PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : fehler bei anmeldung am samba pdc



shb
11.11.04, 11:42
hi all ich versuche mich schon seit tagen mich an meinen samba server anzumelden.

testparm /etc/samba/smb.conf
Load smb config files from /etc/samba/smb.conf
Processing section "[netlogon]"
Processing section "[profiles]"
Processing section "[homes]"
Processing section "[daten]"
Loaded services file OK.
Server role: ROLE_DOMAIN_PDC
Press enter to see a dump of your service definitions

# Global parameters
[global]
workgroup = PINGU
netbios name = SERVER
logon script = logon.cmd
logon path = \\%N\profiles\%u
logon drive = H:
logon home = \\172.17.4.55\%u\winprofile
domain logons = Yes
os level = 33
preferred master = Yes
domain master = Yes

[netlogon]
path = /misc/smb/profiles
write list = ntadmin

[profiles]
path = /misc/smb/profiles
read only = No
create mask = 0600
directory mask = 0700

[homes]
read only = No

[daten]
comment = Daten
path = /misc
read only = No

so schauts erstmal aus,
ich habe dann gemacht

smbpasswd -a root
smbpasswd -a shb

nun ist volgendes, wenn ich mich von win xp anmelde (mit root) erhalte ich die meldung,dass der benutzername benutzername nicht gefunden werden kann, gebe ich ein falsches passwort an erhalte ich die meldung das, der benutzername oder passewort falsch ist.
mache ich das ganze mit meinen "normalen" account erhalte ich die meldung zugriff verweigert, wenn ich meinen normalen account deaktiver gibt er mir auch die meldung, das der account deaktiviert ist. also schließe ich darauß, das die verbindung zum samba server erstmal steht.

das root passwort habe ich offt probiert, ich denke es liegt daran, das sich root generell nicht anmelden kann und der normale account nicht die berechtigung hat sich am server anzumelden

nach dem ich eine unixgruppe ntadmin erstellt habe und ich net groupmap modify ntgroup="Domain Admins" unixgroup=ntadmin ausgeführt habe hat sich immer noch nichts getan ;(

es muss doch eine möglichkeit geben, den account shb direkt in die entsprechende gruppe aufzunehmen.

ps wie ist das mit den maschienen accounts, wie erstelle ich die, könnte es daran liegen?

ich hoffe mir kann hier jemand weiterhelfen

thx cu SHB

kronux
11.11.04, 11:54
Hallo shb,

du möchtest einen PDC betrieben und bei der Anmeldeprüfung wird auch geprüft ob die Maschine einen account hat.

schau mal hier

http://www.linuxforen.de/forums/showthread.php?t=158534

Dort habe ich schonmal beschrieben wie dies user angelegt werden müssen.

Sollte die Anmeldung immer noch nicht klappen, melde dich nochmal.

Gruß Kronux

shb
11.11.04, 12:26
DANKE
das hier hatte ich schon
smbpasswd rechnername$ -a -m

aber das hier wuste ich nicht
useradd rechnername$ -g gruppe -s /bin/false jetzt gehts nun habe ich aber noch probleme mit der berechtigung unter win egal ob mit root oder normaler user, ich kann nicht mal die systemzeit ändern geschweige denn was installieren ;(
kannst du mir da noch weiter helfen?

thx cu SHB

kronux
11.11.04, 17:19
Hallo shb,

da greifen dann auch die lokalen User Rechte des Windows Rechners wieder.

Schaumal hier http://www.linuxforen.de/forums/showthread.php?t=158534

ganz unter beschreibt Mickey Mouse ein tool das es ermöglicht Rechte eines normalen users zu erweitern ohne ihm gleich Hauptbenutzer oder admin rechte zu verpassen.

Das toll gpedit.msc kannte ich bisher auch noch nicht, habe es aber eben mal ganz kurz angeschaut und es sieht gut aus.

Mehr kann ich dazu aber nicht sagen.

Gruß Kronux

shb
11.11.04, 18:19
mm gut kann es leider erst morgen probieren :), wie ist das zu verstehen, dass die loklen berechtigungnen greifen? ich meine ich hab auf dem client doch nur den administrator account und mehr nicht, ich meine ich muss doch nich für jeden user auf jedem client einen account einrichten, genau deswegen gibt es ja den server. ist das tool von windows, oder? wie kann ich einen user zum hauptbenutzer oder admin hochstufen? selbst wenn ich mich mit root anmelde kann ich keine software installieren, es muss ja wenigstens ein account geben, der sowas kann, es kann ja nicht sein, das ich mich dafür lolal anmelden muss, samba3 hat doch die voll nt4 unterstützung. da muss man doch am server etwas drehen können/müssen

thx cu SHB

emba
11.11.04, 22:20
logs im level 5 sind immer interessant
des weiteren: hast du requiresignorseal in der registry gesetzt?

greez

shb
11.11.04, 22:42
was meinst du mit logs im level5? und was ist bitte requiresignorseal?
das hab ich auch noch gehört, obwohl ich früher so ein ad im dunkeln und ohne moni zusammen bekommen habe *G*

cu SHB

emba
12.11.04, 09:40
hi

requiresignorseal:
http://www.google.de/search?hl=de&q=requiresignorseal+samba&btnG=Suche&meta=

log level stellst du in der smb.conf mit dem parameter "log level =" ein (siehe manual)

greez

shb
12.11.04, 09:54
das requiresignorseal: ist doch nur, wenn das richtig verstenden habe für die anmeldungen am pdc, oder? ich kann mich als user ja schon anmelden, ich will nur noch die user in gruppen aufteilen, soll heißen gruppe x kann nix und gruppe y kann installieren

irgendwie geht das von samba ja, nt gruppen erstellen und verwalten


shb:/home/shb# net groupmap list
System Operators (S-1-5-32-549) -> -1
Domain Guests (S-1-5-21-1838144304-3387927655-3630303836-514) -> -1
Domain Admins (S-1-5-21-1838144304-3387927655-3630303836-512) -> ntadmin
Replicators (S-1-5-32-552) -> -1
Guests (S-1-5-32-546) -> -1
Domain Admins (S-1-5-21-3416077512-2850982267-3171817521-512) -> -1
Domain Admins (S-1-5-21-694846242-1838478603-3982413634-512) -> -1
Domain Guests (S-1-5-21-694846242-1838478603-3982413634-514) -> -1
Domain Guests (S-1-5-21-3416077512-2850982267-3171817521-514) -> -1
Domain Users (S-1-5-21-694846242-1838478603-3982413634-513) -> -1
Power Users (S-1-5-32-547) -> -1
Print Operators (S-1-5-32-550) -> -1
Administrators (S-1-5-32-544) -> ntadmin
Domain Users (S-1-5-21-1838144304-3387927655-3630303836-513) -> -1
Domain Users (S-1-5-21-3416077512-2850982267-3171817521-513) -> -1
Account Operators (S-1-5-32-548) -> -1
Backup Operators (S-1-5-32-551) -> -1
Users (S-1-5-32-545) -> -1


mit dem log level werde ich mir mal anschauen


thx cu SHB

mamue
12.11.04, 10:58
Der Domain-admin muß ja nicht zwingend auch lokale Administratorrechte haben. Die hat er nur, wenn er die passende spezielle SID hat
Zum Beispiel könnte er ja als sambaPrimaryGroupSID
S-1-5-21-1838144304-3387927655-3630303836-512
haben, dann wäre er in der Windows gruppe DOmain Admins. Oder er hat als sambaSID
S-1-5-21-1838144304-3387927655-3630303836-512, das geht scheinbar auch.
Das müsste reichen.

mamue

shb
12.11.04, 12:05
Der Domain-admin muß ja nicht zwingend auch lokale Administratorrechte haben ja ist ja richtig. ich weiß nicht ob wir an einander vorbeireden, oder ob ichs nicht verstehen.
ich habe 2 user einmal shb und xxx. beide haben die gleiche berechtigung -> keine die können sich anmelden und programme starten, aber z.b. keine programme installieren.
nun möchte ich nur den user shb zum domain admin hochstufen. und den anderen user nicht.

wie mache ich das?

cu SHB

mamue
12.11.04, 12:55
Du könntest dem einen user die spezielle RID 512 geben, wie gesagt.
Oder Du machst das über die Benutzerverwaltung und fügst den einen user in die Gruppe der Administratoren ein. Beides geht. Ich habe als Windows-admin (user=Administrator) die RID 512, aber ganz normale group-SID und uidNumber. Somit bin ich auf dem unix-system nicht root.
Im samba-guide und auch in der Howto collection steht einiges über die SID drin.

HTH
mamue

emba
14.11.04, 18:39
@mamue

ich halte es für keine saubere lösung einem user eine SID zu geben, die als well-known-sid für gruppen gilt

der domain admin hat die RID
DOMAIN_USER_RID_ADMIN 0x0000 01F4

greez

aheinhold
14.11.04, 19:10
Hi,

schau dir mal den folgenden Link an. Ich denke, damit kannst du dein Problem lösen!
Wie wird man Domain-Admin (http://www.linux-users.de/index.php?option=com_content&task=view&id=23&Itemid=51)

shb
14.11.04, 20:58
danke für die antworten, ist der link richtig? ich meine der kommt bei spiegel.de raus oder hast du nen falschen gesendet

cu SHB

aheinhold
14.11.04, 21:46
Hi,

sorry der Link war falsch (2 x http://).
Hier also nochmal der Link (http://www.linux-users.de/index.php?option=com_content&task=view&id=23&Itemid=51)

shb
15.11.04, 11:44
so eine anleitung hatte ich vorher auchschon und das ist eigentlich das,was ich suche, nur leider gehts damit irgendwie nicht ;(
und was mich stuzig macht, ist das die gruppen tum teil doppelt drin sind

System Operators (S-1-5-32-549) -> -1
Domain Guests (S-1-5-21-1838144304-3387927655-3630303836-514) -> -1
Domain Admins (S-1-5-21-1838144304-3387927655-3630303836-512) -> ntadmin
Replicators (S-1-5-32-552) -> -1
Guests (S-1-5-32-546) -> -1
Domain Admins (S-1-5-21-3416077512-2850982267-3171817521-512) -> -1
Domain Admins (S-1-5-21-694846242-1838478603-3982413634-512) -> -1
Domain Guests (S-1-5-21-694846242-1838478603-3982413634-514) -> -1
Domain Guests (S-1-5-21-3416077512-2850982267-3171817521-514) -> -1
Domain Users (S-1-5-21-694846242-1838478603-3982413634-513) -> -1
Power Users (S-1-5-32-547) -> -1
Print Operators (S-1-5-32-550) -> -1
Administrators (S-1-5-32-544) -> 115
Domain Users (S-1-5-21-1838144304-3387927655-3630303836-513) -> -1
Domain Users (S-1-5-21-3416077512-2850982267-3171817521-513) -> -1
Account Operators (S-1-5-32-548) -> -1
Backup Operators (S-1-5-32-551) -> -1
Users (S-1-5-32-545) -> -1

woran kann das liegen

cu SHB

mamue
15.11.04, 14:51
@mamue

1.: ich halte es für keine saubere lösung einem user eine SID zu geben, die als well-known-sid für gruppen gilt

2.: der domain admin hat die RID
DOMAIN_USER_RID_ADMIN 0x0000 01F4

greez

1.: Ich auch nicht, es funktioniert aber ;)
2.: Das sagt mir nichts. Bei einer Samba-ID
S-1-5-21-1838144304-3387927655-3630303836
hätte der user "Administrator" demzufolge was? Ich habe noch nie etwas von well-known rid für Benutzer gesehen, aber das kann an mir liegen.

Danke
mamue

aheinhold
17.11.04, 06:40
und was mich stuzig macht, ist das die gruppen tum teil doppelt drin sind
Hast du die Gruppen vielleicht mehrmals neu angelegt, statt upgedated?
Kann ich mir nur so erklären...

shb
17.11.04, 09:04
nein eigentlich nicht,da ich nicht weiß wie das geht;( ich habe mir samba mittels apt installiert und dann nur die smb.conf bearbeitet

thx cu SHB

emba
17.11.04, 20:20
@mamue

S-1-5-21-1838144304-3387927655-3630303836-500

probiers mal

greez