PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Nt Server Tools Problem



Seiten : [1] 2

ramsys
14.09.05, 11:23
Mahlzeit,
Ich betreibe einen PDC mit LDAP Backend von der aktuellen Suse 9.3 Distrie und die smbldap-tools ind er aktuellsten Version.
Ich habe ein problemchen mit den NT Server tools. Der Server manager zeigt mir den PDC und die Maschienen an. Wenn ich aber eine Maschiene hinzufügen möchte bekomme ich einen "Zugriff verweigert". Das ist nicht ganz so schlimm da die Maschiene problemlos hinzugefügt wird wenn der Rechner in der Domäne aufgenommen wird. Schlimmer ist das die Benutzer auch nicht über den Usermanager nicht hinzugefügt werden können da schon beim Start die Meldung "Das Stub enthielt falsche Daten" kommt.
Hat das wer eine Idee?

Und als Bonus eine Verständnissfrage:
unter Global wird in jedem Tut
"add user script = /usr/local/sbin/smbldap-useradd -m "%u" verwendet.
Müsste es nicht richtig heissen .../smbldap-useradd -ma "%u" ?
Weil wenn man manuell -m nutzt wird ja kein ordentlicher Windowsnutzer angelgt. :confused:

Schon mal besten Dank im voraus

emba
15.09.05, 13:10
hi,

es muss -m heißen, da samba die notwendigen attribute selbst hinzufügt
der usrmgr sollte funktionieren, hie und da gibt es ein paar probleme mit samba versionen. du solltest die aktuellste version benutzen (am besten bei samba 3.0.14a, denn einige patches betreffend des usrmgr sind noch nicht in binaries geflossen) und deine windows box, auf die der usrgmr läuft updaten (alle MS patches)

erhöhen des log levels sambaseitig kann fehlerquellen aufzeigen beim einsatz des usrmgr

greez

ramsys
15.09.05, 15:20
Ich verwende Samba mit der Version 3.0.12-5.
Werde mich dann mal an das Update machen und sehen obs was bringt.

Was mich wundert is das beim anmelden an der Windowsdose im log steht:
filters: (&(uid=root)(objectClass=sambaSamAccount))
während beim aufrufen des usrmgr statt root ein * steht.
Und am ende 2 markante Zeilen:

ldapsam_setsampwent: LDAP search failed: No such object
load_sampwd_entries: Unable to open passdb

Ich vermute sowas wie n Zugrifssproblem. Habe aber keinen Schimmer an was das liegt.
Übrigens habe ich auf anpassungen in pam.d login verzichtet da keiner der Leute sich in der shell einloggen können soll.

emba
15.09.05, 16:03
PAM bleibt außen vor
setzt du ACLs beim OpenLDAP server ein?
stimmen die einstellungen in der smb.conf bzgl. ldap server?
ist smbpasswd -w gesetzt?
existiert im backend ein account mit uid=0? (dies ist bei neueren samba versionen und einsatz von privileges nicht mehr notwendig; sind diese deaktiviert so brauchst du einen uid=0 account mit samba attributen)

greez

ramsys
15.09.05, 18:24
smbpasswd -w ist gesetzt.

>existiert im backend ein account mit uid=0? (dies ist bei neueren samba >versionen und einsatz von privileges nicht mehr notwendig; sind diese >deaktiviert so brauchst du einen uid=0 account mit samba attributen)

uid=0 hat root im backend mit dem ich mich auch an der Dose anmelde.

Um erst mal fehler auszuschliessen sind die acls im openldap nur mit
access to *
by * write gesetzt.

Sitze jetzt leider nicht vor der Kiste da Feierabend.

emba
16.09.05, 08:47
dann bleibt uns nur das log von samba

greez

ramsys
16.09.05, 13:20
welcher loglevel und welches file hätten Sie denn gern? :)
irgend ein fehler in der ldap.conf oder openldap/ldap kann es nicht sein?
in beiden ist jeweils Base dc=mydomain,dc=de gesetzt.

(wobei statt mydomain natürlich eine domain enthalten ist ;) )

emba
16.09.05, 16:42
level 5 ist ok
wenn du per maschine logst, dann das log der maschine, die darauf zugreift mit dem usrmgr
klar kann es auch ldap sein, aber die config sieht ordentlich aus (für tests)

bin ab montag erst wieder online

greez

ramsys
19.09.05, 09:24
Moin,

Ich habe dir mal zum maschienen log noch die messages angehangen.
Habe beide logs vor auslösen des usrmgr gelöscht.
Bin gespannt on du daraus schlau wirst.

emba
19.09.05, 14:10
was ist denn das hier :)



[2005/09/19 08:58:52, 5] lib/smbldap.c:smbldap_search(1038)
smbldap_search: base => [ou=People,dc=*edit*,dc=de], filter => [(&(uid=*)(objectclass=sambaSamAccount))], scope => [2]
[2005/09/19 08:58:52, 0] passdb/pdb_ldap.c:ldapsam_setsampwent(1236)
ldapsam_setsampwent: LDAP search failed: No such object
[2005/09/19 08:58:52, 3] passdb/pdb_ldap.c:ldapsam_setsampwent(1237)
ldapsam_setsampwent: Query was: ou=People,dc=*edit*,dc=de, (&(uid=*)(objectclass=sambaSamAccount))
[2005/09/19 08:58:52, 0] rpc_server/srv_samr_nt.c:load_sampwd_entries(342)
load_sampwd_entries: Unable to open passdb.
[2005/09/19 08:58:52, 3] smbd/sec_ctx.c:pop_sec_ctx(386)
pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2005/09/19 08:58:52, 5] rpc_server/srv_samr_nt.c:_samr_query_dispinfo(1111)
_samr_query_dispinfo: load_sampwd_entries failed
[2005/09/19 08:58:52, 5] rpc_parse/parse_prs.c:prs_debug(82)
000000 samr_io_r_query_dispinfo
[2005/09/19 08:58:52, 5] rpc_parse/parse_prs.c:prs_uint32(642)
0000 total_size : 00000000
[2005/09/19 08:58:52, 5] rpc_parse/parse_prs.c:prs_uint32(642)
0004 data_size : 00000000
[2005/09/19 08:58:52, 5] rpc_parse/parse_prs.c:prs_uint16(613)
0008 switch_level: 0000
[2005/09/19 08:58:52, 5] rpc_parse/parse_prs.c:prs_uint32(642)
000c num_entries : 00000000
[2005/09/19 08:58:52, 5] rpc_parse/parse_prs.c:prs_uint32(642)
0010 ptr_entries : 00000000
[2005/09/19 08:58:52, 5] rpc_parse/parse_prs.c:prs_ntstatus(672)
0014 status: NT_STATUS_ACCESS_DENIED


???

greez

ramsys
19.09.05, 18:17
Ja weiß :)
Also dc hab ich wegeditiert. Aber im search filter sollte eigentlich root stehen oder?
Ka warum da nix steht. Hast du ne idee?
Oder wolltest du mir eine andere Eingebung geben? :)

2005/09/19 08:58:52, 5] lib/smbldap.c:smbldap_search(1038)
smbldap_search: base => [ou=People,dc=*edit*,dc=de], filter => [(&(uid=*)(objectclass=sambaSamAccount))], scope => [2]

emba
20.09.05, 08:48
mich störte das hier


ldapsam_setsampwent: LDAP search failed: No such object
[2005/09/19 08:58:52, 3] passdb/pdb_ldap.c:ldapsam_setsampwent(1237)
ldapsam_setsampwent: Query was: ou=People,dc=*edit*,dc=de, (&(uid=*)(objectclass=sambaSamAccount))
[2005/09/19 08:58:52, 0] rpc_server/srv_samr_nt.c:load_sampwd_entries(342)
load_sampwd_entries: Unable to open passdb.

der filter mit * ist schon korrekt
bindest du dich als manager am tree?

greez

ramsys
20.09.05, 09:37
bei mir ist es root. Muß in die ldap.conf noch das bindpw und binndn oder rootbinddn mit der ldap.secret?
Weil normal brauch ich das ja nicht.

ramsys
22.09.05, 10:48
Wie war eigentlich unser letzter Stand?
Hast du noch eine idee was da schief läuft?

emba
22.09.05, 11:02
na sind die fehler im log immer noch da mit dem passdb backend? welche server tools meinst du genau? nur usrmgr oder srvtools.exe???

greez

ramsys
22.09.05, 12:42
Ich benutze nur svrmgr und usrmgr.
Am log hat sich nicht geändert.
Die maschine ins Netz nehmen geht ja da dort ja noch mal das root pw abgefragt wird. Scheinbar klappt die authentifizierung über den usrmgr nicht.
Das Profil und die Daten von root werden aber mit den korrekten rechten angelegt. Irgendwie klappt das nicht mit den rechten im Ldap.
Da beim svrmgr nach dem versuch eine Maschine anzulegen Zugriff verweigert kommt.

emba
23.09.05, 08:02
ich bin jetz langsam auch ratlos - ich habe wirklich im selben setup keine probleme damit. zugriff verweigert kommt meist bei mangelnden rechten (nicht uid=0) bzw. wenn der DIT nicht richtig durchsucht werden kann (worauf deine fehler mit dem passdb backend hinweisen)

bist du nun schon auf 3.0.14a oder sogar 3.0.20 mit den letzten patches?
schick mir bitte mal deine smb.conf

greez

ramsys
23.09.05, 10:31
Nein das Update habe ich noch nicht gemacht da hier leider kein internet vorhanden ist. Die 10 mbit bekommen wir erst im oktober.

emba
25.09.05, 17:57
du bist auch am xp client als root (uid=0) angemeldet? die cn=root,... ist der manager des ldap servers?

greez

ramsys
25.09.05, 21:31
Is w2k client. Ja root uid is 0 und bin auch als root angemeldet. Root ist auch der manager des ldap. Wenn ich nicht als root angemeldet bin kommt ordnungsgemäß benutzer nicht gefunden mit den tools. Als root kommt zugriff verweigert.

emba
26.09.05, 10:35
da bleibt wirklich nur noch das studieren der logs mit hohem debuglevel an deiner stelle - sorry, dass ich da nicht weiterhelfen kann

oder ein update

greez

ramsys
26.09.05, 10:43
Habe eine kleine Änderung gemacht die ich damals nicht getan habe weil ich zu anfang keinen rechner in die Domaine nehmen konnte und es schéinbar damit dann ging. Ich habe mal wieder in die etc/ldap.conf binddn und bindpw genommen.
Jetzt kann ich schonmal Arbeitsstationen hinzufügen und entfernen.
Das bringt mir aber nicht so viel da die Stationen bei der Aufnahme in die Domaine eh angelegt werden.
Was noch nicht geht ist der usrmgr was viel wichtiger is da bei Bedarf ja Rechte verändert werden sollen. Bin zwar immer da um das zu tun, aber für den Fall der Fälle wäre es schon sehr sinnvoll.
Die Fehlermeldung welche unmittelbar nach dem Start kommt:
Das Stub erhielt falsche Daten.
Möchten Sie eine andere Domaine zur Verwaltung aussuchen?

edit*
Blöder weise kann ich nach der änderung am server keine user aus dem backend mit getent passwd auslesen. Auch net groupmap list haut nicht mehr hin :(
Also änderung wieder rückgängig gemacht

emba
26.09.05, 16:07
bitte saug dir mal mein howto zur mgiration NT->Samba, damit du das problem mit NSS und ldap fixen kannst

desweiteren rate ich dir, mindestens auf die 3.0.14a zu updaten

greez

ramsys
26.09.05, 19:29
Ich kenne dein Howto.
Ich spiele eh mit dem Gedanken die Sache noch mal neu aufzusetzen (neu durchzu konfigurieren)
Ich habe das glaube damal nur versuchsweise installiert und fehlendes nachkonfiguriert. Wer weiß wo da der Wurm drin is.

Eine Sache erklärt sich mir aber nicht an deinem Howto.
Du hast die ldap.secret angelegt. Ich finde jodoch keinen verweiß darauf wie sich mir erklären könnte wo oder wie das system darauf zugreift.

emba
27.09.05, 10:38
diese wird dann genutzt, wenn du rootbinddn spezifiziert hast und aktionen als root ausführst, die NSS benutzen. sie wird besonders geschützt, damit niemand außer root sie einsehen kann

greez

ramsys
27.09.05, 16:57
Du hast nicht zufällig funktionierende confs für ne suse distri?
Fürs directory reicht das smbldap-populate ?!?
Denn die etc/openldap/ldap.conf - slapd.conf, etc/ldap.conf
Sorry hab jetzt n mittelmäßiges Problem da mir absolut die Zeit fehlt jetzt Stundenlang alles noch einmal durch zu gehen. Der Server sollte eingesetzt werden und ich hätte lieber auf den usrmgr verzichtet.
Nach deinem Howto gings leider in die Hose.
Das fing schon damit an das schon durch das setzen von nobody auf nobody1 in der shadow,passwd und group der ldap nicht zu starten ging.

Kann die Passwortverschlüsselung bei der Installation von Suse probleme machen? Hab mich mal spontan für MD5 entschieden :)

emba
28.09.05, 08:29
am besten, wir machen es nach meinem howto und fixen die kleinen probleme. da sind nämlich funktionierende confs für eine suse distri (SLES) drin.

schau nach, als welcher nutzer der ldap server gestartet wird. im normalfall "ldap". du kannst auch das umbenennen lassen und mittels smbldap-populate -b einen anderen gast account ("gast") angeben, den du dann in die smb.conf eintragen MUSST!


Fürs directory reicht das smbldap-populate ?!?
ja, das reicht. wenn es sich beschwert muss evtl. noch die rootdn (dc=,...) vorher mittels ldap add eingefügt werden (s. mein howto)


Denn die etc/openldap/ldap.conf - slapd.conf, etc/ldap.conf
versteh ich nicht

greez

ramsys
28.09.05, 09:47
Werde nochmal den Server aufsetzen da ich bei der Suseinstallation MD5 verschlüsselung gewählt habe und das wohl zu Problemen bei der authentifizierung unter Nis kommen kann, zumal die anderen Server mit der einfachen Verschlüsselung arbeiten. Danach werde ich auch gleich samba auf 3.0.20 updaten.
Es reichen ja die mudule:
libsmbclient
samba
samba-client
samba-pdb
(falls nicht gib mal bescheid)

ansonsten verwende ich zusätzlich noch:
openldap2 und client (is ja klar)
pam_ldap nss_ldap (is auch klar)
perl_ldap und ssl
yast2_ldap und client
crypt::smbhash

Werde das hier ständig editieren. Kannst ja bemerkungen zu meinen ausführungen in deinem nächsten beitrag Editieren.

1. Zwischenergebniss
Samba läuft.
User lassen sich mit samba_admin.sh anlegen. Es werden auch die korrekten verzeichnisse wie Homes angelegt auf welche ich auch als root am Windows clienten zugreifen kann.
Das Groupmapping läuft noch nicht (keine anzeige mit net groupmap list nur die gids)
auch getent passwd bringt noch nicht die user im Backend.
Demzufolge lässt sich auch noch kein Rechner in die Domaine nehmen.
Die Nobodys in shadow, group und passwd darf ich noch nicht in nobody1 .
ändern da sonst samba nicht startet.
Wohl weil samba noch nicht das Backend ausliest.
Was ist zu tun damit dieses letzte Problem behoben werden kann?

ramsys
28.09.05, 20:30
Scheinbar kann auch der nscd probleme machen.
Werde morgen mal ihn entweder ganz abschalten
oder aber in der
/etc/nscd.conf mit
enable-cache passwd no
enable-cache group no anpassen.
Wenn dir noch etwas einfällt immer her damit.

cya

Das war es dann wohl nicht.
Ist mir extrem peinlich, aber wo sehe ich welcher dienst unter wem läuft?

emba
29.09.05, 08:27
wenn das caching verhalten des nscd zu "groß" eingestellt wurde, dann kann es schon zu beeinträchtigungen kommen. ich halte den nscd auf einem PDC mit ordentlich konfiguriertem slapd (indizes, ACLs) für unnötig

greez