PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba in Active Directory (ADS)



MaxxTc
15.05.04, 17:14
Hallo zusammen,

ich habe es nun endlich geschafft Suse 9.1 mit Samba 3.04 in eine Active Directoy Struktur einzubinden. Es können sich nun alle User, die im Active Directy gespeichert sind, auf der Linuxmaschine anmelden.

Leider funktioniert der Zugriff auf die Shares nicht. Warum?
Ich habe alle Dateien im Verzeichnis pam.d so abgeändert, das die gesamte Passwortabfragerei über pam_winbind.so funktioniert.

Es geht alles:
-ssh
-webmin
-swat
-login
-xdm

Nur der Zugriff auf die Sambashares über die Netzwerkumgebung in Windows nicht. Da will er Benutzername und Kennwort.

Kennt jemand dieses Problem?
Wie kann ich eigentlich unter Linux sagen:

Der Benutzer DOAMIN\Administrator hat die Rechte von root

Danke für eure Hilfe.

tbone
10.09.04, 14:33
Hallo MaxxTc,

ich bin schon ewig auf der suche das ich wie bei dir meine Linux Kiste ins ADS hängen kann. Ich versuche mit dem Befehl:
smbpasswd -j domain -U username -r computername
das Ding einzubinden.
Er bricht aber ab mit der Meldung:
ERROR: Must have both SECURITY = DOMAIN and ENCRYPT PASSWORDS = YES!

...dies hab ich auch gemacht in der Datei:
/etc/samba/smb.conf hab auch mal probiert statt Domain mal ADS einzutragen alles mal klein und gross geschrieben und bei jeder änderung habe ich den Dienst (/etc/init.d/smb restart) neu gestartet.

Ich hoffe Du kannst uns hoffentlich weiterhelfen. Wir sind mit unserem Latein am Ende. Ich werde mal schaun ob ich dir zu Deinem Problem etwas finde...

Bis dann

CU

tbone

HackThor
10.09.04, 22:21
Hallo!

Soooo einfach geht das nicht mit der ADS-Einbindung. Da gibt es ein paar Dinge zu beachten, vor allem daß man sich von den alten NT4-Ideen verabschieden (z.B. "smbpasswd" für den Rechner). Mal als kleine Hilfe:

1) Kerberos muß laufen:

[libdefaults]
default_realm = <W2K-DOMÄNE>
clockskew = 300

[realms]
<W2K-DOMÄNE> = {
kdc = <w2k Domänencontroller> }

[domain_realm]
.<w2k-domäne> = <W2K-DOMÄNE>

Achtung! Groß-und Kleinschreibung beachten (der Realm muß groß geschrieben werden, außerdem ist der Punkt bei der Realm-Domänen-Zuordnung wichtig). Auch müssen die beiden Rechner eine fast gleiche Systemuhr haben (hier max 300s -> 5 Minuten auseinander), sonst geht Kerberos nicht!

2) Die "nsswitch.conf" muß richtig sein

passwd: files winbind
group: files winbind

3) Die smb.conf auch

[global]
realm = <W2K-DOMÄNE>
security = ADS
workgroup = <W2K-DOMÄNE, nur bis zum 1. Punkt!>
password server = <w2k domänencontroller>
unix charset = ISO-8859-15
admin users = <W2K-DOMÄNE (kurz, wie "workgroup">#Domänen-Admins
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind separator = #

Die "kurze" Domäne ist die alte NT4-Schreibweise, die ist weiterhin gültig. Wenn die W2K-Domäne also "bremen.semmel.com" heißt dann ist die Workgroup "bremen". Der Realm muß dann aber "BREMEN.SEMMEL.COM" heißen (Großschreibung)!

Dann alle 3 Prozesse neu starten (nmb, smb, winbind), ein "kinit <W2K-DOMÄNE (kurz>)#Administrator" ("klist" zum Ansehen des Kerberos TGT) und ein "net ads join" machen (eventuell ist da als Option "-U <admin-konto>%<admin-pw>" nötig, je nach Distri). Nun sollte der Linux-Rechner unter "Computers" im AD auftauchen

Danach mit "wbinfo -g" bzw. "-u" prüfen ob der winbind richtig geht (zeigt nur die Windows-Accounts und Gruppen) und mit "getent passwd" und "getent group" ob die echte Namensauflösung funktioniert (sollte alle Linux und Windows-Accounts und Gruppen anzeigen). Jetzt sollte die Kiste bei den Freigaben auch nicht mehr nachfragen.


ciao

Michael

der2of6
11.09.04, 11:28
Ich hätte da noch eine frage zu,
ist die krb5.conf so vollständig, oder muss da noch etwas hinzugefügt werden?
Weil ich bekomme immer beim kinit ein :
"kinit(v5): Client not found in Kerberos database while getting initial credentials"

was kann das sein?

Hm hat sich erledigt, war ein kleiner fehler drinen. ( : statt . ) und deshalb ging es ned

white-horse
12.09.04, 09:13
....Weil ich bekomme immer beim kinit ein :
"kinit(v5): Client not found in Kerberos database while getting initial credentials".....

Vielleicht hilft das hier

http://www.linuxforen.de/forums/showthread.php?t=150855&highlight=kerberos

der2of6
13.09.04, 13:57
Ok, das hat mir Geholfen,aber nun sind ein paar neue probleme aufgetaucht.
Erst mal fogendes.
Ich habe 2 rechner
Venus und Sonne.
Sonne ist der file server, der mitlerweile in der domäne ist, voher aber noch die userautentifizierung über smbpasswd gemacht hat.

Venus ist ein testrechner, der gleich eingebunden wurde.

getent passwd

zeigt auf venus auch alle win user an, auf SONNE nicht.
Ich habe keine idee, woran das liegt

Und dann noch eine 2. Problem:
Wenn ich unter win auf \\sonne oder \\venus gehe, dann kommt dieses windos fenster, wo ich benutzernamen und pass eintragen muss.
wenn ich auf \\ip des rechners gehe, dann muss ich mich nicht anmenlden

Ich hoffe da kann mit jemand weiterhelfen

hier die smb confs
Venus

[global]
unix charset = ISO-8859-15
workgroup = BORGNET
realm = BORGNET.LOCAL
server string = Venus
security = ADS
map to guest = Bad User
password server = 10.5.11.1
guest account = gast
unix password sync = Yes
log file = /var/log/samba/%m.log
max log size = 50
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
dns proxy = No
ldap ssl = no
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind separator = #
admin users = BORGNET#Dom_nen-Admins
Das letze müsste domänen-Admins heißen aber irgenwie kommt der mit dem ä nicht zurecht

und dann die von "sonne"



[global]
workgroup = BORGNET
realm = BORGNET.LOCAL
server string =
security = ADS
password server = 10.5.11.1
guest account = gast
unix password sync = Yes
max log size = 50
dns proxy = No
ldap ssl = no
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind separator = #
winbind enable local accounts = No
admin users = BORGNET#Domäen-Admins


Das gleiche problem wieder mir dem ä

So, viele fragen, aber ich hoffe mir kann da jamand weiterhelfen

peterbiller
13.01.05, 22:45
Hallo

Ich versuche hier ebenfalls meinen Linux Rechner (Knoppix 2.6 as Debian, Samba 3.0.10) in die ADS meines Win 2003 Servers zu integrieren um mich Lokal auf dem Rechner mit ADS Benutzern anzumelden und auf die Verzeichnisse zuzugreifen.

Hierzu habe ich mir mehrere Anleitungen durchgelesen und bin soweit das:

Linux Rechner in der ADS
wbinfo -u zeigt alle benutzer an
su benutzer geht
getent passwd zeigt die richtigen Werte an
KDE Login zeigt alle Benutzer an

Wenn ich von Windows aus auf den Linuxrechner zugreife kann ich die shares sehen, aber nicht darauf zugreifen.

Leider ist es aber nicht möglich das ich mich lokal mit einem der ADS Benutzer auf dem Linuxrechner anmelden kann.

in der datei /var/log.auth.log ist volgender Fehler verzeichnet

Jan 13 21:35:20 knoppixBox login[2560]: (pam_unix) check pass; user unknown
Jan 13 21:35:20 knoppixBox login[2560]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=pts/5 ruser= rhost=
Jan 13 21:35:22 knoppixBox pam_winbind[2560]: user 'peter' granted access
Jan 13 21:35:22 knoppixBox login[2560]: (pam_unix) check pass; user unknown
Jan 13 21:35:26 knoppixBox login[2560]: LOGIN FEHLGESCHLAGEN (1) an `pts/5' FÜR `peter', Authentication service cannot retrieve authentication info.


Wenn ich su peter eingebe sieht dies wie folgt aus


root@knoppixBox:~# su peter
su: Authentication service cannot retrieve authentication info.
(Ignoriert)
peter@knoppixBox:/root$


kinit peter funktioniert ohne Fehler

Klist erzielt folgende Ausgabe


root@knoppixBox:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@DOMAIN.COM

Valid starting Expires Service principal
01/13/05 22:21:53 01/14/05 08:21:49 krbtgt/DOMAIN.COM@DOMAIN.COM
renew until 01/14/05 08:21:53


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
root@knoppixBox:~#


Wo könnte der Fehler liegen, was muß ich noch beachten?

Nachfolgend noch config dateien:

smb.conf


# Samba config file created using SWAT
# from 10.0.0.3 (10.0.0.3)
# Date: 2005/01/13 21:05:36

# Global parameters
[global]
dos charset = 850
unix charset = iso-8859-15
display charset = iso-8859-15
workgroup = DOMAIN
realm = DOMAIN.COM
server string = %h server (Samba %v)
security = ADS
password server = server.domain.com
passdb backend = smbpasswd, guest
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n .
unix password sync = Yes
syslog = 0
max log size = 1000
name resolve order = lmhosts host wins bcast
socket options = IPTOS_LOWDELAY TCP_NODELAY SO_SNDBUF=4096 SO_RCVBUF=4096
printcap name = cups
dns proxy = No
ldap ssl = no
panic action = /usr/share/samba/panic-action %d
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enable local accounts = Yes
winbind use default domain = Yes
admin users = DOMAIN\administrator
printing = cups
print command =
lpq command =
lprm command =
include = /etc/samba/dhcp.conf

[homes]
comment = Home Directories
read only = No
create mask = 0700
directory mask = 0700

[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
write list = knoppix

[printers]
comment = All Printers
path = /tmp
printer admin = knoppix
create mask = 0700
printable = Yes
browseable = No

[/var/www]
path = /var/www



/etc/pam.d/login


#auth required /lib/security/pam_securetty.so
auth sufficient /lib/security/pam_winbind.so
auth sufficient /lib/security/pam_unix.so use_first_pass
#auth required /lib/security/pam_stack.so service=system-auth
auth required /lib/security/pam_nologin.so
account sufficient /lib/security/pam_winbind.so
#account required /lib/security/pam_stack.so service=system-auth
#password required /lib/security/pam_stack.so service=system-auth
#session required /lib/security/pam_stack.so service=system-auth
#session optional /lib/security/pam_console.so


nsswitch.conf


passwd: compat winbind
group: compat winbind
shadow: compat

hosts: files dns winbind
networks: files

protocols: db files
services: db files
ethers: db files
rpc: db files

netgroup: nis winbind



Schonmal danke im Voraus

Peter

Duffy1905
21.01.05, 16:30
wie machst du das mit dem KDE Login das du alles Domänenbenutzer siehst? Haben die bei dir nur en Temporäres Home?

peterbiller
21.01.05, 16:42
Hallo

Durch die Einträge in der PAM Login scheint das zu gehen, wenn sich ein benutzer das erstemal anmeldet wird soweit ich weiß ein Homeverzeichnis angelegt wie auch bei Windows, nur leider schaffe ich es nicht mich anzumelden, da ja die kennwörter nicht akzeptiert werden.

Gruß

Peter

Duffy1905
21.01.05, 16:47
was macht er wenn du folgendes eingibst:
su domäne+benutzername

peterbiller
21.01.05, 17:07
Hallo

Das gehtm aber mit Fehlermeldung das er keine benutzerinfos bekommt
die gleiche Meldung kommt wenn ich das passwort ändern möchte.

Gruß

Peter

Duffy1905
21.01.05, 17:11
mhh, sorry hab auch keine Ahnung!
Bei mir funzt es gerade auch nicht mehr!
War 4 wochen krank geschrieben und als ich jetzt hier bei der Arbeit weiter machen wollt geht nix mehr, dabei ging alles so schön :-(