PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba User kann sich nicht anmelden



pixel
04.06.04, 13:27
Hi@all,

ich habe ein kleines Problem mit den mittels phpldapadmin angelegten Benutzern. Ich habe im LDAP einen User Adminstrator welcher das Recht hat andere in die Domäne zu bringen.

Nun habe ich mit phpldapadmin einen User angelegt. Dieser hat folgende Attribute:

# sven, Users, komet.net
dn: uid=sven,ou=Users,dc=komet,dc=net
cn: Sven
displayName: Sven Gehr
gecos: Sven Gehr
gidNumber: 1000
homeDirectory: /data/home/sven
loginShell: /bin/bash
sambaPrimaryGroupSID: S-1-5-32-544
sambaSID: S-1-5-21-479559372-1547523452-3818884970-
shadowLastChange: 11778
uid: sven
uidNumber: 1000
userPassword:: e01ENX1KOERWZnAxSVlPRWJvWTNKaWcyVVdBPT0=
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
objectClass: sambaSamAccount
sambaAcctFlags: [DU ]

Wenn ich nun am Windows-Client den Assistenten zum Domänenbeitritt aufrufe kann ich diesen User unter Verwendung das Administrators in die Domäne bringen. Wenn ich mich jedoch nach dem anschließendem Reboot mit diesem User anmelden möcht meldet er 'falsches' Passwort.
Der Maschienen-Account wird wärend dem Beitritt auch autom. im LDAP angelegt.

Das ich nicht in die Domäne komme habe ich bei diversen Versuchen immer mal gehabt. Aber das ich zuerst reinkommen und mich dann nicht anmelden kann habe ich jetzt noch nie erlebt.

Hat einer von euch ein Idee was dem User fehlt?

Viele Grüße
Sven

mamue
04.06.04, 15:15
Hi@all,

ich habe ein kleines Problem mit den mittels phpldapadmin angelegten Benutzern. Ich habe im LDAP einen User Adminstrator welcher das Recht hat andere in die Domäne zu bringen.

Nun habe ich mit phpldapadmin einen User angelegt. Dieser hat folgende Attribute:

# sven, Users, komet.net
dn: uid=sven,ou=Users,dc=komet,dc=net
cn: Sven
displayName: Sven Gehr
gecos: Sven Gehr
gidNumber: 1000
homeDirectory: /data/home/sven
loginShell: /bin/bash
sambaPrimaryGroupSID: S-1-5-32-544
sambaSID: S-1-5-21-479559372-1547523452-3818884970-
shadowLastChange: 11778
uid: sven
uidNumber: 1000
userPassword:: e01ENX1KOERWZnAxSVlPRWJvWTNKaWcyVVdBPT0=
objectClass: top
objectClass: account
objectClass: posixAccount
objectClass: shadowAccount
objectClass: sambaSamAccount
sambaAcctFlags: [DU ]

Wenn ich nun am Windows-Client den Assistenten zum Domänenbeitritt aufrufe kann ich diesen User unter Verwendung das Administrators in die Domäne bringen. Wenn ich mich jedoch nach dem anschließendem Reboot mit diesem User anmelden möcht meldet er 'falsches' Passwort.
Der Maschienen-Account wird wärend dem Beitritt auch autom. im LDAP angelegt.
Sven

Ich weiss jetzt nicht genau, wie und warum Du einen user in die Domäne bringen willst, mit dem LDAP-entry ist er ja schon da.
Ist das ein Tippfehler bei den Einträgen
sambaPrimaryGroupSID: S-1-5-32-544
sambaSID: S-1-5-21-479559372-1547523452-3818884970-
?
Ich hätte da eher erwartet, dass bei der sambaPrimaryGroupSID die volle SID plus 544 auftaucht:
sambaPrimaryGroupSID: S-1-5-21-479559372-1547523452-3818884970-544
Eine sambaSID, die einem "-" aufhört, habe ich auch noch nie gesehen, da fehlt doch die RID?

mamue

pixel
04.06.04, 16:56
Hi@all,


Ich weiss jetzt nicht genau, wie und warum Du einen user in die Domäne bringen willst, mit dem LDAP-entry ist er ja schon da.
Bedeutet das wenn ich einen User im LDAP angelegt habe brauche ich beim Aufruf dieses Windows-Assistenten nicht wählen "User xy hinzufügen"? Ok, das wußte ich nicht.

Ich hätte da eher erwartet, dass bei der sambaPrimaryGroupSID die volle SID plus 544 auftaucht:
sambaPrimaryGroupSID: S-1-5-21-479559372-1547523452-3818884970-544
Eine sambaSID, die einem "-" aufhört, habe ich auch noch nie gesehen, da fehlt doch die RID?Zumindest das, dass die SID mit - Endet kam mir auch spanisch vor.
Muß wohl ein Fehler in phpldapadmin sein.

Viele Grüße
Pixel

emba
06.06.04, 20:10
mamue hat recht mit den corrupted SIDs bei dir

aber wie soll er bitte ein passwort checken, was so gar nicht im ldap hinterlegt ist?

greez

pixel
07.06.04, 11:47
Hallo,


mamue hat recht mit den corrupted SIDs bei dirDas Problem habe ich gefunden. Mann muß beim erstellen in das Feld der RID klicken. Erst dann wird selbige erzeugt.

ich habe mir das nochmal angeschaut. Ich glaube ich mache bei den Gruppen einen Fehler. Wie lege ich den eine Gruppe an die sowohl für Linux- wie auch für Windows- User verwendet werden kann?

Benutze ich hierzu eine Posix Group oder die Funktion Samba 3 Group Mapping?

Ich hatte bisher immer nur eine Posix Group. Als du nun gesagt hast ich solle die SID von Domäne, Gruppe und User vergleichen bin ich stuzig geworden da die Posix Group ja keine SID besitzt.

Nun habe ich nochmal alle Objekt (Gruppen, Benutzer, Administrator & Domäne) gelöscht. Nun waren lediglich noch die drei Container:

- Groups
- Users
- Hosts

sowie der LDAP-Admin (root) vorhanden.

Nun habe ich als nächstens ein neues Objekt "Samba 3 Group Mapping" mit folgenden Eigenschaften erstellt.

cn: root
displayName: administratoren
gidNumber: 0
objectClass: top
posixGroup
sambaGroupMapping
sambaGroupType: 2
sambaSID: S-1-5-21-479559372-1547523452-3818884970-512

Als nächsten habe ich ein Objekt "Samba 3 Account" mit folgenden Eigenschaften angelegt:

cn: Super
displaName: Super User
gecos: Super User
gidNumber: 0
homeDirectory: /data/home/administrator
loginShell: /bin/bash

objectClass: top
account
posixAccount
shadowAccount
sambaSamAccount

sambaAcctFlags: [U ]
sambaLMPassword: xxxxxxxxxxxxxxxxxxxxxxx
sambaNTPassword: xxxxxxxxxxxxxxxxxxxxxxx
sambaPrimaryGroupSID: S-1-5-21-479559372-1547523452-3818884970-512
sambaPwdCanChange: 1086595308
sambaPwdLastSet: 1086595308
sambaPwdMustChange: 2147483647
sambaSID: S-1-5-21-479559372-1547523452-3818884970-1000
shadowLastChange: 11778
uid: administrator
uidNumber: 0
userPassword: {MD5}xxxxxxxxxxxxxxxxxxxxxx

Wenn ich nun am Client von Arbeitsgruppe umstelle auf Domäne werde ich nach einem User gefragt der über das Recht für den Domänen-Betritt verfügt gefragt. Hier gebe ich den administrator und dessen Passwot ein:

Fehlermeldung: unbekannter Benutzer oder falsches Kennwort. Was mach ich falsch, ich versteh das einfach nicht, das müßte doch so gehen.

Viele Grüße
Sven

emba
07.06.04, 12:25
das sieht doch schonmal ganz gut aus

was gibt

getent passwd ?

kann es sein, dass dein system/samba durcheinander kommt, weil du 2 benutzer mit der uid 0 hast (root,super) ?

wo ist der root-user hinterlegt? passwd/shadow?
hast du nsswitch.conf eingerichtet?
wie ist die smb.conf?

kannst du unter angabe der credentials des super-users eine freigabe mounten?

greez

pixel
07.06.04, 12:59
was gibt
getent passwd aus ?
root:x:0:0:root:/root:/bin/bash
[...]
administrator:x:0:0:Super User:/data/home/administrator:/bin/bash

kann es sein, dass dein system/samba durcheinander kommt, weil du 2 benutzer mit der uid 0 hast (root,super) ?
Das kann ich nicht sagen. Mir hat jemand gesagt das ich im LDAP einen Samba-Administrator mit der UID 0 haben muß. Dieser müsste ebenfalls einer Gruppe mit GID 0 angehören. Ist dem nicht so?


wo ist der root-user hinterlegt? passwd/shadow?
In passwd, den habe ich ganz normal bei der Installation angelegt.

hast du nsswitch.conf eingerichtet?
Ja, das funktioniert.

Viele Grüße
Pixel

emba
07.06.04, 14:56
was steht in der "username map" datei?

kannst du dich mit administrator einloggen am sys?
stell mal den log level auf 5 und paste die logs

das mounten hast du immer noch nicht versucht?!?!?

greez

pixel
07.06.04, 16:59
was steht in der "username map" datei?
Also wenn ich dich richtig verstehe müßte es eine Datei:
administrator.map
geben deren Inhalt du sehen möchtest ????? Die Datei gibt's nicht.

kannst du dich mit administrator einloggen am sys?
Ja am lokalen System kann ich mich ohne Probleme einloggen.
Auszug aus dem Log werde ich gleich nachposten.

Viele Grüße
Pixel

pixel
07.06.04, 17:07
so hier ist das Logfile (Anhang). Da steht auch ein Fehler drin aber deuten kann ich ihn nicht

emba
08.06.04, 08:15
der loglevel ist zwar mager, aber das sagt doch eigentlich schon alles

"get_md4pw: Workstation SWS-MARKUS$: no account in domain"

er findet keinen account für die workstation


Also wenn ich dich richtig verstehe müßte es eine Datei:
administrator.map
geben deren Inhalt du sehen möchtest ????? Die Datei gibt's nicht.

nein, per default wird sie meist nicht angelegt
sie enthält die beschreibung, welche windows user auf welche linux user abgebildet werden

bspw.

root = administrator

damit brauchst du auf dem samba rechner keinen account "administrator" definieren, es reicht der root account (auch im samba erforderlich) und du kannst dich via administrator/passwort_von_root von den workstations aus einloggen (http://de.samba.org/samba/docs/man/smb.conf.5.html -> username map ="" ) - sie wird meist in /etc/samba/ hinterlegt


Ja am lokalen System kann ich mich ohne Probleme einloggen.
ich meine hier deinen linuxrechner bei dem du dich mit dem neu angelegten account anmeldest (bash) - du auch?


greez

pixel
08.06.04, 15:30
Ja, das mit dem Maschienen-Account hatte ich gesehen. ABER. Daran liegt es nicht soviel ist sicher. Denn....

die Maschienen-Accounts werden automatisch angelegt. Wenn ich in phpldapadmin den User als 'normalen' User-Account (nicht Samba3 User) anlege und anschließend am Server ein 'pdbedit -a -u [username] mache funktioniert alles. Der User kann in die Domäne und auch der Maschienen-Account wird ganz autom. in den LDAP geschrieben.

Es muß also an der Art und Weise leigen wie phpldapadmin den Samba-User anlegt.

UND / OOODER

Der Befehl 'pdbedit ...' macht noch irgend etwas anderes als nur Daten im LDAP zu modifizieren.
So funktioniert es zumindest mal. Ich werde jetzt nochmal zwei User mit folgender Vorgehensweise über phpldapadmin anlegen:

user_a
als 'normalen' User-Account & pdbedit -a -u usera

user_b
als Samba 3 - User

anschliessend werde ich beide Objekte mittels ldapsearch auslesen und die Attribute mal vergleichen (und posten). Ich sag mal ganz frech:

"Eine Lösung ist am fernen Horizont zu erkennen"

Viele Grüße
Pixel

emba
08.06.04, 15:44
die Maschienen-Accounts werden automatisch angelegt

dann müsste doch der account im ldap stehen, oder?
sie werden nur automatisch angelegt, wenn du die maschine in die domäne fährst (als root) und das add machine script angegeben hast (smb.conf)

beim normalen einloggen werden sie nicht eingeloggt

greez

pixel
08.06.04, 15:58
dann müsste doch der account im ldap stehen, oder?Ja, nach dem Beitritt natürlich.

sie werden nur automatisch angelegt, wenn du die maschine in die domäne fährst (als root) und das add machine script angegeben hast (smb.conf)Ja da ist klar. Die Fehlermeldung im Logfile wurde ja während eines Beitritt-Versuches ausgegeben.

beim normalen einloggen werden sie nicht eingeloggtAuch klar.

Viele Grüße
Pixel