PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba als Domäne



stefanw
10.08.04, 19:57
Hallo,

ich bin nicht nur ein Samba-Neuling, sondern auch ein Linux-Neuling, aber werde mich durchkämpfen und hoffe auf Eure Hilfe.

Ich habe alles erdenkliche getan um meinen Samba-Server als Domäne für meine Win-Rechner (2k und XP-Pro) einzurichten. Die Domäne konnte ich als Win-Admin auch einbinden und die zur Verfügung gestellten Shares stehen in den Win-Rechnern auch zur Verfügung. Was jedoch gar nicht klappen will, ist die Win-Anmeldung an der Domäne. Es kommt immer die Meldung, das der DömänController nicht zur Verfügung steht, bzw. das Computerkonto nicht existiert.

Folgendes habe ich schon gemacht:
- User und Rechner in smbpasswd angelegt
- User und Rechner mit smbpasswd -e aktiviert
- Passwortverschlüsselung deaktiviert (win und smb.conf)
(daran kann es nicht liegen, da die Shares da sind)

Warum geht es noch immer nicht :confused:

Bin um jede Hilfe dankbar.

aheinhold
10.08.04, 23:05
Hallo,

wie werden denn die Maschinen-Accounts angelegt.
Nachdem du der Domäne beitreten konntest, muss da ja ein Script in der smb.conf (add user script = ) angegeben sein.
Am besten postest du mal die komplette smb.conf.
An der PW-Verschlüsselung denk ich liegts nicht. Am besten du schaltest sie wieder ein (sowohl Win als auch SMB).

stefanw
11.08.04, 21:58
Hi aheinhold,

also den Maschinen-Account lege ich über "smbpasswd -a rechnername$" für samba an.

Was für ein Skript sollte ich in der smb.conf eintragen?

Die in Linux angelegten User habe ich der Gruppe "ntuser" zugeordnet.
Ich habe auch versucht die User direkt als "valid users" einzutragen,
das hat aber auch nichts verändert.

Auch die Umstellung auf "encryp password = Yes" (natürlich inkl. der Anpassung auf der win-Seite) hat nichts an der Sache geändert.


Die genaue Fehlermeldung an der win-Maschine lautet:
"das system kann sie nicht bei dieser domäne anmelden,
da das computerkonto des systems in seiner primären
domäne fehlt, oder das kennwort für dieses computerkonto falsch ist."


Und hier wäre mal der Inhalt meiner smb.conf:

# Samba config file created using SWAT
# from 127.0.0.1 (127.0.0.1)
# Date: 2004/08/04 21:02:47

# Global parameters

[global]
workgroup = WOLFARTH
server string = Samba Server
interfaces = 127.0.0.1, eth0
hosts allow = 192.168.181.
wins support = Yes
local master = Yes
domain logons = Yes
domain master = Yes
bind interfaces only = Yes
encryp password = No
update encrypted = Yes
min passwd length = 4
map to guest = Bad User
add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
logon drive = L:
domain logons = Yes
os level = 65
preferred master = Yes
ldap suffix = dc=example,dc=com
ldap ssl = no
valid users = root, @ntuser
admin users = administrator
printer admin = @ntadmin, root, administrator
browseable = Yes

[homes]
comment = Home Directories
valid users = %S
read only = No
browseable = No

[users]
comment = All users
path = /home
read only = No
inherit permissions = Yes
veto files = /aquota.user/groups/shares/

[groups]
comment = All groups
path = /home/groups
read only = No
inherit permissions = Yes

[pdf]
comment = PDF creator
path = /var/tmp
create mask = 0600
printable = Yes

[printers]
comment = All Printers
path = /var/tmp
create mask = 0600
printable = Yes
browseable = No

[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @ntadmin, root
force group = ntadmin
create mask = 0664
directory mask = 0775

[daten]
comment = allgemeine Daten auf Linuxserver
path = /daten
read only = No

Fly
12.08.04, 07:13
Folgende Meldung hatte ich schon mal, jedoch weiss ich nicht mehr wie es genau aufgetreten ist, ich glaube da hatte der Rechner keine Verbindung im Netzwerk. Versuch ein ping zu Sambaserver.



Die genaue Fehlermeldung an der win-Maschine lautet:
"das system kann sie nicht bei dieser domäne anmelden,
da das computerkonto des systems in seiner primären
domäne fehlt, oder das kennwort für dieses computerkonto falsch ist."

stefanw
12.08.04, 07:39
Hallo Fly,

ein ping zum Samba-Server funktioniert einwandfrei.
Das freigegebene Share kann ich von den win-Rechner auch problemlos erreichen. hier funktioniert sogar die Userabhängigkeit. Ich kann als User 1 nicht auf das homeverzeichnis von User 2 zugreifen, aber auf das eigene. Also genau so wie es sein soll.

Das einzige Problem ist der win-LogIn an der Domäne, der nicht klappen will.

Stormbringer
12.08.04, 08:25
Hi,

encryp password = No
Da ist ein Schreibfehler drin! (Und es sollte auf Yes stehen!)

Nutzt Du LDAP? ... es ist in der smb.conf mit angegeben.
Was sagt testparm?

Wie hast Du die Accounts angelegt?
Korrekterweise werden Maschinenkonten wie folgt angelegt:
useradd -d /dev/null -s /bin/false PC-NAME$
smbpasswd -a -m PC-NAME
(Das $-Symbol ist wichtig!)

Anschließend natürlich mittels Windows die Systeme noch der Domäne hinzufügen.

Gruß

stefanw
12.08.04, 08:45
Hi Stormbringer,

encryp password = No
Da ist ein Schreibfehler drin! (Und es sollte auf Yes stehen!)
==> "No" ist schon richtig, da ich auch auf den win-Maschinen auf "No" gestellt habe. Mit "Yes" war es das gleiche Problem.

Nutzt Du LDAP? ... es ist in der smb.conf mit angegeben.
==> Nein - was ist eigentlich LDAP?
Was sagt testparm?
==> Load smb config files from /etc/samba/smb.conf
Processing section "[homes]"
Processing section "[users]"
Processing section "[groups]"
Processing section "[pdf]"
Processing section "[printers]"
Processing section "[print$]"
Processing section "[Profiles]"
Processing section "[netlogon]"
Processing section "[daten]"
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC
Danach kommt der Inhalt der smb.conf

Wie hast Du die Accounts angelegt?
Korrekterweise werden Maschinenkonten wie folgt angelegt:
useradd -d /dev/null -s /bin/false PC-NAME$
==> useradd -s /bin/false rechnername$
smbpasswd -a -m PC-NAME (Das $-Symbol ist wichtig!)
==> smbpasswd -a rechnername$

Anschließend natürlich mittels Windows die Systeme noch der Domäne hinzufügen.
==> Win ist der Domäne hinzugefügt (als User root)

Stormbringer
12.08.04, 09:04
Kennst Du den Unterschied zwischen Schreibfehler und Option?
Bei Schreibfehler fehlt bspw. ein t, bei Option kann es Yes oder No heißen ...
Den Rest kommentiere ich nun nicht mehr - vor allem, da die Zitierfunktion offenbar defekt ist ...

Gruß

stefanw
12.08.04, 09:10
Hi Stormbringer,

sorry - da hab ich wohl das Kleingedruckte nicht gelesen :)
Natürlich steht in der smb.conf: "encrypt passwords = No "

stefanw
12.08.04, 09:22
Hab jetzt mal was ganz schlaues versucht:
Wollte testen, ob ich über den Samba-Client auf dem gleichen Rechner wie der Samba-Server läuft eine Verbindung bekomme.

Dazu habe ich über Yast den Samba-Client aufgerufen und die Domäne eingetragen. Danach habe ich im Konqueror "smb:" eingegeben. Daraufhin kam auch ein Anmeldefenster, indem aber wohl einige Angaben fehlen:
Server =
Ressource (share) =
Die Eingabe eines Usernamen mit Passwort war (natürlich) nicht erfolgreich.

Irgendein vermaledeiter Eintrag muß noch in der smb.conf fehlen - aber welcher?

Stormbringer
12.08.04, 09:29
Warum nutzt Du nicht die angegebenen Hilfen?
Denn du hast zumindest:
a) keinen korrekten User angelegt
b) keinen korrekten Maschinenaccount angelegt

Denn da testparm aussagt:


Loaded services file OK.
Server role: ROLE_DOMAIN_PDC

ist die Syntax der samba Konfig korrekt.

Und wenn dann noch die registry Einträge von W2K und XP nicht geändert wurden, sollte encrypt passwords = yes gesetzt werden (default bei W2K & XP).

Gruß

stefanw
12.08.04, 09:38
Warum versuche ich wohl über dieses Forum Hilfe zu bekommen?
Antwort: weil ich mit allen anderen Hilfen nicht weitergekommen bin.

Es wäre schön, wenn Du mir die Hilfe geben könntest die ich brauche.

Also was ist mit meinen Usern bzw. Maschinenaccounts falsch?
Ich habe beide über die Shell wie beschrieben angelegt:
useradd -m -g ntuser -s /bin/false stefan
useradd -s /bin/false ap01$
smbpasswd -a stefan
smbpasswd -a -m ap01$

bzw. habe auch folgendes versucht:
useradd -d /dev/null -s /bin/false ap01$
smbpasswd -a -m ap01$

Wäre echt Klasse, wenn Du mir veraten könntest wo der Fehler liegt.
Lass mich bitte nicht dumm sterben.

Stormbringer
12.08.04, 09:49
Du hast geschrieben:


useradd -d /dev/null -s /bin/false PC-NAME$
==> useradd -s /bin/false rechnername$
smbpasswd -a -m PC-NAME (Das $-Symbol ist wichtig!)
==> smbpasswd -a rechnername$


Also, daß Du anstatt:
useradd -d /dev/null -s /bin/false PC-NAME$
smbpasswd -a -m PC-NAME
die Befehle:
useradd -s /bin/false rechnername$
smbpasswd -a rechnername$
genutzt hast.

Dort sehe ich schon ein paar Unterschiede ...

So, und nun muß auch ich erst noch etwas werkeln.

Gruß

stefanw
12.08.04, 09:52
Ich habe aktuell die User über Yast gelöscht und mit dann wieder angelegt:
useradd -d /dev/null -s /bin/false ap01$
smbpasswd -a -m ap01$

Es geht trotzdem nicht :confused:

Stormbringer
12.08.04, 09:58
Und die beiden MS Systeme erneut der Domäne hinzugefügt?
Du änderst doch die SAM/SID, und mußt die doch selbstredend auch auf der MS Seite wieder als zu nutzende deklarieren ...

Jetzt aber endgültig weg.

Gruß

stefanw
12.08.04, 10:37
Ich habe den win-Rechner jetzt aus der Domäne entfernt und versucht neu einzuhängen - was nicht mehr geglückt ist. Wenn ich über den root versuche die Einbindung vorzunehmen kam die Meldung, daß der Benutzer nicht bekannt ist und wenn ich es als User gemacht habe kam die Meldung, daß der User keine Berechtigung hat.

Daraufhin habe ich alle user (außer dem root natürlich) auf der Linuxseite mit Yast gelöscht und auch alle Einträge in der smbpasswd gelöscht. Daraufhin habe ich versucht die User und Maschinenaccounts per shell neu anzulegen:
useradd -m -g ntuser -s /bin/false stefan
==> OK, User wurde angelegt und der Gruppe zugeordnet
lserv:~ # useradd -d /dev/null -s /bin/false ap01$
==> Fehler: useradd: Invalid home directory `/dev/null'.
Daraufhin habe ich statt "/dev/null" den Pfad "/bin/false/" verwendet:
lserv:~ # useradd -d /bin/false -s /bin/false ap01$
==> Fehler: useradd: Invalid home directory `/bin/false'

Was tun? Um genau zu sein, welches Verzeichnis muss an der ersten Stelle (statt "/dev/null") angegeben werden?

stefanw
12.08.04, 12:44
Geschafft: die Anmeldung klappt !!
Der Fehler war aber auch sowas von blöd:
Ich habe unter win die Sambadomäne immer als Domäne eingetragen - was meiner Meinung nach auch logisch klingt. Aber das war FALSCH. Ich mußte die Sambadomäne in dem win-Feld "Arbeitsgruppe" eintragen - jetzt klappt es auch mit dem Nachbarn :rolleyes:

Jetzt ist mir nur noch nicht ganz klar, wie ich das logonskript hinbekomme.
Mein freigegebenes share liegt unter /daten darunter habe ich den Ordner /netlogon angelegt und darunter liegt der batch startup.bat. Demzufolge habe ich in der smb.conf unter globals folgendes eingetragen:
logon script = /daten/netlogon/startup.bat
Ich habe es auch schon mit folgendem Eintrag versucht:
logon script = \\lserv\daten\netlogon\startup.bat

Beides leider ohne Erfolg. der startup.bat wird einfach nicht ausgeführt.
Hat mir hierzu jemand einen Tipp was hier stehen muß?
Der batch selbst (startup.bat) funktioniert, wenn ich ihn unter win aufrufe.

Stormbringer
12.08.04, 13:05
So ... mal zur Pause hier reinschauen ...

Das Du es Arbeitsgruppe definieren mupt/kannst ist eigentlich falsch ...

Hier mal ein paar Auszüge:


[global]
workgroup = skar.dt
netbios name = SuSianer
server string = PDC %v
os level = 65
time server = yes
unix extensions = yes
encrypt passwords = yes
printing = CUPS
printcap name = CUPS
socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY
## character set = ISO8859-15
dos charset = 850
unix charset = ISO-8859-15
display charset = ISO-8859-15
## client code page = 850
veto files = /*.eml/*.nws/riched20.dll/*.{*}/
domain master = yes
domain logons = yes
local master = yes
prefered master = yes
security = user
hosts allow = 192.168.10. 192.168.40.
interfaces = 192.168.10.1/255.255.255.0
bind interfaces only = yes
wins support = yes
log level = 2
log file = /var/log/samba/%m.log
writeable = yes
browseable = yes
kernel oplocks = no
read only = no
unix password sync = yes
add user script = /usr/sbin/useradd -g smbusers -c "remote smb user" -d /home/%u -m -s /bin/false
add machine script = /usr/sbin/useradd -c Machine -d /dev/null -s /bin/false %u
large readwrite = yes
logon script = %U.bat
logon drive = u:
logon path = \\%L\profiles\%U
logon home = \\%L\%U
## domain admin group = root @ntadmin
admin users = admin root
guest account = nobody
nt acl support = yes
passwd program = /usr/bin/passwd %u
keepalive = 60
# deadtime = 300

[homes]
comment = Home Directories
valid users = %S
browseable = no
writeable = yes
create mask = 0640
directory mask = 0750

[netlogon]
comment = Netlogon
path = /netlogon
# logon home = \\%L\netlogon\profiles\%U

[profiles]
comment = MS Profile
path = /home/profiles
read only = no
browseable = no
writeable = yes
create mask = 0600
directory mask = 0700


stormbringer@pdc:~> ls -l /netlogon/
insgesamt 16
-rwxr-xr-x 1 root root 72 2003-04-09 16:12 clot.bat
-rwxr-xr-x 1 root root 20 2003-04-30 21:27 main.bat
-rwxr-xr-x 1 root root 84 2003-04-08 17:39 start.bat
-rwxr-xr-x 1 root root 51 2003-04-30 21:26 stormbringer.bat
-rwxr-xr-x 1 root root 84 2003-04-08 17:39 admin.bat
stormbringer@pdc:~>

Gruß

stefanw
12.08.04, 13:22
Hi stormbringer,
vorab erstmal herzlichen Dank für Deine große Geduld.
Nur leider bin ich immer noch nicht wirklich weitergekommen.
Zwischenzeitlich sieht meine smb.conf anderst aus als heute
morgen. Aber hier die Fakten zum netlogon-Problem:

[global]
logon script = \\lserv\daten\netlogon\startup.bat
logon path = \\LSERV\daten\profiles\%u
logon drive = L:
logon home = \\LSERV\daten\%u

[netlogon]
comment = NetLogON
path = /daten/netlogon
logon home = \\%L\daten\profiles\%U

Zwischenzeitlich habe ich zwei batch hinterlegt:
/daten/netlogon/startup.bat --> allgemeine gültiges script
/daten/netlogon/stefan.bat --> Userspezifisches script

Leider wird beim win-start keines der Beiden ausgeführt - warum?