PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : ads_add_machine_acct (io): Type or value exists



Cisanius
15.12.05, 07:05
Servus allerseits,

Habe hier derzeit ein kleines Problem ...

und zwar habe ich auf der einen Seite eine Fedora Core 3 Kiste und auf der anderen einen Windows 2k3 Server (Enterprise Edition).

Zunächst habe ich auf der Fedora Kiste einen DNS aufgesetzt, der auch vom win2k3 server stündlich upgedatet wird. Alles kein Thema auch die Zeitsynchronisation ist über einen NTP auf der Fedora Kiste gesichert.

Jetzt wollte ich die Fedora Kiste auch in das Active Directory auf dem win2k3 Server aufnehmen. Also erstmal Howtos suchen und fleißig googeln. Nach einigen Dokumenten hatte ich dann meine Config so stehen, dass es eigentlich hätte funktionieren müssen (klar, sagt jeder ;)) ... doch als ich gerade den join-befehl abgesetzt habe kam folgende Fehlermeldung, zu der ich leider keine weitere Doku mehr finde und langsam keine Lust mehr habe zu rätseln. Also frage ich euch in der Hoffnung, dass sich jemand einen Reim darauf machen kann ...

also hier der Befehl, der den Fehler erzeugt (samba und winbind sind runtergefahren):



[root@io ~]# net ads join -S 192.168.0.101 -U Administrator
Administrator's password:
[2005/12/15 13:35:21, 0] libads/ldap.c:ads_join_realm(1640)
ads_add_machine_acct (io): Type or value exists
ads_join_realm: Type or value exists


das klappt allerdings:



[root@io ~]# kinit -V Administrator@HUAQI.LOCAL
Password for Administrator@HUAQI.LOCAL:
Authenticated to Kerberos v5
[root@io ~]# net ads user -U Administrator
Administrator's password:
Administrator
Guest
SUPPORT_388945a0
krbtgt
henning.weiler
[root@io ~]#


ein 'net rpc join -S 192.168.0.101 -U Administrator' funktioniert ohne meckern. Aber trotzdem schlagen 'wbinfo -u' oder 'wbinfo -g' fehl, wobei 'wbinfo -t' eine Trust bestätigt!

Die Domain heißt 'huaqi.local' kurzname 'huaqi' der realm 'HUAQI.LOCAL'
Der Hostname und Netbios-name der Fedora Box ist 'io'

--------------------------- Configs -----------------------

/etc/samba/smb.conf (samba-3.0.8fc3)


[global]

# General settings
workgroup = huaqi
netbios name = io
server string = linux box
hosts allow = 192.168.0. 127.

# logging
log file = /var/log/samba/%m.log
max log size = 50

# ADS connector
security = ads
encrypt passwords = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
dns proxy = no
realm = HUAQI.LOCAL
password server = 192.168.0.101

# ID Mapping
idmap uid = 10000-20000
idmap gid = 10000-20000

# winbind settings
winbind use default domain = yes
winbind separator = +
winbind cache time = 10
winbind enum users = yes
winbind enum groups = yes
template shell = /bin/bash
template homedir = /home/%D/%U


# Share definitions

[homes]
comment = Home Directories
browseable = no
writable = yes

[public]
comment = Public Stuff
path = /home/public
public = yes
read only = yes
write list = @users


/etc/krb5.conf (MIT Kerberos)


[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = HUAQI.LOCAL
default_keytab_name = /etc/krb5.keytab

[realms]
HUAQI.LOCAL = {
kdc = crystal.huaqi.local
admin_server = crystal.huaqi.local
default_domain = huaqi.local
}

[domain_realm]
.huaqi.local = HUAQI.LOCAL
huaqi.local = HUAQI.LOCAL

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}


/etc/nsswitch.conf


passwd: compat winbind
shadow: compat
group: compat winbind

hosts: files dns

bootparams: nisplus [NOTFOUND=return] files

ethers: files
netmasks: files
networks: files
protocols: files winbind
rpc: files
services: files winbind

netgroup: files winbind

publickey: nisplus

automount: files winbind
aliases: files nisplus


------------------------- /Configs -----------------------


Ich habe sogar schon versucht, auf dem win2k3 Server ein extra keytab zu erstellen, der einen hostnamen auf einen user mapped, dieses in eine datei schreiben lassen, auf io gezogen und dort per kutil in die krb5.keytab importiert. Aber nöö ... keine chance

Ich habe auch schon mal die Domain-Controller Rolle vom win2k3 server entfernt und wieder aufgesetzt ... aber das ging auch nicht. Auch ein Nachstellen der beiden Kisten in 2 VMs führte zum gleichen Ergebnis.

Hmm ... nunja, vielleicht habt ihr ja eine Idee?!

Danke schonmal im Voraus!

ciao
Henning

Cisanius
16.12.05, 03:05
hallo nochmal, ich habe jetzt nochmal mit dem windowstool 'kpass' einen host-account auf einen useraccount gemapped, und dann auf IO übertragen; sprich mein .keytab per kutil in krb5.keytab gespeichert.

dann mit net changeclientpw -f das passwort von meinem client auf das des gemappten users auf der windoof domäne geändert.

die wbinfo -u und wbinfo -g Befehle funktionieren jetzt;allerding ist die Ausgabe nicht DOMAIN+User sondern nur User. Sehr strange!

aber getent passwd zeigt mir die User wiederum nicht an ... *hmpf* ... ich verzweifel noch.

irgendwelche Ideen?

Danke
Henning

emba
16.12.05, 11:38
starte winbindd bitte interaktiv "-d4 -i"
nutzt er auch die richtige config?

evtl. auch mal caches löschen /var/lib/samba/winb*.tdb

greez