PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Domain-Anmeldung mit Samba 3 als PDC + LDAP nicht möglich



slg2001
14.03.05, 22:26
Hallo,

mein Problem ist die DOMAIN-ANMELDUNG der Win XP und 2k Clients!

Der LDAP-Server legt zwar ein Maschinen-Konto an, aber bei der Domain-Anmeldung sucht er immer unter dem OU=People! Ich weiß nicht warum, er diesen nicht im OU=Machines sucht!


Maschinen-Konto von LDAP:

dn: uid=zion-2-0$,ou=Machines, dc=intranet.xxxxxxxx,dc=xxx
sn: zion-2-0$
loginShell: /bin/false
uidNumber: 1001
gidNumber: 515
objectClass: top
objectClass: inetOrgPerson
objectClass: posixAccount
uid: zion-2-0$
gecos: Computer
cn: zion-2-0$
homeDirectory: /dev/null
description: Computer


Angaben zum Server:
Suse 9.1 Kernel 2.6.5-7.147-default
samba-3.0.9-2.6
pam_ldap-169-24
openldap2-2.2.6-37.31
nss_ldap-215-55
openldap2-client-2.2.6-34


Auf TIPPS wie googlen oder forum-suche kann ich verzichten!

THX
slg2001

slg2001
15.03.05, 10:19
Die Domain-Anmeldung funktioniert jetzt! Nachdem ich folgende Zeilen in die /etc/ldap.conf eingefügt habe.

nss_base_passwd dc=intranet.XXXXXXXX,dc=com?sub
nss_base_shadow dc=intranet.XXXXXXXX,dc=com?sub
nss_base_group ou=Group,dc=intranet.XXXXXXXX,dc=com?one

Doch jetzt gilt es das nächste Problem zu lösen, nämlich die Anmeldung der Clients.

Windows spuckt folgende Fehlermeldung aus:
"Sie konnten nicht angemeldet werden. Überprüfen Sie Benutzername und Domäne, und geben Sie das Kennwort erneut ein. Bei Kennwörtern wird die Groß-/Kleinschreibung beachten."

Als Anlage ist noch das Log-File von LDAP.

Hier ist ein Auszug vom Ldap-Log, wo ich meine das der Fehler liegt! Aber leider dafür noch keine Lösung habe und hoffe auf eure HILFE.
--------------------------------- cut ---------------------------------
Mar 15 09:42:04 burnstation slapd[9209]: conn=26 op=0 BIND dn="cn=Manager,dc=intranet.xxxxxxxxxx,dc=xxx" method=128
Mar 15 09:42:04 burnstation slapd[9209]: conn=26 op=0 RESULT tag=97 err=53 text=unauthenticated bind (DN with no password) disallowed
Mar 15 09:42:04 burnstation smbd[9268]: [2005/03/15 09:42:04, 1] auth/auth_util.c:make_server_info_sam(822)
Mar 15 09:42:04 burnstation smbd[9268]: User Administrator in passdb, but getpwnam() fails!
Mar 15 09:42:04 burnstation smbd[9268]: [2005/03/15 09:42:04, 0] auth/auth_sam.c:check_sam_security(312)
Mar 15 09:42:04 burnstation smbd[9268]: check_sam_security: make_server_info_sam() failed with 'NT_STATUS_NO_SUCH_USER'
Mar 15 09:42:04 burnstation smbd[9268]: [2005/03/15 09:42:04, 2] auth/auth.c:check_ntlm_password(312)
Mar 15 09:42:04 burnstation smbd[9268]: check_ntlm_password: Authentication for user [Administrator] -> [Administrator] FAILED with error NT_STATUS_NO_SUCH_USER
--------------------------------- cut ---------------------------------


THX
slg2001

mamue
15.03.05, 10:31
Hast Du mit "smbpasswd -w" das Kennwort des ldap-Admin samba bekanntgemacht?

mamue

slg2001
15.03.05, 10:40
Servus mamue,

das habe ich gemacht. Denn sonst würde doch der Beitritt zur DOMAIN nicht funktionieren! ODER?

gruß
slg2001

mamue
15.03.05, 11:02
Ich sehe in dem logfile:
dn="cn=Manager,dc=intranet.xxxxxxxxxx,dc=xxx" method=128
Mar 15 09:42:04 burnstation slapd[9209]: conn=26 op=0 RESULT tag=97 err=53 text=unauthenticated bind
__(DN with no password) disallowed__
Wonach sieht denn das für Dich aus? Ich jedenfalls übersetze mal "no password" mit "kein Kennwort gesetzt".

mamue

slg2001
15.03.05, 11:31
Danke!
Habe in der /etc/ldap.conf das bindpw {SSHA}PASSWORD eingetragen. Somit ist die erste Fehlermeldung beseitigt! Aber das war leider nicht der letzte.

Als Anlage ist das komplette logfile von ldap hinterlegt. Hier nur ein cut, wo ich meine, dass das Prob liegt!

-------------------------------- cut --------------------------------
Mar 15 11:06:54 burnstation slapd[9490]: conn=6 fd=15 ACCEPT from IP=192.168.123.201:2152 (IP=0.0.0.0:389)
Mar 15 11:06:54 burnstation slapd[9490]: conn=6 op=0 BIND dn="cn=Manager,dc=intranet.xxxxxxx,dc=xxx" method=128
Mar 15 11:06:54 burnstation slapd[9490]: conn=6 op=0 RESULT tag=97 err=48 text=
Mar 15 11:06:54 burnstation smbd[9509]: [2005/03/15 11:06:54, 1] auth/auth_util.c:make_server_info_sam(822)
Mar 15 11:06:54 burnstation smbd[9509]: User Administrator in passdb, but getpwnam() fails!
Mar 15 11:06:54 burnstation smbd[9509]: [2005/03/15 11:06:54, 0] auth/auth_sam.c:check_sam_security(312)
Mar 15 11:06:54 burnstation smbd[9509]: check_sam_security: make_server_info_sam() failed with 'NT_STATUS_NO_SUCH_USER'
Mar 15 11:06:54 burnstation smbd[9509]: [2005/03/15 11:06:54, 2] auth/auth.c:check_ntlm_password(312)
Mar 15 11:06:54 burnstation smbd[9509]: check_ntlm_password: Authentication for user [administrator] -> [administrator] FAILED with error NT_STATUS_NO_SUCH_USER
-------------------------------- cut --------------------------------

gruß
slg2001

emba
15.03.05, 22:18
hast du die smbldap-tools verwendet?
ist der administrator deaktiviert?
was sagt ein getent passwd?

greez

slg2001
16.03.05, 09:31
Danke!

Endlich habe ich es hinbekommen! Jetzt muss ich nur noch SSL aktivieren und dann ist alles gut!

Habe nur das inder /etc/ldap.conf das "binddn" auskommentiert und somit hat auch schon alles geklappt!

slg2001

emba
16.03.05, 12:37
SSL aktivierst du meist über die uri bzw. ldap einträge in der smb.conf

bsp:

URI ldaps://host:636 (NSS)
idmap backend = ldap:ldaps://host:636 (smb.conf)

greez

slg2001
16.03.05, 15:09
Dazu muss ich doch erst noch Zertifikate für den Server und die Clients erstellen?

slg2001

emba
16.03.05, 16:26
ein zertifikat für den server reicht - clientbasierte authentifizierung machen wir bspw. nicht

greez