PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba mit LDAP und Active Directory Authentifizierung



vitek
26.05.04, 15:25
Hallo Leute !

Ich habe hier folgendes Problem:
Ich habe ein Heartbeat System aufgebaut auf dem Samba als "BDC" läuft.
Dies ist meine smb.conf:


[global]
workgroup = domain
netbios name = heartbeat

os level = 32
security = server
password server = pwdsrv
encrypt passwords = Yes

unix extensions = Yes

passdb backend = ldapsam:ldap://ldapsrv:389
ldap suffix = ou=intern,o=firma,c=net
ldap admindn = cn=admin,o=firma,c=net
ldap filter = (&(objectclass=sambaSamAccount)(uid=%u))
ldap user suffix = ou=users

map to guest = Bad User
socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY
wins support = No

log level = 5


[homes]
comment = Home Directories
valid users = %S
browseable = No
read only = No
create mask = 0640
directory mask = 0750

[web]
comment = Web-Verzeichnis
path = /srv/www/htdocs
browseable = yes
writeable = no
writelist = @webadmins
valid users = @webadmins


Die smb.conf ist auf beiden Servern identisch.
LDAP Authetifizierung funktioniert auf beiden Servern einwandfrei, d.h. die /etc/passd und die /etc/group sieht auf beiden haargenau gleich aus mit den gleichen UIDs.

So, jetzt kommt das Problem: wenn z.B. Server1 aktiv ist kann ich mich ohne weiteres mit dem Share www verbinden. Im Log File sieht man dass Samba den AD Controller nach dem Benutzer/Passwort Eintrag fragt, dann antwortet der AD Controller dass alles ok ist danach wird die Gruppenzuordnung mittels LDAP gecheckt, hier passt auch alles und ich bin verbunden.
Nun jetzt spiele ich den Ausfall durch. Das heißt der Server1 fällt aus und der Server2 kommt zum Einsatz. Die Dienste werden korrekt ohne jegliche Fehler gestartet und dann kommt das: wenn ich wieder auf das vom Server1 verbundene Netzlaufwerk zugreifen will kommt "Zugriff verweigert". Trenn ich das Laufwerk und will es neuverbinden fragt er mich nach Benutzer/Passwort was aber nicht nötig ist, da ich eh an der Domain angemeldet bin. Im Log File vom Server2 kommt dann das Erstaunliche:


check_ntlm_password: Authentication for user [user] -> [user] FAILED with error
NT_STATUS_NO_SUCH_USER

Das lässt mir keine Ruhe. :eek: Liegt das evtl. an den unterschiedlichen SIDs oder wie die Dinger heissen ?! Oder ist so ein Fall mit Heartbeat Funktionalität nicht machbar ?