PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Problem mit Anmelden an Domain



ThoKre
23.02.05, 17:02
Hallo Forum,

ich habe nun schon sämtliche Beiträge hier zum Thema Ldap + Samba3 gelesen.
Keiner hat mir bis jetzt so richtig weiter geholfen.

Installiert sind:

SuSE 9.1
Samba 3.0.9
Openldap 2.2.6

conf-Dateienen:

ldap.conf



HOST 10.10.10.1
BASE dc=wr,dc=local

port 389

ssl No
pam_password MD5

nss_base_passwd dc=wr,dc=local?sub
nss_base_shadow dc=wr,dc=local?sub
nss_base_group ou=Groups,dc=wr,dc=local?one



slapd.conf



include /etc/openldap/schema/core.schema
include /etc/openldap/schema/cosine.schema
include /etc/openldap/schema/inetorgperson.schema
include /etc/openldap/schema/nis.schema
include /etc/openldap/schema/samba3.schema

database ldbm
directory /var/lib/ldap

suffix "dc=wr,dc=local"
rootdn "cn=LdapManager,dc=wr,dc=local"
rootpw xxxxxxxx


nsswitch.conf



passwd: files ldap
shadow: files ldap
group: files ldap


smb.conf




workgroup= WR
server string = Domaincontroller - Samba %v
netbios name = SERVERPDC
os level = 65
sevurity = user
domain master = yes
domain logons = yes
wins support = yes

ldap passwd sync = yes
ldap suffix = dc=wr,dc=local
passdb backend = ldapsam:ldap://127.0.0.1
ldap admin dn = cn=LdapManager,dc=wr,dc=local
ldap user suffix = ou=Users
ldap group suffix = ou=Groups
ldap machine suffix = ou=Computers
ldap ssl = no


Nur Ausschnitt asu smb.conf

wr.ldif



dn: dc=wr,dc=local
o: WR
objectClass: organization


groups.ldif


dn: ou=Users,dc=wr,dc=local
cn: Users
objectClass: organizationalUnit

dn: ou=Groups,dc=wr,dc=local
cn: Groups
objectClass: organizationalUnit

dn: ou=Computerss,dc=wr,dc=local
cn: Computers
objectClass: organizationalUnit


domaingroups.ldif


dn: cn=Domain Admins,ou=Groups,dc=wr,dc=local
cn: Domain Admins
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 512
sambaGroupType: 2

dn: cn=Domain Users,ou=Groups,dc=wr,dc=local
cn: Domain Users
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 513
sambaGroupType: 2

dn: cn=Domain Guests,ou=Groups,dc=wr,dc=local
cn: Domain Guests
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 514
sambaGroupType: 2

dn: cn=Domain Computers,ou=Groups,dc=wr,dc=local
cn: Domain Computers
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 553
sambaGroupType: 2



admin.ldif


dn: uid=administrator,ou=Users,dc=wr,dc=local
cn: administrator
uid: administrator
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: sambaSamAccount
objectClass: shadowAccount
uidNumber: 0
gidNumber: 512
homeDirectory: /tmp
loginShell: /bin/false
sn: administrator


thohei.ldif


dn: uid=thohei,ou=Users,dc=wr,dc=local
cn: thohei
uid: thohei
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: sambaSamAccount
objectClass: shadowAccount
uidNumber: 600
gidNumber: 513
homeDirectory: /tmp
loginShell: /bin/basch
sn: thohei


nb01.ldif


dn: uid=nb01$,ou=Computers,dc=wr,dc=local
cn: nb01$
uid: nb01$
objectClass: top
objectClass: device ---> Sonst lässt sich der EIntrag nicht einfügen
objectClass: posixAccount
objectClass: sambaSamAccount
uidNumber: 700
gidNumber: 553
sn: nb01


Ldap gestartet, Samba gestartet und smbpasswd -w xxxxx ausgeführt

stored password for "cn=LdapManager,dc=wr,dc=local" in secrets.tdb

Alle ldif-Files mit ldapadd -f datei -x -D "cn=LdapManager,dc=wr,dc=local" -W
eingetragen.

smbpasswd administrator
smbpasswd thohei

Nun wollte ich mich mit dem Notebook nb01 --> WinXP + SP2 der Domäne beitreten.

Benutzer: administrator
Kennwort: xxxxxxxx
Domäne: WR

Leider kommt diese Fehlermeldung:

Der Computer konnte der Domäne nicht hinzugefügt werden, da folgender Fehler aufgetreten ist:

Anmeldung fehlgeschlagen: unbekannter Benutzername oder falsches Kennwort

In /var/log/messages steht:

dann folgender Fehler:


auth/auth_sam_c:check_sam_security(312)
check_sam_security: make_server_info_sam() failed with "NT_STATUS_NO_SUCH_USER"


ALso den USer administrator findet er. Sagt die Log. Also kann er ja wieder die Workstation nicht finden, aber in der Suchreinfolge in der smb.conf ist es aber so korrekt eingetragen.

Hat jemand vielleicht eine Idee?

Fly
23.02.05, 18:06
Für mich sieht es so aus, als ob "add machine script" im smb.conf fehlt.

ThoKre
23.02.05, 18:12
Das ist richtig, da ich nicht die smbldap-tools benutze.

Deshalb habe ich es weg gelassen, und den Rechner per Hand (über ldif-Datei) in LDAP eingetragen.

Oder muss trotzdem das "add machine script" rein?

Fly
23.02.05, 22:05
Schau dir das hier (http://www.linuxforen.de/forums/showthread.php?t=114166&highlight=samba+dom%E4ne) an. Ev hilft dir das...

mamue
24.02.05, 08:46
Ich nutze zumindest auf einem Server die smbldap-tools auch nicht.
Kannst Du mal überprüfen, ob der windows-host einen passwd eintrag hat:
getent passwd nb01$
oder
getent passwd| grep nb01
Ich weiß nicht, was mit dem Dollar-zeichen in der shell passiert.
Ansonsten erhöhe mal leicht den loglevel in der smb.conf, das geht auch getrennt nur für die Authentifizierung.
Du hast sicherlich daran gedacht, in der /etc/security/pam_unix2.conf
so etwas wie


auth: use_ldap nullok
account: md5 use_ldap nullok
password: use_ldap
session: none

einzutragen, oder?

HTH,
mamue

ThoKre
24.02.05, 09:41
So jetzt bin ich dem Fehler schon etwas näher.

Also getent passwd nb01$ gibt nichts aus.

getent passwd gibt nur die normalen Unix Benutzer aus, aber nicht die im LDAP stehen.

@mamue
ich habe das nicht gemacht. Aber jetzt! Mit dem erfolg, wenn ich als normaler User angemeldet bin am Linux-Rechner und in der Konsole su root mache ignoriert er das Passwort.

@Fly
Die Einstellung hat das Problem auch nicht behoben.

mamue
24.02.05, 17:25
So jetzt bin ich dem Fehler schon etwas näher.

Also getent passwd nb01$ gibt nichts aus.

getent passwd gibt nur die normalen Unix Benutzer aus, aber nicht die im LDAP stehen.

@mamue
ich habe das nicht gemacht. Aber jetzt! Mit dem erfolg, wenn ich als normaler User angemeldet bin am Linux-Rechner und in der Konsole su root mache ignoriert er das Passwort.

Das sollte so nicht passieren. Jedenfalls ist das nicht das Verhalten bei meinem SuSE9.1 System. su root fordert natürlich noch das root passwort von mir.

mamue

ThoKre
24.02.05, 18:25
Ist aber leider so.

So ich habe jetzt mal einen Benutzer root im LDAP angelegt.

Und siehe da ich kann mich als root an der Domäne anmelden bzw. überhaupt erstmal der Domäne beitreten.

Wenn ich mich jetzt aber als User anmelden möchte, sagt er mir das die Domäne nicht verfügbar ist.

Jetzt kann ich vom Windows Rechner nicht mal mehr in die Netzwerkumgebung schauen.

Fehler: Sie haben eventuell keine Berechtigung.

Ich begreife das nicht ganz.

mamue
24.02.05, 20:34
Du hast sicherlich die fehlenden Attribute bei den usern ergänzt, etwa durch smbpasswd -a thohei oder smbpasswd -a administrator, oder?
Wenn Du mit "ldapsearch -D cn=...Der Manager halt.. -x -W uid=administrator " suchst, werden auch das lmpassword und das ntpassword (?) angezeigt?
Dann erhöhe doch bitte mal den loglevel sowohl vom slapd auf "search filter processing" als auch den vom smbd auf 2. Im logfile (/var/log/messages) müsste vom slapd stehen, was gesucht aber nicht gefunden wurde und der smbd müsste in sein log schreiben, was genau daneben ging.

mamue

ThoKre
25.02.05, 10:00
So ich habe es jetzt geschafft.

Ich habe mit Yast die Benutzerverwaltung mit LDAP-Konfiguriert und diehe da, es hat alles funktioniert.

@mamue
Ich habe dann mal in die pam_unix2.conf geschaut und er hat überall
use_ldap reingeschrieben. Außer session das ist auf none geblieben.

In der nsswitch.conf hat er meine einträge folgendermaßen geändert:

vorher:

passwd: files ldap
shadow: files ldap
group: files ldap

geändert:

passwd: compat
shadow: files ldap
group: files ldap

So nun werde ich das ganze nochmal per Hand machen, und hoffe das es funktioniert. Wenn nicht weiß ich ja wie ich es hin bekomme.

Ich danke trotzdem allen.