PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : authentifizierungsproblem beim joinen der Domain - Samba3 LDAP



wormy666
24.08.04, 16:35
bin jetzt schon eine woche dabei diesen server aufzusetzen und ich weiß jetzt einfach nicht mehr weiter, da ich immer wieder am selben problem festhänge :ugly: da wird man wirklich verrückt.

Ich habe das LDAP verzeichnis mit den smbldap-tools von idealx initialisiert
den rest habe ich nach dem howto von sensaipetz (in diesem forum gepostet) gemacht.

soweit läuft eigentlich alles (es macht zumindest den anschein)
kann mit smbldap-useradd users adden - was ich gemacht habe.
der user scheint dann im ldap verzeichnis eingetragen.

das mit den sids hab ich auch 100 mal überprüft das scheint auch zu passen

egal ob ich versuche mittels ssh/telnet lokal mit einem benutzer zu authentifizieren oder unter windows xp (registry hab ich geändert - das mit den dwords) der domäne mit Administrator (root?) joinen will...das passwort wird NICHT AKZEPTIERT :mad:

weiß irgendjemand woran das liegen könnte? ich kann auch konfigurationsfiles posten bzw auch den verlauf posten wie ich die konfiguration der server erstellt habe.

BITTE BITTE BITTE HELFT MIR :(

lg, daniel

wormy666
25.08.04, 12:11
GENAU nach diesem howto vorgegangen
=>
http://www.linuxforen.de/forums/showthread.php?t=146154


kann mich vielleicht jemand auf fehler aufmerksam machen die in dieser beschreibung nicht berücksichtigt wurden?

ich brauche wirklich dringend hilfe!!
bitte erbarmt euch :(

wormy666
25.08.04, 14:25
meine smb.conf

# Samba config file created using SWAT
# from 127.0.0.1 (127.0.0.1)
# Date: 2004/08/25 14:45:27

# Global parameters
[global]
unix charset = ISO8859-1
workgroup = MOONLIGHT
server string = Samba Server der SETEC Engineering GmbH&CoKG
interfaces = 192.168.1.243/255.255.255.0
bind interfaces only = Yes
client schannel = No
server schannel = No
map to guest = Bad User
passdb backend = ldapsam:ldap://192.168.1.243/
passwd program = /usr/local/sbin/smbldap-passwd %u
log level = 2
smb ports = 445 139 137
printcap cache time = 750
add user script = /usr/local/sbin/smbldap-useradd -m %u
add group script = /usr/local/sbin/smbldap-groupadd -p %g
add user to group script = /usr/local/sbin/smbldap-groupmod -m %u %g
delete user from group script = /usr/local/sbin/smbldap-groupmod -x %u %g
set primary group script = /usr/local/sbin/smbldap-usermod -g %g %u
add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
logon path = \\%L\profiles\%U
logon drive = X:
logon home = \\%L\%U\.9xprofile
domain logons = yes
os level = 65
preferred master = yes
domain master = yes
wins support = Yes
ldap suffix = dc=setec,dc=at
ldap machine suffix = ou=Computers
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap admin dn = cn=Manager,dc=setec,dc=at
ldap ssl = no
ldap delete dn = Yes
ldap passwd sync = Yes
valid users = nobody, testuser1, root, Administrator
printer admin = @ntadmin, root, administrator
cups options = raw
map archive = No
store dos attributes = Yes
security = user
encrypt passwords = No
netbios name = PDCSETEC
local master = yes

[homes]
comment = Home Directories
path = /home/%U
valid users = %U
browseable = yes
guest ok = no
printable = no

[profiles]
comment = Network Profiles Service
path = /home/samba/profiles
valid users = %U, '@Domain Admins'
force user = %U
read only = No
create mask = 0600
directory mask = 0700
profile acls = Yes
csc policy = disable
browseable = yes
guest ok = no
printable = no

[netlogon]
path = /home/samba/netlogon
write list = ntadmin
guest ok = yes
browseable = yes
printable = no

[users]
comment = All users
path = /home
read only = No
inherit permissions = Yes
veto files = /aquota.user/groups/shares/
browseable = yes
guest ok = no
printable = no

[groups]
comment = All groups
path = /home/groups
read only = No
inherit permissions = Yes
browseable = yes
guest ok = no
printable = no

[pdf]
comment = PDF creator
path = /var/tmp
create mask = 0600
printable = yes
browseable = yes
guest ok = no

[printers]
comment = All Printers
path = /var/tmp
create mask = 0600
printable = yes
browseable = no
guest ok = no

[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @ntadmin, root
force group = ntadmin
create mask = 0664
directory mask = 0775
browseable = yes
guest ok = no
printable = no

[ldap]
path = /home/ldap
read only = No
guest ok = yes
browseable = yes
printable = no



meine ldap.conf

#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

BASE dc=setec, dc=at
ldap_version 3
HOST 192.168.1.243

#URI ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never
TLS_REQCERT allow

# bindn
binddn cn=nssldap,ou=DSA,dc=setec,dc=at
bindpw NoLogin4U

port 389

scope sub

pam_password md5

nss_base_passwd ou=Users,dc=setec,dc=at?one
nss_base_shadow ou=Users,dc=setec,dc=at?one
nss_base_group ou=Groups,dc=setec,dc=at?one

ssl No


und hier meine letzten logs aus /var/log/messages
das letzte das ich probiert habe war der domain von einem winxp rechner aus zu joinen => domainname soll moonlight sein
also im winxp domain joinen => Moonlight..und versuche mich dann per Administrator zu authentifizieren

habe encrypt passwords yes und no probiert

wenn ich der domain joinen will gibts 2 verschiedene fehlermeldungen

encrypt passwords = yes .... authentifizierung fehlgeschlagen
encrypt passwords = no ... sie dürfen sich von diesem computer aus mit diesem Benutzernamen nicht anmelden


ich kenn mich nicht mehr aus :(

BIIIIIIIIIIIIIIIITTTTTTTTTTTTEEEE HILFE

wormy666
25.08.04, 14:49
Aug 25 16:43:54 pluto slapd[3129]: conn=98 fd=20 ACCEPT from IP=192.168.1.243:33205 (IP=0.0.0.0:389)
Aug 25 16:43:54 pluto slapd[3129]: conn=98 op=0 BIND dn="cn=Manager,dc=setec,dc=at" method=128
Aug 25 16:43:54 pluto slapd[3129]: conn=98 op=0 BIND dn="cn=Manager,dc=setec,dc=at" mech=SIMPLE ssf=0
Aug 25 16:43:54 pluto slapd[3129]: conn=98 op=0 RESULT tag=97 err=0 text=
Aug 25 16:43:54 pluto slapd[3129]: conn=98 op=1 SRCH base="dc=setec,dc=at" scope=2 deref=0 filter="(&(objectClass=sambaDomain)(sambaDomainName=moonligh t))"
Aug 25 16:43:54 pluto slapd[3129]: conn=98 op=1 SRCH attr=sambaDomainName sambaNextRid sambaNextUserRid sambaNextGroupRid sambaSID sambaAlgorithmicRidBase objectClass
Aug 25 16:43:54 pluto slapd[3129]: conn=98 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Aug 25 16:43:54 pluto slapd[3129]: conn=98 op=2 SRCH base="dc=setec,dc=at" scope=2 deref=0 filter="(&(uid=administrator)(objectClass=sambaSamAccount))"
Aug 25 16:43:54 pluto slapd[3129]: conn=98 op=2 SRCH attr=uid uidNumber gidNumber homeDirectory sambaPwdLastSet sambaPwdCanChange sambaPwdMustChange sambaLogonTime sambaLogoffTime sambaKickoffTime cn displayName sambaHomeDrive sambaHomePath sambaLogonScript sambaProfilePath description sambaUserWorkstations sambaSID sambaPrimaryGroupSID sambaLMPassword sambaNTPassword sambaDomainName objectClass sambaAcctFlags sambaMungedDial sambaBadPasswordCount sambaBadPasswordTime
Aug 25 16:43:54 pluto slapd[3129]: conn=98 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Aug 25 16:43:54 pluto smbd[5945]: [2004/08/25 16:43:54, 0] auth/auth_sam.c:check_sam_security(260)
Aug 25 16:43:54 pluto smbd[5945]: check_sam_security: make_server_info_sam() failed with 'NT_STATUS_NO_SUCH_USER'
Aug 25 16:43:54 pluto slapd[3129]: conn=98 op=3 SRCH base="dc=setec,dc=at" scope=2 deref=0 filter="(&(sambaSID=s-1-5-21-1057942609-4175100039-3069117602-501)(objectClass=sambaSamAccount))"
Aug 25 16:43:54 pluto slapd[3129]: conn=98 op=3 SRCH attr=uid uidNumber gidNumber homeDirectory sambaPwdLastSet sambaPwdCanChange sambaPwdMustChange sambaLogonTime sambaLogoffTime sambaKickoffTime cn displayName sambaHomeDrive sambaHomePath sambaLogonScript sambaProfilePath description sambaUserWorkstations sambaSID sambaPrimaryGroupSID sambaLMPassword sambaNTPassword sambaDomainName objectClass sambaAcctFlags sambaMungedDial sambaBadPasswordCount sambaBadPasswordTime
Aug 25 16:43:54 pluto slapd[3129]: conn=98 op=3 SEARCH RESULT tag=101 err=0 nentries=0 text=
Aug 25 16:43:54 pluto slapd[3129]: conn=98 op=4 SRCH base="ou=Groups,dc=setec,dc=at" scope=2 deref=0 filter="(&(objectClass=sambaGroupMapping)(gidNumber=65533))"
Aug 25 16:43:54 pluto slapd[3129]: conn=98 op=4 SRCH attr=gidNumber sambaSID sambaGroupType sambaSIDList description displayName cn objectClass
Aug 25 16:43:54 pluto slapd[3129]: conn=98 op=4 SEARCH RESULT tag=101 err=0 nentries=0 text=
Aug 25 16:43:54 pluto slapd[3129]: conn=98 op=5 SRCH base="ou=Groups,dc=setec,dc=at" scope=2 deref=0 filter="(&(objectClass=sambaGroupMapping)(gidNumber=65534))"
Aug 25 16:43:54 pluto slapd[3129]: conn=98 op=5 SRCH attr=gidNumber sambaSID sambaGroupType sambaSIDList description displayName cn objectClass
Aug 25 16:43:54 pluto slapd[3129]: conn=98 op=5 SEARCH RESULT tag=101 err=0 nentries=0 text=
Aug 25 16:43:55 pluto slapd[3129]: conn=98 fd=20 closed

mamue
25.08.04, 15:54
Zeigt getent passwd den user an?

mamue

wormy666
25.08.04, 17:33
hab ich noch nicht probiert! :)
aber werde ich machen sobald ich morgen in der firma angekommen bin.

lg und dankeschön ersteinmal,

daniel

wormy666
26.08.04, 08:42
wenn ich getent passwd mache kommt das raus

getent passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/bin/bash
daemon:x:2:2:Daemon:/sbin:/bin/bash
lp:x:4:7:Printing daemon:/var/spool/lpd:/bin/bash
mail:x:8:12:Mailer daemon:/var/spool/clientmqueue:/bin/false
news:x:9:13:News system:/etc/news:/bin/bash
uucp:x:10:14:Unix-to-Unix CoPy system:/etc/uucp:/bin/bash
games:x:12:100:Games account:/var/games:/bin/bash
man:x:13:62:Manual pages viewer:/var/cache/man:/bin/bash
at:x:25:25:Batch jobs daemon:/var/spool/atjobs:/bin/bash
wwwrun:x:30:8:WWW daemon apache:/var/lib/wwwrun:/bin/false
squid:x:31:65534:WWW-proxy squid:/var/cache/squid:/bin/false
irc:x:39:65534:IRC daemon:/usr/lib/ircd:/bin/bash
ftp:x:40:49:FTP account:/srv/ftp:/bin/bash
named:x:44:44:Name server daemon:/var/lib/named:/bin/false
postfix:x:51:51:Postfix Daemon:/var/spool/postfix:/bin/false
mysql:x:60:2:MySQL database admin:/var/lib/mysql:/bin/false
pop:x:67:100:POP admin:/var/lib/pop:/bin/false
sshd:x:71:65:SSH daemon:/var/lib/sshd:/bin/false
mailman:x:72:67:GNU mailing list manager:/var/lib/mailman:/bin/bash
ntp:x:74:65534:NTP daemon:/var/lib/ntp:/bin/false
ldap:x:76:70:User for OpenLDAP:/var/lib/ldap:/bin/bash
radiusd:x:100:101:Radius daemon:/var/lib/radiusd:/bin/false
privoxy:x:101:102:Daemon user for privoxy:/var/lib/privoxy:/bin/false
quagga:x:102:103:Quagga routing daemon:/var/run/quagga:/bin/false
dhcpd:x:103:65534:DHCP server daemon:/var/lib/dhcp:/bin/false
nobody:x:65534:65533:nobody:/var/lib/nobody:/bin/bash
repmus:x:1000:100:G.:/home/repmus:/bin/bash


scheint aber das ganz normale shadow file zu sein?!

wormy666
26.08.04, 08:56
dass ich die falsche ldap.conf konfiguriert habe?

habe bis jetzt immer die ldap.conf in /etc/openldap konfiguriert

anscheinend gibt es in /etc/ noch eine datei, die mir richtiger erschenien würde :-)

wormy666
26.08.04, 10:28
das auch nix gebracht hat...wenn ich beispielsweise im yast kontrollzentrum den filter auf ldap setze sagt er no such object..

sind diese 3 zeilen in der ldap.conf richtig?

nss_base_passwd = ou=Users,dc=lala,dc=at?one
nss_base_shadow = ou=Users,dc=lala,dc=at?one
nss_base_group = ou=Groups,dc=lala,dc=at?one

und wie sieht das mit dem Administrator aus?
der existiert nur im ldap verzeichnis? oder muss man den lokal bzw mit smbpasswd auch noch irgendwie adden?

und in der smb.conf der punkt admin users ist zu vernachlässigen oder wichtig? weil ich hab ihn momentan nicht drinn - hab mit dem gedanken gespielt admin users = Administrator reinzuklatschen :)

getent passwd auszug wie folgt:

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/bin/bash
daemon:x:2:2:Daemon:/sbin:/bin/bash
lp:x:4:7:Printing daemon:/var/spool/lpd:/bin/bash
mail:x:8:12:Mailer daemon:/var/spool/clientmqueue:/bin/false
news:x:9:13:News system:/etc/news:/bin/bash
uucp:x:10:14:Unix-to-Unix CoPy system:/etc/uucp:/bin/bash
games:x:12:100:Games account:/var/games:/bin/bash
man:x:13:62:Manual pages viewer:/var/cache/man:/bin/bash
at:x:25:25:Batch jobs daemon:/var/spool/atjobs:/bin/bash
wwwrun:x:30:8:WWW daemon apache:/var/lib/wwwrun:/bin/false
squid:x:31:65534:WWW-proxy squid:/var/cache/squid:/bin/false
irc:x:39:65534:IRC daemon:/usr/lib/ircd:/bin/bash
ftp:x:40:49:FTP account:/srv/ftp:/bin/bash
named:x:44:44:Name server daemon:/var/lib/named:/bin/false
postfix:x:51:51:Postfix Daemon:/var/spool/postfix:/bin/false
mysql:x:60:2:MySQL database admin:/var/lib/mysql:/bin/false
pop:x:67:100:POP admin:/var/lib/pop:/bin/false
sshd:x:71:65:SSH daemon:/var/lib/sshd:/bin/false
mailman:x:72:67:GNU mailing list manager:/var/lib/mailman:/bin/bash
ntp:x:74:65534:NTP daemon:/var/lib/ntp:/bin/false
ldap:x:76:70:User for OpenLDAP:/var/lib/ldap:/bin/bash
radiusd:x:100:101:Radius daemon:/var/lib/radiusd:/bin/false
privoxy:x:101:102:Daemon user for privoxy:/var/lib/privoxy:/bin/false
quagga:x:102:103:Quagga routing daemon:/var/run/quagga:/bin/false
dhcpd:x:103:65534:DHCP server daemon:/var/lib/dhcp:/bin/false
nobody:x:65534:65533:nobody:/var/lib/nobody:/bin/bash
repmus:x:1000:100:G.:/home/repmus:/bin/bash


ich kenn mich jetzt nimmer aus :-(

das einzige das sich geändert hat seitdem ich die richtige ldap.conf editiert hab ist, dass wenn ich Administrator beim domäne joinen angebe sagt er : Zugriff verweigert! und bei jedem anderen user, dass eben der user nicht existiert

lg, daniel

wormy666
26.08.04, 11:31
wenn ich in der nsswitch.conf den compat mode rausnehm
und direkt für passwd,group => files ldap
reinschreib krieg ich mit getent passwd die user

aber ich kann mich noch immer nicht authentifizieren

ruweb
29.08.04, 22:38
Hi Daniel,

Bei einem Domain Admin (gidnumber=512) muß die uidnummer = 0 sein, sonst funzt das mit dem Hinzufügen von Maschinenaccounts nicht.
Empfehle Dir das phpLdapAdmin-Paket. Einfach mal googln

hope, this will help
ruweb

wormy666
30.08.04, 09:30
mit net join rpc -U Administrator (lokal)

kann ich der Domäne joinen -> Welcome to Domain Moonlight.
im ldap verzeichnis wird das maschinenkonto vom PDC angelegt, in den passwd files etc auch


vom Windows XP Rechner aus addet er die maschinenkontos in den files - jedoch legt er nichts im ldap verzeichnis an und sagt dann: Zugriff verweigert.

weiß jemand woran das liegen könnte? :confused:

wormy666
30.08.04, 13:02
:ugly: ist doch so einfach - nur die Zeile root = administrator in der smbusers datei auskommentieren und das teil läuft


warum sagt das eigentlich niemand? steht auch in keinem howto oder so... :rolleyes:

aber naja, dankeschön auf jeden fall.


weiß jemand welcher Email-Server gut mit LDAP zusammenspielt?
würde nun gerne auf dem LDAP-SAMBA gerüst einen Email server dazubaun.


lg, daniel

mamue
30.08.04, 23:03
weiß jemand welcher Email-Server gut mit LDAP zusammenspielt?
würde nun gerne auf dem LDAP-SAMBA gerüst einen Email server dazubaun.
lg, daniel
Postfix ginge. Andere mit Sicherheit auch. Sendmail angeblich auch und qmail kann sowieso alles. Exim kann sogar noch mehr als qmail, hat also sicherlich auch eine ldap-Anbindung. Cyrus als MUA interessiert sich eigentlich nicht für ldap, aber durch pam kann die Authentifizierung gegen das Directory erfolgen.

mamue