Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba einbindung in Win2003-Domäne Dringend Hilfe Benötigt
Hallo zusammen,
ich versuche seit 2 Wochen meinen Debian-Samba (3.0.11-1 deb) in meine Win2003-Domäne einzubinden. Leider bekomme ich verschiedene Fehler :mad: .
Ich wäre froh wenn mir jemand helfen würde. :D
Vielen Dank im voraus. ;)
1.Fehler
root@ARulix2:~# kinit andreas
Password for andreas@PRIVAT.LOCAL:
kinit(v5): Clock skew too great while getting initial credentials
Wie kann ich die System-Zeit synchronisieren
a.)Linux
root@ARulix2:~# date
Mi Apr 20 18:32:03 UTC 2005
root@ARulix2:~#
b.)Win2003
C:time
Aktuelle Zeit :18:23:33,63
Die Zeit ist doch keine 300 sekunden auseinander?
2.Fehler
root@ARulix2:~# net join ads -U Administrator
Administrator's password:
realm of remote server (PRIVAT.LOCAL) and realm in smb.conf (ARULIX3.PRIVAT.LOCAL) DO NOT match. Aborting join
ADS join did not work, falling back to RPC...
Hier meine krb5.conf
# AR krb5.conf
default_realm = PRIVAT.LOCAL
[realms]
PRIVAT.LOCAL = {
kdc = 192.168.2.100 #Win2003 ADS
admin_server = 192.168.2.100 #Win2003 ADS
default_domain = PRIVAT.LOCAL #Domäne
kpasswd_server = 192.168.0.100:88 #Win2003 ADS
}
[domain_realm]
.privat.local = PRIVAT.LOCAL
privat.local = PRIVAT.LOCAL
.PRIVAT.LOCAL = PRIVAT.LOCAL
[libdefaults]
default_realm = PRIVAT.LOCAL
clockskew = 300
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
}
Hier meine smb.conf
[global]
# Global parameters
workgroup = PRIVAT.LOCAL
server string = Samba Server AR
password server = 192.168.2.100
interfaces = eth0
netbios name = ARULIX2
security = ADS
realm = ARULIX3.PRIVAT.LOCAL
case sensitive = no
log level = 3
log file = /var/log/samba/log.%m
syslog = 3
log file = /var/log/samba/log.%m
time server = Yes
name resolve order = wins lmhosts host bcast
#WINS-DNS
wins support= no
wins server = 192.168.2.100
wins proxy = no
os level = 65
domain logons = no
domain master = no
# WINBIND
winbind separator = +
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
Host-Datei
#Computer in der Domäne [privat.local]
#Linux-SquidProxy-SambaServer
127.0.0.1 ARulix2.PRIVAT.LOCAL localhost
#Win2003-PDC-DNS-WINS
192.168.2.100 ARULIX3.PRIVAT.LOCAL
#WinXP-Client
192.168.2.105 ARULIX1.PRIVAT.LOCAL
PS:In 2 Wochen MUSS ich damit fertig sein (Abgabetermin)
in anderen Foren hat mir kein einziger geantwortet!!!
Gruß _ARulez_ :ugly:
Hi,
1.
- Systemzeit setzen mit "date [MMDDhhmm]" (man date - hilft da sicher weiter)
- Systemzeit auf CMOS-Uhr synchronisieren mit "hwclock --systohc"
oder
- Systemzeit mit einem NTP-Server synchronisieren - geht am einfachsten mit "ntpdate <Server>"
2. Setze mal die realm in der smb.conf auf PRIVAT.LOCAL. Du hast da nämlich im Moment ARULIX3.PRIVAT.LOCAL stehen.
Harry
SERS Harry
Schöne Seite dein link .
1.
habe ARULIX.PRIVAT.LOCAL in PRIVAT.LOCAL geändert , bei einem join kommt jetzt folgende Fehlermeldung.
root@ARulix2:~# net ads join -U Administrator
Administrator's password:
The workgroup in smb.conf does not match the short
domain name obtained from the server.
Using the name [PRIVAT] from the server.
You should set "workgroup = PRIVAT" in smb.conf.
Using short domain name -- PRIVAT
Joined 'ARULIX2' to realm 'PRIVAT.LOCAL'
root@ARulix2:~#
ist das ein Problem ?
2.
habe die Zeit synchronisiert wie du es gesagt hast.
crontab -u squid -e
# m h dom mon dow user command
1 4 * * * /bin/bash net time set
bei kinit kommt jetzt folgendes
root@ARulix2:~# kinit andreas
Password for andreas@PRIVAT.LOCAL:
root@ARulix2:~#
es kommt kein “success” aber auch kein “Fehler”
[/Code]
bei klist kommt das:
root@ARulix2:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@PRIVAT.LOCAL
Valid starting Expires Service principal
04/21/05 13:44:58 04/21/05 23:44:58 krbtgt/PRIVAT.LOCAL@PRIVAT.LOCAL
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
bei net ads user kommt das:
root@ARulix2:~# net ads user
Administrator
Gast
SUPPORT_388945a0
krbtgt
test
andreas
aljoscha
alex
AljoschaR
AlexanderR
PeterR
RobertR
AndreasR
UrsulaR
SaschaZ
MichaelP
den Samba server kann man jetzt richtig (?) auf dem Win2003-Server sehen unter Active Direktory / Computer /arulix2 /name: Samba Version:3.0.11-Debian.
bei wbinfo -u kommt:
root@ARulix2:~# wbinfo -u
administrator
gast
support_388945a0
arulix3$
krbtgt
test
andreas
aljoscha
alex
arulix1$
aljoschar
alexanderr
peterr
robertr
andreasr
ursular
saschaz
michaelp
arulix2$
Wo sind ist der domänenname und der winbindseperator ?
PS: ich muss die winbind-authdaten über das PAM-modul noch an den squid weitergeben weist du wie das geht. :confused:
Gruß L-user aka ARulez
Hi,
SERS Harry
Schöne Seite dein link .
danke :)
1.
habe ARULIX.PRIVAT.LOCAL in PRIVAT.LOCAL geändert , bei einem join kommt jetzt folgende Fehlermeldung.
root@ARulix2:~# net ads join -U Administrator
Administrator's password:
The workgroup in smb.conf does not match the short
domain name obtained from the server.
Using the name [PRIVAT] from the server.
You should set "workgroup = PRIVAT" in smb.conf.
Using short domain name -- PRIVAT
Joined 'ARULIX2' to realm 'PRIVAT.LOCAL'
root@ARulix2:~#
ist das ein Problem ?
Nö - der Samba hat ja letztendlich doch gejoint. Also ist alles ok.
2.
habe die Zeit synchronisiert wie du es gesagt hast.
crontab -u squid -e
# m h dom mon dow user command
1 4 * * * /bin/bash net time set
Hmmm - das wird so nicht gehen. Der User squid hat nicht die Rechte, um die lokale Systemzeit neu zu setzen. Trag das in der crontab des Users root ein (crontab -u root -e) - dann sollte auch die Zeit korrekt gesetzt werden.
bei kinit kommt jetzt folgendes
root@ARulix2:~# kinit andreas
Password for andreas@PRIVAT.LOCAL:
root@ARulix2:~#
es kommt kein “success” aber auch kein “Fehler”
...
bei net ads user kommt das:
root@ARulix2:~# net ads user
Administrator
Gast
SUPPORT_388945a0
krbtgt
test
andreas
aljoscha
alex
AljoschaR
AlexanderR
PeterR
RobertR
AndreasR
UrsulaR
SaschaZ
MichaelP
Wo sind ist der domänenname und der winbindseperator ?
Die bekommst Du nur angezeigt, wenn Du über den winbindd gehst. Also vorausgesetzt, Du hast den nsswitch richtig konfiguriert (/etc/nsswitch.conf) kannst Du das beispielsweise mit einem gepflegten "getent passwd" überprüfen.
PS: ich muss die winbind-authdaten über das PAM-modul noch an den squid weitergeben weist du wie das geht. :confused:
Ja :D
Dazu konfigurierst Du am einfachsten das Squid-PAM um (/etc/pam.d/squid) und lässt die Authentifizierung über den winbindd laufen. Was genau da stehen muss, steht in der Doku zum winbindd.
Letztendlich läßt Du dann den Squid gegen PAM authentifizieren - fertig. (steht in der Squid-Doku)
Harry
SERS Harry ,
mal wieder DANKE für deine schnelle Antwort. ;)
Dazu konfigurierst Du am einfachsten das Squid-PAM um (/etc/pam.d/squid) und lässt die Authentifizierung über den winbindd laufen. Was genau da stehen muss, steht in der Doku zum winbindd.
Letztendlich läßt Du dann den Squid gegen PAM authentifizieren - fertig. (steht in der Squid-Doku)
welche winbindd doku und welche squid doku ? :confused:
nsswitch.conf :
passwd files winbind
group files winbind
shadow files winbind
Das habe ich mal probiert:
1.squid.conf
#auth_param
auth_param basic program /usr/lib/squid/pam_auth
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
#acl
acl ARNETZ_hosts src 192.168.2.100-192.168.2.120
http_access allow ARNETZ_hosts
acl ARUSER proxy_auth REQUIRED
http_access allow ARUSER all
http_access deny all
2.PAM
2.1 squid pam /etc/pam.d/squid
#%PAM-1.0
auth required /lib/security/pam_stack.so service=winbind
account required /lib/security/pam_stack.so service =winbind
2.2 winbind pam /etc/pam.d/winbind
#%PAM-1.0
auth required /lib/security/pam_winbins.so
account required /lib/security/pam_winbind.so
#passwd required /lib/security/pam_winbind.so
Was sit da jetzt falsch /richtig ?!
soll ich pam_winbind oder pam_krb5 nehemen ???
PS: du hast kein Gästebuch auf deiner Seite sonst hätte ich mich verewigt.
Im voraus schon mal danke . :ugly:
Gruß _ARulez_
Hi,
das schaut doch schon richtig gut aus, bis auf den "/pam_winbins.so"-Schreibfehler in der PAM-winbind-Konfig.
Und sorry für das fehlende Gästebuch. Kannst mir ja gern ne Mail mit dem Gästebucheintrag schicken ;)
Harry
SERS Harry ,
hab mich jetzt mal bei deiner seite angemeldet(!?). :eek:
Der Fehler ist nur ein Tippfehler im Forum (habs kontrolliert).
Wie kann ich das kontrollieren ob squid(+SquidGuard) jetzt die User benutzt. :confused:
Habe bis jetzt im squidview oder im access.log nachgeschaut und habe mir eine ACL im SquidGuard erstellt indem ein bestimmter User etwas nicht darf.
Bin mit Linux Debugging (Allgemein)oder(PAM-debugging) noch nicht so vertraut ,gibts da ein gutes Howto oder Doc(ich habe noch nicht gesucht).
Was würde passieren wenn ich das machen würde:
/etc/pam.d/squid
auth required /lib/security/winbind.so debug
account required /lib/security/winbind.so debug
Klappt es bei dir das du die User im log oder squidview sehen kannst?
Was für ein Trafictool benutzt du Webalizer,calamaris,squidview.
brauche:
+benutzer bezogen auflisten.
+url bezogen auflisten.
+tag ,wochen,monats auflistung.
PS:es ist ja erschreckend in was du dich alles auskennst!
wo kennst du dich den noch aus oder WO NICHT. :rolleyes:
Gruß _ARulez_ ;)
Hi _ARulez_,
Wie kann ich das kontrollieren ob squid(+SquidGuard) jetzt die User benutzt. :confused:
Das siehst Du in den Squid-Logs. Allerdings gilt das nur für die Hosts ausserhalb des Bereiches 192.168.2.100-192.168.2.120. Die Hosts in diesem Bereich werden ja auch ohne User/Passwort-abfrage zugelassen.
acl ARNETZ_hosts src 192.168.2.100-192.168.2.120
http_access allow ARNETZ_hosts
acl ARUSER proxy_auth REQUIRED
http_access allow ARUSER all
http_access deny all
Bin mit Linux Debugging (Allgemein)oder(PAM-debugging) noch nicht so vertraut ,gibts da ein gutes Howto oder Doc(ich habe noch nicht gesucht).
Wirf dazu doch einfach mal einen Blick in das Verzeichnis /var/log. Dort findest Du ja alle Logdateien des Systems. Wie und wieviel ein Prozess dann wirklich loggt (direkt/indirekt, Debuglevel etc.) das wird in der Konfiguration der Dienste definiert.
Klappt es bei dir das du die User im log oder squidview sehen kannst?
Eigentlich nicht - denn ich setze den Squid nicht ein :D
Aber ansonsten siehst Du die Usernamen im Log, wenn sie sich authentifiziert haben.
Was für ein Trafictool benutzt du Webalizer,calamaris,squidview.
brauche:
+benutzer bezogen auflisten.
+url bezogen auflisten.
+tag ,wochen,monats auflistung.
Keines - siehe oben ;)
Webalizer und calamaris nehmen sich nicht viel (soweit ich das noch weiss). Squidview kenne ich nicht.
PS:es ist ja erschreckend in was du dich alles auskennst!
wo kennst du dich den noch aus oder WO NICHT. :rolleyes:
Och da gibts schon noch ne Menge. Wie heisst es doch so schön: Linux ist das komplexeste Textadventure ;)
Harry
Morgen Harry ,
ich habe jetzt mal meine ACL abgeändert
#acl ARNETZ_hosts src 192.168.2.100-192.168.2.120
#http_access allow ARNETZ_hosts
acl ARUSER proxy_auth REQUIRED
http_access allow ARUSER all
http_access deny all
und meine hosts auskommentiert.
jetzt kommt schon mal das anmeldefenster im browser !!!! :eek:
aber ich kann z.B. nicht die google seite laden
While trying to retrieve URL: http:www.google.de/
The following error was encountered:
* Cache Access Denied
Sorry,you are not currently allowed to request:
http://www.google.de/
from this cache until you have authenticated yourself.
You need to use Netscape version 2.0 or greater, or Microsoft Internet Explorer 3.0 or an HTTP/1.1 compilant browser for this to work.Please contact the cache administrator if you have difficulties authenticating yourself or change your default password.
__________________________________________________ ___________
Generated Sat , 23 Apr 2005 10:05:04 GMT by Arulix2.ARNETZ.lan (squid/2.5.STABLE8)
1.Fehlermöglichkeit
ich muss noch ni PAM eine passwd required reinmachen und in squid.?
2.Fehlermögöichkeit
Generated Sat , 23 Apr 2005 10:05:04 GMT by Arulix2.ARNETZ.lan (squid/2.5.STABLE8
ich bin in der Falschne domäne und zwar ARNETZ statt privat.local?
habe es erst mal dir gepostet probiere beide gleich aus
PS:Ich will nicht so rüber kommen als nütze ich dich aus :eek: und suche selber nach dem FEHLER aber ich denke wenn einer diesen threat verfolgt bringt es ihm was wenn ich meine fehler (ALLE) poste.
*** habe langsam ein schlechtes gewissen :o ***
Gruß _ARulez_ :rolleyes:
SERS Alle (Harry) ,
so ein schritt weiter also.
1.Blödsin.
2.Blödsin
visible_hostname ARULIX2.PRIVAT.LOCAL geändert
3.DEBUGGING
3.1/var/log/auth.log
Apr 23 11:44:32 ARulix2 (pam_auth): (pam_unix) authentication failure; logname= uid=13 euid=13 tty= ruser= rhost= user=andreas
3.2/var/log/user.log
Apr 23 11:56:07 ARulix2 (pam_auth): PAM unable to dlopen(/lib/security/pam_stack.so)
Apr 23 11:56:07 ARulix2 (pam_auth): PAM [dlerror: /lib/security/pam_stack.so: cannot open shared object file: No such file or directory]
Apr 23 11:56:07 ARulix2 (pam_auth): PAM adding faulty module: /lib/security/pam_stack.so
FEHLER gefunden kein !!! pam_stack.so !!!
also pam_stack.so besorgen
ist glaube ich in einem von diesen beiden packeten.
+pam_afs
+pam_afs.krb
Wo bekomme ich die Datei pam_stack.so der die anderen dateien her.
Gruß _ARulez_
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.