PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : WindowsXP Clients an Sambadomäne



Seiten : [1] 2

quest
17.09.04, 12:11
Hallo
Ich habe hier ein kleines Problem mit Samba.
Bisher hab ich nur mit Shares gearbeitet, das hat auch wunderbar funktioniert. Jetzt wollte ich den Samba als Domänecontroller (PDC) einsetzen und die Windowsclients darin aufnehmen.
Vorher hab ich mit "useradd rechnername\$" und "smbpasswd -a -m rechnername" die Computerkonten in Samba angelegt. Beim Versuch jetzt den WinXP Client in die Domäne hinzuzufügen kommt die Meldung "Computernamen ändern - Bei dem Versuch der Domäne "dis" beizutreten, trat der folgende Fehler auf: Der Remoteprozeduraufruf ist fehlgeschlagen."

Kann mir da irgendjemand weiterhelfen??
Danke schon mal im voraus.
Gruß Quest

Rennie
17.09.04, 12:26
Moin!

Also zum einen ist wichtig, daß der Rechnername in der smbpasswd ebenfalls das abschließende $ haben muß (Tipfehler in Deinem Posting oder wirklich vergessen?).

Mit welchem Account versuchst Du, den Rechner in die Domäne aufzunehmen? Windows XP fragt ja nach einem Benutzernamen/Paßwort beim Hinzufügen in die Domäne. Das solltest Du mit dem root-Account machen, oder einem Account, der in Samba auf root gemappt wird.

Wenn das nichts hilft, dann solltest Du mal Deine smb.conf posten. Evtl. liegt der Fehler ja auch dort. Und/oder ein Auszug aus dem Samba-Logfile, der den Fehler zeigt, wäre auch nicht schlecht :)


Ciao

Rennie

quest
17.09.04, 12:40
Zu der Sache mit dem "$", das passt schon. Durch den Parameter "-m" wird doch ein Rechneraccount erstellt, der automatisch hinten das $ angehängt bekommt.
Hier ist meine smb.conf:

# Global parameters
[global]
debug level = 0
domain master = Yes
time server = Yes
netbios name = MAIN
netbios aliases = install
socket options = SO_KEEPALIVE TCP_NODELAY IPTOS_LOWDELAY
username map = /etc/samba/user.map
add user script = /usr/sbin/useradd -c Machine -d /dev/null -s /bin/false %m$
map to guest = Bad User
os level = 65
encrypt passwords = Yes
wins support = true
domain logons = Yes
load printers = No
security = user
printing = cups
server string = DIS Mainserver
workgroup = DIS
unix extensions = Yes
printcap name = CUPS
veto files = /*.eml/*.nws/riched20.dll/*.{*}/

[root]
path = /
valid users = quest
read only = No
browseable = No

[filer]
path = /srv/filer
read list = @gr_filer
write list = @gw_filer,@lo_filer,@root
read only = No
browseable = No

[capi_quest]
path = /var/spool/capisuite/users/quest
valid users = quest
read only = No
browseable = No

[homes]

[prog]
comment = Programme zur Installation
path = /srv/filer/Programme
browseable = No

[install]
comment = DIS Install (Aufruf nur über Skript)
path = /srv/installer
valid users = @lo_inst
write list = @lo_inst
read only = No
browseable = No

Wirst du daraus schlau woran es liegen könnte?

lx_bastler
17.09.04, 18:01
"useradd rechnername\$"


Das ist ein Fehler im Linux 9.x-Handbuch. Es muss heißen
useradd rechnername$
Ohne \ funktioniert das viel zuverlässiger, evtl. sogar exklusiv.

lx_bastler
17.09.04, 18:09
Ganz nebenbei fehlt der netlogon-share
Der ist notwendig zur PDC-Anmeldung und enthält die zur Administration eines ernsthaften Samba-Netzwerks notwendige ntconfig.pol, welche in einer echten W2k-Domäne keine Bedeutung mehr hat.


[netlogon]
path=/netlogon
browseable=no
guest ok=no
writeable=no
root preexec echo "samba: %u penetriert wieder %m, %T" >> /var/log/messages
root postexec echo "samba: %u an %m, %T, gibt auf" >> /var/log/messages

Rennie
17.09.04, 18:27
Moin!

Also auf Anhieb seh ich da keinen Fehler. Ich würde an Deiner Stelle mal das log level erhöhen (so 1 bis 3 ist ein guter Wert zum Testen, wenn Du "etwas" mehr sehen willst, dann nimm 10, höher würde ich nicht gehen ;)). Dann kannst Du im Loglevel des Samba-Servers nämlich mal nachsehen, was er beim Hinzufügen des Rechners in die Domäne tut und was da schieflaufen könnte.

@lx_bastler:
Die Netlogon-Share brauchste nicht zwangsweise, mein ich. Zumindest beim Hinzufügen der Rechner zur Domäne brauchste die nicht.

Ich würde erst mal das Logfile befragen. Das gibt in der Regel gute Auskunft.


Ciao

Rennie

lx_bastler
17.09.04, 20:32
Weiß ich ob man das netlogon-share braucht.
Da man beim Zufügen zur Domäne sich vorher mit einem administrativen Account an der Domäne anmelden muss, könnte es durchaus gebraucht werden.

quest
19.09.04, 11:45
Jetzt hab ich das netlogon share mal eingerichtet. Die alte Fehlermeldung ist weg, dafür kommt jetzt diese hier:
"Bei dem Versuch der Domäne dis beizutreten, trat der folgende Fehler auf: Mehrfache Verbindungen zu einem Server oder einer freigegebenen Ressource von demselben Benutzer unter Verwendung mehrerer Benutzernamen sind nicht zulässig. Trennen Sie alle früheren Verbindungen zu dem Server bzw. der freigegebenen Ressource, und versuchen Sie es erneut."

Tja, hab mal auf dem Samba nachgeschaut, welche verbindungen da aktiv waren. das war nur eine Verbindung zu IPC$. muss netlogon vielleicht so heißen?
Wo bekomm ich eigentlich diese netlogon.pol her, bzw. was muss da drin stehen?

Rennie
20.09.04, 12:21
Moin!

Oha, da scheine ich mich ja tatsächlich geirrt zu haben, was die Netlogon-Share angeht, obwohl ich immer noch nicht verstehe, was er mit der Netlogon-Share machen will. Sorry...

Die Fehlermeldung ist eine Windows-Eigenart, die mich manchmal auch zur Weißglut bringt. Windows läßt es nicht, daß Du auf eine Freigabe nicht mit unterschiedlichen Benutzern verbinden kannst. Wenn Du also schon mal irgendwo auf Deinen Samba-Server mit einem Benutzer zugegriffen hast, bevor Du ihn in die Domäne aufnimmst, dann kannst Du danach nicht nochmal mit dem Benutzer root (oder welchen Account Du zum Hinzufügen nutzt) zugreifen.

Eigentlich sollte es nach einem Rechnerneustart klappen. Wenn nicht, dann wähl einfach mal aus dem Kontextmenü des Arbeitsplatzes "Netzlaufwerk trennen" und schau mal, ob in der Liste irgendwo eine Verbindung zum Samba auftaucht (der muß nicht zwangsweise ein Laufwerksbuchstabe zugeordnet sein, Verbindungen werden dort auch aufgelistet, wenn Du z.B. über \\severname\freigabe zugreifst). Falls ja, dann trenne einfach mal ALLE Verbindungen zum Samba und versuch dann noch mal, in die Domäne zu kommen.


Ciao

Rennie

Alex10
20.09.04, 13:34
Moin!

Oha, da scheine ich mich ja tatsächlich geirrt zu haben, was die Netlogon-Share angeht, obwohl ich immer noch nicht verstehe, was er mit der Netlogon-Share machen will. Sorry...



Ganz einfach, mit dem Share kannst du dich mit nem Script im Netlogon, mit deinem Homeverzeichnis automatisch auf dem Samba verbinden. (das Home ist nur ein Beispiel, Drucker etc geht auch!)

Gruß Alex

Rennie
20.09.04, 13:42
Hi!

@Alex10:
Worfür die Share generell da ist, weiß ich. Ich nutz sie ja selbst bei meinem Samba-PDC ;) Ich frage mich nur, warum der Client beim Hinzufügen zur Domäne auf Netlogon zugreifen sollte. Denn man meldet sich ja nicht "richtig" am Server an und es wird auch das Logon-Skript nicht ausgeführt, während man den Rechner hinzufügt.


Ciao

Rennie

quest
20.09.04, 17:36
@Rennie:
Danke, aber das ist es auch nicht. Hab ich schon probiert. Alle Laufwerke getrennt, neu gestartet, nochmal mit Webmin kontrolliert ob alle Verbindungen getrennt sind, und versucht zu verbinden. Das einzige was ich festgestellt hab ist, dass der User Root zwischen der Kennworteingabe und der Fehlermeldung sich mit dem share IPC$ verbunden hat. Wozu auch immer...

Rennie
20.09.04, 19:49
Hi!

Hmmm.. Und es kommt immer dieselbe Fehlermeldung?

IPC$ ist eine administrative Freigabe, die immer da ist und über die Samba z.B. veröffentlicht, welche Shares existieren etc. Die ist auch bei jedem Windows-System da.. Es gibt zusätzlich noch ADMIN$, wobei ich nicht genau weiß, wofür die da ist.

Das mit IPC$ wird er wahrscheinlich beim Hinzufügen generell machen, um irgendwelche Daten mit dem Samba auszutauschen.

Sagt das Samba-Logfile denn irgendwas?


Ciao

Rennie

DiWoWo
21.09.04, 12:35
Welche vorraussetzungen müssen denn noch gegeben sein um eine Sambadomäne (Samba 3.06) zu erschaffen?

useradd rechnername$ und smbpasswd -a -m rechnername$ habe ich gemacht, und meine smb.conf angepasst. Wenn ich jetzt aber der Domäne beitreten will, verwende root zum login, bekomme ich die meldung falscher Username oder Passwort. Muss denn nochwas Clientseitig (WinXP) gemacht werden?

Rennie
21.09.04, 14:35
Moin!

Achja! Da fällt mir ja noch was ein :)

Also zum einen: Der User root muß einen Account in der smbpasswd haben. Falls der nicht vorhanden sein sollte, dann anlegen. Sonst hat Samba keine Chance, den User zu autentifizieren.

Und dann gibt es da tatsächlich noch Änderungen am Windows XP. In der Systemsteuerung gibt es unter Verwaltung den Punkt Lokale Sicherheitsrichtlinie. Da gibt es unter Lokale Richtlinien -> Sicherheitsoptionen zwei Einstellung und zwar

Domain member: Digitally encrypt or sign secure channel data (always)
und
Microsoft network client: Send unencrypted password to third-party SMB servers

Der erste Punkt muß zwingend deaktiviert werden! Sonst klappt mit der Domäne garnix. Der zweite Punkt sollte auch deaktiviert werden, damit keine unverschlüsselten Paßwörter übertragen werden (ich weiß momentan nicht mehr, ob der nicht evtl. bei Samba als PDC deaktiviert sein muß, aber ich empfehl es jedem).

Danach sollte der Beitritt in die Domäne eigentlich klappen.


Ciao

Rennie

quest
21.09.04, 19:18
Danke für die Tipps. Geht immer noch nicht.
Jetzt hab ich mal die Logdatei befragt. Die ist ja auf Stufe 2 schon recht gesprächig. Nur, was heißt das??
Kannst du damit was anfangen Rennie?
Die Fehlermeldung ist übrigens immer noch die mit den mehreren Verbindungen.




[2004/09/21 19:20:44, 5] smbd/uid.c:change_to_root_user(217)
change_to_root_user: now uid=(0,0) gid=(0,0)
[2004/09/21 19:21:10, 10] lib/util_sock.c:read_smb_length_return_keepalive(559)
got smb length of 145
[2004/09/21 19:21:10, 6] smbd/process.c:process_smb(845)
got message type 0x0 of len 0x91
[2004/09/21 19:21:10, 3] smbd/process.c:process_smb(846)
Transaction 32 of length 149
[2004/09/21 19:21:10, 5] lib/util.c:show_msg(275)
size=145
smb_com=0x73
smb_rcls=0
smb_reh=0
smb_err=0
smb_flg=24
smb_flg2=18439
[2004/09/21 19:21:10, 5] lib/util.c:show_msg(281)
smb_tid=0
smb_pid=65279
smb_uid=0
smb_mid=6400
smt_wct=13
[2004/09/21 19:21:10, 5] lib/util.c:show_msg(286)
smb_vwv[0]=117 (0x75)
[2004/09/21 19:21:10, 5] lib/util.c:show_msg(286)
smb_vwv[1]=115 (0x73)
[2004/09/21 19:21:10, 5] lib/util.c:show_msg(286)
smb_vwv[2]=16644 (0x4104)
[2004/09/21 19:21:10, 5] lib/util.c:show_msg(286)
smb_vwv[3]=50 (0x32)
[2004/09/21 19:21:10, 5] lib/util.c:show_msg(286)
smb_vwv[4]=0 (0x0)
[2004/09/21 19:21:10, 5] lib/util.c:show_msg(286)
smb_vwv[5]=31693 (0x7BCD)
[2004/09/21 19:21:10, 5] lib/util.c:show_msg(286)
smb_vwv[6]=0 (0x0)
[2004/09/21 19:21:10, 5] lib/util.c:show_msg(286)
smb_vwv[7]=1 (0x1)
[2004/09/21 19:21:10, 5] lib/util.c:show_msg(286)
smb_vwv[8]=0 (0x0)
[2004/09/21 19:21:10, 5] lib/util.c:show_msg(286)
smb_vwv[9]=0 (0x0)
[2004/09/21 19:21:10, 5] lib/util.c:show_msg(286)
smb_vwv[10]=0 (0x0)
[2004/09/21 19:21:10, 5] lib/util.c:show_msg(286)
smb_vwv[11]=212 (0xD4)
[2004/09/21 19:21:10, 5] lib/util.c:show_msg(286)
smb_vwv[12]=0 (0x0)
[2004/09/21 19:21:10, 5] lib/util.c:show_msg(291)
smb_bcc=54
[2004/09/21 19:21:10, 10] lib/util.c:dump_data(1541)
[000] 00 00 00 57 69 6E 64 6F 77 73 20 32 30 30 32 20 ...Windo ws 2002
[2004/09/21 19:21:10, 10] lib/util.c:dump_data(1549)
[010] 32 36 30 30 20 53 65 72 76 69 63 65 20 50 61 63 2600 Ser vice Pac
[2004/09/21 19:21:10, 10] lib/util.c:dump_data(1549)
[020] 6B 20 31 00 57 69 6E 64 6F 77 73 20 32 30 30 32 k 1.Wind ows 2002
[2004/09/21 19:21:10, 10] lib/util.c:dump_data(1549)
[030] 20 35 2E 31 00 00 5.1..
[2004/09/21 19:21:10, 3] smbd/process.c:switch_message(685)
switch message SMBsesssetupX (pid 31693)
[2004/09/21 19:21:10, 3] smbd/sec_ctx.c:set_sec_ctx(329)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2004/09/21 19:21:10, 5] smbd/uid.c:change_to_root_user(217)
change_to_root_user: now uid=(0,0) gid=(0,0)
[2004/09/21 19:21:10, 3] smbd/reply.c:reply_sesssetup_and_X(880)
Domain=[] NativeOS=[Windows 2002 2600 Service Pack 1] NativeLanMan=[Windows 2002 5.1]
[2004/09/21 19:21:10, 3] smbd/reply.c:reply_sesssetup_and_X(890)
sesssetupX:name=[]
[2004/09/21 19:21:10, 6] param/loadparm.c:lp_file_list_changed(2314)
lp_file_list_changed()
file /etc/samba/smb.conf -> /etc/samba/smb.conf last mod_time: Tue Sep 21 19:18:25 2004

file /etc/samba/smb.conf modified: Tue Sep 21 19:20:35 2004

[2004/09/21 19:21:10, 5] param/loadparm.c:free_service(1879)
free_service: Freeing service root
[2004/09/21 19:21:10, 5] param/loadparm.c:free_service(1879)
free_service: Freeing service filer
[2004/09/21 19:21:10, 5] param/loadparm.c:free_service(1879)
free_service: Freeing service capi_quest
[2004/09/21 19:21:10, 5] param/loadparm.c:free_service(1879)
free_service: Freeing service homes
[2004/09/21 19:21:10, 5] param/loadparm.c:free_service(1879)
free_service: Freeing service prog
[2004/09/21 19:21:10, 5] param/loadparm.c:free_service(1879)
free_service: Freeing service install
[2004/09/21 19:21:10, 5] param/loadparm.c:free_service(1879)
free_service: Freeing service netlogon
[2004/09/21 19:21:10, 5] param/loadparm.c:free_service(1879)
free_service: Freeing service profiles
[2004/09/21 19:21:10, 5] param/loadparm.c:free_service(1879)
free_service: Freeing service IPC$
[2004/09/21 19:21:10, 5] param/loadparm.c:free_service(1879)
free_service: Freeing service ADMIN$
[2004/09/21 19:21:10, 3] param/loadparm.c:init_globals(1282)
Initialising global parameters
[2004/09/21 19:21:10, 3] param/params.c:pm_process(577)
params.c:pm_process() - Processing configuration file "/etc/samba/smb.conf"
[2004/09/21 19:21:10, 3] param/loadparm.c:do_section(3067)
Processing section "[global]"
doing parameter debug level = 2
[2004/09/21 19:21:10, 1] lib/debug.c:debug_message(258)
INFO: Debug class all level = 2 (pid 31693 from pid 31693)
[2004/09/21 19:21:10, 2] param/loadparm.c:do_section(3085)
Processing section "[root]"
[2004/09/21 19:21:10, 2] param/loadparm.c:do_section(3085)
Processing section "[filer]"
[2004/09/21 19:21:10, 2] param/loadparm.c:do_section(3085)
Processing section "[capi_quest]"
[2004/09/21 19:21:10, 2] param/loadparm.c:do_section(3085)
Processing section "[homes]"
[2004/09/21 19:21:10, 2] param/loadparm.c:do_section(3085)
Processing section "[prog]"
[2004/09/21 19:21:10, 2] param/loadparm.c:do_section(3085)
Processing section "[install]"
[2004/09/21 19:21:10, 2] param/loadparm.c:do_section(3085)
Processing section "[netlogon]"
[2004/09/21 19:21:10, 1] param/params.c:Parameter(382)
params.c:Parameter() - Ignoring badly formed line in configuration file: root preexec echo "samba: %u penetriert wieder %m, %T" >> /var/log/messages
[2004/09/21 19:21:10, 1] param/params.c:Parameter(382)
params.c:Parameter() - Ignoring badly formed line in configuration file: root postexec echo "samba: %u an %m, %T, gibt auf" >> /var/log/messages
[2004/09/21 19:21:10, 2] param/loadparm.c:do_section(3085)
Processing section "[profiles]"
[2004/09/21 19:21:10, 2] lib/interface.c:add_interface(81)
added interface ip=192.168.0.2 bcast=192.168.0.255 nmask=255.255.255.0
[2004/09/21 19:21:10, 2] lib/interface.c:add_interface(81)
added interface ip=172.16.51.1 bcast=172.16.51.255 nmask=255.255.255.0

Rennie
21.09.04, 21:56
Moin!

Also das einzige, was ich da besonderes sehe ist, daß das root preexec und das root postexec Statement dem Server nicht gefällt. Aber das ingoriert er ja, wie man da unschwer lesen kann. Ansonsten sieht es etwas merkwürdig aus, weil die Zeilen mit "freeing service xxx" deuten meiner Meinung nach darauf hin, daß er eine Verbindun abbaut. Dennoch kommt weiter unten erst das hinzufügen der Interfaces, was nach einem Start des Samba-Daemons aussieht. Ansonsten scheint er den Rechner, der sich da verbinden will, erkannt zu haben (Domain=[] NativeOS=[Windows 2002 2600 Service Pack 1] NativeLanMan=[Windows 2002 5.1]; Windows 2002 is eben Windows XP). Nur sehe ich nicht, daß er versucht, den Rechner zur Domäne hinzuzufügen... hmmm..

Allerdings kann ich auch die Meldung, die Windows da abläßt, nicht ganz verstehen. Denn eigentlich weist die ja auf mehrere Verbindungen hin. Ich würde das Problem eher auf der Clientseite als beim Sambaserver sehen.

Daher noch mal ein paar andere Fragen:


Was tust Du alles, um den Rechner hinzuzufügen? Machst Du das unmittelbar nach dem Systemstart?
In welcher Arbeitsgruppe befindet sich der Windows-Rechner? Heißt die evtl. genauso wie die Domäne? Wenn ja, würde ich das mal ändern, auch wenn das bei mir noch nie Probleme gemacht hat.
Als welcher Benutzer bist Du angemeldet, wenn Du versuchst, den Rechner der Domäne hinzuzufügen?


Wenn Du als Administrator angemeldet sein solltest, dann schau mal in die /etc/samba/user.map, ob der Administrator da drin steht und vielleicht auf root gemapped wird. Falls ja, dann gib beim Hinzufügen mal nicht root, sondern Administrator als Benutzernamen, aber trotzdem das root-Paßwort ein. Wenn es beim ersten Versuch nicht klappt, dann versuch Domäne\Administrator (also bei Dir wohl DIS\Administrator).

Wenn es dann immer noch nicht klappt... naja... dann fällt mir wohl auch nix ein. Außer vielleicht mal den Rechner komplett ohne Netzwerkverbindung booten, damit nicht evtl. irgendwelche Verbindunen zum Samba aufgemacht werden können. Dann kurz vor dem Hinzufügen des Rechners erst das Netzwerkkabel rein. Falls Du DHCP nutzt, mußte dann evtl. in 'ner Windows-Shell ein ipconfig /renew absetzen, damit der sich 'ne IP-Adresse holt.


Ciao

Rennie

quest
22.09.04, 07:11
Big THX @ Rennie! Das hatte ich total übersehen bzw. hab ihm gar keine Bedeutung gegeben! Jetzt hats funktioniert! Danke!
Aber kann mir jetzt noch jemand sagen, wie ich ihn dazu bringe ein Profil auf dem Server anzulegen?? Es kommt beim Start die Meldung "Ihr servergespeichertes Profil wurde nicht gefunden. ..."

Hier noch meine aktuelle smb.conf:
# Samba config file created using SWAT
# from 0.0.0.0 (0.0.0.0)
# Date: 2004/09/17 00:26:22

# Global parameters
[global]
debug level = 2
domain master = Yes
time server = Yes
netbios name = MAIN
netbios aliases = install
socket options = SO_KEEPALIVE TCP_NODELAY IPTOS_LOWDELAY
username map = /etc/samba/user.map
add user script = /usr/sbin/useradd -c Machine -d /dev/null -s /bin/false %m$
map to guest = Bad User
os level = 65
encrypt passwords = Yes
wins support = true
domain logons = Yes
load printers = No
security = user
printing = cups
server string = DIS Mainserver
workgroup = LAN
unix extensions = Yes
printcap name = CUPS
veto files = /*.eml/*.nws/riched20.dll/*.{*}/

[root]
path = /
valid users = quest
read only = No
browseable = No

[filer]
path = /srv/filer
read list = @gr_filer
write list = @gw_filer,@lo_filer,@root
read only = No
browseable = No

[capi_quest]
path = /var/spool/capisuite/users/quest
valid users = quest
read only = No
browseable = No

[homes]

[prog]
comment = Programme zur Installation
path = /srv/filer/Programme
browseable = No

[install]
comment = DIS Install (Aufruf nur über Skript)
path = /srv/installer
valid users = @lo_inst
write list = @lo_inst
read only = No
browseable = No

[netlogon]
comment = Network Logon Service
path=/var/lib/samba/netlogon
browseable=no
guest ok=no
writeable=no
root preexec echo "samba: %u penetriert wieder %m, %T" >> /var/log/messages
root postexec echo "samba: %u an %m, %T, gibt auf" >> /var/log/messages

[profiles]
comment = Benutzerprofile
path = /var/lib/samba/profiles
create mask = 0600
directory mask = 0700
browseable = no
writeable = yes

Rennie
22.09.04, 09:09
Moin!

Na also, hat's ja doch noch geklappt. :D Was war's denn jetzt?

Zu den Profilen sollteste mal nachsehen, ob der Pfad /var/lib/samba/profiles existiert und für alle schreibbar ist (auch von den Linux-Rechten her).

Und Du solltest noch die Option logon path zur smb.conf hinzufügen. Damit gibst Du an, wo die Profile liegen sollen, also in Deinem Fall

logon path = \\main\profiles

wenn der Samba-Server im Netz wirklich über den Namen main erreichbar ist.


Ciao

Rennie

DiWoWo
22.09.04, 12:17
Nur bei mir klappts leider nicht! Wenn ich mich an die Domäne anmelden will, und mich als root authtifiziere, bekomme ich den zugriff verweigert.

Rennie
22.09.04, 14:41
Hi!

Hast Du mal überprüft, ob root bei Dir in der smbpasswd einen Account hat?

Ansonsten setz mal kurzfristig das debug level auf 10 und versuch's noch mal. Dann siehst Du im Logfile ziemlich genau, welchen User er sucht und warum er den Zugriff verweigert.


Ciao

Rennie

quest
22.09.04, 18:27
Die Pfade hab ich beachtet. Und alles andere hat mich leider auch nicht mehr weitergebracht. Hast du noch eine Idee? Hier ist noch mal ein aktueller auszug aus meinem log:

[2004/09/22 18:12:48, 2] smbd/reply.c:reply_special(92)
netbios connect: name1=MAIN name2=TEST
[2004/09/22 18:12:48, 2] smbd/reply.c:reply_special(111)
netbios connect: local=main remote=test
[2004/09/22 18:12:59, 2] smbd/server.c:exit_server(511)
Closing connections
[2004/09/22 18:13:02, 2] smbd/reply.c:reply_special(92)
netbios connect: name1=MAIN name2=TEST
[2004/09/22 18:13:02, 2] smbd/reply.c:reply_special(111)
netbios connect: local=main remote=test
[2004/09/22 18:13:02, 0] rpc_server/srv_pipe.c:api_pipe_netsec_process(1299)
failed to decode PDU
[2004/09/22 18:13:02, 0] rpc_server/srv_pipe_hnd.c:process_request_pdu(504)
process_request_pdu: failed to do schannel processing.
[2004/09/22 18:13:03, 1] smbd/service.c:make_connection(636)
test (192.168.0.9) connect to service profiles as user quest (uid=500, gid=0) (pid 2772)
[2004/09/22 18:13:03, 2] rpc_server/srv_samr_nt.c:_samr_lookup_domain(2055)
Returning domain sid for domain LAN -> S-1-5-21-1341639693-2648673996-3471866379
[2004/09/22 18:14:06, 1] smbd/service.c:make_connection(636)
test (192.168.0.9) connect to service netlogon as user quest (uid=500, gid=0) (pid 2772)
[2004/09/22 18:14:12, 1] smbd/service.c:make_connection(636)
test (192.168.0.9) connect to service quest as user quest (uid=500, gid=0) (pid 2772)
[2004/09/22 18:15:22, 1] smbd/service.c:close_cnum(684)
test (192.168.0.9) closed connection to service profiles
[2004/09/22 18:15:22, 1] smbd/service.c:close_cnum(684)
test (192.168.0.9) closed connection to service netlogon
[2004/09/22 18:16:23, 2] rpc_server/srv_samr_nt.c:_samr_lookup_domain(2055)
Returning domain sid for domain LAN -> S-1-5-21-1341639693-2648673996-3471866379
[2004/09/22 18:16:27, 1] smbd/service.c:make_connection(636)
test (192.168.0.9) connect to service profiles as user quest (uid=500, gid=0) (pid 2772)
[2004/09/22 18:17:29, 1] smbd/service.c:close_cnum(684)
test (192.168.0.9) closed connection to service quest
[2004/09/22 18:17:29, 1] smbd/service.c:close_cnum(684)
test (192.168.0.9) closed connection to service profiles

Rennie
22.09.04, 20:15
Moin!

Also da fällt mir ja ganz spontan mal das "failed to decode PDU" und das "process_request_pdu: failed to do schannel processing" auf. Das scheint ja beides miteinander zu tun zu haben, auch wenn ich nicht genau weiß, was ein PDU ist. Aber schannel kommt mir sehr bekannt vor, denn dafür gibt es Samba-Optionen. Ich hab gerade mal ein bißchen bei Microsoft nachgelesen und dieses schannel (= secure channel) scheint sich auf die Verschlüsselung des Datentransfers bei Domänen-Mitgliedern zu beziehen (wenn ich das richtig verstanden habe). Das dürfte sich also auf diese Option beziehen, die ich weiter oben in 'nem Posting schon mal beschrieben habe (Domain member: Digitally encrypt or sign secure channel data (always)). Damit sollte ich dann wohl auch mal etwas rumexperimentieren ;)

Bisher ist das bei meinem Server allerdings ausgeschaltet, und das würde ich auch Dir erst mal empfehlen. Dazu mußt Du die beiden Optionen

client schannel = No
server schannel = No

in Deiner smb.conf hinzufügen. Das schaltet diesen Mechanismus vollständig ab. Vielleicht hilft das ja.


Ciao

Rennie

quest
22.09.04, 21:24
Thx. hab ich gemacht. Geht aber immer noch nicht! Jetzt sieht das Log so aus:
[2004/09/22 21:21:59, 2] smbd/server.c:exit_server(511)
Closing connections
[2004/09/22 21:22:02, 2] smbd/reply.c:reply_special(92)
netbios connect: name1=MAIN name2=TEST
[2004/09/22 21:22:02, 2] smbd/reply.c:reply_special(111)
netbios connect: local=main remote=test
[2004/09/22 21:22:10, 1] smbd/service.c:make_connection(636)
test (192.168.0.9) connect to service profiles as user quest (uid=500, gid=0) (pid 3586)
[2004/09/22 21:22:10, 2] rpc_server/srv_samr_nt.c:_samr_lookup_domain(2055)
Returning domain sid for domain LAN -> S-1-5-21-1341639693-2648673996-3471866379
[2004/09/22 21:22:16, 1] smbd/service.c:make_connection(636)
test (192.168.0.9) connect to service netlogon as user quest (uid=500, gid=0) (pid 3586)
[2004/09/22 21:22:19, 1] smbd/service.c:make_connection(636)
test (192.168.0.9) connect to service quest as user quest (uid=500, gid=0) (pid 3586)


Daß er kein Profil findet wundert mich nicht, ist ja noch keins da. Aber wenn noch kein Profil da ist, dann erstellt Windows doch normalerweise auf dem Server selbst eins, oder?

quest
22.09.04, 22:08
Hab da grad beim Probieren noch eine Beobachtung gemacht:
Der einzige User, der sich ohne Probleme anmelden kann, und dessen Profil sogar zurückgeschrieben wird ist der User root. Allen anderen weigert er sich ein Profil zu erstellen.
Und noch was hab ich gemerkt: Wenn ich mich mit root anmelde und dann versuche das Passwort zu ändern kommt eine Fehlermeldung: "Das Kennwort konnte nicht geändert werden. Die Domäne LAN steht zur Zeit nicht zur Verfügung." Geändert hat ers aber trotzdem. Denn wenn ich mich dann wieder abmelde kann das Profil nicht zurückgeschrieben werden (wegen dem neuen PW auf dem Server und dem alten auf dem Client kein Zugriff) und bei der nächsten Anmeldung muss ich dann auch das neue eingeben.

Weißt du zu den beiden Sachen ne Lösung?

Rennie
22.09.04, 22:25
Hi!

Also meiner Meinung nach kann das nur an den Rechten auf das Verzeichnis /var/lib/samba/profiles liegen. Unter Linux muß da jeder drauf zugreifen könnnen.

Mach mal bitte

chmod a+rwx /var/lib/samba/profiles
chmod +t /var/lib/samba/profiles

und dann versuch's nochmal.


Ciao

Rennie

quest
23.09.04, 18:09
Hey, THX! Jetzt funktionierts. auf 777 waren schon alle. Aber was bewirkt das +t??

Jetzt bleibt nur noch das Problem mit dem Passwort ändern....

Rennie
23.09.04, 19:56
Moin!

Das +t sorgt dafür, daß alle Daten, die angelegt werden, nur vom Besitzer gelöscht werden können. Das "Problem" unter Linux ist ja, daß in einem Verzeichnis, in dem eine Gruppe Schreibrechte hat, jeder der Gruppe Dateien erstellen, aber auch wieder löschen kann und zwar unabhängig davon, ob er die Datei nun angelegt hat oder jemand anderes aus der Gruppe. Das +t verhindert genau das.

Zu dem Problem mit dem Paßwort fällt mir leider momentan garnix ein. Damit hatte ich noch nie Probleme und kann mir im Moment auch nicht denken, was die Ursache sein soll. Wenn er das Paßwort ändert und dann aber dennoch 'ne Fehlermeldung bei Windows kommt, dann muß da ja was mit der Statusrückmeldung von Samba an Windows nicht stimmen. Die Frage ist nur was. Vielleicht solltest Du mal im Logfile schauen, was er bei der Paßwortänderung tut. Evtl. kann man da etwas erkennen.


Ciao

Rennie

quest
23.09.04, 21:25
Hier ist nochmal ein auszug aus meinem Log:
Mir leuchtet nicht ganz ein, warum er mir da ein invalid passwort zurückmeldet.


[2004/09/23 21:23:36, 0] passdb/passdb.c:pdb_free_sam(210)
pdb_free_sam: SAM_ACCOUNT was NULL
[2004/09/23 21:23:36, 0] smbd/chgpasswd.c:check_oem_password(832)
check_oem_password: incorrect password length (-574271005).
[2004/09/23 21:23:36, 0] passdb/passdb.c:pdb_free_sam(210)
pdb_free_sam: SAM_ACCOUNT was NULL
[2004/09/23 21:23:37, 2] smbd/password.c:pass_check_smb(575)
pass_check_smb failed - invalid password for user [quest]
[2004/09/23 21:23:37, 1] rpc_server/srv_pipe.c:api_pipe_ntlmssp_verify(423)
api_pipe_ntlmssp_verify: User DIS\quest from machine TEST failed authentication on named pipe samr.
[2004/09/23 21:23:37, 0] passdb/passdb.c:pdb_free_sam(210)
pdb_free_sam: SAM_ACCOUNT was NULL
[2004/09/23 21:23:37, 0] smbd/chgpasswd.c:check_oem_password(832)
check_oem_password: incorrect password length (-574271005).
[2004/09/23 21:23:37, 0] passdb/passdb.c:pdb_free_sam(210)
pdb_free_sam: SAM_ACCOUNT was NULL
[2004/09/23 21:23:39, 2] smbd/password.c:pass_check_smb(575)
pass_check_smb failed - invalid password for user [quest]
[2004/09/23 21:23:39, 1] rpc_server/srv_pipe.c:api_pipe_ntlmssp_verify(423)
api_pipe_ntlmssp_verify: User DIS\quest from machine TEST failed authentication on named pipe samr.
[2004/09/23 21:23:39, 0] passdb/passdb.c:pdb_free_sam(210)
pdb_free_sam: SAM_ACCOUNT was NULL
[2004/09/23 21:23:39, 0] smbd/chgpasswd.c:check_oem_password(832)
check_oem_password: incorrect password length (-574271005).
[2004/09/23 21:23:39, 0] passdb/passdb.c:pdb_free_sam(210)
pdb_free_sam: SAM_ACCOUNT was NULL
[2004/09/23 21:23:40, 2] smbd/password.c:pass_check_smb(575)
pass_check_smb failed - invalid password for user [quest]
[2004/09/23 21:23:40, 1] rpc_server/srv_pipe.c:api_pipe_ntlmssp_verify(423)
api_pipe_ntlmssp_verify: User DIS\quest from machine TEST failed authentication on named pipe samr.
[2004/09/23 21:23:40, 0] passdb/passdb.c:pdb_free_sam(210)
pdb_free_sam: SAM_ACCOUNT was NULL
[2004/09/23 21:23:40, 0] smbd/chgpasswd.c:check_oem_password(832)
check_oem_password: incorrect password length (-574271005).
[2004/09/23 21:23:40, 0] passdb/passdb.c:pdb_free_sam(210)
pdb_free_sam: SAM_ACCOUNT was NULL
[2004/09/23 21:24:05, 1] smbd/service.c:close_cnum(684)
test (192.168.0.9) closed connection to service profiles
[2004/09/23 21:24:05, 1] smbd/service.c:close_cnum(684)
test (192.168.0.9) closed connection to service netlogon

lx_bastler
23.09.04, 22:49
Du solltes per Skript profil-Verzeichnisse für alle User anlegen und mit den richtigen Rechten und Eigner versehen.

cd /var/lib/samba/profiles; md $username; chown $username username; chmod 700 username;

$username dann entsprechend blabla... du weiss scho

So wie es momentan aussieht ist profiles ein allgemein beschreibbares Share, was unüblich ist.