SID darf nicht -516 am ende haben (es ist ja ein eintrag für eine DOMAIN SID und keinen PDC)!
checke deine ldap einträge und ändere das
Hey, ich glaube ich packs nicht mehr, jetzt funktioniert es, kaum zu glauben! DANKE :D
Ich hätte NIE NIE NIE daran gedacht dass es daran liegen könnte, denn:

dn: sambaDomainName=TEST.INT,dc=burnstation,dc=smb-net

Hat sich Samba immer selber angelegt als ich die Domain joinen wollte, daher ging ich davon aus dass das so passen muss!


mal schaun, obs dann klappt
versuch das trotzdem mal mit dem mount in der kommandozeile, das würde mich mal interessieren
greez
Ich glaube das ist jetzt nicht mehr nötig ;)

Vielen Dank! _DAS_ Problem an dem ich mich über eine Woche aufgehangen habe ist nun gelöst! :D

Ich war schon grad dabei Samba mit einer Modifikation neu zu kompilieren um die Fehlermeldung zu überspringen*g

-ready