Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba, Winbind und ADS
Hallo,
ich mal wieder :-p
Mein altes Problem ist zu einem neuen mutiert!
Ich kann meinen Rechner jetzt wieder in die ADS eintragen.
Aber bei wbinfo -t oder -u -g kommen immer noch fehlermeldungen! wenn ich "getent passwd" mache, zeigt er mir nur die lokalen Sachen!
Bei wbinfo -t kommt folgende Fehlermeldung:
checking the trust secret via RPC calls failed
error code was NT_STATUS_INTERNAL_ERROR (0x00000e5)
Could not check secret
Wenn ich mir dann die log.winbindd anschaue:
[2004/11/17 17:44:00, 1] nsswitch/winbindd.c:main(854)
winbindd version 3.0.7-5-SUSE started.
Copyright The Samba Team 2000-2004
[2004/11/17 17:44:07, 1] libsmb/clikrb5.c:ads_krb5_mk_req(313)
krb5_cc_get_principal failed (No such file or directory)
[2004/11/17 17:44:07, 1] nsswitch/winbindd_ads.c:ads_cached_connection(81)
ads_connect for domain FZKA failed: Cannot read password
[2004/11/17 17:45:01, 1] nsswitch/winbindd_group.c:winbindd_getgroups(1059)
user 'root' does not exist
Hat jemand ne Idee? Hab schon sämtliche Foren durch gelesen!!!
Was ist das denn für eine umgebung?
Hast du einen "net ads join" gemacht?
geht Kerbos?
und hast du "winbind" in deiner nsswitch.conf stehen?
und geht der dns auf der windoof kiste richtig?
net join ads hatte ich gemacht, der rest war auch konfiguriert!
Habe es aber nun zum laufen bekommen!
Jetzt geht weiter, jetzt probier ich die ganze Sache über einen LDAP zu machen! Warscheins kommen gleich wieder ein paar Fragen meiner seits! :-)
Las andere doch teilhaben ...
Wie hast Dus ans laufen bekommen.
Wie sehen Deine Configs aus.
Sitze derzeit am gleichen Problem.. vielleicht kann man sich austauschen....
klaro, helfe gerne, bin ja auch froh wenn mir jemand hilft!
Wie weit bist du denn? net ads join schon gemacht? Bekommst du ein kerberos ticket?
ja das klappt alls priima nur wenn ich
wbinfo -u mache bekomme ich keine user nur ein Error looking up users
ein
wbinfo -g gibt mir aber gruppen aus, die aber nix mit den unix noch mit den ads gruppen zutuen hat
ein wbinfo -t sagt alles perfekt
hmmm
mach erst mal
getent passwd
bekommst du da was?
nur die lokalen Unix Benutzer
geht er direkt in den prompt oder sucht er weiter?
ne keine suche mehr , geht sofort ins prompt ..
im sambalog kann ich folgende Zeilen finden :
krb5_cc_get_principal failed ( No such file or directory) : Was sucht der hier ???
SMB Signature verification failed on incoming packet : Zufall ?
user 'root' does not exist .. : Esgibt aber einen ... auch auf Windoff seite
dasselbe prob hatte ich auch!
Zeig doch mal bitte deine smb.conf und deine krb5.conf
/etc/krb5.conf
[libdefaults]
default_realm = SI.DE
clockskew = 300
[realms]
SI.DE = {
kdc = SI-DC-TEST.SI.DE:88
admin_server = SI-DC-TEST.SI.DE
default_domain = SI
kpasswd_server = SI-DC-TEST.SI.DE}
[domain_realm]
.si.de = SI.DE
.SI = SI.DE
[logging]
default = SYSLOG:NOTICE:DAEMON
kdc = FILE:/var/log/kdc.log
kadmind = FILE:/var/log/kadmind.log
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false}
smb.conf
[global]
realm = SI.DE
password server = si-dc-test.si.de
security = ADS
winbind separator = +
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = Yes
winbind nested groups = Yes
nsswitch.conf
passwd: files winbind
shadow: files winbind
group: files winbind
hosts: files wins
root user war wohl von samba gemeint mit smbpasswd -a root angelegt
dannach ist die fehlermeldung zumindest schon mal weg ...
[libdefaults]
default_realm = SI.DE
clockskew = 300
[realms]
SI.DE = {
kdc = si-dc-test.si.de:88
admin_server = si-dc-test.si.de:464
# kpasswd_server = si-dc-test.si.de
default_domain = SI.DE
}
# OTHER.REALM = {
# kdc = OTHER.COMPUTER
# }
[domain_realm]
.si.de = SI.DE
[logging]
default = SYSLOG:NOTICE:DAEMON
kdc = FILE:/var/log/kdc.log
kadmind = FILE:/var/log/kadmind.log
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
}
das mal zur krb5.conf. Probier das mal!!!
[global]
workgroup = SI
interfaces = 127.0.0.0 eth0
bind interfaces only = true
netbios name = "DEIN HOSTNAME"
printing = cups
printcap name = cups
printcap cache time = 750
cups options = raw
printer admin = @ntadmin, root, administrator
username map = /etc/samba/smbusers
map to guest = Bad User
include = /etc/samba/dhcp.conf
logon path = \\%L\profiles\.msprofile
logon home = \\%L\%U\.9xprofile
logon drive = P:
security = ADS
encrypt passwords = yes
# add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
realm = SI.DE
password server = *
wins support= no
wins server = "DEINE WINSSERVER"
# domain logons = yes
# domain master = no
local master = no
os level = 2
# preferred master = yes
# ldap idmap suffix = ou=idmap,dc=si,dc=de
# ldap machine suffix = ou=Computers
# ldap suffix = dc=si,dc=de
# ldap admin dn = cn=Manager,dc=si,dc=de
# idmap backend = ldap:ldap://deinldap.si.de
idmap uid = 500-50000
idmap gid = 100-50000
winbind enum users = yes
winbind enum groups = yes
template primary group = "Domain Users"
template homedir = /localhome/%U
template shell = /bin/bash
winbind separator = +
winbind use default domain = yes
Wenn du einen LDAP Server laufen hast, mach die Auskommentierungen weg und vervollständige die Einträge noch!
bei Passwortserver habe ich ein * stehn, dadurch scannt er das ganze Subnet nach einem PW-Server! Probier das mal so!
smbpasswd -w passwort
da gibst du normal statt passwort dein LDAP-Manager-Passwort an!!!
Ok .. habe alle einstellungen so gemacht.
Rechner neu gestartet :
net rpc join -S si-dc-test.si.de -U Administrator # eingegeben
Password: # gemacht getan
Joined domain SI. # sieht gut aus
wbinfo -t
checking the trust secret via RPC calls succeeded # sieht noch besser aus
wbinfo -u
Error looking up domain users # jetzt wirds wieder kälter ..
sambalog :
nsswitch/winbindd_ads.c:ads_cached_connection(81)
ads_connect for domain SI failed: No such file or directory
[2004/11/19 12:25:24, 1] nsswitch/winbindd_group.c:winbindd_getgroups(1059)
user 'root' does not exist ### schon wieder da
syslog .... nix drin
in den logs von winbind smb nmb steht nur drine das die dienste gestartet worden sind.
Ha hab gerade noch was getestet ...
jetzt gehts ...
habe noch immer den eintrag local "master = yes" in der smb.conf drine gehabt. Das hat man von - mal eben die laufende config kopieren- und im anderen testsystem einzetzen....
du sagtest, das du jetzt auf LDAP umstellst .. läuft das bei Dir ?
Müsste nämlich das gleiche machen, da ich mehrere Linuxserver habe und die sollen mit den gleichen UIDs arbeiten damit ich eine übergreifende rechteverwaltung machen kann, da sonst auf Server A user müller UID 500 hat und vielleicht auf Server B UID 1111 usw.
Mußt Du dann nicht auf Samba 3.0.8 updaten ??
Achja hätte ich fast vergessen ... Danke für Deine Hilfe.
Na also :-)
Ja ich probiere das jetzt mit dem LDAP, der LDAP-Server läuft schon
aber das Zusammenspiel geht noch nicht! Also bin da noch so zusagen an null!
Wie gesagt server läuft, OU=IDMAP hab ich erstellt! Jetzt mal schauen wies weiter geht! Hab noch keine Ahnung!
Das nächste Problem wäre dann auch das Homelaufwerk!
Da unsere Homelaufwerke auf nem Server liegen, is die Frage wie ich das genau mache damit die ADS-(linux)-User ihre Homelaufwerke bekommen. Theoretisch könnte ich das in der SMB.CONF ja eintragen, aber sobald ich mehrer User pro Client habe, gibt es da Probleme!!!
ok werde ab Montag damit auch mal anfangen schönes we
Theoretisch könnte ich das in der SMB.CONF ja eintragen, aber sobald ich mehrer User pro Client habe, gibt es da Probleme!!!
würde da nicht folgender Eintrag in der smb.conf helfen ?
logon home = \\%L\home\%m\%u\Win-profile
(logon home = \\Servername\home\PC-Maschinenname\user\win-profile )
bekommt doch dann jeder user auf jeder maschine sein eigenes verzeichnis
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.