PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba3 +Ldap kein joinen in die Domaine möglich Hilfe !!



saschab
17.08.04, 13:59
Hallo zusammen,
häge jetzt schon seit über zwei Wochen an dem Problem das ich meine Windows2K Clients nicht in die Domaine hängen kann. Er legt nicht einmal das Maschinen Konto an *heul* Es kommt immer die Fehlermeldung.

---------------------------
Netzwerkidentifikation
---------------------------
Bei dem Versuch der Domäne "mickscar" beizutreten, trat der folgende Fehler auf:

Der Benutzername konnte nicht gefunden werden.
---------------------------
OK
---------------------------

Anbei auszüge aus den wichtigsten dateien und Logfiles. Hoffe ihr könnt mir helfen. Ach ja lokales anmelden mit den usern die im ldap stehen geht.

/VAR/LOG/MESSAGES

Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=30 fd=21 ACCEPT from IP=127.0.0.1:32803 (IP=0.0.0.0:389)
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=30 op=0 BIND dn="cn=samba,ou=DSA,dc=mickscar,dc=local" method=128
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=30 op=0 BIND dn="cn=samba,ou=DSA,dc=mickscar,dc=local" mech=SIMPLE ssf=0
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=30 op=0 RESULT tag=97 err=0 text=
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=30 op=1 SRCH base="dc=mickscar,dc=local" scope=2 deref=0 filter="(&(objectClass=samb
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=30 op=1 SRCH attr=sambaDomainName sambaNextRid sambaNextUserRid sambaNextGroupRid sa
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=30 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=30 op=2 SRCH base="dc=mickscar,dc=local" scope=2 deref=0 filter="(&(uid=administrato
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=30 op=2 SRCH attr=uid uidNumber gidNumber homeDirectory sambaPwdLastSet sambaPwdCanC
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=30 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=31 fd=25 ACCEPT from IP=127.0.0.1:32804 (IP=0.0.0.0:389)
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=31 op=0 BIND dn="cn=nssldap,ou=DSA,dc=mickscar,dc=local" method=128
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=31 op=0 BIND dn="cn=nssldap,ou=DSA,dc=mickscar,dc=local" mech=SIMPLE ssf=0
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=31 op=0 RESULT tag=97 err=0 text=
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=31 op=1 SRCH base="ou=Users,dc=mickscar,dc=local" scope=1 deref=0 filter="(&(objectC
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=31 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell g
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=31 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=31 op=2 SRCH base="ou=Groups,dc=mickscar,dc=local" scope=1 deref=0 filter="(&(object
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=31 op=2 SRCH attr=cn userPassword memberUid uniqueMember gidNumber
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=31 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=30 op=3 SRCH base="ou=Groups,dc=mickscar,dc=local" scope=2 deref=0 filter="(&(object
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=30 op=3 SRCH attr=gidNumber sambaSID sambaGroupType sambaSIDList description display
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=30 op=3 SEARCH RESULT tag=101 err=0 nentries=1 text=
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=22 op=11 SRCH base="ou=Users,dc=mickscar,dc=local" scope=1 deref=0 filter="(&(object
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=22 op=11 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=22 op=11 SEARCH RESULT tag=101 err=0 nentries=1 text=
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=30 op=4 SRCH base="dc=mickscar,dc=local" scope=2 deref=0 filter="(&(uid=testpc01$)(o
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=30 op=4 SRCH attr=uid uidNumber gidNumber homeDirectory sambaPwdLastSet sambaPwdCanC
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=30 op=4 SEARCH RESULT tag=101 err=0 nentries=0 text=
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=22 op=12 SRCH base="ou=Users,dc=mickscar,dc=local" scope=1 deref=0 filter="(&(object
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=22 op=12 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=22 op=12 SEARCH RESULT tag=101 err=0 nentries=0 text=
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=22 op=13 SRCH base="ou=Users,dc=mickscar,dc=local" scope=1 deref=0 filter="(&(object
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=22 op=13 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=22 op=13 SEARCH RESULT tag=101 err=0 nentries=0 text=
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=30 fd=21 closed
Aug 17 13:24:34 lxsrv2 slapd[2003]: conn=31 fd=25 closed


lxsrv2:/etc/samba # net groupmap list
Domain Admins (S-1-5-21-3066802064-398084310-3054967200-512) -> Domain Admins
Domain Users (S-1-5-21-3066802064-398084310-3054967200-513) -> Domain Users
Domain Guests (S-1-5-21-3066802064-398084310-3054967200-514) -> Domain Guests
Print Operators (S-1-5-32-550) -> Print Operators
Backup Operators (S-1-5-32-551) -> Backup Operators
Replicators (S-1-5-32-552) -> Replicators

lxsrv2:/etc/samba # smbldap-usershow administrator
dn: uid=Administrator,ou=Users,dc=mickscar,dc=local
cn: Administrator
objectClass: inetOrgPerson,sambaSamAccount,posixAccount,shadowA ccount
gidNumber: 512
uid: Administrator
uidNumber: 0
homeDirectory: /home/Administrator
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
sambaHomePath: \\lxsrv2\home\Administrator
sambaHomeDrive: H:
sambaProfilePath: \\lxsrv2\profiles\Administrator\
sambaPrimaryGroupSID: S-1-5-21-3066802064-398084310-3054967200-512
sambaSID: S-1-5-21-3066802064-398084310-3054967200-2996
gecos: Netbios Domain Administrator
sambaLMPassword: AEBD4DE384C7EC43AAD3B435B51404EE
sambaAcctFlags: [U]
sambaNTPassword: 7A21990FCD3D759941E45C490F143D5F
sambaPwdLastSet: 1092737621
sambaPwdMustChange: 1124273621
userPassword: {SSHA}XQmrNLiIgnQyGqYPjgRejn4JMMlgee08

lxsrv2:/etc/samba # smbldap-usershow nobody
dn: uid=nobody,ou=Users,dc=mickscar,dc=local
cn: nobody
objectClass: inetOrgPerson,sambaSamAccount,posixAccount,shadowA ccount
gidNumber: 514
uid: nobody
uidNumber: 999
homeDirectory: /dev/null
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
sambaHomePath: \\lxsrv2\home\nobody
sambaHomeDrive: H:
sambaProfilePath: \\lxsrv2\profiles\nobody
sambaPrimaryGroupSID: S-1-5-21-3066802064-398084310-3054967200-514
sambaSID: S-1-5-21-3066802064-398084310-3054967200-2998
sambaLMPassword: AEBD4DE384C7EC43AAD3B435B51404EE
sambaAcctFlags: [U]
sambaNTPassword: 7A21990FCD3D759941E45C490F143D5F
sambaPwdLastSet: 1092740104
sambaPwdMustChange: 1124276104
userPassword: {SSHA}4lKo9HhJGLh/xfDrgMIRT0NF6afdz87v

lxsrv2:/etc/samba # smbldap-usershow testpc01$
dn: uid=testpc01$,ou=Computers,dc=mickscar,dc=local
objectClass: top,inetOrgPerson,posixAccount
cn: testpc01$
uid: testpc01$
uidNumber: 1006
gidNumber: 553
homeDirectory: /dev/null
description: Computer

smb.conf
#Global parameters
[global]
workgroup = mickscar
server string = Intranet Server %v
interfaces = eth0
bind interfaces only = Yes
update encrypted = Yes
client schannel = No
server schannel = No
map to guest = Bad User
passdb backend = ldapsam:ldap://127.0.0.1/
passwd program = /usr/sbin/smbldap-passwd %u
log level = 10
smb ports = 445 139 137
#name resolve order = lmhosts wins host bcast dns
add user script = /usr/sbin/smbldap-useradd -m %u
delete user script = /usr/sbin/smbldap-userdel -m %u
add group script = /usr/sbin/smbldap-groupadd -p %g
delete group script = /usr/sbin/smbldap-groupdel -p %g
add user to group script = /usr/sbin/smbldap-groupmod -m %u %g
delete user from group script = /usr//sbin/smbldap-groupmod -x %u %g
set primary group script = /usr/sbin/smbldap-usermod -g %g %u
add machine script = /usr/sbin/smbldap-useradd -w %u
#logon script =
logon path = \\lxsrv2\profiles\%U
logon drive = X:
logon home = \\%L\%U
domain logons = Yes
os level = 255
preferred master = Yes
domain master = Yes
wins proxy = Yes
wins support = Yes
ldap suffix = dc=mickscar,dc=local
ldap machine suffix = ou=Computers
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap idmap suffix = ou=Idmap
ldap admin dn = cn=samba,ou=DSA,dc=mickscar,dc=local
ldap ssl = no
ldap delete dn = Yes
lock directory = /var/lib/samba
homedir map =
#idmap backend = ldap://127.0.0.1
valid users = nobody, '@Domain Users', '@Domain Admins'
profile acls = Yes
map acl inherit = Yes
cups options = raw
map archive = No
store dos attributes = Yes

[homes]
comment = Home Directories
path = /home/%U
valid users = %U

[profiles]
comment = Network Profiles Service
path = /home/samba/profiles
valid users = %U, '@Domain Admins'
force user = %U
read only = No
create mask = 0600
directory mask = 0700
csc policy = disable

[netlogon]
path = /home/samba/netlogon
write list = ntadmin

[users]
comment = All users
path = /home
read only = No
inherit permissions = Yes
#veto files = /aquota.user/groups/shares/


Kann mir jemand helfen?
Ich bin am verzweifeln und könnte den ganzen sch.... aus dem Fenster schmeissen.

kamanita
17.08.04, 16:34
ich habe diese probleme auch gehabt! es scheint, als ob du das samba howto von idealx genommen hast. also welche meldung spuckt denn xp aus, wenn du den rechner in die domäne holen willst?

K4L
17.08.04, 16:37
mhh ich hatte damals auch des problem..und ihc hatte damals auch lange gekämpft und hatte einige fehler in den access listen. geh die ganz genau durch ..

saschab
17.08.04, 20:36
Hi,
ja habe das von idealx genommen und viele andere.

Die Meldung die Windows rausgibt steht oben in meinem Posting.

Werde die acesslisten nochmal durchgehen. Kann ich zum testen nicht einfach die acesslisten aufheben und sagen jeder darf alles in ldap ?

saschab
19.08.04, 17:24
@all
Danke für die Hilfe habe den Fehler gefunden, Aus irgendeinem Grund sucht samba bei der Domainanmeldung den Workstation account in Users und nicht in Computers.

Mal sehen woran das liegt.

mamue
19.08.04, 21:52
Der bug ist bekannt: Die samba-tools (auch nicht smbpasswd) können leider keine Computer accounts in einer anderen ou anlegen. Sind die Accounts aber dort angelegt, etwa manuell mit ldapadd über ldif, dann kann samba sehr wohl damit umgehen. ldap machine suffix funktioniert also.

mamue

swen1
25.08.05, 11:20
Hallo,

der Beitrag ist zwar schon ein Jahr alt, trifft aber genau mein Problem.

Ich benutze die smbldap-tools zum anlegen des Computer-Accounts. Das funktioniert auch, und die Accounts werden automatisch unter einem eigenen Zweig (ou) angelegt. Danach sucht Samba den Account unter ou=user und findet den natürlich nicht. Verschiebe ich ihn dahin funktioniert alles.

So, ich will nun aber die Rechner in einem eigenen Zweig haben, bei meinem Samba 2.2 geht das schließlich auch. In smb.conf ist ldap machine suffix richtig gesetzt. Was kann ich noch machen? Hab leider noch keine Lösung finden können.

Danke
Gruß Swen

PS: Samba 3.0.12 SuSE 9.3

mamue
25.08.05, 15:57
Maschinen und user können in verschiedenen Zweigen sein. Das geht schon recht lange, nur die smbldap tools hatten eine kurze Zeit lang damit Probleme. In der smb.conf gibt es Parameter, mit denen man angeben kann, wo die user und wo die Maschinen stehen. Der Zweig ist, anders als in der Manpage stand/steht, _relativ_ zum "ldap suffix". Etwa "ldap machine suffix = ou=geraete"

HTH,
mamue

AceTheFace
10.01.06, 16:32
So, ich will nun aber die Rechner in einem eigenen Zweig haben, bei meinem Samba 2.2 geht das schließlich auch. In smb.conf ist ldap machine suffix richtig gesetzt. Was kann ich noch machen? Hab leider noch keine Lösung finden können.

Gibt es da inzwischen eine Lösung? Habe hier nämlich das gleiche Problem bei Samba 3.0.20 (suse RPM) auf suse 10.0.
Habe das Howto von idealx.org benutzt, und somit auch den ldap machine suffix in der smb.conf richtig gesetzt.

Gruß,
Ace

swen1
10.01.06, 17:36
jo,
in der /etc/ldap.conf die Suchbasis nicht zu tief einstellen.

also nicht
nss_base_passwd o=user,dc=test,dc=de
nss_base_shadow o=user,dc=test,dc=de

sondern nur:
nss_base_passwd dc=test,dc=de
nss_base_shadow dc=test,dc=de

dann sollte das klappen ...

Gruß Swen

AceTheFace
10.01.06, 17:48
Danke, werde ich mal probieren.

Gruß,
Ace

emba
10.01.06, 20:00
oder einfach zwei mal "nss_base_passwd" angeben

nss_base_passwd ou=users,dc=...
nss_base_passwd ou=machines,dc...

funktioniert auf allen systemen mit halbwegs aktueller libnss(_ldap)

greez