Hallo,

ich bin so langsam mit meinem Latein am Ende.
Ich bekomme es einfach nicht hin das die Gruppen gemappt werden.

Die Ausgabe von net groupmap list bring folgendes:
Domain Admins (S-1-5-21-1193905915-2343050682-150376115-512) -> Domain Admins
Domain Users (S-1-5-21-1193905915-2343050682-150376115-513) -> Domain Users
Domain Guests (S-1-5-21-1193905915-2343050682-150376115-514) -> Domain Guests
Print Operators (S-1-5-32-550) -> Print Operators
Backup Operators (S-1-5-32-551) -> Backup Operators
Replicators (S-1-5-32-552) -> Replicators

In der smb.conf sind auch die Idmap Einträge vorhanden
ldap idmap suffix = ou=ldapidmapsuffix,dc=test,dc=de
idmap gid = 100 - 1000

Im LDAP ist folgendes Eingetragen
dn: ou=ldapidmapsuffix, dc=test,dc=de
ou: ldapidmapsuffix
objectClass: organizationalUnit

Unter Windows wird leider immer nur die SID der Gruppe angezeigt.
Könnte mir vielleicht jemand weiterhelfen?

MfG
Simcemilia

Zeigt "getent group" die Gruppen an?
Kannst Du mal einen Beispielhaften LDIF-Eintrag posten, sowie die Ausgabe von "net getlocalsid"?
Ach ja, es ist allgemein praktisch, die OS-, LDAP- und Samba-Version mit anzugeben. Ich gehe mal einfach davon aus, dass Du die gleichen Versionen verwendest wie ich.

mamue

In der smb.conf sind auch die Idmap Einträge vorhanden
ldap idmap suffix = ou=ldapidmapsuffix,dc=test,dc=de
idmap gid = 100 - 1000
sind für den PDC/BDC irrelevant, da winbind spezifisch

desweiteren darf die range nicht mit lokalen ranges kollidieren ;)

bei mir im ldap sieht die idmap ou so aus


# Idmap, eva.mpg.de
dn: ou=Idmap,dc=eva,dc=mpg,dc=de
objectClass: organizationalUnit
objectClass: sambaUnixIdPool
ou: Idmap
uidNumber: 10000
gidNumber: 10000

greez

Hallo,

also mein Testumgebung sieht folgendermaßen aus:

Rechner1: Suse 9.0 + OpenLDAP 2.2.6
Rechner2: Suse 9.1 + Samba 3.0.9

Rechner2 greift übers Netzwerk per verschlüsselter Verbindung auf Rechner1 zu.

getent group zeigt mir die Gruppen die im LDAP liegen auch richtig an.
Was mich allerdings stuzig macht, ist das bei net getlocalsid der falsche Domainname
auftaucht. Diese sollte TEST.DE lauten, angezeigt wird aber HALDAPTEST.
Dies entspricht den Hostname von Recher2.
Hier die Ausgabe:
SID for domain HALDAPTEST is: S-1-5-21-1193905915-2343050682-150376115

Woher bekommt er diesen Domainnamen?

Könntest du etwas genauer sagen was du mit einem beispielhaften LDIF-Eintrag meinst?

MfG
Simcemilia

Habe die Einträge nun aus der smb.conf genommen.

Wenn ich allerdings versuche folgendes LDIF - File zu imporieren

dn: ou=ldapidmapsuffix,dc=test,dc=de
objectClass: organizationalUnit
objectClass: sambaUnixIdPool
ou: ldapidmapsuffix
uidNumber: 10000
gidNumber: 10000

bekomme ich im syslog immer die Fehlermeldung:

slapd[11355]: conn=1 op=46 RESULT tag=105 err=65 text=object class 'sambaUnixIdPool' requires attribute 'gidNumber'

Das Attribut steht doch da im LDIF.
Was mache ich falsch?

MfG
Simcemilia

EDIT:
Problem gelöst
ou: ldapidmapsuffix muss ganz unten stehen im LDIF

Aber das Groupmapping klappt immer noch nicht.

was kommt bei

net getlocalsid test.de

????

greez

Hallo,

bei net getlocalsid test.de wird die gleiche SID angezeit wie bei haldaptest.

MfG
Simcemilia

Mit einem Beispieleintrag meinte ich so etwas wie:
ldapsearch -x cn=sambaBspGruppe -LLL
Ich könnte mir vorstellen, daß die SID nicht so recht zueinander passen, dass also die user und gruppen nicht die richtioge Domain-sid haben.

mamue

Edit: Ich sehe gerade, daß die SID übereinstimmen, vergiss es also.

kannst du nicht mal einen kleinen auszug des ldap-trees posten (paar user, gruppen, idmaps)

findest du im ldap irgendwo einen eintrag wie

dn: sambaDomainName=****,dc****,dc****

????

greez

Hallo,

ich poste einfach mal den kompletten LDAP Tree.
Hab nur ein paar user rausgenommen.

# extended LDIF
#
# LDAPv3
# base <> with scope sub
# filter: (objectclass=*)
# requesting: ALL
#

# test.de
dn: dc=test,dc=de
dc: test
objectClass: dcObject
objectClass: organization
o: Team Linux

# users, test.de
dn: ou=users,dc=test,dc=de
objectClass: organizationalUnit
ou: users

# groups, test.de
dn: ou=groups,dc=test,dc=de
objectClass: organizationalUnit
ou: groups

# machines, test.de
dn: ou=machines,dc=test,dc=de
objectClass: organizationalUnit
ou: machines

# NextFreeUnixId, test.de
dn: cn=NextFreeUnixId,dc=test,dc=de
objectClass: inetOrgPerson
objectClass: sambaUnixIdPool
gidNumber: 1000
cn: NextFreeUnixId
sn: NextFreeUnixId
uidNumber: 1011

# Administrator, users, test.de
dn: uid=Administrator,ou=users,dc=test,dc=de
cn: Administrator
sn: Administrator
objectClass: inetOrgPerson
objectClass: sambaSAMAccount
objectClass: posixAccount
objectClass: shadowAccount
gidNumber: 512
uid: Administrator
uidNumber: 0
homeDirectory: /home/Administrator
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
sambaHomeDrive: X:
sambaProfilePath: \\haldaptest\profiles\Administrator\
sambaPrimaryGroupSID: S-1-5-21-1193905915-2343050682-150376115-512
sambaSID: S-1-5-21-1193905915-2343050682-150376115-2996
loginShell: /bin/false
gecos: Netbios Domain Administrator
shadowLastChange: 12774
sambaLMPassword: AF598E3F15CB888EAAD3B435B51404EE
sambaAcctFlags: [U]
sambaNTPassword: B2B95C13939D6D3C5FB2960E5C5D3655
sambaPwdLastSet: 1103800663
sambaPwdMustChange: 1107688663
sambaHomePath: \\haldaptest\Administrator

# nobody, users, test.de
dn: uid=nobody,ou=users,dc=test,dc=de
cn: nobody
sn: nobody
objectClass: inetOrgPerson
objectClass: sambaSAMAccount
objectClass: posixAccount
objectClass: shadowAccount
gidNumber: 514
uid: nobody
uidNumber: 999
homeDirectory: /dev/null
sambaPwdLastSet: 0
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
sambaPwdMustChange: 2147483647
sambaHomeDrive: X:
sambaProfilePath: \\haldaptest\profiles\nobody
sambaPrimaryGroupSID: S-1-5-21-1193905915-2343050682-150376115-514
sambaLMPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXX
sambaNTPassword: NO PASSWORDXXXXXXXXXXXXXXXXXXXXX
sambaAcctFlags: [NU ]
sambaSID: S-1-5-21-1193905915-2343050682-150376115-2998
loginShell: /bin/false
sambaHomePath: \\haldaptest\nobody

# Domain Admins, groups, test.de
dn: cn=Domain Admins,ou=groups,dc=test,dc=de
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 512
cn: Domain Admins
memberUid: Administrator
description: Netbios Domain Administrators
sambaSID: S-1-5-21-1193905915-2343050682-150376115-512
sambaGroupType: 2
displayName: Domain Admins

# Domain Users, groups, test.de
dn: cn=Domain Users,ou=groups,dc=test,dc=de
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 513
cn: Domain Users
description: Netbios Domain Users
sambaSID: S-1-5-21-1193905915-2343050682-150376115-513
sambaGroupType: 2
displayName: Domain Users
memberUid: user001

# Domain Guests, groups, test.de
dn: cn=Domain Guests,ou=groups,dc=test,dc=de
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 514
cn: Domain Guests
description: Netbios Domain Guests Users
sambaSID: S-1-5-21-1193905915-2343050682-150376115-514
sambaGroupType: 2
displayName: Domain Guests

# Print Operators, groups, test.de
dn: cn=Print Operators,ou=groups,dc=test,dc=de
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 550
cn: Print Operators
description: Netbios Domain Print Operators
sambaSID: S-1-5-32-550
sambaGroupType: 5
displayName: Print Operators

# Backup Operators, groups, test.de
dn: cn=Backup Operators,ou=groups,dc=test,dc=de
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 551
cn: Backup Operators
description: Netbios Domain Members can bypass file security to back up files
sambaSID: S-1-5-32-551
sambaGroupType: 5
displayName: Backup Operators

# Replicators, groups, test.de
dn: cn=Replicators,ou=groups,dc=test,dc=de
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 552
cn: Replicators
description: Netbios Domain Supports file replication in a sambaDomainName
sambaSID: S-1-5-32-552
sambaGroupType: 5
displayName: Replicators

# DSA, test.de
dn: ou=DSA,dc=test,dc=de
ou: DSA
description: security accounts for LDAP clients
objectClass: top
objectClass: organizationalUnit

# nssldap, DSA, test.de
dn: cn=nssldap,ou=DSA,dc=test,dc=de
objectClass: organizationalRole
objectClass: top
objectClass: simpleSecurityObject
cn: nssldap

# user001, users, test.de
dn: uid=user001,ou=users,dc=test,dc=de
objectClass: top
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: sambaSAMAccount
cn: user001
sn: user001
uid: user001
uidNumber: 1006
gidNumber: 513
homeDirectory: /home/user001
loginShell: /bin/bash
gecos: System User
description: System User
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
displayName: System User
sambaSID: S-1-5-21-1193905915-2343050682-150376115-3012
sambaPrimaryGroupSID: S-1-5-21-1193905915-2343050682-150376115-513
sambaLogonScript: user001.cmd
sambaProfilePath: \\haldaptest\profiles\user001
sambaHomeDrive: X:
sambaLMPassword: AF598E3F15CB888EAAD3B435B51404EE
sambaAcctFlags: [U]
sambaNTPassword: B2B95C13939D6D3C5FB2960E5C5D3655
sambaPwdLastSet: 1104744754
sambaPwdMustChange: 1108632754
sambaHomePath: \\haldaptest\user001

# TEST.DE, test.de
dn: sambaDomainName=TEST.DE,dc=test,dc=de
sambaDomainName: TEST.DE
sambaSID: S-1-5-21-1193905915-2343050682-150376115
sambaAlgorithmicRidBase: 1000
objectClass: sambaDomain

# win-client$, machines, test.de
dn: uid=win-client$,ou=machines,dc=test,dc=de
objectClass: top
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: sambaSamAccount
cn: win-client$
sn: win-client$
uid: win-client$
uidNumber: 1009
gidNumber: 515
homeDirectory: /dev/null
loginShell: /bin/false
description: Computer
gecos: Computer
sambaSID: S-1-5-21-1193905915-2343050682-150376115-3018
sambaPrimaryGroupSID: S-1-5-21-1193905915-2343050682-150376115-2031
displayName: WIN-CLIENT$
sambaPwdCanChange: 1104837536
sambaPwdMustChange: 2147483647
sambaNTPassword: 7972ABCDE068BE63221EB004BAF519A9
sambaPwdLastSet: 1104837536
sambaAcctFlags: [W ]


# ldapidmapsuffix, test.de
dn: ou=ldapidmapsuffix,dc=test,dc=de
gidNumber: 10000
uidNumber: 10000
ou: ldapidmapsuffix
objectClass: organizationalUnit
objectClass: sambaUnixIdPool

# search result
search: 2
result: 0 Success

# numResponses: 25
# numEntries: 24

sieht gut aus

wie sieht die smb.conf aus?
hast du smbpasswd -w gemacht?

greez

Hallo,

smbpasswd -w habe ich gemacht.


Hier die smb.conf:

[global]
unix charset = ISO8859-1
workgroup = test.de
server string = Samba+LDAP Server
interfaces = eth0
#bind interfaces only = Yes
security = user
client schannel = Yes
server schannel = Auto
map to guest = Bad User
passdb backend = ldapsam:ldaps://RECHNERNAME/
passwd program = /usr/local/sbin/smbldap-passwd "%u"
smb ports = 445 139 137
printcap cache time = 750
add user script = /usr/local/sbin/smbldap-useradd -m "%u"
add group script = /usr/local/sbin/smbldap-groupadd -p "%g"
add user to group script = /usr/local/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/local/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/local/sbin/smbldap-usermod -g "%g" "%u"
add machine script = /usr/local/sbin/smbldap-useradd -w "%u"
logon script = logon.cmd
logon path = \\%L\profiles\.msprofile
logon drive = X:
logon home = \\%L\%u
domain logons = yes
os level = 65
preferred master = yes
domain master = yes
wins support = Yes

log level = 9
log file = /var/log/samba/samba.log


# Ldap Suffix & Co.#
ldap suffix = dc=test,dc=de
ldap machine suffix = ou=machines
ldap user suffix = ou=users
ldap group suffix = ou=groups
ldap admin dn = cn=Manager,dc=test,dc=de
ldap ssl = no
ldap delete dn = Yes
valid users = nobody, root, Administrator
printer admin = @ntadmin, root, administrator
cups options = raw


[homes]
comment = Home Directories
valid users = %U
read only = No
inherit permissions = Yes
browseable = No

[profiles]
comment = Network Profiles Service
path = /home/samba/profiles
valid users = %U, '@Domain Admins'
force user = %U
read only = No
create mask = 0600
directory mask = 0700
profile acls = Yes
store dos attributes = Yes

[netlogon]
path = /home/samba/netlogon
write list = ntadmin
guest ok = Yes

[users]
comment = All users
path = /home
read only = No
inherit permissions = Yes

[groups]
comment = All groups
path = /home/groups
read only = No
inherit permissions = Yes

[alle]
comment = Allgemeine Freigabe
path = /data/alle
read only = no
inherit permissions = Yes

[ldap]
path = /home/ldap
read only = No
guest ok = Yes


MfG
Simcemilia

Unter Windows wird leider immer nur die SID der Gruppe angezeigt.
wo eigentlich genau? bei den securitiesettings auf ein file oder beim hinzufügen von domänengruppen zu einer liste?

erhöhe mal den loglevel und schau, was passiert, wenn du genau diese funktion aufrufst, die dir nur die liste der SIDs gibt

greez

Gute Morgen,

ich hab mir jetzt mal die Log Datei angeschaut was passiert wenn ich mir die Berechtigungen für einen Ordner unter Windows anzeigen lasse.
Werde aber leider aus dem Log nicht so richtig schlau.
Ich poste einfach mal die Fehlermeldungen:

<SCHNIPP>

[2005/01/06 09:43:51, 3] smbd/process.c:switch_message(886)
switch message SMBtconX (pid 2540) conn 0x0
[2005/01/06 09:43:51, 3] smbd/sec_ctx.c:set_sec_ctx(288)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2005/01/06 09:43:51, 5] auth/auth_util.c:debug_nt_user_token(486)
NT user token: (NULL)
[2005/01/06 09:43:51, 5] auth/auth_util.c:debug_unix_user_token(505)
UNIX token of user 0
Primary group is 0 and contains 0 supplementary groups
[2005/01/06 09:43:51, 5] smbd/uid.c:change_to_root_user(296)
change_to_root_user: now uid=(0,0) gid=(0,0)
[2005/01/06 09:43:51, 4] smbd/reply.c:reply_tcon_and_X(408)
Client requested device type [?????] for share [IPC$]
[2005/01/06 09:43:51, 5] smbd/service.c:make_connection(812)
making a connection to 'normal' service ipc$
[2005/01/06 09:43:51, 2] smbd/service.c:make_connection_snum(313)
user 'user002' (from session setup) not permitted to access this share (IPC$)
[2005/01/06 09:43:51, 3] smbd/error.c:error_packet(129)
error packet at smbd/reply.c(416) cmd=117 (SMBtconX) NT_STATUS_ACCESS_DENIED
[2005/01/06 09:43:51, 5] lib/util.c:show_msg(464)
[2005/01/06 09:43:51, 5] lib/util.c:show_msg(474)

<SCHNAPP>



<SCHNIPP>

[2005/01/06 09:43:51, 5] auth/auth_util.c:debug_nt_user_token(491)
NT user token of user S-1-5-21-1193905915-2343050682-150376115-3014
contains 5 SIDs
SID[ 0]: S-1-5-21-1193905915-2343050682-150376115-3014
SID[ 1]: S-1-5-21-1193905915-2343050682-150376115-513
SID[ 2]: S-1-1-0
SID[ 3]: S-1-5-2
SID[ 4]: S-1-5-11
[2005/01/06 09:43:51, 5] auth/auth_util.c:debug_unix_user_token(505)
UNIX token of user 1007
Primary group is 513 and contains 1 supplementary groups
Group[ 0]: 513
[2005/01/06 09:43:51, 5] smbd/uid.c:change_to_user(281)
change_to_user uid=(1007,1007) gid=(0,513)
[2005/01/06 09:43:51, 3] smbd/trans2.c:call_trans2qfilepathinfo(2349)
call_trans2qfilepathinfo: TRANSACT2_QPATHINFO: level = 1004
[2005/01/06 09:43:51, 5] smbd/filename.c:unix_convert(108)
unix_convert called on file "NTMARTA.DLL"
[2005/01/06 09:43:51, 5] smbd/filename.c:unix_convert(179)
unix_convert begin: name = NTMARTA.DLL, dirpath = , start = NTMARTA.DLL
[2005/01/06 09:43:51, 5] smbd/filename.c:unix_convert(328)
New file NTMARTA.DLL
[2005/01/06 09:43:51, 3] smbd/trans2.c:call_trans2qfilepathinfo(2374)
call_trans2qfilepathinfo: SMB_VFS_STAT of NTMARTA.DLL failed (No such file or directory)
[2005/01/06 09:43:51, 3] smbd/error.c:error_packet(105)
error string = No such file or directory
[2005/01/06 09:43:51, 3] smbd/error.c:error_packet(129)
error packet at smbd/trans2.c(2245) cmd=50 (SMBtrans2) NT_STATUS_OBJECT_NAME_NOT_FOUND
[2005/01/06 09:43:51, 5] lib/util.c:show_msg(464)
[2005/01/06 09:43:51, 5] lib/util.c:show_msg(474)

<SCHNAPP>

<SCHNIPP>

[2005/01/06 09:43:51, 3] smbd/process.c:switch_message(886)
switch message SMBtrans2 (pid 2540) conn 0x8403868
[2005/01/06 09:43:51, 4] smbd/uid.c:change_to_user(194)
change_to_user: Skipping user change - already user
[2005/01/06 09:43:51, 3] smbd/trans2.c:call_trans2qfilepathinfo(2349)
call_trans2qfilepathinfo: TRANSACT2_QPATHINFO: level = 1004
[2005/01/06 09:43:51, 5] smbd/filename.c:unix_convert(108)
unix_convert called on file "WINSPOOL.DRV"
[2005/01/06 09:43:51, 5] smbd/filename.c:unix_convert(179)
unix_convert begin: name = WINSPOOL.DRV, dirpath = , start = WINSPOOL.DRV
[2005/01/06 09:43:51, 5] smbd/filename.c:unix_convert(328)
New file WINSPOOL.DRV
[2005/01/06 09:43:51, 3] smbd/trans2.c:call_trans2qfilepathinfo(2374)
call_trans2qfilepathinfo: SMB_VFS_STAT of WINSPOOL.DRV failed (No such file or directory)
[2005/01/06 09:43:51, 3] smbd/error.c:error_packet(105)
error string = No such file or directory
[2005/01/06 09:43:51, 3] smbd/error.c:error_packet(129)
error packet at smbd/trans2.c(2245) cmd=50 (SMBtrans2) NT_STATUS_OBJECT_NAME_NOT_FOUND
[2005/01/06 09:43:51, 5] lib/util.c:show_msg(464)
[2005/01/06 09:43:51, 5] lib/util.c:show_msg(474)

<SCHNAPP>

<SCHNIPP>

[2005/01/06 09:43:51, 3] smbd/process.c:switch_message(886)
switch message SMBtrans2 (pid 2540) conn 0x8403868
[2005/01/06 09:43:51, 4] smbd/uid.c:change_to_user(194)
change_to_user: Skipping user change - already user
[2005/01/06 09:43:51, 3] smbd/trans2.c:call_trans2qfilepathinfo(2349)
call_trans2qfilepathinfo: TRANSACT2_QPATHINFO: level = 1004
[2005/01/06 09:43:51, 5] smbd/filename.c:unix_convert(108)
unix_convert called on file "NTDSAPI.dll"
[2005/01/06 09:43:51, 5] smbd/filename.c:unix_convert(179)
unix_convert begin: name = NTDSAPI.dll, dirpath = , start = NTDSAPI.dll
[2005/01/06 09:43:51, 5] smbd/filename.c:unix_convert(328)
New file NTDSAPI.dll
[2005/01/06 09:43:51, 3] smbd/trans2.c:call_trans2qfilepathinfo(2374)
call_trans2qfilepathinfo: SMB_VFS_STAT of NTDSAPI.dll failed (No such file or directory)
[2005/01/06 09:43:51, 3] smbd/error.c:error_packet(105)
error string = No such file or directory
[2005/01/06 09:43:51, 3] smbd/error.c:error_packet(129)
error packet at smbd/trans2.c(2245) cmd=50 (SMBtrans2) NT_STATUS_OBJECT_NAME_NOT_FOUND
[2005/01/06 09:43:51, 5] lib/util.c:show_msg(464)
[2005/01/06 09:43:51, 5] lib/util.c:show_msg(474)

<SCHNAPP>

<SCHNIPP>

[2005/01/06 09:43:51, 3] smbd/process.c:switch_message(886)
switch message SMBnttrans (pid 2540) conn 0x8403868
[2005/01/06 09:43:51, 4] smbd/uid.c:change_to_user(194)
change_to_user: Skipping user change - already user
[2005/01/06 09:43:51, 3] smbd/nttrans.c:call_nt_transact_query_security_desc(190 9)
call_nt_transact_query_security_desc: file = Documents
[2005/01/06 09:43:51, 5] smbd/posix_acls.c:get_nt_acl(2693)
get_nt_acl : file ACL present, directory ACL absent
[2005/01/06 09:43:51, 3] passdb/lookup_sid.c:fetch_sid_from_uid_cache(159)
fetch sid from uid cache 1007 -> S-1-5-21-1193905915-2343050682-150376115-3014
[2005/01/06 09:43:51, 3] passdb/lookup_sid.c:fetch_sid_from_gid_cache(233)
fetch sid from gid cache 513 -> S-1-5-21-1193905915-2343050682-150376115-513
[2005/01/06 09:43:51, 3] smbd/nttrans.c:call_nt_transact_query_security_desc(193 4)
call_nt_transact_query_security_desc: sd_size = 120.
[2005/01/06 09:43:51, 3] smbd/error.c:error_packet(105)
error string = No data available
[2005/01/06 09:43:51, 3] smbd/error.c:error_packet(129)
error packet at smbd/nttrans.c(102) cmd=160 (SMBnttrans) NT_STATUS_BUFFER_TOO_SMALL
[2005/01/06 09:43:51, 6] lib/util_sock.c:write_socket(449)
write_socket(5,82)
[2005/01/06 09:43:51, 6] lib/util_sock.c:write_socket(452)
write_socket(5,82) wrote 82
[2005/01/06 09:43:51, 6] smbd/process.c:process_smb(1090)
got message type 0x0 of len 0x54
[2005/01/06 09:43:51, 3] smbd/process.c:process_smb(1091)
Transaction 2069 of length 88
[2005/01/06 09:43:51, 5] lib/util.c:show_msg(464)
[2005/01/06 09:43:51, 5] lib/util.c:show_msg(474)

<SCHNAPP>


MfG
Simcemilia

es gibt einen error beim connect zur IPC$ share

hast du den user nobody noch in den systemfiles stehen? (/etc/passwd, /etc/group) ?

NSS sucht zuerst dort, und ich vermute, wenn das mapping zwischen dessen uidnumber und der im ldap nicht stimmt, kommt es zu fehlern

=> nobody im system umbenennen (bsp nobody1) und alle dienste (außer samba), die darauf zugreifen anpassen - bei mir war es postfix

greez

Hallo,

Ja der User nobody stand noch in den systemfiles.

Habe ihn jetzt in der pass und group auf nobody1 angeändert.
In der smb.conf habe ich auch nobody1 eingetragen.
Dann kann ich mich allerdings nicht mehr an der Domäne anmelden.

Lasse ich ihn in der smb.conf auf nobody stehen, kann ich mich zwar anmelden,
aber das groupmapping klappt immer noch nicht.

PS: Hat es was zu sagen, das nobody1 unter yast nicht mehr als systembenutzer,
sonder als normaler benutzer auftaucht?


MfG
Simcemilia

In der smb.conf habe ich auch nobody1 eingetragen.
falsch


Lasse ich ihn in der smb.conf auf nobody stehen, kann ich mich zwar anmelden,
aber das groupmapping klappt immer noch nicht.
loglevel erhöhen und posten


PS: Hat es was zu sagen, das nobody1 unter yast nicht mehr als systembenutzer,
sonder als normaler benutzer auftaucht?
/etc/group muss so aussehen


...
nobody:x:65533:
nogroup:x:65534:nobody1
...


ps: hast du dein filesystem mit acl support gemountet?

greez

Hallo

Den Eintag für nobody hab ich nun geändert.

Der FSTAB - Eintrag für mein Filesystem sieht folgendermaßen aus:

/dev/sda2 / reiserfs acl,user_xattr 1 1

In den logs tauchen jetzt nach zwei Fehlermeldungen auf:

<SCHNIPP>

[2005/01/06 14:37:42, 3] smbd/process.c:switch_message(886)
switch message SMBtconX (pid 4109) conn 0x0
[2005/01/06 14:37:42, 3] smbd/sec_ctx.c:set_sec_ctx(288)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2005/01/06 14:37:42, 5] auth/auth_util.c:debug_nt_user_token(486)
NT user token: (NULL)
[2005/01/06 14:37:42, 5] auth/auth_util.c:debug_unix_user_token(505)
UNIX token of user 0
Primary group is 0 and contains 0 supplementary groups
[2005/01/06 14:37:42, 5] smbd/uid.c:change_to_root_user(296)
change_to_root_user: now uid=(0,0) gid=(0,0)
[2005/01/06 14:37:42, 4] smbd/reply.c:reply_tcon_and_X(408)
Client requested device type [?????] for share [IPC$]
[2005/01/06 14:37:42, 5] smbd/service.c:make_connection(812)
making a connection to 'normal' service ipc$
[2005/01/06 14:37:42, 2] smbd/service.c:make_connection_snum(313)
user 'user003' (from session setup) not permitted to access this share (IPC$)
[2005/01/06 14:37:42, 3] smbd/error.c:error_packet(129)
error packet at smbd/reply.c(416) cmd=117 (SMBtconX) NT_STATUS_ACCESS_DENIED
[2005/01/06 14:37:42, 5] lib/util.c:show_msg(464)
[2005/01/06 14:37:42, 5] lib/util.c:show_msg(474)

<SCHNAPP>

<SCHNIPP>

[2005/01/06 14:37:42, 3] smbd/process.c:switch_message(886)
switch message SMBnttrans (pid 4109) conn 0x83f5318
[2005/01/06 14:37:42, 4] smbd/uid.c:change_to_user(194)
change_to_user: Skipping user change - already user
[2005/01/06 14:37:42, 3] smbd/nttrans.c:call_nt_transact_query_security_desc(190 9)
call_nt_transact_query_security_desc: file = Documents
[2005/01/06 14:37:42, 5] smbd/posix_acls.c:get_nt_acl(2693)
get_nt_acl : file ACL present, directory ACL absent
[2005/01/06 14:37:42, 3] passdb/lookup_sid.c:fetch_sid_from_uid_cache(159)
fetch sid from uid cache 1010 -> S-1-5-21-1193905915-2343050682-150376115-3020
[2005/01/06 14:37:42, 3] passdb/lookup_sid.c:fetch_sid_from_gid_cache(233)
fetch sid from gid cache 513 -> S-1-5-21-1193905915-2343050682-150376115-513
[2005/01/06 14:37:42, 3] smbd/nttrans.c:call_nt_transact_query_security_desc(193 4)
call_nt_transact_query_security_desc: sd_size = 120.
[2005/01/06 14:37:42, 3] smbd/error.c:error_packet(105)
error string = No data available
[2005/01/06 14:37:42, 3] smbd/error.c:error_packet(129)
error packet at smbd/nttrans.c(102) cmd=160 (SMBnttrans) NT_STATUS_BUFFER_TOO_SMALL
[2005/01/06 14:37:42, 6] lib/util_sock.c:write_socket(449)
write_socket(25,82)
[2005/01/06 14:37:42, 6] lib/util_sock.c:write_socket(452)
write_socket(25,82) wrote 82
[2005/01/06 14:37:42, 6] smbd/process.c:process_smb(1090)
got message type 0x0 of len 0x54
[2005/01/06 14:37:42, 3] smbd/process.c:process_smb(1091)
Transaction 2216 of length 88
[2005/01/06 14:37:42, 5] lib/util.c:show_msg(464)
[2005/01/06 14:37:42, 5] lib/util.c:show_msg(474)

<SCHNAPP>

Diese tauchen auch mehrmals auf.

MfG
Simcemilia

kannst du am PDC folgendes machen?
(samba muss auf localhost "hören")

mount -t smbfs //localhost/IPC$ /mnt -ousername=nobody

bei passwort einfach enter drücken
nobody ist der guest account, den du ja im ldap stehen hast und den samba standardmässig verwendet

es sollte etwas wie ok erscheinen, aber kein error

greez

Hallo

Ja das klappt problemlos.
In der Ausgabe taucht dann folgendes auf:

Anonymous login successful

Desweiteren taucht die gemountete Freigabe nach Eingabe von mount auch auf.

MfG
Simcemilia

wie sehen die unixrechte auf

/home/samba/netlogon

aus?

greez

Hallo,

drwxr-xr-x 4 root root 96 Dec 20 16:27 .
drwxr-xr-x 12 root root 304 Jan 4 13:19 ..
drwxr-xr-x 2 root root 80 Jan 4 14:54 netlogon
drwxrwxrwt 8 root root 208 Jan 6 11:47 profiles


MfG
Simcemilia

was gibt "id nobody" aus?

greez

Hallo,

id nobody gibt folgendes aus:

uid=999(nobody) gid=514(Domain Guests) groups=514(Domain Guests)


MfG
Simcemilia

wo eigentlich genau? bei den securitiesettings auf ein file oder beim hinzufügen von domänengruppen zu einer liste?

erhöhe mal den loglevel und schau, was passiert, wenn du genau diese funktion aufrufst, die dir nur die liste der SIDs gibt

greez

Hallo,

beim Hinzufügen von securitiesettings auf einen Ordner werden mir alle Gruppen korrekt aufgelistet.
Ich kann dann auch z.b die Gruppe Domain Admins für den Ordner hinzufügen.
Öffne ich dann allerdings die Einstellungen für den Ordner erneut, werden wieder nur die SID's angezeit.

BTW: Der Befehl net usersidlist gibt mir nur einen Fehler zurück. Hat das vielleicht irgendwas damit zu tun?

MfG
Simcemilia

öhm,

schonmal an windbind bei fileservices gedacht ;) ?

greez

Zitat:
In der smb.conf sind auch die Idmap Einträge vorhanden
ldap idmap suffix = ou=ldapidmapsuffix,dc=test,dc=de
idmap gid = 100 - 1000

>>sind für den PDC/BDC irrelevant, da winbind spezifisch

>>desweiteren darf die range nicht mit lokalen ranges kollidieren

>>bei mir im ldap sieht die idmap ou so aus

greez

Hallo,

dieser winbindd gibt mir noch Rätsel auf.
Ohne die idmap Einträge in der smb.conf started dieser nicht.
Hab ihm deswegen folgende Einträge in der smb.conf gemacht:

idmap backend = ldap:ldaps://RECHNERNAME
ldap idmap suffix = ou=ldapidmapsuffix
idmap uid = 10000-20000
idmap gid = 10000-20000

allerdings funkltioniert das groupmapping immer noch nicht.

MfG
Simcemilia

Ja, der Winbind ist schon lustig. Vor allem in größeren Umgebungen bekommt man ab und zu graue Haare...
Was mir bei der Namensauflösung immer wieder einfällt:
- steht der winbind bei "passwd" und "group" in der nsswitch.conf drin?
- läuft evtl. der "nscd" (beißt sich mit dem winbind)
Ich weiß nicht ob das notwendig ist wenn der Samba als PDC läuft - als AD MemberServer muß das zumindest sein.

ciao

Michael

ok, nochmal zur klarstellung:

ich habe übereilt geschrieben und vergessen, dass du einen PDC mit fileservices betreibst

auf einen PDC gehört kein winbindd

nsswitch muss nur files und ldap enthalten
auf einem fileserver muss winbind laufen, zusätzlich kann man noch nscd nehmen, wobei man aber an den caching-zeiten schrauben sollte

langsam bin ich mit meinem latein aber hier am ende - ich wüsste nicht, wo man noch was ändern musste - remote muss ich also kapitulieren

das ACCESS DENIED in den logs für die IPC$ share gefällt mir aber nicht

greez

Hallo,

ich habe es endlich hinbekommen.
Allerdings weiß ich immer noch nicht so recht wieso es jetzt geht.
Ich habe alle Gruppen aus dem LDAP - Verzeichnis gelöscht und neu angelegt.
Danach wurden mir auch die Gruppen unter Windows angezeit.
Der Witz an der Sache ist, dass ich die Gruppen genau so angelegt habe, wie sie vorher waren.
Allerdings haben die smbldap-tools die vorherigen Gruppen angelegt.

Danke an alle die mir geholfen haben, vorallem emba!
Die nächsten Fragen kommen bestimmt

;)

MfG
Simcemilia