Hallo!

Nach gut einer Woche im Try and Error Verfahren sind wir hier ein ganz klein wenig am verzweifeln. Folgende Situation:

In einem Windows 2003 Active Directory hängt ein auf SuSE 9.0 laufender Samba 3.x Server, welcher bisher im ADS erkannt wurde. Die samba-Shares können von Windows aus gemappt werden, die Authentifizierung läuft per winbind (pam Module sshd und samba wurden angepaßt) offentsichtlich problemlos. User können Dateinen auf den Shares anlegen und löschen.
Nun geht es um die Rechtevergabe. Hier ist das Problem, dass zum einem vom Domänen Admin angelegt Dateien dem root des sambas zugeordnet werden.
Weiterhin kann der Domänen Admin keinen Usern rechte auf diese Dateinen geben bzw. entziehen, bzw. neue User hinzufügen oder entfernen. Auch nicht, nachdem die Datei vom samba\root an den Domänen Admin übergeben wurde.

Weiterhin kann der Domän Admin vom Windows Rechner aus keine Samba shares anlegen... :rolleyes:

Woran mag das wohl liegen??
Vielen Dank für die Hilfe und viele Grüße,

Borner

was sagen denn die logs dazu..?

Hallo!

Also die log.smbd und log.nmbd schweigen sich aus.
Die log.winbindd hingegen listet einiges auf:

[2004/08/05 10:19:00, 0] libsmb/smb_signing.c:signing_good(232)
signing_good: BAD SIG: seq 1
[2004/08/05 10:19:00, 0] libsmb/clientgen.c:cli_receive_smb(121)
SMB Signature verification failed on incoming packet!
[2004/08/05 10:19:00, 0] libsmb/smb_signing.c:signing_good(232)
signing_good: BAD SIG: seq 1
[2004/08/05 10:19:00, 0] libsmb/clientgen.c:cli_receive_smb(121)
SMB Signature verification failed on incoming packet!
[2004/08/05 10:19:00, 0] libsmb/smb_signing.c:signing_good(232)
signing_good: BAD SIG: seq 1
[2004/08/05 10:19:00, 0] libsmb/clientgen.c:cli_receive_smb(121)
SMB Signature verification failed on incoming packet!

Nur das ich damit nicht wirklich viel anfangen kann....
Du vielleicht?

Gruß,
Borner

Hallo borner

Hab grad nur die Logs überflogen und mir ist da folgender Gedanke gekommen:

Seit Windows2003 werden die SMB-Pakete alle signiert. Bei 2000 hies es noch "nur signieren, wenn client und server einverstanden sind". Schau mal auf Deinem W2k3 unter Verwaltung-Lokale Sicherheitsrichtlinie-Lokale Richtlinien-Sicherheitsoptionen. Da müsste es Einträge der Art "Kommunikation digital signieren..." geben. Schau mal, ob diese aktiviert sind. Meines erachtens, muss die Signierung deaktiviert werden, damit es mit Samba klappt - Sicher bin ich aber nicht. Hab es auch erst einmal in Kombination mit der ADS aufgesetzt.

Hoffe es Hilft

Gruss Paragenius

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\Netlogon\Parameters]
"requiresignorseal"=dword:00000000
"signsecurechannel"=dword:00000000

Und auch noch über den gpedit.msc als lokaler Administrator:

„Do not check for user ownership of Roaming Profile Folders“


Sollte bei win2k3 nicht anders sein..

da war noch irgendwas mit client authentification oder so aber linux2 ist offline.. schau mal mit

testparm -v >smb_config

mal nach, ob die client & Server verification ein bzw. aus ist.
Es sind dafür zwei zeilen.. Es gibt noch eine Dritte, die heisst client spnego = yes.. Macht auch manchmal ärger..

Hallo!

Ersteinmal vielen Dank für die Antworten.

Also Samba läuft jetzt so weit. Allerdings lag der Grund wo anders. Ich hatte das Dateisystem auf Linux Seite anfangs ohne acl gemountet. So war es Samba natürlich nicht möglich, eine komplexe Rechtestruktur auf 3x rwx abzubilden. Nach aktivierung der acl Option klappte es dann ganz gut!

Allerdings stehen in der log.winbindd noch immer diese Meldungen - und im 5 Minuten Rythmus kommen neue hinzu. Nicht sooo dramatisch, weil's ja läuft, aber irgendwo unschön.
Die angesprochene Änderung unter "kommunikation digital signieren" hab ich vorgenommen...
...ohne Änderung. Die Meldungen kommen noch immer.

Aber erstmal vielen Dank.

Gruß Borner

hi!

habe eine kleine frage. wir haben hier in der firma auch vor (sind gerade dabei) einen feldtest für samba mit w2k ads zu machen.

vielleicht könntest du mir sagen, ob du über deine konfiguration eine dokumentation geschrieben hast. :D

oder könntest du mir ein paar gute quellen sagen, woher ich konfigurationsbeispiele und ähnliches bekommen kann? (ausgenommen samba.org)

herzlichen dank!

ps.: vielleicht sollte jemand hier im forum einen dokumentations thread zu diesem thema starten, da sich ja doch einige mit dem besagten thema beschäftigen? dort könnten wir uns dann gezielt über erfolge, probleme und erfahrungen zentral austauschen?

Hi!

Also, ich hatte insbesondere 2 Quellen.

http://www.maxxtc.net/include.php?path=content/articles.php&contentid=797

Diese hat mir ziemlich viel geholfen, da es genau meine Situatin wiederspiegelte: SuSE 9.0+Samba+Winbind@W2k3. Da konnte man wirklich alles Schritt für Schritt mitmachen. Easy!
Nur zum schluss fehlt eine kleine, aber wichtige Sache, die mich über einen Tag gekostet hat. Der Hinweis, dass man die zu sharende Partition mit der Option acl mounten muss.

Dann hab ich noch folgende Doku genutzt:
http://gertranssmb3.berlios.de/output/domain-member.html

Ich selber habe- abgesehen von einem Schmierblatt - noch keine Dokumentation.

Viele Grüße,
Borner.

danke!

+ zehn zeichen damit ich antworten kann :D

Ich hab Samba 3.0.5 in die ADS integriert.
Hat alles einwandfrei geklappt.

Quelle: Samba 3.05 Help -> ADS - Membership

Bitte um durchsicht der configs, meinungen und verbesserungsvorschlägen.

smb.conf

etc/samba/smb.conf
[global]
# general options
unix charset = LOCALE
workgroup = DOMAINNAME
realm = DOMAINNAME.ORG
security = ADS
server string = Samba 3.0.5
username map = /etc/samba/smbusers
log level = 1
syslog = 0
log file = /var/log/samba/%m
max log size = 50
printcap name = CUPS
ldap ssl = no
idmap uid = 10000-20000
idmap gid = 10000-20000
template primary group = "Domain Users"
template shell = /bin/bash
winbind separator = /
printing = cups

[homes]
comment = Home Directories
valid users = %s
read only = No
browseable = No

[printers]
comment = SMB Print Spool
path = /var/spool/samba
guest ok = yes
printable = Yes
browseable= No

[print$]
comment = Printer Driver
path = /var/lib/samba/drivers
admin users = root, DOMAINNAME/ADMIN
write list = root

[data]
wide links = no
writeable = yes
admin users = root, @"Domain Admins"
write list = @DOMAINNAME/DOMAINGRUPPE
path = /data
force group = DOMAINNAME/DOMAINGRUPPE
comment = Testfreigabe auf Data
valid users = DOMAINNAME/ADMIN,@DOMAINNAME/DOMAINGRUPPE,@"DOMAINNAME/Domain Admins"
volume name = data
fstype = NTFS

krb5.conf
libdefaults]
default_realm = DOMAINNAME.ORG
clockskew = 300

[realms]
DOMAINNAME.ORG = {
kdc = IP von DOMAINCONTROLLER
default_domain = DOMAINNAME.ORG
kpasswd_server = IP von DOMAINCONTROLLER
}

[domain_realm]
.domainname.org = DOMAINNAME.ORG
domainname.org = DOMAINNAME.ORG
.DOMAINNAME.ORG = DOMAINNAME.ORG
[logging]
default = SYSLOG:NOTICE:DAEMON
kdc = FILE:/var/log/kdc.log
kadmind = FILE:/var/log/kadmind.log
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = true
minimum_uid = 0
}

nsswitch.conf

#
# /etc/nsswitch.conf

passwd: compat winbind
group: compat winbind

hosts: files dns wins
networks: files dns

services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files
publickey: files

bootparams: files
automount: files
aliases: files

Bitte um Mithilfe.... Ich will keine Windows 2003 Fileserver!!!

:p

ja, sieht bei mir so ziemlich ähnlich aus. nur das z.B. ich rewad only auf "yes" gesetzt habe und dafür in der write list die entsprechenden ADS Gruppen eingetragen habe.

Borner