Hallo zusammen,

ich versuche seit 2 Wochen meinen Debian-Samba (3.0.11-1 deb) in meine Win2003-Domäne einzubinden. Leider bekomme ich verschiedene Fehler :mad: .
Ich wäre froh wenn mir jemand helfen würde. :D

Vielen Dank im voraus. ;)

1.Fehler
root@ARulix2:~# kinit andreas
Password for andreas@PRIVAT.LOCAL:
kinit(v5): Clock skew too great while getting initial credentials

Wie kann ich die System-Zeit synchronisieren
a.)Linux
root@ARulix2:~# date
Mi Apr 20 18:32:03 UTC 2005
root@ARulix2:~#

b.)Win2003
C:time
Aktuelle Zeit :18:23:33,63

Die Zeit ist doch keine 300 sekunden auseinander?

2.Fehler
root@ARulix2:~# net join ads -U Administrator
Administrator's password:
realm of remote server (PRIVAT.LOCAL) and realm in smb.conf (ARULIX3.PRIVAT.LOCAL) DO NOT match. Aborting join
ADS join did not work, falling back to RPC...

Hier meine krb5.conf


# AR krb5.conf

default_realm = PRIVAT.LOCAL

[realms]
PRIVAT.LOCAL = {
kdc = 192.168.2.100 #Win2003 ADS
admin_server = 192.168.2.100 #Win2003 ADS
default_domain = PRIVAT.LOCAL #Domäne
kpasswd_server = 192.168.0.100:88 #Win2003 ADS
}

[domain_realm]
.privat.local = PRIVAT.LOCAL
privat.local = PRIVAT.LOCAL
.PRIVAT.LOCAL = PRIVAT.LOCAL

[libdefaults]
default_realm = PRIVAT.LOCAL
clockskew = 300

[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
}


Hier meine smb.conf


[global]
# Global parameters
workgroup = PRIVAT.LOCAL
server string = Samba Server AR
password server = 192.168.2.100
interfaces = eth0
netbios name = ARULIX2
security = ADS
realm = ARULIX3.PRIVAT.LOCAL
case sensitive = no
log level = 3
log file = /var/log/samba/log.%m
syslog = 3
log file = /var/log/samba/log.%m
time server = Yes
name resolve order = wins lmhosts host bcast

#WINS-DNS
wins support= no
wins server = 192.168.2.100
wins proxy = no
os level = 65
domain logons = no
domain master = no

# WINBIND
winbind separator = +
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes


Host-Datei


#Computer in der Domäne [privat.local]
#Linux-SquidProxy-SambaServer
127.0.0.1 ARulix2.PRIVAT.LOCAL localhost
#Win2003-PDC-DNS-WINS
192.168.2.100 ARULIX3.PRIVAT.LOCAL
#WinXP-Client
192.168.2.105 ARULIX1.PRIVAT.LOCAL


PS:In 2 Wochen MUSS ich damit fertig sein (Abgabetermin)

in anderen Foren hat mir kein einziger geantwortet!!!


Gruß _ARulez_ :ugly:

Hi,

1.
- Systemzeit setzen mit "date [MMDDhhmm]" (man date - hilft da sicher weiter)
- Systemzeit auf CMOS-Uhr synchronisieren mit "hwclock --systohc"
oder
- Systemzeit mit einem NTP-Server synchronisieren - geht am einfachsten mit "ntpdate <Server>"

2. Setze mal die realm in der smb.conf auf PRIVAT.LOCAL. Du hast da nämlich im Moment ARULIX3.PRIVAT.LOCAL stehen.

Harry

SERS Harry

Schöne Seite dein link .

1.
habe ARULIX.PRIVAT.LOCAL in PRIVAT.LOCAL geändert , bei einem join kommt jetzt folgende Fehlermeldung.



root@ARulix2:~# net ads join -U Administrator
Administrator's password:
The workgroup in smb.conf does not match the short
domain name obtained from the server.
Using the name [PRIVAT] from the server.
You should set "workgroup = PRIVAT" in smb.conf.
Using short domain name -- PRIVAT
Joined 'ARULIX2' to realm 'PRIVAT.LOCAL'
root@ARulix2:~#


ist das ein Problem ?

2.
habe die Zeit synchronisiert wie du es gesagt hast.


crontab -u squid -e

# m h dom mon dow user command
1 4 * * * /bin/bash net time set

bei kinit kommt jetzt folgendes


root@ARulix2:~# kinit andreas
Password for andreas@PRIVAT.LOCAL:
root@ARulix2:~#

es kommt kein “success” aber auch kein “Fehler”
[/Code]

bei klist kommt das:



root@ARulix2:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@PRIVAT.LOCAL

Valid starting Expires Service principal
04/21/05 13:44:58 04/21/05 23:44:58 krbtgt/PRIVAT.LOCAL@PRIVAT.LOCAL


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached


bei net ads user kommt das:



root@ARulix2:~# net ads user
Administrator
Gast
SUPPORT_388945a0
krbtgt
test
andreas
aljoscha
alex
AljoschaR
AlexanderR
PeterR
RobertR
AndreasR
UrsulaR
SaschaZ
MichaelP


den Samba server kann man jetzt richtig (?) auf dem Win2003-Server sehen unter Active Direktory / Computer /arulix2 /name: Samba Version:3.0.11-Debian.

bei wbinfo -u kommt:



root@ARulix2:~# wbinfo -u
administrator
gast
support_388945a0
arulix3$
krbtgt
test
andreas
aljoscha
alex
arulix1$
aljoschar
alexanderr
peterr
robertr
andreasr
ursular
saschaz
michaelp
arulix2$


Wo sind ist der domänenname und der winbindseperator ?

PS: ich muss die winbind-authdaten über das PAM-modul noch an den squid weitergeben weist du wie das geht. :confused:

Gruß L-user aka ARulez

Hi,

SERS Harry

Schöne Seite dein link .
danke :)


1.
habe ARULIX.PRIVAT.LOCAL in PRIVAT.LOCAL geändert , bei einem join kommt jetzt folgende Fehlermeldung.



root@ARulix2:~# net ads join -U Administrator
Administrator's password:
The workgroup in smb.conf does not match the short
domain name obtained from the server.
Using the name [PRIVAT] from the server.
You should set "workgroup = PRIVAT" in smb.conf.
Using short domain name -- PRIVAT
Joined 'ARULIX2' to realm 'PRIVAT.LOCAL'
root@ARulix2:~#


ist das ein Problem ?

Nö - der Samba hat ja letztendlich doch gejoint. Also ist alles ok.


2.
habe die Zeit synchronisiert wie du es gesagt hast.


crontab -u squid -e

# m h dom mon dow user command
1 4 * * * /bin/bash net time set


Hmmm - das wird so nicht gehen. Der User squid hat nicht die Rechte, um die lokale Systemzeit neu zu setzen. Trag das in der crontab des Users root ein (crontab -u root -e) - dann sollte auch die Zeit korrekt gesetzt werden.

bei kinit kommt jetzt folgendes


root@ARulix2:~# kinit andreas
Password for andreas@PRIVAT.LOCAL:
root@ARulix2:~#

es kommt kein “success” aber auch kein “Fehler”
...
bei net ads user kommt das:



root@ARulix2:~# net ads user
Administrator
Gast
SUPPORT_388945a0
krbtgt
test
andreas
aljoscha
alex
AljoschaR
AlexanderR
PeterR
RobertR
AndreasR
UrsulaR
SaschaZ
MichaelP


Wo sind ist der domänenname und der winbindseperator ?

Die bekommst Du nur angezeigt, wenn Du über den winbindd gehst. Also vorausgesetzt, Du hast den nsswitch richtig konfiguriert (/etc/nsswitch.conf) kannst Du das beispielsweise mit einem gepflegten "getent passwd" überprüfen.

PS: ich muss die winbind-authdaten über das PAM-modul noch an den squid weitergeben weist du wie das geht. :confused:
Ja :D

Dazu konfigurierst Du am einfachsten das Squid-PAM um (/etc/pam.d/squid) und lässt die Authentifizierung über den winbindd laufen. Was genau da stehen muss, steht in der Doku zum winbindd.
Letztendlich läßt Du dann den Squid gegen PAM authentifizieren - fertig. (steht in der Squid-Doku)

Harry

SERS Harry ,

mal wieder DANKE für deine schnelle Antwort. ;)



Dazu konfigurierst Du am einfachsten das Squid-PAM um (/etc/pam.d/squid) und lässt die Authentifizierung über den winbindd laufen. Was genau da stehen muss, steht in der Doku zum winbindd.
Letztendlich läßt Du dann den Squid gegen PAM authentifizieren - fertig. (steht in der Squid-Doku)

welche winbindd doku und welche squid doku ? :confused:

nsswitch.conf :


passwd files winbind
group files winbind
shadow files winbind


Das habe ich mal probiert:

1.squid.conf


#auth_param
auth_param basic program /usr/lib/squid/pam_auth
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
#acl
acl ARNETZ_hosts src 192.168.2.100-192.168.2.120
http_access allow ARNETZ_hosts

acl ARUSER proxy_auth REQUIRED
http_access allow ARUSER all

http_access deny all


2.PAM

2.1 squid pam /etc/pam.d/squid



#%PAM-1.0
auth required /lib/security/pam_stack.so service=winbind
account required /lib/security/pam_stack.so service =winbind


2.2 winbind pam /etc/pam.d/winbind



#%PAM-1.0
auth required /lib/security/pam_winbins.so
account required /lib/security/pam_winbind.so
#passwd required /lib/security/pam_winbind.so


Was sit da jetzt falsch /richtig ?!

soll ich pam_winbind oder pam_krb5 nehemen ???

PS: du hast kein Gästebuch auf deiner Seite sonst hätte ich mich verewigt.


Im voraus schon mal danke . :ugly:


Gruß _ARulez_

Hi,

das schaut doch schon richtig gut aus, bis auf den "/pam_winbins.so"-Schreibfehler in der PAM-winbind-Konfig.

Und sorry für das fehlende Gästebuch. Kannst mir ja gern ne Mail mit dem Gästebucheintrag schicken ;)

Harry

SERS Harry ,

hab mich jetzt mal bei deiner seite angemeldet(!?). :eek:

Der Fehler ist nur ein Tippfehler im Forum (habs kontrolliert).

Wie kann ich das kontrollieren ob squid(+SquidGuard) jetzt die User benutzt. :confused:

Habe bis jetzt im squidview oder im access.log nachgeschaut und habe mir eine ACL im SquidGuard erstellt indem ein bestimmter User etwas nicht darf.

Bin mit Linux Debugging (Allgemein)oder(PAM-debugging) noch nicht so vertraut ,gibts da ein gutes Howto oder Doc(ich habe noch nicht gesucht).

Was würde passieren wenn ich das machen würde:
/etc/pam.d/squid


auth required /lib/security/winbind.so debug
account required /lib/security/winbind.so debug


Klappt es bei dir das du die User im log oder squidview sehen kannst?

Was für ein Trafictool benutzt du Webalizer,calamaris,squidview.
brauche:
+benutzer bezogen auflisten.
+url bezogen auflisten.
+tag ,wochen,monats auflistung.

PS:es ist ja erschreckend in was du dich alles auskennst!
wo kennst du dich den noch aus oder WO NICHT. :rolleyes:



Gruß _ARulez_ ;)

Hi _ARulez_,

Wie kann ich das kontrollieren ob squid(+SquidGuard) jetzt die User benutzt. :confused:
Das siehst Du in den Squid-Logs. Allerdings gilt das nur für die Hosts ausserhalb des Bereiches 192.168.2.100-192.168.2.120. Die Hosts in diesem Bereich werden ja auch ohne User/Passwort-abfrage zugelassen.

acl ARNETZ_hosts src 192.168.2.100-192.168.2.120
http_access allow ARNETZ_hosts

acl ARUSER proxy_auth REQUIRED
http_access allow ARUSER all

http_access deny all

Bin mit Linux Debugging (Allgemein)oder(PAM-debugging) noch nicht so vertraut ,gibts da ein gutes Howto oder Doc(ich habe noch nicht gesucht).
Wirf dazu doch einfach mal einen Blick in das Verzeichnis /var/log. Dort findest Du ja alle Logdateien des Systems. Wie und wieviel ein Prozess dann wirklich loggt (direkt/indirekt, Debuglevel etc.) das wird in der Konfiguration der Dienste definiert.


Klappt es bei dir das du die User im log oder squidview sehen kannst?
Eigentlich nicht - denn ich setze den Squid nicht ein :D
Aber ansonsten siehst Du die Usernamen im Log, wenn sie sich authentifiziert haben.


Was für ein Trafictool benutzt du Webalizer,calamaris,squidview.
brauche:
+benutzer bezogen auflisten.
+url bezogen auflisten.
+tag ,wochen,monats auflistung.
Keines - siehe oben ;)
Webalizer und calamaris nehmen sich nicht viel (soweit ich das noch weiss). Squidview kenne ich nicht.

PS:es ist ja erschreckend in was du dich alles auskennst!
wo kennst du dich den noch aus oder WO NICHT. :rolleyes:
Och da gibts schon noch ne Menge. Wie heisst es doch so schön: Linux ist das komplexeste Textadventure ;)

Harry

Morgen Harry ,

ich habe jetzt mal meine ACL abgeändert


#acl ARNETZ_hosts src 192.168.2.100-192.168.2.120
#http_access allow ARNETZ_hosts

acl ARUSER proxy_auth REQUIRED
http_access allow ARUSER all

http_access deny all

und meine hosts auskommentiert.

jetzt kommt schon mal das anmeldefenster im browser !!!! :eek:

aber ich kann z.B. nicht die google seite laden



While trying to retrieve URL: http:www.google.de/

The following error was encountered:

* Cache Access Denied

Sorry,you are not currently allowed to request:

http://www.google.de/

from this cache until you have authenticated yourself.

You need to use Netscape version 2.0 or greater, or Microsoft Internet Explorer 3.0 or an HTTP/1.1 compilant browser for this to work.Please contact the cache administrator if you have difficulties authenticating yourself or change your default password.
__________________________________________________ ___________
Generated Sat , 23 Apr 2005 10:05:04 GMT by Arulix2.ARNETZ.lan (squid/2.5.STABLE8)


1.Fehlermöglichkeit

ich muss noch ni PAM eine passwd required reinmachen und in squid.?

2.Fehlermögöichkeit


Generated Sat , 23 Apr 2005 10:05:04 GMT by Arulix2.ARNETZ.lan (squid/2.5.STABLE8


ich bin in der Falschne domäne und zwar ARNETZ statt privat.local?


habe es erst mal dir gepostet probiere beide gleich aus

PS:Ich will nicht so rüber kommen als nütze ich dich aus :eek: und suche selber nach dem FEHLER aber ich denke wenn einer diesen threat verfolgt bringt es ihm was wenn ich meine fehler (ALLE) poste.
*** habe langsam ein schlechtes gewissen :o ***

Gruß _ARulez_ :rolleyes:

SERS Alle (Harry) ,

so ein schritt weiter also.


1.Blödsin.

2.Blödsin
visible_hostname ARULIX2.PRIVAT.LOCAL geändert

3.DEBUGGING

3.1/var/log/auth.log


Apr 23 11:44:32 ARulix2 (pam_auth): (pam_unix) authentication failure; logname= uid=13 euid=13 tty= ruser= rhost= user=andreas


3.2/var/log/user.log


Apr 23 11:56:07 ARulix2 (pam_auth): PAM unable to dlopen(/lib/security/pam_stack.so)
Apr 23 11:56:07 ARulix2 (pam_auth): PAM [dlerror: /lib/security/pam_stack.so: cannot open shared object file: No such file or directory]
Apr 23 11:56:07 ARulix2 (pam_auth): PAM adding faulty module: /lib/security/pam_stack.so


FEHLER gefunden kein !!! pam_stack.so !!!

also pam_stack.so besorgen

ist glaube ich in einem von diesen beiden packeten.

+pam_afs
+pam_afs.krb

Wo bekomme ich die Datei pam_stack.so der die anderen dateien her.

Gruß _ARulez_