PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba, Winbind und ADS



Duffy1905
17.11.04, 17:58
Hallo,
ich mal wieder :-p
Mein altes Problem ist zu einem neuen mutiert!
Ich kann meinen Rechner jetzt wieder in die ADS eintragen.
Aber bei wbinfo -t oder -u -g kommen immer noch fehlermeldungen! wenn ich "getent passwd" mache, zeigt er mir nur die lokalen Sachen!


Bei wbinfo -t kommt folgende Fehlermeldung:

checking the trust secret via RPC calls failed
error code was NT_STATUS_INTERNAL_ERROR (0x00000e5)
Could not check secret


Wenn ich mir dann die log.winbindd anschaue:

[2004/11/17 17:44:00, 1] nsswitch/winbindd.c:main(854)
winbindd version 3.0.7-5-SUSE started.
Copyright The Samba Team 2000-2004
[2004/11/17 17:44:07, 1] libsmb/clikrb5.c:ads_krb5_mk_req(313)
krb5_cc_get_principal failed (No such file or directory)
[2004/11/17 17:44:07, 1] nsswitch/winbindd_ads.c:ads_cached_connection(81)
ads_connect for domain FZKA failed: Cannot read password
[2004/11/17 17:45:01, 1] nsswitch/winbindd_group.c:winbindd_getgroups(1059)
user 'root' does not exist


Hat jemand ne Idee? Hab schon sämtliche Foren durch gelesen!!!

der2of6
18.11.04, 16:46
Was ist das denn für eine umgebung?

Hast du einen "net ads join" gemacht?

geht Kerbos?

und hast du "winbind" in deiner nsswitch.conf stehen?

und geht der dns auf der windoof kiste richtig?

Duffy1905
19.11.04, 09:42
net join ads hatte ich gemacht, der rest war auch konfiguriert!
Habe es aber nun zum laufen bekommen!
Jetzt geht weiter, jetzt probier ich die ganze Sache über einen LDAP zu machen! Warscheins kommen gleich wieder ein paar Fragen meiner seits! :-)

hubrach
19.11.04, 10:08
Las andere doch teilhaben ...
Wie hast Dus ans laufen bekommen.
Wie sehen Deine Configs aus.
Sitze derzeit am gleichen Problem.. vielleicht kann man sich austauschen....

Duffy1905
19.11.04, 10:09
klaro, helfe gerne, bin ja auch froh wenn mir jemand hilft!
Wie weit bist du denn? net ads join schon gemacht? Bekommst du ein kerberos ticket?

hubrach
19.11.04, 10:34
ja das klappt alls priima nur wenn ich
wbinfo -u mache bekomme ich keine user nur ein Error looking up users
ein
wbinfo -g gibt mir aber gruppen aus, die aber nix mit den unix noch mit den ads gruppen zutuen hat
ein wbinfo -t sagt alles perfekt

hmmm

Duffy1905
19.11.04, 10:35
mach erst mal

getent passwd

bekommst du da was?

hubrach
19.11.04, 10:38
nur die lokalen Unix Benutzer

Duffy1905
19.11.04, 10:43
geht er direkt in den prompt oder sucht er weiter?

hubrach
19.11.04, 10:54
ne keine suche mehr , geht sofort ins prompt ..
im sambalog kann ich folgende Zeilen finden :

krb5_cc_get_principal failed ( No such file or directory) : Was sucht der hier ???
SMB Signature verification failed on incoming packet : Zufall ?

user 'root' does not exist .. : Esgibt aber einen ... auch auf Windoff seite

Duffy1905
19.11.04, 11:07
dasselbe prob hatte ich auch!
Zeig doch mal bitte deine smb.conf und deine krb5.conf

hubrach
19.11.04, 11:11
/etc/krb5.conf
[libdefaults]
default_realm = SI.DE
clockskew = 300
[realms]
SI.DE = {
kdc = SI-DC-TEST.SI.DE:88
admin_server = SI-DC-TEST.SI.DE
default_domain = SI
kpasswd_server = SI-DC-TEST.SI.DE}
[domain_realm]
.si.de = SI.DE
.SI = SI.DE
[logging]
default = SYSLOG:NOTICE:DAEMON
kdc = FILE:/var/log/kdc.log
kadmind = FILE:/var/log/kadmind.log
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false}


smb.conf
[global]
realm = SI.DE
password server = si-dc-test.si.de
security = ADS
winbind separator = +
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = Yes
winbind nested groups = Yes

nsswitch.conf
passwd: files winbind
shadow: files winbind
group: files winbind
hosts: files wins



root user war wohl von samba gemeint mit smbpasswd -a root angelegt
dannach ist die fehlermeldung zumindest schon mal weg ...

Duffy1905
19.11.04, 11:30
[libdefaults]
default_realm = SI.DE
clockskew = 300

[realms]
SI.DE = {
kdc = si-dc-test.si.de:88
admin_server = si-dc-test.si.de:464
# kpasswd_server = si-dc-test.si.de
default_domain = SI.DE
}
# OTHER.REALM = {
# kdc = OTHER.COMPUTER
# }

[domain_realm]
.si.de = SI.DE

[logging]
default = SYSLOG:NOTICE:DAEMON
kdc = FILE:/var/log/kdc.log
kadmind = FILE:/var/log/kadmind.log

[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
}


das mal zur krb5.conf. Probier das mal!!!


[global]
workgroup = SI
interfaces = 127.0.0.0 eth0
bind interfaces only = true
netbios name = "DEIN HOSTNAME"
printing = cups
printcap name = cups
printcap cache time = 750
cups options = raw
printer admin = @ntadmin, root, administrator
username map = /etc/samba/smbusers
map to guest = Bad User
include = /etc/samba/dhcp.conf
logon path = \\%L\profiles\.msprofile
logon home = \\%L\%U\.9xprofile
logon drive = P:
security = ADS
encrypt passwords = yes
# add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
realm = SI.DE
password server = *
wins support= no
wins server = "DEINE WINSSERVER"
# domain logons = yes
# domain master = no
local master = no
os level = 2
# preferred master = yes
# ldap idmap suffix = ou=idmap,dc=si,dc=de
# ldap machine suffix = ou=Computers
# ldap suffix = dc=si,dc=de
# ldap admin dn = cn=Manager,dc=si,dc=de
# idmap backend = ldap:ldap://deinldap.si.de
idmap uid = 500-50000
idmap gid = 100-50000
winbind enum users = yes
winbind enum groups = yes
template primary group = "Domain Users"
template homedir = /localhome/%U
template shell = /bin/bash
winbind separator = +
winbind use default domain = yes

Wenn du einen LDAP Server laufen hast, mach die Auskommentierungen weg und vervollständige die Einträge noch!
bei Passwortserver habe ich ein * stehn, dadurch scannt er das ganze Subnet nach einem PW-Server! Probier das mal so!

smbpasswd -w passwort

da gibst du normal statt passwort dein LDAP-Manager-Passwort an!!!

hubrach
19.11.04, 12:38
Ok .. habe alle einstellungen so gemacht.
Rechner neu gestartet :
net rpc join -S si-dc-test.si.de -U Administrator # eingegeben
Password: # gemacht getan
Joined domain SI. # sieht gut aus

wbinfo -t
checking the trust secret via RPC calls succeeded # sieht noch besser aus



wbinfo -u
Error looking up domain users # jetzt wirds wieder kälter ..


sambalog :
nsswitch/winbindd_ads.c:ads_cached_connection(81)
ads_connect for domain SI failed: No such file or directory
[2004/11/19 12:25:24, 1] nsswitch/winbindd_group.c:winbindd_getgroups(1059)
user 'root' does not exist ### schon wieder da

syslog .... nix drin
in den logs von winbind smb nmb steht nur drine das die dienste gestartet worden sind.




Ha hab gerade noch was getestet ...
jetzt gehts ...
habe noch immer den eintrag local "master = yes" in der smb.conf drine gehabt. Das hat man von - mal eben die laufende config kopieren- und im anderen testsystem einzetzen....


du sagtest, das du jetzt auf LDAP umstellst .. läuft das bei Dir ?
Müsste nämlich das gleiche machen, da ich mehrere Linuxserver habe und die sollen mit den gleichen UIDs arbeiten damit ich eine übergreifende rechteverwaltung machen kann, da sonst auf Server A user müller UID 500 hat und vielleicht auf Server B UID 1111 usw.

Mußt Du dann nicht auf Samba 3.0.8 updaten ??


Achja hätte ich fast vergessen ... Danke für Deine Hilfe.

Duffy1905
19.11.04, 13:08
Na also :-)
Ja ich probiere das jetzt mit dem LDAP, der LDAP-Server läuft schon
aber das Zusammenspiel geht noch nicht! Also bin da noch so zusagen an null!
Wie gesagt server läuft, OU=IDMAP hab ich erstellt! Jetzt mal schauen wies weiter geht! Hab noch keine Ahnung!
Das nächste Problem wäre dann auch das Homelaufwerk!
Da unsere Homelaufwerke auf nem Server liegen, is die Frage wie ich das genau mache damit die ADS-(linux)-User ihre Homelaufwerke bekommen. Theoretisch könnte ich das in der SMB.CONF ja eintragen, aber sobald ich mehrer User pro Client habe, gibt es da Probleme!!!

hubrach
19.11.04, 13:48
ok werde ab Montag damit auch mal anfangen schönes we


Theoretisch könnte ich das in der SMB.CONF ja eintragen, aber sobald ich mehrer User pro Client habe, gibt es da Probleme!!!

würde da nicht folgender Eintrag in der smb.conf helfen ?

logon home = \\%L\home\%m\%u\Win-profile

(logon home = \\Servername\home\PC-Maschinenname\user\win-profile )
bekommt doch dann jeder user auf jeder maschine sein eigenes verzeichnis