Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba in Active Directory (ADS)
Hallo zusammen,
ich habe es nun endlich geschafft Suse 9.1 mit Samba 3.04 in eine Active Directoy Struktur einzubinden. Es können sich nun alle User, die im Active Directy gespeichert sind, auf der Linuxmaschine anmelden.
Leider funktioniert der Zugriff auf die Shares nicht. Warum?
Ich habe alle Dateien im Verzeichnis pam.d so abgeändert, das die gesamte Passwortabfragerei über pam_winbind.so funktioniert.
Es geht alles:
-ssh
-webmin
-swat
-login
-xdm
Nur der Zugriff auf die Sambashares über die Netzwerkumgebung in Windows nicht. Da will er Benutzername und Kennwort.
Kennt jemand dieses Problem?
Wie kann ich eigentlich unter Linux sagen:
Der Benutzer DOAMIN\Administrator hat die Rechte von root
Danke für eure Hilfe.
Hallo MaxxTc,
ich bin schon ewig auf der suche das ich wie bei dir meine Linux Kiste ins ADS hängen kann. Ich versuche mit dem Befehl:
smbpasswd -j domain -U username -r computername
das Ding einzubinden.
Er bricht aber ab mit der Meldung:
ERROR: Must have both SECURITY = DOMAIN and ENCRYPT PASSWORDS = YES!
...dies hab ich auch gemacht in der Datei:
/etc/samba/smb.conf hab auch mal probiert statt Domain mal ADS einzutragen alles mal klein und gross geschrieben und bei jeder änderung habe ich den Dienst (/etc/init.d/smb restart) neu gestartet.
Ich hoffe Du kannst uns hoffentlich weiterhelfen. Wir sind mit unserem Latein am Ende. Ich werde mal schaun ob ich dir zu Deinem Problem etwas finde...
Bis dann
CU
tbone
Hallo!
Soooo einfach geht das nicht mit der ADS-Einbindung. Da gibt es ein paar Dinge zu beachten, vor allem daß man sich von den alten NT4-Ideen verabschieden (z.B. "smbpasswd" für den Rechner). Mal als kleine Hilfe:
1) Kerberos muß laufen:
[libdefaults]
default_realm = <W2K-DOMÄNE>
clockskew = 300
[realms]
<W2K-DOMÄNE> = {
kdc = <w2k Domänencontroller> }
[domain_realm]
.<w2k-domäne> = <W2K-DOMÄNE>
Achtung! Groß-und Kleinschreibung beachten (der Realm muß groß geschrieben werden, außerdem ist der Punkt bei der Realm-Domänen-Zuordnung wichtig). Auch müssen die beiden Rechner eine fast gleiche Systemuhr haben (hier max 300s -> 5 Minuten auseinander), sonst geht Kerberos nicht!
2) Die "nsswitch.conf" muß richtig sein
passwd: files winbind
group: files winbind
3) Die smb.conf auch
[global]
realm = <W2K-DOMÄNE>
security = ADS
workgroup = <W2K-DOMÄNE, nur bis zum 1. Punkt!>
password server = <w2k domänencontroller>
unix charset = ISO-8859-15
admin users = <W2K-DOMÄNE (kurz, wie "workgroup">#Domänen-Admins
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind separator = #
Die "kurze" Domäne ist die alte NT4-Schreibweise, die ist weiterhin gültig. Wenn die W2K-Domäne also "bremen.semmel.com" heißt dann ist die Workgroup "bremen". Der Realm muß dann aber "BREMEN.SEMMEL.COM" heißen (Großschreibung)!
Dann alle 3 Prozesse neu starten (nmb, smb, winbind), ein "kinit <W2K-DOMÄNE (kurz>)#Administrator" ("klist" zum Ansehen des Kerberos TGT) und ein "net ads join" machen (eventuell ist da als Option "-U <admin-konto>%<admin-pw>" nötig, je nach Distri). Nun sollte der Linux-Rechner unter "Computers" im AD auftauchen
Danach mit "wbinfo -g" bzw. "-u" prüfen ob der winbind richtig geht (zeigt nur die Windows-Accounts und Gruppen) und mit "getent passwd" und "getent group" ob die echte Namensauflösung funktioniert (sollte alle Linux und Windows-Accounts und Gruppen anzeigen). Jetzt sollte die Kiste bei den Freigaben auch nicht mehr nachfragen.
ciao
Michael
Ich hätte da noch eine frage zu,
ist die krb5.conf so vollständig, oder muss da noch etwas hinzugefügt werden?
Weil ich bekomme immer beim kinit ein :
"kinit(v5): Client not found in Kerberos database while getting initial credentials"
was kann das sein?
Hm hat sich erledigt, war ein kleiner fehler drinen. ( : statt . ) und deshalb ging es ned
white-horse
12.09.04, 09:13
....Weil ich bekomme immer beim kinit ein :
"kinit(v5): Client not found in Kerberos database while getting initial credentials".....
Vielleicht hilft das hier
http://www.linuxforen.de/forums/showthread.php?t=150855&highlight=kerberos
Ok, das hat mir Geholfen,aber nun sind ein paar neue probleme aufgetaucht.
Erst mal fogendes.
Ich habe 2 rechner
Venus und Sonne.
Sonne ist der file server, der mitlerweile in der domäne ist, voher aber noch die userautentifizierung über smbpasswd gemacht hat.
Venus ist ein testrechner, der gleich eingebunden wurde.
getent passwd
zeigt auf venus auch alle win user an, auf SONNE nicht.
Ich habe keine idee, woran das liegt
Und dann noch eine 2. Problem:
Wenn ich unter win auf \\sonne oder \\venus gehe, dann kommt dieses windos fenster, wo ich benutzernamen und pass eintragen muss.
wenn ich auf \\ip des rechners gehe, dann muss ich mich nicht anmenlden
Ich hoffe da kann mit jemand weiterhelfen
hier die smb confs
Venus
[global]
unix charset = ISO-8859-15
workgroup = BORGNET
realm = BORGNET.LOCAL
server string = Venus
security = ADS
map to guest = Bad User
password server = 10.5.11.1
guest account = gast
unix password sync = Yes
log file = /var/log/samba/%m.log
max log size = 50
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
dns proxy = No
ldap ssl = no
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind separator = #
admin users = BORGNET#Dom_nen-Admins
Das letze müsste domänen-Admins heißen aber irgenwie kommt der mit dem ä nicht zurecht
und dann die von "sonne"
[global]
workgroup = BORGNET
realm = BORGNET.LOCAL
server string =
security = ADS
password server = 10.5.11.1
guest account = gast
unix password sync = Yes
max log size = 50
dns proxy = No
ldap ssl = no
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind separator = #
winbind enable local accounts = No
admin users = BORGNET#Domäen-Admins
Das gleiche problem wieder mir dem ä
So, viele fragen, aber ich hoffe mir kann da jamand weiterhelfen
peterbiller
13.01.05, 22:45
Hallo
Ich versuche hier ebenfalls meinen Linux Rechner (Knoppix 2.6 as Debian, Samba 3.0.10) in die ADS meines Win 2003 Servers zu integrieren um mich Lokal auf dem Rechner mit ADS Benutzern anzumelden und auf die Verzeichnisse zuzugreifen.
Hierzu habe ich mir mehrere Anleitungen durchgelesen und bin soweit das:
Linux Rechner in der ADS
wbinfo -u zeigt alle benutzer an
su benutzer geht
getent passwd zeigt die richtigen Werte an
KDE Login zeigt alle Benutzer an
Wenn ich von Windows aus auf den Linuxrechner zugreife kann ich die shares sehen, aber nicht darauf zugreifen.
Leider ist es aber nicht möglich das ich mich lokal mit einem der ADS Benutzer auf dem Linuxrechner anmelden kann.
in der datei /var/log.auth.log ist volgender Fehler verzeichnet
Jan 13 21:35:20 knoppixBox login[2560]: (pam_unix) check pass; user unknown
Jan 13 21:35:20 knoppixBox login[2560]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=pts/5 ruser= rhost=
Jan 13 21:35:22 knoppixBox pam_winbind[2560]: user 'peter' granted access
Jan 13 21:35:22 knoppixBox login[2560]: (pam_unix) check pass; user unknown
Jan 13 21:35:26 knoppixBox login[2560]: LOGIN FEHLGESCHLAGEN (1) an `pts/5' FÜR `peter', Authentication service cannot retrieve authentication info.
Wenn ich su peter eingebe sieht dies wie folgt aus
root@knoppixBox:~# su peter
su: Authentication service cannot retrieve authentication info.
(Ignoriert)
peter@knoppixBox:/root$
kinit peter funktioniert ohne Fehler
Klist erzielt folgende Ausgabe
root@knoppixBox:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: administrator@DOMAIN.COM
Valid starting Expires Service principal
01/13/05 22:21:53 01/14/05 08:21:49 krbtgt/DOMAIN.COM@DOMAIN.COM
renew until 01/14/05 08:21:53
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
root@knoppixBox:~#
Wo könnte der Fehler liegen, was muß ich noch beachten?
Nachfolgend noch config dateien:
smb.conf
# Samba config file created using SWAT
# from 10.0.0.3 (10.0.0.3)
# Date: 2005/01/13 21:05:36
# Global parameters
[global]
dos charset = 850
unix charset = iso-8859-15
display charset = iso-8859-15
workgroup = DOMAIN
realm = DOMAIN.COM
server string = %h server (Samba %v)
security = ADS
password server = server.domain.com
passdb backend = smbpasswd, guest
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n .
unix password sync = Yes
syslog = 0
max log size = 1000
name resolve order = lmhosts host wins bcast
socket options = IPTOS_LOWDELAY TCP_NODELAY SO_SNDBUF=4096 SO_RCVBUF=4096
printcap name = cups
dns proxy = No
ldap ssl = no
panic action = /usr/share/samba/panic-action %d
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enable local accounts = Yes
winbind use default domain = Yes
admin users = DOMAIN\administrator
printing = cups
print command =
lpq command =
lprm command =
include = /etc/samba/dhcp.conf
[homes]
comment = Home Directories
read only = No
create mask = 0700
directory mask = 0700
[print$]
comment = Printer Drivers
path = /var/lib/samba/printers
write list = knoppix
[printers]
comment = All Printers
path = /tmp
printer admin = knoppix
create mask = 0700
printable = Yes
browseable = No
[/var/www]
path = /var/www
/etc/pam.d/login
#auth required /lib/security/pam_securetty.so
auth sufficient /lib/security/pam_winbind.so
auth sufficient /lib/security/pam_unix.so use_first_pass
#auth required /lib/security/pam_stack.so service=system-auth
auth required /lib/security/pam_nologin.so
account sufficient /lib/security/pam_winbind.so
#account required /lib/security/pam_stack.so service=system-auth
#password required /lib/security/pam_stack.so service=system-auth
#session required /lib/security/pam_stack.so service=system-auth
#session optional /lib/security/pam_console.so
nsswitch.conf
passwd: compat winbind
group: compat winbind
shadow: compat
hosts: files dns winbind
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis winbind
Schonmal danke im Voraus
Peter
wie machst du das mit dem KDE Login das du alles Domänenbenutzer siehst? Haben die bei dir nur en Temporäres Home?
peterbiller
21.01.05, 16:42
Hallo
Durch die Einträge in der PAM Login scheint das zu gehen, wenn sich ein benutzer das erstemal anmeldet wird soweit ich weiß ein Homeverzeichnis angelegt wie auch bei Windows, nur leider schaffe ich es nicht mich anzumelden, da ja die kennwörter nicht akzeptiert werden.
Gruß
Peter
was macht er wenn du folgendes eingibst:
su domäne+benutzername
peterbiller
21.01.05, 17:07
Hallo
Das gehtm aber mit Fehlermeldung das er keine benutzerinfos bekommt
die gleiche Meldung kommt wenn ich das passwort ändern möchte.
Gruß
Peter
mhh, sorry hab auch keine Ahnung!
Bei mir funzt es gerade auch nicht mehr!
War 4 wochen krank geschrieben und als ich jetzt hier bei der Arbeit weiter machen wollt geht nix mehr, dabei ging alles so schön :-(
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.