PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : AD: Samba3 und Gruppenverwaltung



Stiftmaster
09.07.05, 15:26
Hallo Leute,

nach anfänglichen Schwierigkeiten habe habe ich es endlich geschafft, meine Linux-Kiste in das Firmennetz (Win2003) zu integrieren *freu*.

Jetzt habe ich nur noch ein Problem mit den Gruppen... Ich kann mir mit dem Befehl "wbinfo -u" alle User anschauen und dann mit "chown USER PATH" den Benutzer von einem Verzeichnis ändern - läuft 1a!

Wenn ich jetzt mir mit "wbinfo -g" die Gruppen anschaue, erscheint auch meine Testgruppe "test1". Wenn ich jetzt "chgrp GROUP PATH" eingebe, erscheint folgende Fehlermeldung:


SERVER:/ # wbinfo -g
BUILTIN+system operators
BUILTIN+replicators
BUILTIN+guests
BUILTIN+power users
BUILTIN+print operators
BUILTIN+administrators
BUILTIN+account operators
BUILTIN+backup operators
BUILTIN+users
... (hier sind noch ein paar weitere Gruppen)
test1 (ist im AD eingerichtet und erscheint hier wie gewünscht)


SERVER:/ # chgrp test1 cvs
chgrp: invalid group `test1'

Kann mir einer sagen, was ich hier falsch mache? Ich versteh das nicht... ich will doch nur die Gruppe ändern :-)

Dankend

Stefan

Stiftmaster
09.07.05, 20:40
Hallo,

bin im Laufe des Tages wieder was schlauer geworden, aber leider noch nicht am Ende :-) Also folgender Beitrag von der Samba-Dokumentation:


Winbind löst keine Benutzer- und Gruppen-Namen auf
„ Meine Datei smb.conf ist ordnungsgemäß konfiguriert. Ich habe idmap uid = 12000 und idmap gid = 3000-3500 angegeben, und winbind läuft. Wenn ich Folgendes tue, funktioniert es prächtig: “

root# wbinfo -u
MITTELERDE+maryo
MITTELERDE+jackb
MITTELERDE+ameds
...
MITTELERDE+root

root# wbinfo -g
MITTELERDE+Domain Users
MITTELERDE+Domain Admins
MITTELERDE+Domain Guests
...
MITTELERDE+Accounts

root# getent passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/bin/bash
...
maryo:x:15000:15003:Mary Orville:/home/MITTELERDE/maryo:/bin/false

„ Aber dieser Befehl schlägt fehl:

root# chown maryo a_file
chown: `maryo': invalid user

Das macht mich verrückt! Was kann da falsch sein? “

Das ist dasselbe Problem wie oben. Ihr System führt höchstwahrscheinlich nscd aus. Stoppen Sie diesen Dienst, und starten Sie ihn nicht mehr! Ihr Problem wird gelöst sein.

Zwar bezieht man sich hier auf die User (die laufen ja bei mir) und nicht auf die Groups, aber nichts desto trotz habe ich mit "rcnscd -stop" den Dienst beendet. Doch das Problem besteht weiterhin...

Was mir noch aufgefallen ist:
In den Bespielen steht immer "wbinfo -u" und als Feedback:
Domain+User

Das Plus-Zeichen kommt doch von Samba "winbind separator", oder? Bei mir wird aber die Domain gar nicht angezeigt. Bei mir steht sofort der User da - kann es damit vielleicht was zu tun haben? Das dort etwas nicht richtig eingerichtet ist?

Dankend

Stefan

emba
12.07.05, 08:33
hängt nicht damit zusammen (domänenkomponente)

wie sieht denn die nsswitch.conf in punkto groups aus?

greez

Stiftmaster
12.07.05, 13:00
meine nsswitch.conf sieht folgendermaßen aus:


passwd: files winbind
shadow: files
group: files winbind

emba
12.07.05, 13:51
was bringt "getent group test1" ?
wie sieht die smb.conf aus?

-> loglevel erhöhen und schauen, was der winbind für fehler logt

greez

Stiftmaster
12.07.05, 14:35
getent group Test1 bring gar nix - auch wenn ich den domainamen davor schreibe...

Das hier ist meine smb.conf

[global]
workgroup = SEHEN-DESIGN
realm = SEHEN-DESIGN
server string = Application-Server (Samba 3)

security = ADS
password server = sd-s-pdc
guest account = nobody
map to guest = Bad User
encrypt passwords = yes

winbind separator = +
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
template homedir = /home/Sehen-Design/%U
template shell = /bin/bash

keep alive = 30
public = yes
kernel oplocks = false
socket options = SO_KEEPALIVE TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=16384 SO_R
wins support = no

[WWW]
comment = Web-Server
path = /www
read only = no
# force group = @dev_www
public = yes
# valid users = @dev_www
browseable = yes

[CVS]
comment = CVS-Repository
path = /cvs
read only = yes
public = yes
# valid users = @dev_cvs
browseable = yes

wo kann ich denn bei winbind den loglevel erhöhen?

Dankend

Stefan

emba
12.07.05, 14:38
log level = 5

hast du mal winbind gestoppt, die caches gelöscht und neu gestartet?
btw: ich finde das idmap_rid modul zum idmaping besser (s. samba howto)

greez

Stiftmaster
12.07.05, 14:53
habe "log level = 5" in die smb.conf gesetzt => aber da ist das doch sicher falsch, oder? Dann erscheint nämlich nix in der/var/log/messages und /var/log/samage/log.smb

rcwinbind hab ich grad ausgeführt und danach wieder gestartet. Nix genützt. Neustart auch nix gebracht. Wo liegt denn der Cache bzw. wie kann ich den löschen?

idmap_rid schau ich mir jetzt mal in der Doku von Smb an - vielleicht ist das ja neuer und das alte hat noch n' Bug und ist nicht Win2003 kompatibel.

Bis dann

Stefan

emba
12.07.05, 14:56
schau dir bitte die doku zu den log level an

ich sagte ja auch, caches löschen, dann neustart
bei einem suse system liegen die caches in /var/lib/samba/winbin*_.tdb
achtung: löschst du die winbind_idmap.tdb gehen alle deine bisherigen idmaps verloren
=>backup

greez

Stiftmaster
12.07.05, 17:19
cache gelöscht, neugestartet - immer noch das gleiche Problem...

jetzt schau ich mir mal die log files an.

Stefan

Stiftmaster
23.07.05, 10:57
sorry, dass ich mich so lange net gemeldet hab - hatte noch ein paar andere stressige Sachen zu erledigen. Heute Morgen habe ich an diesem Projekt wieder weitergemacht...

Als erstes hab ich die Log-Level-Erweiterung in Samba eingebaut:

log level = 5
log file = /var/log/samba/log.%m
syslog = 5
log file = /var/log/samba/log.%m

Danach habe ich nochmal versucht, die Gruppenzugehörigkeit eines Ordners zu ändern (chgrp dev_cvs cvs). Dabei kommt dann folgendes raus:

[2005/07/23 10:51:40, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(261)
[ 7247]: request interface version
[2005/07/23 10:51:40, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(297)
[ 7247]: request location of privileged pipe
[2005/07/23 10:51:40, 5] nsswitch/winbindd.c:winbind_client_read(477)
read failed on sock 20, pid 7247: EOF
[2005/07/23 10:51:40, 3] nsswitch/winbindd_group.c:winbindd_getgrnam(244)
[ 7247]: getgrnam dev_cvs
[2005/07/23 10:51:40, 1] nsswitch/winbindd_group.c:winbindd_getgrnam(299)
group dev_cvs in domain SEHEN-DESIGN does not exist
[2005/07/23 10:51:40, 5] nsswitch/winbindd.c:winbind_client_read(477)
read failed on sock 22, pid 7247: EOF

SEHEN-DESIGN ist meine AD-2K3-Domain; dev_cvs ist eine Gruppe im AD.

Wenn ich mir die Gruppen mit "getent group" anschauen möchte, wird folgendes geloggt:

[2005/07/23 10:56:37, 3] nsswitch/winbindd_misc.c:winbindd_interface_version(261)
[ 7266]: request interface version
[2005/07/23 10:56:37, 3] nsswitch/winbindd_misc.c:winbindd_priv_pipe_dir(297)
[ 7266]: request location of privileged pipe
[2005/07/23 10:56:37, 5] nsswitch/winbindd.c:winbind_client_read(477)
read failed on sock 20, pid 7266: EOF
[2005/07/23 10:56:37, 3] nsswitch/winbindd_group.c:winbindd_setgrent(431)
[ 7266]: setgrent
[2005/07/23 10:56:37, 3] nsswitch/winbindd_group.c:winbindd_getgrent(619)
[ 7266]: getgrent
[2005/07/23 10:56:37, 5] lib/util.c:Realloc(954)
Realloc asked for 0 bytes
[2005/07/23 10:56:37, 5] lib/util.c:Realloc(954)
Realloc asked for 0 bytes
[2005/07/23 10:56:37, 4] nsswitch/winbindd_group.c:get_sam_group_entries(562)
get_sam_group_entries: Native Mode 2k domain; enumerating local groups as well
[2005/07/23 10:56:37, 4] nsswitch/winbindd_group.c:get_sam_group_entries(571)
get_sam_group_entries: Returned 9 local groups
[2005/07/23 10:56:37, 4] nsswitch/winbindd_group.c:get_sam_group_entries(562)
get_sam_group_entries: Native Mode 2k domain; enumerating local groups as well
[2005/07/23 10:56:37, 4] nsswitch/winbindd_group.c:get_sam_group_entries(571)
get_sam_group_entries: Returned 0 local groups
[2005/07/23 10:56:37, 3] nsswitch/winbindd_group.c:winbindd_getgrent(619)
[ 7266]: getgrent
[2005/07/23 10:56:37, 3] nsswitch/winbindd_group.c:winbindd_endgrent(484)
[ 7266]: endgrent
[2005/07/23 10:56:37, 5] nsswitch/winbindd.c:winbind_client_read(477)
read failed on sock 22, pid 7266: EOF ´

Hat jemand n' Ahung, warum ich diese Probleme habe - ich versteh's einfach net :-( Bin wie immer für jeden Tipp dankbar.

Stefan

emba
25.07.05, 09:36
starte den winbindd bitte mal interaktiv mit erhöhtem loglevel in der command line
die ausgabe von dir ist zu kurz, da kommt noch viel mehr

evtl. hast du ein zeit/ticket problem, ein prob mit winbindd und sp1 des w2k3 (verwendest du die aktuellste samba release?) oder ein problem mit dem idmaping

greez

Stiftmaster
25.07.05, 10:09
Hi,

vielen Dank für deine Tipps...

Zeitproblematik:

Server:/etc/pam.d # net time
Mon Jul 25 09:53:10 2005
Server:/etc/pam.d # date
Mon Jul 25 09:55:12 CEST 2005

=> schließe ich mal aus - Differenz muss ja über 3 Min. sein => Zeitserver werd ich aber in den nächsten Wochen auch einrichten

winbindd und sp1 des w2k3:
Welche Probleme gibt es denn da? Ich verwende Winbindd und W2K3 + SP1.

Samba-Version:
SuSE 9.3 + Samba 3.0.13

Die erweiterte Log folgt in einer Min...

Stefan

emba
25.07.05, 15:16
ich glaub der fehler ist, dass du nicht die aktuellste samba version nutzt


===============================
Release Notes for Samba 3.0.14a
Apr 14, 2005
===============================

Common bugs fixed in 3.0.14a include:

o Compatibility issues between Winbind and Windows 2003 SP1
domain controllers (*2k3sp1*).
o MS-DFS errors with Windows XP SP2 clients.
o High CPU loads caused by infinite loops in the FindNext()
server code.
o Invalid SMB_ASSERT() which caused smbd to panic on ACL'd
files.


greez

Stiftmaster
25.07.05, 15:33
hmmm - das wär natürlich suuuuper ärgerlich - aber deutet ja echt darauf hin. Ich hab mal gerade auf den SuSE-Update-Server geschaut - da liegt leider die 3.0.14a noch nicht drauf - aber ich fahre diese Woche auch drei Wochen in Urlaub - vielleicht liegt danach die aktuelle Version auf dem FTP - ansonsten heißt es halt selber compilieren :-)

Ich danke euch für eure Hilfe - ihr hört von mir

Bis dann

Stefan

emba
25.07.05, 16:30
ftp.sernet.de

greez

Stiftmaster
26.07.05, 15:33
Leute,

ich werd verrückt - es klappt. Neue Version installiert und läuft auf Anhieb... In solchen Situationen könnte ich ja fluchen - Stunden verplempert und in 2 Min. das Problem gelöst...

Naja - ich glaube, dass ist das Leben eines EDVlers :-)

Ich möchte mich auf diesem Wege nochmal gaaaaanz herzlich bei allen Bedanken - das Problem ist gelöst - es lebe Samba 3.0.14a :-)

Bis dann

Stefan