PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : ldapsearch



babuni
19.07.04, 15:32
Hallo,

wenn ich

# ldapsearch -v -h server1 -p 389
eingebe
bekomme ich folgende fehlermeldung

ldap_init( server1, 389 )
ldap_sasl_interactive_bind_s: Unknown authentication method (86)

Muss man da noch was konfigurieren (für Active Directory Win2kServer)?

lg
Babuni

mamue
19.07.04, 21:04
Sehr wahrscheinlich hilft es, wenn Du ein -x für "simple bind" angibst:
ldapsearch -v -x -h server1 -p 389

Wenn Du die ldap.conf richtig konfiguriert hast brauchst Du auch nicht mehr den host und den port anzugeben. Wenn nicht, solltest Du auch noch den base mit angeben, sonst wird nichts gefunden:
ldapsearch -v -b dc=babuni,dc=his-server -x -h server1 -p 389
oder was auch immer bei Dir in jedem DN auftaucht.

HTH,
mamue

emba
20.07.04, 09:55
in verbindung mit ADS kann es notwendig sein, ldap mit SASL AUTH und Kerberos zu konfigurieren

greez

babuni
20.07.04, 10:27
die Verbindung zum LDAP Server wird aufgebaut! entnehme ich aus dem log

__________________________________________________ _________
ldapsearch -x -D "cn=Administrator,cn=System,cn=Benutzer,dc=mic,dc=c o,dc=at" -W

bringt
ldap_bind: Invalid credentials (49)
additional info: 80090308: LdapErr: DSID-0C09030B, comment: AcceptSecurityContext error, data 525, v893
__________________________________________________ ________
slapd.conf fehlt bei mir! Ist das notwendig.

ldap.conf sieht so aus:
HOST server
BASE dc=test, dc=co, dc=at

emba
20.07.04, 10:45
da stimmt was mit username/passwort nicht

nein, slapd.conf ist nicht notwendig

greez

babuni
20.07.04, 10:51
den User Administrator muss ich aber nicht am Linuxserver anlegen. Oder?

emba
20.07.04, 10:55
hat mit einem POSIX Account gar nichts zu tun
ergo muss er auch auf keinem rechner vorhanden sein - er muss nur im AD stehen und zugriff haben

greez

mamue
20.07.04, 10:55
ldapsearch -x -D "cn=Administrator,cn=System,cn=Benutzer,dc=mic,dc=c o,dc=at" -W

ldap.conf sieht so aus:
HOST server
BASE dc=test, dc=co, dc=at

Ich bitte um entschuldigung, wenn Du einen ADS kontaktieren möchtest, ist möglicherweise das -x für den simple bind falsch.
Wenn der bind fehl schlägt, muß das nicht am falschen Passwort liegen, möglicherweise ist auch ein Teil des usernamens falsch.
Ich weiß nicht, wie ein AD normalerweise aufgebaut ist, aber diesen DN finde ich doch sehr eigenartig:
"cn=Administrator,cn=System,cn=Benutzer,dc=mic,dc=c o,dc=at"
Verstehen könnte ich ja noch:
"cn=Administrator,ou=System,ou=Benutzer,dc=mic,dc=c o,dc=at",
aber mehrere "cn" als Teile eines DN kann ich nicht nachvollziehen.
Wenn das bind klappt, wird übrigens alles unterhalb von "dc=test, dc=co, dc=at" gesucht. Ich glaube, es spielt keine Rolle, aber ich würde eher auf Leerzeichen verzichten, also "dc=test,dc=co,dc=at".

mamue

babuni
20.07.04, 11:08
man könnte glauben du hast recht! herzlichen Dank.

ldapsearch -x -D "cn=Administrator,ou=System,ou=Benutzer,ou=MIC-Linz,dc=mic,dc=co,dc=at" -W

der Befehl wurde ausgeführt.

Danke vorerst!

Wie gehts jetzt weiter?

lg
Babuni

senseipetz
20.07.04, 12:59
oder auch nicht?

Bezieht sich die Frage zu dem Suchen oder zum Befehl

babuni
20.07.04, 13:57
Diese Frage bezieht sich auf meine Dummheit! (Solch eine Frage sollte für normal verboten werden! *gg*)
aber bei dieser Hitzewelle naja.

__________________________________________________ _____________
Der Befehl mit ldapsearch listet mir sämtliche Einstellunegn bez. Gruppen und User von meinem LDAP Server (Active Directory) auf.
Denke das passt.
__________________________________________________ _____________
"wbinfo -u" und "wbinfo -g" haben kurzzeitig funktioniert, jetzt bekomme ich aber wieder eine Fehlermeldung.
"Error looking up Domain users"
__________________________________________________ _____________

Ich werde noch wahnsinnig!

senseipetz
20.07.04, 14:02
ich glaube /var/log/log.smbd oder ja nach definition..

babuni
20.07.04, 15:37
log level 5

So wie es aussieht funktioniert es schon beinahe! Die Verbindung zum LDAP Server wird aufgebaut.

Dann stehe ich an!

emba
20.07.04, 16:00
was für ein problem versuchst du gerade zu lösen?
die hitze scheint sich sehr auf deinen ausdruck hier im thread zu legen ;)

das scheint doch der fehler zu sein

"[2004/07/20 15:35:12, 0] passdb/pdb_ldap.c:ldapsam_search_one_group(1763)
ldapsam_search_one_group: Problem during the LDAP search: LDAP error: (unknown) (Invalid credentials)"

greez

babuni
20.07.04, 16:34
liege ich recht mit der Annahme, dass es sich bei diesem Problem um die Query im LDAP handelt.

emba
20.07.04, 16:48
samba macht eine ldap query, scheitert aber (teilweise), weil die creds falsch sind

hast du denn smbpasswd -w gemacht?

greez

senseipetz
20.07.04, 18:45
würde ich meinen, dass du mit smbpasswd -w <passwort was in der slapd.conf steht. Bei zugriffe auf einer ads win2k Domain würde eventuell das masterpassword des adminis was machen..>

babuni
21.07.04, 10:40
Ich mal wieder

Befehl smbpasswd ausgeführt. Danke!
_________________________________-

bei pdbedit bekomme ich nun folgendes.

smbldap_add: dn => [sambaDomainName=MIC-APPS,dc=mic,dc=co,dc=at]
failed to add domain dn= sambaDomainName=MIC-APPS,dc=mic,dc=co,dc=at with: No such attribute
00000057: LdapErr: DSID-0C09098B, comment: Error in attribute conversion operation, data 0, v893
Adding domain info for MIC-APPS failed with NT_STATUS_UNSUCCESSFUL

meine frage ist:

Wo kann ich den Pfad für DN einstellen?
Er findet an diser Stelle (MIC-APPS,dc=mic,dc=co,dc=at) nichts. Ist mir klar. Er will ja den Pfad wo der Computer im AD gespeichert ist, oder?

senseipetz
21.07.04, 14:12
nur den eintrag sambaDomainName mit dem Wert MIC-APPS in dc=mic,dc=co,dc=at eintragen, aber der LDAP Server in dem das attribute sambaDomainName kann mit Eintrag nichts anfangen, weil er ihn nicht findet und und je nach slapd.conf Einstellung/Richtlinie nicht eingetragen werden kann... Wenn es sich um einen Samba Server mit Openldap handelt, dann liegt es vielleicht daran, dass du den index sambaDomainName mit einer option versehen hast, die vom einem deiner Schemas nicht unterstützt wird oder dein Scope ist zu tief eingestellt. Bei einer Standard /etc/ldap.conf wird der Verbindungsaufbau mit scope=2 aufgebaut.. Das könnte machmal zu tief sein.

Die /etc/openldap/slapd.conf + /etc/ldap.conf wäre in diesem Fall hilfreich

Bei mir schaut es wie folgt aus

linux2:/etc/openldap # cat slapd.conf
include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/samba3.schema

pidfile /var/run/slapd/run/slapd.pid
argsfile /var/run/slapd/run/slapd.args

modulepath /usr/lib/openldap/modules

# die access sind erstmal für All "Full Access" gesetzt... kommt noch
access to *
by * write

################################################## ##############################
# bdb database definitions #
################################################## ##############################

database ldbm
suffix "dc=berlin-home,dc=local"
rootdn "cn=Manager,dc=berlin-home,dc=local"
rootpw <passwort>

replica host=10.0.0.139 binddn="cn=Manager,dc=berlin-home,dc=local" bindmethod=simple credentials=<passwort>
replogfile /var/log/openldap-log.log

directory /var/lib/ldap

index objectClass,uidNumber,gidNumber eq
index cn,sn,uid,displayName pres,sub,eq
index memberUid,mail,givenname eq,subinitial
index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq


Und die /etc/ldap.conf


linux2:/etc/openldap # cat /etc/ldap.conf
host 10.0.0.139
base dc=berlin-home,dc=local
ldap_version 3

port 389

scope sub

pam_password md5

nss_base_passwd dc=berlin-home,dc=local?sub
nss_base_shadow dc=berlin-home,dc=local?sub
nss_base_group ou=Groups,dc=berlin-home,dc=local?one

ssl no
pam_filter objectclass=posixAccount

babuni
21.07.04, 14:53
Bei mir finde ich kein slapd.conf. Soll ich es manuell anlegen oder muss man etwas installieren?

ldap.conf liegt in /etc und enthält BASE und HOST

wenn die ldap settings in Ordnung wären welche Befehle sollten dann funktionieren?

pdbedit
ldapsearch
wbinfo

Ein Wahnsinn das LDAP!

senseipetz
21.07.04, 14:59
Hast du einen Linux Server mit Openldap und der soll dein PDC sein oder ein sambaServer als mitglied einer echten Win2k Domain.. Das ergibt Unterschiede in der handhabung..

babuni
21.07.04, 15:11
SambaServer ist DomainMember und AD läuft auf Win2k!

senseipetz
21.07.04, 15:19
pdbedit nicht in einer echten Win2k domain rumwerkeln kann, weil Samba kann nur ADS im native mode.. Man kann aber den Server an die Domain koppeln und abfragen auf die ADS starten.. Da du nur ein Samba Domain Member server hast, besitzt du auch kein slapd.conf. Diese ist die conf des openldap Servers.. Leider bin ich aber noch nicht so fit, Samba ans Win2k Netz koppeln.. Ich glaube dazu braucht man kerberos und SASL...

babuni
21.07.04, 15:41
Ich dacht mir das es nicht so einfach wird! aber herzlichen Danke vorerst. hast mir sehr geholfen!

Danke, lg
Babuni

senseipetz
21.07.04, 18:06
Adding a Samba Server to a Windoze2k Domain
Sometimes, not that often, but occasionally, you want to set up your Samba server to be subservient to your NT Domain Controller. For example: in my case I am trying to set up a fileserver/development box, without assuming responsibility for maintaining the domain. This is in fact very simple to do:


On the Samba Server
1) Configure Samba to be a member of the domain:

workgroup=[Domain]

2) Tell it not to use it's own authentication:

security=domain
password server = [FQDN of your PDC]

3) Make sure encrypt passwords is ON or the PDC will yell at you:

encrypt passwords = yes

4) Tell samba it is not a domain controller:

local master = no
os level = 33
wins support = no
wins server = [IP of your WINS server]

5) Set up your shares just like any other samba system.


On the Windows 2000 Server
1) In Active Directory Users and Groups:

File, New, Computer
Enter the hostname of the Samba Server
Make Sure to check 'allow pre-2000 computers'


On the Samba Server (Again)
1) At the command line:

smbpasswd -j [domain] -r [FQDN of PDC]

Your Samba server should now be accessible to users of your network. They still will need regular Unix Logons, but they do not need to have separate 'smbpasswd' entries.


Example SMB.conf
[global]
workgroup = [domain]
server string = Samba Server
hosts allow = 192.168.100. 127.
log file = /var/log/samba/%m.log
max log size = 50
security = domain
password server = [FQDN of domain server]
encrypt passwords = yes
; smb passwd file = /etc/samba/smbpasswd
unix password sync = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *New*UNIX*password* %n\n *ReType*new*UNIX*password* %n\n *passwd:*all*authentication*tokens*updated*success fully*
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
remote announce = 192.168.100.255
local master = no
os level = 33
wins support = no
wins server = [ip of domain server]
dns proxy = no

[homes]
comment = Home Directories
browseable = no
writable = yes


NT_Status_Access_Denied
A very common error when trying to get the Samba client to join the PDC. Make sure to complete the following steps in order:


Stop the Samba daemon
Delete the 'computer account' from the Win2k server
Reboot the Win2k server
Add a new account on the Win2k Server, making sure to check the 'allow pre-2000 computers' option
Start the Samba daemon on the Linux box
smbpasswd -j [domain] -r [FQDN of PDC]

You will also have to reboot any windows clients before they can see the share on the Samba server.


Related Links
http://www.samba.org
http://www.data-based-systems.com/downloadables/LinuxSambaWithWindows2000.htm