Ich weiss, dass es hier schon zig Postings gab, die sich mit
der Zusammenarbeit von Samba 3 und der Windows 2003 ADS beschäftigt haben. Leider kann ich aus den verschiedenen Howtos und Postings nicht alles so nachvollziehen, dass ich es auf meine Aufgabenstellung übertragen kann.

Die Vorgeschichte oder "Was bisher geschah" :)
Ich hatte vor kurzem Samba 3 auf meinen Linux Rechner installiert auf dem vorher Samba 2.2 lief. Das alte Spiel

1. Lokalen Benutzer anlegen (/home/user wird erzeugt)
2. smbpasswd -a -e user und passwort festlegen.
wenn das mit dem auf dem Windows PDC übereinstimmte war alles OK.
3. irgendwann hatte ich dann den Kanal voll und wollte die User automatisch anlegen / pflegen lassen. Wozu hat man schlieslich eine AD ?

Und so habe ich dann Samba 3.0.14-SuSE installiert.

Was ich bereits gemacht habe :

Ich habe die Pakete
samba3, samba3-client, samba3-winbind installiert. Kernel ist 2.4.21-286 auf SuSE 9.0. Die Samba Pakete hatte ich von samba.org runtergeladen
(Suse-rpms).

Hier meine config Dateien


gate:~ # vi /etc/samba/smb.conf
[global]
# Global parameters
workgroup = RGOELDEN
server string = SAMBA 3.0.14 auf GATE
password server = 192.168.140.2
interfaces = eth0
netbios name = GATE
security = ADS
realm = RGOELDEN.NET
case sensitive = no
log level = 3
log file = /var/log/samba/log.%m
syslog = 3
log file = /var/log/samba/log.%m
time server = Yes
name resolve order = wins lmhosts host bcast

#WINS-DNS
wins support= no
wins server = 192.168.140.2
wins proxy = no
os level = 65
domain logons = no
domain master = no

# WINBIND
winbind separator = +
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes


und meine /etc/krb5.conf



gate:~ # vi /etc/krb5.conf
[libdefaults]
default_realm = RGOELDEN.NET
clockskew = 300

[realms]
RGOELDEN.NET = {
kdc = 192.168.140.2
admin_server = 192.168.140.2
default_domain = RGOELDEN.NET
kpasswd_server = 192.168.140.2
}

[domain_realm]
.rgoelden.net = RGOELDEN.NET
rgoelden.net = RGOELDEN.NET
.RGOELDEN.NET = MAIL.RGOELDEN.NET

[logging]
default = SYSLOG:NOTICE:DAEMON
kdc = FILE:/var/log/kdc.log
kadmind = FILE:/var/log/kadmind.log

[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}



was mich wundert ist, dass ich keine /etc/pam.d/winbind habe !?
die hat irgenwie jeder in seinem Howto / Posting drin. ich habe die aber nicht.
Und eine vernünfitige [homes] sektion in der smb.conf fehlt mir.

Der net ads join hatte geklappt :-)

erstmal vielen Dank

Roger

wozu brauchst du denn einen winbindeintrag in pam? winbind gibt es nur als stackable modul für andere dienste (pam_winbind.so)

was sagt ein "kinit nutzer_aus_ad" ?
was macht "wbinfo -t" bzw. "wbinfo -u" ?

wo genau liegt denn nun dein problem?

greez

Hallo,
erstmal Danke für die promte Antwort
Hier die Ausgaben von kinit user



gate:~ # kinit user
Password for user@RGOELDEN.NET:secretpassword
New ticket is stored in cache file /tmp/krb5cc_0
gate:~ #


aber :




gate:~ # kinit administrator
Password for administrator@RGOELDEN.NET:secretpassword
Exception: krb_error 14 KDC has no support for encryption type (14) KDC has no support for encryption type
KrbException: KDC has no support for encryption type (14)
at sun.security.krb5.KrbAsRep.<init>(DashoA12275:67)
at sun.security.krb5.KrbAsReq.getReply(DashoA12275:31 5)
at sun.security.krb5.KrbAsReq.getReply(DashoA12275:27 6)
at sun.security.krb5.internal.tools.Kinit.<init>(DashoA12275:271)
at sun.security.krb5.internal.tools.Kinit.main(DashoA 12275:109)
Caused by: KrbException: Identifier doesn't match expected value (906)
at sun.security.krb5.internal.af.a(DashoA12275:134)
at sun.security.krb5.internal.at.a(DashoA12275:63)
at sun.security.krb5.internal.at.<init>(DashoA12275:58)
at sun.security.krb5.KrbAsRep.<init>(DashoA12275:53)
... 4 more
gate:~ #


und für wbinfo -t


gate:~ # wbinfo -t
checking the trust secret via RPC calls succeeded
gate:~ #


wbinfo -u


gate:~ # wbinfo -u
DRAGONSLEGEND+administrator
DRAGONSLEGEND+guest
administrator
mail$
gast
iusr_master
krbtgt
roger
support_388945a0
iwam_master
1d908dd4-3248-437c-a
maike
martin
andy
fisch
joey
iwam_mail
iusr_mail
063aafc1-a99a-450c-b
pc01$
dragonslegend$
gate$
gate:~ #


und letztlich noch von klist:


gate:~ # klist

Credentials cache: /tmp/krb5cc_0

Default principal: user@RGOELDEN.NET, 1 entry found.

[1] Service Principal: krbtgt/RGOELDEN.NET@RGOELDEN.NET
Valid starting: May 12, 2005 09:31
Expires: May 12, 2005 19:31
gate:~ #



im PDC steht der Sambaserver jedoch im AD drin (AD Benutzer & Computer)

Problem an der Sache ist, ich kann mich nicht an einer share anmelden.
Im Syslog steht dann folgendes :


May 12 09:45:19 gate winbindd[5989]: [2005/05/12 09:45:19, 2] nsswitch/winbindd_util.c:add_trusted_domain(175)
May 12 09:45:19 gate winbindd[5989]: Added domain DRAGONSLEGEND dragonslegend.local S-1-5-21-460323598-4269248335-318173007
9
May 12 09:45:19 gate winbindd[5989]: [2005/05/12 09:45:19, 2] nsswitch/winbindd_util.c:add_trusted_domain(175)
May 12 09:45:19 gate winbindd[5989]: Added domain BUILTIN S-1-5-32
May 12 09:45:19 gate winbindd[5989]: [2005/05/12 09:45:19, 2] nsswitch/winbindd_util.c:add_trusted_domain(175)
May 12 09:45:19 gate winbindd[5989]: Added domain GATE S-1-5-21-1430072798-1985145415-2989735924
May 12 09:45:19 gate winbindd[5989]: [2005/05/12 09:45:19, 2] libsmb/cliconnect.c:cli_session_setup_kerberos(533)
May 12 09:45:19 gate winbindd[5989]: Doing kerberos session setup

[..]

May 12 09:45:29 gate smbd[6044]: [2005/05/12 09:45:29, 2] smbd/service.c:make_connection_snum(321)
May 12 09:45:29 gate smbd[6044]: user 'RGOELDEN+roger' (from session setup) not permitted to access this share (roger)
May 12 09:45:33 gate smbd[6044]: [2005/05/12 09:45:33, 2] smbd/sesssetup.c:setup_new_vc_session(608)
May 12 09:45:33 gate smbd[6044]: setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
May 12 09:45:33 gate smbd[6044]: [2005/05/12 09:45:33, 2] smbd/service.c:make_connection_snum(321)
May 12 09:45:33 gate smbd[6044]: user 'RGOELDEN+roger' (from session setup) not permitted to access this share (roger)
May 12 09:46:33 gate winbindd[5988]: [2005/05/12 09:46:33, 2] libsmb/cliconnect.c:cli_session_setup_kerberos(533)
May 12 09:46:33 gate winbindd[5988]: Doing kerberos session setup
May 12 09:47:44 gate smbd[6044]: [2005/05/12 09:47:44, 2] smbd/process.c:timeout_processing(1368)
May 12 09:47:44 gate smbd[6044]: Closing idle connection
May 12 09:47:44 gate smbd[6044]: [2005/05/12 09:47:44, 2] smbd/server.c:exit_server(609)
May 12 09:47:44 gate smbd[6044]: Closing connections

ok, das nenn ich einen errorbericht :)

wie sieht deine smb.conf (shares) denn aus?
hat roger auch POSIX-rechte, die share "roger" zu betreten?
ist /home/roger auch das homeverzeichnis des nutzers DOM+roger ?

greez

wie sieht deine smb.conf (shares) denn aus?

Hier meine smb.conf :




[global]
# Global parameters
workgroup = RGOELDEN
server string = SAMBA 3.0.14 auf GATE
password server = 192.168.140.2
interfaces = eth0
netbios name = GATE
security = ADS
realm = RGOELDEN.NET
case sensitive = no
log level = 3
log file = /var/log/samba/log.%m
syslog = 3
log file = /var/log/samba/log.%m
time server = Yes
name resolve order = wins lmhosts host bcast

#WINS-DNS
wins support= no
wins server = 192.168.140.2
wins proxy = no
os level = 65
domain logons = no
domain master = no

# WINBIND
winbind separator = +
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes

[homes]
comment = User Shared Folders
valid users = %S
browseable = No
read only = No
inherit acls = Yes
dos filetimes = Yes




hat roger auch POSIX-rechte, die share "roger" zu betreten?
ist /home/roger auch das homeverzeichnis des nutzers DOM+roger ?

Das ist das was ich eben nicht weiss mit den Freigaben. Früher hat man einen lokalen User an einen smbuser gebunden. Ist das immer noch so? Ich dachte, dass da durch die AD anbindung so eine Art Automatismus herrscht.
Ich habe keine User auf dem Samba angelegt. Habe einfach die verzeichnisse so angelegt wie die user heißen im fall von roger ist das /home/roger. Hatte auch /home/RGOELDEN/roger mal versucht. ging aber auch nicht. Muss ich da irgenwie noch manuell eingreifen?

Gruß

rgoelden

mach mal

getent passwd roger
dann siehst du, welches homeverzeichnis er hat

dann setzt du noch die rechte so, dass er rein darf
ggf. musst du valid users erstmal auskommentieren oder mit "valid users = DOM+roger" arbeiten


wenn du winbind wie in deinem setup benutzt , brauchst du nix mit POSIX bzw. smbpasswd machen


greez

ich habe jetzt getent passwd RGOELDEN+roger eingegeben
Hier die Ausgabe:


gate:~ # getent passwd RGOELDEN+roger
roger:x:15006:15001:Roger Göldenitz:/home/RGOELDEN/roger:/bin/false
gate:~ #

Wenn ich dass ohne die Domain eigegeben hatte, dann kam /home/roger

Das ist aber das Homeverzeichnis des lokalen Benutzers "roger", der auch Rechte hat auf der shell zu arbeiten.

! Habe noch ne Idee ! Könnte sein, dass die Berechtigungen für die Ordner auf root:root stehen und die müssten ja auf username:users stehen

es ist keine gute idee, winbind use default domain zu nutzen, wenn es lokal bereits einen nutzer roger gibt

zwei möglichkeiten:

a) lokalen nutzer roger löschen und rechte auf den winbind-roger setzen
b) winbind nicht mit default domain nutzen

wenn du dies gelöst hast, solltest du dich verbinden können - die rechte auf die homeverzeichnisse sollten am besten "700" für den nutzer sein

greez

Vielen Dank,

lüppert alles :-) Ich hatte die Rechte wie folgt geändert

chown -R Domain+Username:15001 pfad/
chmod -R 0700 pfad/

wobei 15001 die gid der samba gruppe ist.

Vielen Dank nochmals

Roger