Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba User kann sich nicht anmelden
Hi@all,
ich habe ein kleines Problem mit den mittels phpldapadmin angelegten Benutzern. Ich habe im LDAP einen User Adminstrator welcher das Recht hat andere in die Domäne zu bringen.
Nun habe ich mit phpldapadmin einen User angelegt. Dieser hat folgende Attribute:
# sven, Users, komet.net
dn: uid=sven,ou=Users,dc=komet,dc=net
cn: Sven
displayName: Sven Gehr
gecos: Sven Gehr
gidNumber: 1000
homeDirectory: /data/home/sven
loginShell: /bin/bash
sambaPrimaryGroupSID: S-1-5-32-544
sambaSID: S-1-5-21-479559372-1547523452-3818884970-
shadowLastChange: 11778
uid: sven
uidNumber: 1000
userPassword:: e01ENX1KOERWZnAxSVlPRWJvWTNKaWcyVVdBPT0=
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
objectClass: sambaSamAccount
sambaAcctFlags: [DU ]
Wenn ich nun am Windows-Client den Assistenten zum Domänenbeitritt aufrufe kann ich diesen User unter Verwendung das Administrators in die Domäne bringen. Wenn ich mich jedoch nach dem anschließendem Reboot mit diesem User anmelden möcht meldet er 'falsches' Passwort.
Der Maschienen-Account wird wärend dem Beitritt auch autom. im LDAP angelegt.
Das ich nicht in die Domäne komme habe ich bei diversen Versuchen immer mal gehabt. Aber das ich zuerst reinkommen und mich dann nicht anmelden kann habe ich jetzt noch nie erlebt.
Hat einer von euch ein Idee was dem User fehlt?
Viele Grüße
Sven
Hi@all,
ich habe ein kleines Problem mit den mittels phpldapadmin angelegten Benutzern. Ich habe im LDAP einen User Adminstrator welcher das Recht hat andere in die Domäne zu bringen.
Nun habe ich mit phpldapadmin einen User angelegt. Dieser hat folgende Attribute:
# sven, Users, komet.net
dn: uid=sven,ou=Users,dc=komet,dc=net
cn: Sven
displayName: Sven Gehr
gecos: Sven Gehr
gidNumber: 1000
homeDirectory: /data/home/sven
loginShell: /bin/bash
sambaPrimaryGroupSID: S-1-5-32-544
sambaSID: S-1-5-21-479559372-1547523452-3818884970-
shadowLastChange: 11778
uid: sven
uidNumber: 1000
userPassword:: e01ENX1KOERWZnAxSVlPRWJvWTNKaWcyVVdBPT0=
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
objectClass: sambaSamAccount
sambaAcctFlags: [DU ]
Wenn ich nun am Windows-Client den Assistenten zum Domänenbeitritt aufrufe kann ich diesen User unter Verwendung das Administrators in die Domäne bringen. Wenn ich mich jedoch nach dem anschließendem Reboot mit diesem User anmelden möcht meldet er 'falsches' Passwort.
Der Maschienen-Account wird wärend dem Beitritt auch autom. im LDAP angelegt.
Sven
Ich weiss jetzt nicht genau, wie und warum Du einen user in die Domäne bringen willst, mit dem LDAP-entry ist er ja schon da.
Ist das ein Tippfehler bei den Einträgen
sambaPrimaryGroupSID: S-1-5-32-544
sambaSID: S-1-5-21-479559372-1547523452-3818884970-
?
Ich hätte da eher erwartet, dass bei der sambaPrimaryGroupSID die volle SID plus 544 auftaucht:
sambaPrimaryGroupSID: S-1-5-21-479559372-1547523452-3818884970-544
Eine sambaSID, die einem "-" aufhört, habe ich auch noch nie gesehen, da fehlt doch die RID?
mamue
Hi@all,
Ich weiss jetzt nicht genau, wie und warum Du einen user in die Domäne bringen willst, mit dem LDAP-entry ist er ja schon da.
Bedeutet das wenn ich einen User im LDAP angelegt habe brauche ich beim Aufruf dieses Windows-Assistenten nicht wählen "User xy hinzufügen"? Ok, das wußte ich nicht.
Ich hätte da eher erwartet, dass bei der sambaPrimaryGroupSID die volle SID plus 544 auftaucht:
sambaPrimaryGroupSID: S-1-5-21-479559372-1547523452-3818884970-544
Eine sambaSID, die einem "-" aufhört, habe ich auch noch nie gesehen, da fehlt doch die RID?Zumindest das, dass die SID mit - Endet kam mir auch spanisch vor.
Muß wohl ein Fehler in phpldapadmin sein.
Viele Grüße
Pixel
mamue hat recht mit den corrupted SIDs bei dir
aber wie soll er bitte ein passwort checken, was so gar nicht im ldap hinterlegt ist?
greez
Hallo,
mamue hat recht mit den corrupted SIDs bei dirDas Problem habe ich gefunden. Mann muß beim erstellen in das Feld der RID klicken. Erst dann wird selbige erzeugt.
ich habe mir das nochmal angeschaut. Ich glaube ich mache bei den Gruppen einen Fehler. Wie lege ich den eine Gruppe an die sowohl für Linux- wie auch für Windows- User verwendet werden kann?
Benutze ich hierzu eine Posix Group oder die Funktion Samba 3 Group Mapping?
Ich hatte bisher immer nur eine Posix Group. Als du nun gesagt hast ich solle die SID von Domäne, Gruppe und User vergleichen bin ich stuzig geworden da die Posix Group ja keine SID besitzt.
Nun habe ich nochmal alle Objekt (Gruppen, Benutzer, Administrator & Domäne) gelöscht. Nun waren lediglich noch die drei Container:
- Groups
- Users
- Hosts
sowie der LDAP-Admin (root) vorhanden.
Nun habe ich als nächstens ein neues Objekt "Samba 3 Group Mapping" mit folgenden Eigenschaften erstellt.
cn: root
displayName: administratoren
gidNumber: 0
objectClass: top
posixGroup
sambaGroupMapping
sambaGroupType: 2
sambaSID: S-1-5-21-479559372-1547523452-3818884970-512
Als nächsten habe ich ein Objekt "Samba 3 Account" mit folgenden Eigenschaften angelegt:
cn: Super
displaName: Super User
gecos: Super User
gidNumber: 0
homeDirectory: /data/home/administrator
loginShell: /bin/bash
objectClass: top
account
posixAccount
shadowAccount
sambaSamAccount
sambaAcctFlags: [U ]
sambaLMPassword: xxxxxxxxxxxxxxxxxxxxxxx
sambaNTPassword: xxxxxxxxxxxxxxxxxxxxxxx
sambaPrimaryGroupSID: S-1-5-21-479559372-1547523452-3818884970-512
sambaPwdCanChange: 1086595308
sambaPwdLastSet: 1086595308
sambaPwdMustChange: 2147483647
sambaSID: S-1-5-21-479559372-1547523452-3818884970-1000
shadowLastChange: 11778
uid: administrator
uidNumber: 0
userPassword: {MD5}xxxxxxxxxxxxxxxxxxxxxx
Wenn ich nun am Client von Arbeitsgruppe umstelle auf Domäne werde ich nach einem User gefragt der über das Recht für den Domänen-Betritt verfügt gefragt. Hier gebe ich den administrator und dessen Passwot ein:
Fehlermeldung: unbekannter Benutzer oder falsches Kennwort. Was mach ich falsch, ich versteh das einfach nicht, das müßte doch so gehen.
Viele Grüße
Sven
das sieht doch schonmal ganz gut aus
was gibt
getent passwd ?
kann es sein, dass dein system/samba durcheinander kommt, weil du 2 benutzer mit der uid 0 hast (root,super) ?
wo ist der root-user hinterlegt? passwd/shadow?
hast du nsswitch.conf eingerichtet?
wie ist die smb.conf?
kannst du unter angabe der credentials des super-users eine freigabe mounten?
greez
was gibt
getent passwd aus ?
root:x:0:0:root:/root:/bin/bash
[...]
administrator:x:0:0:Super User:/data/home/administrator:/bin/bash
kann es sein, dass dein system/samba durcheinander kommt, weil du 2 benutzer mit der uid 0 hast (root,super) ?
Das kann ich nicht sagen. Mir hat jemand gesagt das ich im LDAP einen Samba-Administrator mit der UID 0 haben muß. Dieser müsste ebenfalls einer Gruppe mit GID 0 angehören. Ist dem nicht so?
wo ist der root-user hinterlegt? passwd/shadow?
In passwd, den habe ich ganz normal bei der Installation angelegt.
hast du nsswitch.conf eingerichtet?
Ja, das funktioniert.
Viele Grüße
Pixel
was steht in der "username map" datei?
kannst du dich mit administrator einloggen am sys?
stell mal den log level auf 5 und paste die logs
das mounten hast du immer noch nicht versucht?!?!?
greez
was steht in der "username map" datei?
Also wenn ich dich richtig verstehe müßte es eine Datei:
administrator.map
geben deren Inhalt du sehen möchtest ????? Die Datei gibt's nicht.
kannst du dich mit administrator einloggen am sys?
Ja am lokalen System kann ich mich ohne Probleme einloggen.
Auszug aus dem Log werde ich gleich nachposten.
Viele Grüße
Pixel
so hier ist das Logfile (Anhang). Da steht auch ein Fehler drin aber deuten kann ich ihn nicht
der loglevel ist zwar mager, aber das sagt doch eigentlich schon alles
"get_md4pw: Workstation SWS-MARKUS$: no account in domain"
er findet keinen account für die workstation
Also wenn ich dich richtig verstehe müßte es eine Datei:
administrator.map
geben deren Inhalt du sehen möchtest ????? Die Datei gibt's nicht.
nein, per default wird sie meist nicht angelegt
sie enthält die beschreibung, welche windows user auf welche linux user abgebildet werden
bspw.
root = administrator
damit brauchst du auf dem samba rechner keinen account "administrator" definieren, es reicht der root account (auch im samba erforderlich) und du kannst dich via administrator/passwort_von_root von den workstations aus einloggen (http://de.samba.org/samba/docs/man/smb.conf.5.html -> username map ="" ) - sie wird meist in /etc/samba/ hinterlegt
Ja am lokalen System kann ich mich ohne Probleme einloggen.
ich meine hier deinen linuxrechner bei dem du dich mit dem neu angelegten account anmeldest (bash) - du auch?
greez
Ja, das mit dem Maschienen-Account hatte ich gesehen. ABER. Daran liegt es nicht soviel ist sicher. Denn....
die Maschienen-Accounts werden automatisch angelegt. Wenn ich in phpldapadmin den User als 'normalen' User-Account (nicht Samba3 User) anlege und anschließend am Server ein 'pdbedit -a -u [username] mache funktioniert alles. Der User kann in die Domäne und auch der Maschienen-Account wird ganz autom. in den LDAP geschrieben.
Es muß also an der Art und Weise leigen wie phpldapadmin den Samba-User anlegt.
UND / OOODER
Der Befehl 'pdbedit ...' macht noch irgend etwas anderes als nur Daten im LDAP zu modifizieren.
So funktioniert es zumindest mal. Ich werde jetzt nochmal zwei User mit folgender Vorgehensweise über phpldapadmin anlegen:
user_a
als 'normalen' User-Account & pdbedit -a -u usera
user_b
als Samba 3 - User
anschliessend werde ich beide Objekte mittels ldapsearch auslesen und die Attribute mal vergleichen (und posten). Ich sag mal ganz frech:
"Eine Lösung ist am fernen Horizont zu erkennen"
Viele Grüße
Pixel
die Maschienen-Accounts werden automatisch angelegt
dann müsste doch der account im ldap stehen, oder?
sie werden nur automatisch angelegt, wenn du die maschine in die domäne fährst (als root) und das add machine script angegeben hast (smb.conf)
beim normalen einloggen werden sie nicht eingeloggt
greez
dann müsste doch der account im ldap stehen, oder?Ja, nach dem Beitritt natürlich.
sie werden nur automatisch angelegt, wenn du die maschine in die domäne fährst (als root) und das add machine script angegeben hast (smb.conf)Ja da ist klar. Die Fehlermeldung im Logfile wurde ja während eines Beitritt-Versuches ausgegeben.
beim normalen einloggen werden sie nicht eingeloggtAuch klar.
Viele Grüße
Pixel
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.