PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba und Winbind Problem



verdammt
18.10.05, 20:02
HI,

Situation ist die das ich versuche einen Samba3 Server als Member Server ins ADS zu hängen .

Das integrieren ins ADS hat geklappt der Server ist im ADS zu sehen das heißt ein net ads join ging ohne fehler durch.

ein wbinfo -u zeigt alle Benutzer
ein wbinfo -g zeigt alle Gruppen
Es klappt auch alles soweit das ich auf das Share zugreifen kann wenn ich in der SMB.CONF einen User von ADS eintrage.

das einzige was nicht klappt ist Gruppen.

wenn ich ein getend group mache sehe ich im winbind log immer folgenden Fehler.

[2005/10/12 21:53:28, 3] lib/charcnv.c:convert_string_allocate(567)
convert_string_allocate: Conversion error: Incomplete multibyte sequence(ÿ¿)
[2005/10/12 21:53:28, 3] lib/charcnv.c:convert_string_allocate(567)
convert_string_allocate: Conversion error: Incomplete multibyte sequence(¿)
[2005/10/12 21:53:28, 3] nsswitch/winbindd_ads.c:lookup_groupmem(777)
ads lookup_groupmem for sid=S-1-5-21-4187222621-1269065669-2429475773-513
[2005/10/12 21:53:28, 3] lib/charcnv.c:convert_string_allocate(576)
convert_string_allocate: Conversion error: Illegal multibyte sequence(ïÿ¿)
[2005/10/12 21:53:28, 3] lib/charcnv.c:convert_string_allocate(567)
convert_string_allocate: Conversion error: Incomplete multibyte sequence(ÿ¿)
[2005/10/12 21:53:28, 3] lib/charcnv.c:convert_string_allocate(567)
convert_string_allocate: Conversion error: Incomplete multibyte sequence(¿)
[2005/10/12 21:53:28, 3] nsswitch/winbindd_ads.c:lookup_groupmem(777)
ads lookup_groupmem for sid=S-1-5-21-4187222621-1269065669-2429475773-514
[2005/10/12 21:53:28, 3] lib/charcnv.c:convert_string_allocate(576)
convert_string_allocate: Conversion error: Illegal multibyte sequence(ïÿ¿)


hier meine SMB.CONF

[global]
workgroup = GUT
netbios name = samba3-test
realm = TEST.COM
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind separator = /
security = ADS
encrypt passwords = yes
password server = SERVER1.TEST.COM
client use spnego = yes
# character set = ISO8859-1
log level = 3
# log file = /var/log/samba/%m
max log size = 50
winbind cache time = 15
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = No
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
dos charset = CP850
unix charset = UTF8
display charset = UTF8

eintrag in die nsswitch ist auch gemacht

passwd: files winbind
group: files winbind
shadow: files winbind comapt

kinit klappt auch!
kinit Administrator@TEST.COM
Administrator@TEST.COM's Password:
kinit: NOTICE: ticket renewable lifetime is 1 week

Ausgabe klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: Administrator@TEST.COM

Issued Expires Principal
Oct 18 19:59:21 Oct 19 05:59:16 krbtgt/TEST.COM@TEST.COM

Weiß eingfach nicht mehr was ich noch machen soll!

Hoffe hier hat noch jemand eine Idee.

Greets
verdammt

Polarizer
19.10.05, 09:27
Hast Du vielleicht Sonder- oder Leerzeichen in den Gruppennamen im AD?

Setzt mal den log level in der smb.conf auf 10 und wiederhole die Gruppenausgabe.

verdammt
19.10.05, 19:42
Hi,

schonmal danke für die Antwort.
In der Domänegruppen sind Sonderzeichen. Domänenadmins usw. aber die sind doch Standard bei Win2000 und höher.

wenn ich ein wbinfo -g mache kommt im log.winbind

[2005/10/19 19:38:20, 10] nsswitch/winbindd.c:client_write(558)
client_write: client_write: complete response written.
[2005/10/19 19:38:20, 10] nsswitch/winbindd.c:winbind_client_read(470)
client_read: read 0 bytes. Need 1824 more for a full request.
[2005/10/19 19:38:20, 5] nsswitch/winbindd.c:winbind_client_read(477)
read failed on sock 19, pid 15958: EOF


getent group liefert das

9065669-2429475773-518
[2005/10/19 19:41:31, 10] sam/idmap_util.c:idmap_sid_to_gid(187)
idmap_sid_to_gid: gid = [10004]
[2005/10/19 19:41:31, 10] nsswitch/winbindd_group.c:winbindd_getgrent(710)
got gid 10004 for group 518
[2005/10/19 19:41:31, 3] lib/charcnv.c:convert_string_allocate(576)
convert_string_allocate: Conversion error: Illegal multibyte sequence(ïÿ¿)
[2005/10/19 19:41:31, 3] lib/charcnv.c:convert_string_allocate(567)
convert_string_allocate: Conversion error: Incomplete multibyte sequence(ÿ¿)
[2005/10/19 19:41:31, 3] lib/charcnv.c:convert_string_allocate(567)
convert_string_allocate: Conversion error: Incomplete multibyte sequence(¿)
[2005/10/19 19:41:31, 10] nsswitch/winbindd_group.c:fill_grent_mem(106)
group SID S-1-5-21-4187222621-1269065669-2429475773-518
[2005/10/19 19:41:31, 10] nsswitch/winbindd_cache.c:refresh_sequence_number(355)
refresh_sequence_number: GUT time ok
[2005/10/19 19:41:31, 10] nsswitch/winbindd_cache.c:refresh_sequence_number(386)
refresh_sequence_number: GUT seq number is now 1172355
[2005/10/19 19:41:31, 10] nsswitch/winbindd_cache.c:lookup_groupmem(1265)
lookup_groupmem: [Cached] - doing backend query for info for domain GUT
[2005/10/19 19:41:31, 10] nsswitch/winbindd_ads.c:lookup_groupmem(663)
ads: lookup_groupmem GUT sid=S-1-5-21-4187222621-1269065669-2429475773-518
[2005/10/19 19:41:31, 7] nsswitch/winbindd_ads.c:ads_cached_connection(48)
Current tickets expire at 1129779451, time is now 1129743691

Greets
verdammt

Polarizer
20.10.05, 09:32
Ich hab den dumpfen verdacht, das der AD-Server die Liste der Gruppen nicht rausrückt, weil der User, der sie abfragt, nicht dazu berechtigt ist. BTW: Hast Du schon "net join......" gemacht?!

verdammt
20.10.05, 17:33
Hab ich gemacht! Server ist auch im ADS zu sehen und eine wbinfo -g oder -u zeigt mir auch die Benutzer und Gruppen von ADS.

Bin aber jetzt ein bisschen weiter. Angeblich soll Samba ab Version 3.0.14a erst mit Win2003 und SP1 sauber laufen.

Also hab ich heute auf 3.0.20 upgedatet!

Der eine Fehler ist jetzt weg im LOG dafür kommt dieser bei einem getent group

[2005/10/20 17:30:34, 5] nsswitch/winbindd.c:winbind_client_read(477)
read failed on sock 23, pid 3824: EOF


Ich werd noch verrückt! Das kann doch nicht so schwer sein!

jemand noch eine Idee.


Greets
@all

verdammt
21.10.05, 15:56
Es klappt jetzt soweit alles!

Lösung war Samba 3.0.20.

Viele Grüße
Markus

Polarizer
21.10.05, 16:27
Grrrr. War nur die Version?!!!

BTW: In deiner nsswitch.conf iss noch 'nen Typo:

shadow: files winbind comapt

->

shadow: files winbind compat

verdammt
21.10.05, 19:41
Genau es war die verdammte Version!
Ich hab mir locker 2 Wochen die Zähne ausgbissen.

naja es gibt ja Gott sei dank apt-get auch für Suse.

Danke für die Info wegen dem shadow.

Greets