PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : samba 3 in win2k domain



elxdio
07.04.05, 20:21
moin

ich hab ein ähnliches problem wie im thread "Windows 2003 Server (ADS) Samba 3 unter SuSE 9.2", wollte mich aber nicht dort anschliessen, weil es dann ein wenig unübersichtlicht geworden wäre.

nun meine situation:
auf einem debian 3.1 rechner installierte ich samba 3.0.10 mit ldap und kerberos unterstützung.

dann konfigurierte ich den kerberos client /etc/krb5.conf


[libdefaults]
default_realm = TUX.IN

[realm]
TUX.IN = {
kdc = young.tux.in
}

[domain_realm]
.young.tux.in = TUX.IN
dylan:/etc/samba#
dylan:/etc/samba#

teste dies dann mit kini erfolgreich

anschliessend versuchte ich mit "net ads join -UAdministrator" an die domäne zuhängen. ging auch und der samba server war nun in ads zu sehen.

dann führte ich "wbinfo -u" & "wbinf -g" & "getent passwd" & "getnet group" & "net ads info" & "net ads status -UAdministrator" dies ging alles ohne problem.

versuche ich aber jetzt von der windows welt aus auf den server zuzugreiffen, kommt immer eine login fenter (wo ich mich mit keinem user anmelden kann)


also was ich möchte, ist auf den samba server shares für die ad user zuerstellen und dann auch die entsprechenden berechtigeungen setzen. was muss man das noch einrichten/ konfigurieren damit das funtioniert ?



# smb.conf
[global]
unix charset = LOCALE
workgroup = TUX
realm = TUX.IN
server string = Samba Server
security = ADS
username map = /etc/samba/smbusers
log level = 1
syslog = 0
log file = /var/log/samba/%m
max log size = 50
printcap name = CUPS
ldap ssl = no
idmap uid = 10000-20000
idmap gid = 10000-20000
template primary group = "Domain Users"
template shell = /bin/bash
winbind separator = +

[homes]
comment = Home Directories
valid users = %S
read only = No
browseable = No

[pub]
comment = public folder
path = /data/pub
browseable = yes
guest ok = yes



bye elxdio

emba
08.04.05, 08:33
auf pub müsstest du doch mit einer null session kommen, oder?

es kann hilfreich sein, beim valid users parameter die domäne (DOM+user bzw. DOM\user) voranzustellen

greez

elxdio
08.04.05, 13:51
hab jetzt folgende änderung vorgenommen


[pub]
comment = public folder
path = /data/pub
browseable = yes
guest ok = yes
valid users = TUX\Administrator

und mit dem domain administrator versucht auf "\\server\pub" zuzugreifen,
ginig aber wieder nicht. es serschien nur die windown fehlermedung "Die DAtei oder Das Objekt "\\server\pub" wurde nicht gefunden."

an was könnte das noch liegen?

emba
08.04.05, 14:09
mach erst einmal auf dem linux server

smbclient -L \\\\<netbiosname_des_servers>

beim passwort drückst du einfach nur enter
dann wirst du sehen, ob du überhaupt connecten kannst
da pub public ist, sollte es angezeigt werden

wenn das klappt, dann mach

smbclient -L \\\\<netbiosname_des_servers> -U <ein_benutzername>
du solltest zusätzlich nun shares sehen, die du nur als autorisierter nutzer sehen kannst

loglevel erhöhen und logs studieren hat auch schon manchem weitergeholfen ;)

greez

elxdio
08.04.05, 15:33
habe einmal das loglevel auf 3 gestellt und dies getestet


dylan:~# smbclient -L \\\\dylan
Password:
Anonymous login successful
Domain=[TUX] OS=[Unix] Server=[Samba 3.0.10-Debian]

Sharename Type Comment
--------- ---- -------
pub Disk public folder
IPC$ IPC IPC Service (Samba Server)
ADMIN$ IPC IPC Service (Samba Server)
Anonymous login successful
Domain=[TUX] OS=[Unix] Server=[Samba 3.0.10-Debian]

Server Comment
--------- -------
DYLAN Samba Server
YOUNG

Workgroup Master
--------- -------
TUX YOUNG

dylan:~# smbclient -L \\\\dylan -U Administrator
Password:
Domain=[TUX] OS=[Unix] Server=[Samba 3.0.10-Debian]

Sharename Type Comment
--------- ---- -------
pub Disk public folder
IPC$ IPC IPC Service (Samba Server)
ADMIN$ IPC IPC Service (Samba Server)
Domain=[TUX] OS=[Unix] Server=[Samba 3.0.10-Debian]

Server Comment
--------- -------
DYLAN Samba Server

Workgroup Master
--------- -------
TUX

wie ich find, ist da alles io, oder?


in "/var/log/samba/smbd" noch eine error enthalten

[2005/04/09 15:10:15, 0] lib/util_sock.c:get_peer_addr(1000)
getpeername failed. Error was Der Socket ist nicht verbunden

und in "/var/log/samba/192.168.13.80" ip ist der client mit welchem ich erfolglos versuche auf den samba server zuzugreiffen, steht dies

[2005/04/09 15:10:19, 3] smbd/connection.c:yield_connection(76)
yield_connection: tdb_delete for name failed with error Record does not exist.
[2005/04/09 15:10:19, 3] smbd/server.c:exit_server(614)
Server exit (normal exit)
[2005/04/09 15:10:19, 3] libads/kerberos_verify.c:ads_secrets_verify_ticket(201)
ads_secrets_verify_ticket: enc type [23] failed to decrypt with error Encryption type not permitted
[2005/04/09 15:10:19, 3] libads/kerberos_verify.c:ads_verify_ticket(313)
ads_verify_ticket: krb5_rd_req with auth failed (Erfolg)
[2005/04/09 15:10:19, 1] smbd/sesssetup.c:reply_spnego_kerberos(173)
Failed to verify incoming ticket!
[2005/04/09 15:10:19, 3] smbd/error.c:error_packet(105)
error string = Datei oder Verzeichnis nicht gefunden
[2005/04/09 15:10:19, 3] smbd/error.c:error_packet(129)
error packet at smbd/sesssetup.c(174) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE
[2005/04/09 15:10:19, 3] smbd/process.c:process_smb(1091)
Transaction 2 of length 1516
[2005/04/09 15:10:19, 3] smbd/process.c:switch_message(886)
switch message SMBsesssetupX (pid 8457) conn 0x0
[2005/04/09 15:10:19, 3] smbd/sec_ctx.c:set_sec_ctx(288)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2005/04/09 15:10:19, 3] smbd/sesssetup.c:reply_sesssetup_and_X(655)
wct=12 flg2=0xc807
[2005/04/09 15:10:19, 2] smbd/sesssetup.c:setup_new_vc_session(608)
setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2005/04/09 15:10:19, 3] smbd/sesssetup.c:reply_sesssetup_and_X_spnego(535)
Doing spnego session setup
[2005/04/09 15:10:19, 3] smbd/sesssetup.c:reply_sesssetup_and_X_spnego(566)
NativeOS=[Windows 2000 2195] NativeLanMan=[Windows 2000 5.0] PrimaryDomain=[]
[2005/04/09 15:10:19, 3] smbd/sesssetup.c:reply_spnego_negotiate(444)
Got OID 1 2 840 48018 1 2 2
[2005/04/09 15:10:19, 3] smbd/sesssetup.c:reply_spnego_negotiate(444)
Got OID 1 3 6 1 4 1 311 2 2 10
[2005/04/09 15:10:19, 3] smbd/sesssetup.c:reply_spnego_negotiate(447)
Got secblob of size 1325
[2005/04/09 15:10:19, 3] libads/kerberos_verify.c:ads_secrets_verify_ticket(201)
ads_secrets_verify_ticket: enc type [23] failed to decrypt with error Encryption type not permitted
[2005/04/09 15:10:19, 3] libads/kerberos_verify.c:ads_verify_ticket(313)
ads_verify_ticket: krb5_rd_req with auth failed (Erfolg)
[2005/04/09 15:10:19, 1] smbd/sesssetup.c:reply_spnego_kerberos(173)
Failed to verify incoming ticket!
[2005/04/09 15:10:19, 3] smbd/error.c:error_packet(105)
error string = Datei oder Verzeichnis nicht gefunden
[2005/04/09 15:10:19, 3] smbd/error.c:error_packet(129)
error packet at smbd/sesssetup.c(174) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE
[2005/04/09 15:10:19, 3] smbd/oplock.c:init_oplocks(1302)
open_oplock_ipc: opening loopback UDP socket.
[2005/04/09 15:10:19, 3] smbd/oplock.c:init_oplocks(1333)
open_oplock ipc: pid = 8458, global_oplock_port = 1111
[2005/04/09 15:10:19, 3] smbd/process.c:process_smb(1091)
Transaction 0 of length 137
[2005/04/09 15:10:19, 3] smbd/process.c:switch_message(886)
switch message SMBnegprot (pid 8458) conn 0x0
[2005/04/09 15:10:19, 3] smbd/sec_ctx.c:set_sec_ctx(288)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2005/04/09 15:10:19, 3] smbd/negprot.c:reply_negprot(461)
Requested protocol [PC NETWORK PROGRAM 1.0]
[2005/04/09 15:10:19, 3] smbd/negprot.c:reply_negprot(461)
Requested protocol [LANMAN1.0]
[2005/04/09 15:10:19, 3] smbd/negprot.c:reply_negprot(461)
Requested protocol [Windows for Workgroups 3.1a]
[2005/04/09 15:10:19, 3] smbd/negprot.c:reply_negprot(461)
Requested protocol [LM1.2X002]
[2005/04/09 15:10:19, 3] smbd/negprot.c:reply_negprot(461)
Requested protocol [LANMAN2.1]
[2005/04/09 15:10:19, 3] smbd/negprot.c:reply_negprot(461)
Requested protocol [NT LM 0.12]
[2005/04/09 15:10:19, 3] smbd/negprot.c:reply_nt1(333)
using SPNEGO
[2005/04/09 15:10:19, 3] smbd/negprot.c:reply_negprot(549)
Selected protocol NT LM 0.12
[2005/04/09 15:10:19, 3] smbd/process.c:process_smb(1091)
Transaction 1 of length 1516
[2005/04/09 15:10:19, 3] smbd/process.c:switch_message(886)
switch message SMBsesssetupX (pid 8458) conn 0x0
[2005/04/09 15:10:19, 3] smbd/sec_ctx.c:set_sec_ctx(288)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2005/04/09 15:10:19, 3] smbd/sesssetup.c:reply_sesssetup_and_X(655)
wct=12 flg2=0xc807
[2005/04/09 15:10:19, 2] smbd/sesssetup.c:setup_new_vc_session(608)
setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2005/04/09 15:10:19, 3] smbd/sesssetup.c:reply_sesssetup_and_X_spnego(535)
Doing spnego session setup
[2005/04/09 15:10:19, 3] smbd/sesssetup.c:reply_sesssetup_and_X_spnego(566)
NativeOS=[Windows 2000 2195] NativeLanMan=[Windows 2000 5.0] PrimaryDomain=[]
[2005/04/09 15:10:19, 3] smbd/sesssetup.c:reply_spnego_negotiate(444)
Got OID 1 2 840 48018 1 2 2
[2005/04/09 15:10:19, 3] smbd/sesssetup.c:reply_spnego_negotiate(444)
Got OID 1 3 6 1 4 1 311 2 2 10
[2005/04/09 15:10:19, 3] smbd/sesssetup.c:reply_spnego_negotiate(447)
Got secblob of size 1325
[2005/04/09 15:10:19, 3] smbd/process.c:timeout_processing(1336)
timeout_processing: End of file from client (client has disconnected).
[2005/04/09 15:10:19, 3] smbd/sec_ctx.c:set_sec_ctx(288)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2005/04/09 15:10:19, 2] smbd/server.c:exit_server(571)
Closing connections
[2005/04/09 15:10:19, 3] smbd/connection.c:yield_connection(69)
Yielding connection to
[2005/04/09 15:10:19, 3] smbd/connection.c:yield_connection(76)
yield_connection: tdb_delete for name failed with error Record does not exist.
[2005/04/09 15:10:19, 3] smbd/server.c:exit_server(614)
Server exit (normal exit)
[2005/04/09 15:10:19, 3] libads/kerberos_verify.c:ads_secrets_verify_ticket(201)
ads_secrets_verify_ticket: enc type [23] failed to decrypt with error Encryption type not permitted
[2005/04/09 15:10:19, 3] libads/kerberos_verify.c:ads_verify_ticket(313)
ads_verify_ticket: krb5_rd_req with auth failed (Erfolg)
[2005/04/09 15:10:19, 1] smbd/sesssetup.c:reply_spnego_kerberos(173)
Failed to verify incoming ticket!
[2005/04/09 15:10:19, 3] smbd/error.c:error_packet(105)
error string = Datei oder Verzeichnis nicht gefunden
[2005/04/09 15:10:19, 3] smbd/error.c:error_packet(129)
error packet at smbd/sesssetup.c(174) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE
[2005/04/09 15:10:19, 3] smbd/oplock.c:init_oplocks(1302)
open_oplock_ipc: opening loopback UDP socket.
[2005/04/09 15:10:19, 3] smbd/oplock.c:init_oplocks(1333)
open_oplock ipc: pid = 8459, global_oplock_port = 1112
[2005/04/09 15:10:19, 3] smbd/process.c:process_smb(1091)
Transaction 0 of length 137
[2005/04/09 15:10:19, 3] smbd/process.c:switch_message(886)
switch message SMBnegprot (pid 8459) conn 0x0
[2005/04/09 15:10:19, 3] smbd/sec_ctx.c:set_sec_ctx(288)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2005/04/09 15:10:19, 3] smbd/negprot.c:reply_negprot(461)
Requested protocol [PC NETWORK PROGRAM 1.0]
[2005/04/09 15:10:19, 3] smbd/negprot.c:reply_negprot(461)
Requested protocol [LANMAN1.0]
[2005/04/09 15:10:19, 3] smbd/negprot.c:reply_negprot(461)
Requested protocol [Windows for Workgroups 3.1a]

Plaumekarl
08.04.05, 16:02
und mit dem domain administrator versucht auf "\\server\pub" zuzugreifen,
ginig aber wieder nicht. es serschien nur die windown fehlermedung "Die DAtei oder Das Objekt "\\server\pub" wurde nicht gefunden."


Sieht doch nicht gerade nach Berechtigungsproblem aus, zudem das mit dem smbclient in Deinem letzten Post ja auch gut aussah.

Riecht für mich irgendwie, als wäre was mit der Namensauflösung zum Samba faul... nur so mal als Ansatz.

Gruss
Sascha

elxdio
08.04.05, 16:13
danke für den hinwies, versuchte jetzt von der windows welt auf diese weise auf den samba server zu kommen "\\192.168.13.81" und es funktionierte auch. also ich kann nun die shares sehen (pub, Administrator), habe aber keins von beiden zugriff. es erschein immer noch ein logon fenster.

noch eine frage zum dem namensauflösungsproblem, auf dem win2kdc ist auch eine dns server am laufen, bei welchem alle clients eingetragen sind. wenn ich vom samba server die auflösung mit nslookup teste, funktioniert eigentlich alles. was muss ich da noch zusätlich einrichten.

elxdio
08.04.05, 19:04
so hab nun einiges geändert und nun funktioniert es mit dem access der win domain users. also ich ging mal nach der anleitung (http://www.linuxquestions.org/questions/showthread.php?s=&threadid=161506) (welche ich empehlen kann)

und ändertet meine smb.conf so ab

dylan:/data# cat /etc/samba/smb.conf
# Global parameters
[global]
unix charset = dylan
workgroup = TUX
realm = TUX.IN
security = ADS
log level = 5
log file = /var/log/samba/log.%m
max log size = 50
load printers = No
domain master = No
wins server = 192.168.13.80
ldap ssl = no
idmap uid = 15000-20000
idmap gid = 15000-20000
template primary group = sambausers
winbind separator = +
winbind use default domain = Yes

[pub]
commnet = pubpic folder
path = /data/pub
browseable = yes
guest ok = yes

[user6]
Commnet = user6 netdir
vaild user = u6
browseable = yes
path = /data/u6
read only = no

[user7]
Commnet = user7 netdir
vaild user = u7
read only = no
browseable = yes
path = /data/u7
dylan:/data#


für die user u6 & u7 wechselte ich die berechtigunen auf dem sever manuel mit "chown & chmod" damit nur sie access haben.
was baer noch nicht tut ist die namensauflösung (also ich muss den samba server mit der ip-adr ansprechen). muss ich auf dem win2kdc noch einen wins server installiern oder sonst noch was änder (den es ist ja schon eine dns server am laufen und die lookups gehen von der win- und unixwelt aus)?

Fly
08.04.05, 20:42
Schau mal in der /etc/nsswitch.conf ob die Domainnamen eingetragen ist. ex. search domainname.local

HackThor
08.04.05, 22:30
@Fly:
Ein "search" in der nsswitch.conf? Da kommt doch höchstens ein "passwd files winbind" und "group files winbind" rein. Du meinst sicher die resolv.conf für die (DNS-) Namensauflösung, oder?

@elxdio:
Was ich für die smb.conf noch empfehlen kann: "password server" setzen. Ich hatte auch schon den seltsamen Fall dass ohne den Eintrag keine Verbindung zum Samba3 ging.

Und: Hast Du das Admin-Passwort beim Windows schonmal geändert? Einfach das gleiche Passwort nochmal eintragen (lassen) - zumindest W2K hat die unangenehme Eigenschaft beim Installieren eine ander Verschlüsselung zu nutzen als beim manuellen Setzen des Passwortes. Eventuell wird diese Verschlüsselung von der verwendeten Kerberos-Version nicht unerstüzt - mich macht hier nämlich dieser Eintrag im Log stutzig::

[2005/04/09 15:10:19, 3] libads/kerberos_verify.c:ads_secrets_verify_ticket(201)
ads_secrets_verify_ticket: enc type [23] failed to decrypt with error Encryption type not permitted

Für mich sieht das so aus als wenn der Kerberos eine vom Windows genutzte Verschlüsselung nicht kennt. Such mal nach Teilen der obigen Meldung in Google - da wirst Du bestimmt was finden.


ciao

Michael

elxdio
09.04.05, 14:20
in der nsswitch.conf hab ich nichts von namesauflösung (?) in der /etc/resolv.conf ist die domain angegeben. das admin passwort hab ich geändert die authentivizierung funktioniert ja jetzt auch un der encryption error erscheint auch nicht mehr. was aber noch nicht tut ist den samba server mit den netbios namen zu erreichen \\server-name, muss immer mit der ip-adr \\192.168.13.81.

wieso muss ich denn in smb.conf "passwor server" definieren, dies steht ja schon in der /etc/krb5.conf und die anmeldung läuft ja über kerberos.