PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : samba: security = domain geht nicht, aber security = server



romeofox
07.03.06, 11:04
Hi.

Ich habe versucht, einem Samba-Server (2.2.3a) beizubringen, dass er die Useraccounts gegen einen PDC (auch samba) verifiziert. Der Server ist beim PDC erfolgreich in der Domäne eingetragen, der User ist dort bekannt und auch auf dem Server lokal im Unix existent.
Die smb.conf sieht so aus:



[global]
workgroup = OMC
os level = 2
encrypt passwords = Yes
guest account = Nobody
map to guest = Bad User
username map = /etc/samba/smbusers
log level = 3
security = domain
password server = TODESSTERN
socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY
local master = No
interfaces = 192.168.130.200/255.255.255.0
wins support = No
wins server = 192.168.130.10
character set = ISO8859-15
client code page = 850
veto files = /*.eml/*.nws/riched20.dll/*.{*}/

[RF-Test]
comment = Testverzeichnis
read only = No
writeable = yes
browseable = Yes
create mask = 0664
directory mask = 0775
path = /var/mnt/rftest
valid users = @users


Leider wird der Windows-User immer nach User/Passwort gefragt. Im Log sehe ich nur, dass versucht wird, den User lokal zu authentisieren. Eine Anfrage an den PDC findet anscheinend nicht statt.


[2006/03/07 10:55:34, 3] smbd/oplock.c:init_oplocks(1184)
open_oplock_ipc: opening loopback UDP socket.
[2006/03/07 10:55:34, 3] lib/util_sock.c:open_socket_in(798)
bind succeeded on port 0
[2006/03/07 10:55:34, 3] smbd/oplock_linux.c:linux_init_kernel_oplocks(295)
Linux kernel oplocks enabled
[2006/03/07 10:55:34, 3] smbd/oplock.c:init_oplocks(1215)
open_oplock ipc: pid = 2483, global_oplock_port = 33873
[2006/03/07 10:55:34, 3] smbd/process.c:process_smb(860)
Transaction 0 of length 72
[2006/03/07 10:55:34, 2] smbd/reply.c:reply_special(92)
netbios connect: name1=TRILLIAN name2=FERTIG
[2006/03/07 10:55:34, 2] smbd/reply.c:reply_special(111)
netbios connect: local=trillian remote=fertig
[2006/03/07 10:55:34, 3] smbd/process.c:process_smb(860)
Transaction 1 of length 137
[2006/03/07 10:55:34, 3] smbd/process.c:switch_message(667)
switch message SMBnegprot (pid 2483)
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/negprot.c:reply_negprot(348)
Requested protocol [PC NETWORK PROGRAM 1.0]
[2006/03/07 10:55:34, 3] smbd/negprot.c:reply_negprot(348)
Requested protocol [LANMAN1.0]
[2006/03/07 10:55:34, 3] smbd/negprot.c:reply_negprot(348)
Requested protocol [Windows for Workgroups 3.1a]
[2006/03/07 10:55:34, 3] smbd/negprot.c:reply_negprot(348)
Requested protocol [LM1.2X002]
[2006/03/07 10:55:34, 3] smbd/negprot.c:reply_negprot(348)
Requested protocol [LANMAN2.1]
[2006/03/07 10:55:34, 3] smbd/negprot.c:reply_negprot(348)
Requested protocol [NT LM 0.12]
[2006/03/07 10:55:34, 3] smbd/negprot.c:reply_negprot(432)
Selected protocol NT LM 0.12
[2006/03/07 10:55:34, 3] smbd/process.c:process_smb(860)
Transaction 2 of length 138
[2006/03/07 10:55:34, 3] smbd/process.c:switch_message(667)
switch message SMBsesssetupX (pid 2483)
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/reply.c:reply_sesssetup_and_X(848)
Domain=[] NativeOS=[Windows 2000 2195] NativeLanMan=[Windows 2000 5.0]
[2006/03/07 10:55:34, 3] smbd/reply.c:reply_sesssetup_and_X(858)
sesssetupX:name=[]
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:push_sec_ctx(282)
push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1
[2006/03/07 10:55:34, 3] smbd/uid.c:push_conn_ctx(285)
push_conn_ctx(0) : conn_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:get_current_groups(162)
get_current_groups: user is in 2 groups: 65533, 65534
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:pop_sec_ctx(421)
pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:get_current_groups(162)
get_current_groups: user is in 2 groups: 65533, 65534
[2006/03/07 10:55:34, 3] smbd/password.c:register_vuid(328)
uid 65534 registered to name nobody
[2006/03/07 10:55:34, 3] smbd/password.c:register_vuid(330)
Clearing default real name
[2006/03/07 10:55:34, 3] smbd/password.c:register_vuid(332)
User name: nobody Real name: nobody
[2006/03/07 10:55:34, 3] smbd/process.c:chain_reply(1005)
Chained message
[2006/03/07 10:55:34, 3] smbd/process.c:switch_message(667)
switch message SMBtconX (pid 2483)
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/password.c:authorise_login(864)
authorise_login: ACCEPTED: guest account and guest ok (nobody)
[2006/03/07 10:55:34, 3] smbd/service.c:make_connection(488)
Connect path is /tmp
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:push_sec_ctx(282)
push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1
[2006/03/07 10:55:34, 3] smbd/uid.c:push_conn_ctx(285)
push_conn_ctx(0) : conn_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:get_current_groups(162)
get_current_groups: user is in 2 groups: 65533, 65534
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:pop_sec_ctx(421)
pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:get_current_groups(162)
get_current_groups: user is in 2 groups: 65533, 65534
[2006/03/07 10:55:34, 3] lib/util_seaccess.c:se_access_check(244)
se_access_check: user sid is S-1-5-21-1990960070-3193826302-1231426128-132068
[2006/03/07 10:55:34, 3] lib/util_seaccess.c:se_access_check(248)
se_access_check: also S-1-5-21-1990960070-3193826302-1231426128-132067
[2006/03/07 10:55:34, 3] lib/util_seaccess.c:se_access_check(248)
se_access_check: also S-1-5-21-1990960070-3193826302-1231426128-132069
[2006/03/07 10:55:34, 3] lib/util_seaccess.c:se_access_check(248)
se_access_check: also S-1-1-0
[2006/03/07 10:55:34, 3] lib/util_seaccess.c:se_access_check(248)
se_access_check: also S-1-5-2
[2006/03/07 10:55:34, 3] lib/util_seaccess.c:se_access_check(248)
se_access_check: also S-1-5-32-546
[2006/03/07 10:55:34, 3] smbd/vfs.c:vfs_init_default(99)
Initialising default vfs hooks
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (65534, 65533) - sec_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(319)
2 user groups:
65533 65534
[2006/03/07 10:55:34, 3] smbd/vfs.c:vfs_ChDir(669)
vfs_ChDir to /tmp
[2006/03/07 10:55:34, 3] smbd/service.c:make_connection(615)
fertig (192.168.130.202) connect to service IPC$ as user nobody (uid=65534, gid=65533) (pid 2483)
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/reply.c:reply_tcon_and_X(395)
tconX service=ipc$ user=nobody
[2006/03/07 10:55:34, 3] smbd/process.c:process_smb(860)
Transaction 3 of length 43
[2006/03/07 10:55:34, 3] smbd/process.c:switch_message(667)
switch message SMBulogoffX (pid 2483)
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/reply.c:reply_ulogoffX(1730)
ulogoffX vuid=100
[2006/03/07 10:55:34, 3] smbd/process.c:process_smb(860)
Transaction 4 of length 39
[2006/03/07 10:55:34, 3] smbd/process.c:switch_message(667)
switch message SMBtdis (pid 2483)
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/service.c:close_cnum(655)
fertig (192.168.130.202) closed connection to service IPC$
[2006/03/07 10:55:34, 3] smbd/connection.c:yield_connection(48)
Yielding connection to IPC$
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/process.c:process_smb(860)
Transaction 5 of length 197
[2006/03/07 10:55:34, 3] smbd/process.c:switch_message(667)
switch message SMBsesssetupX (pid 2483)
[2006/03/07 10:55:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:55:34, 3] smbd/reply.c:reply_sesssetup_and_X(848)
Domain=[OMC] NativeOS=[Windows 2000 2195] NativeLanMan=[Windows 2000 5.0]
[2006/03/07 10:55:34, 3] smbd/reply.c:reply_sesssetup_and_X(858)
sesssetupX:name=[fertig]
[2006/03/07 10:55:34, 0] smbd/password.c:domain_client_validate(1517)
domain_client_validate: could not fetch trust account password for domain OMC
[2006/03/07 10:55:34, 1] smbd/password.c:pass_check_smb(555)
Couldn't find user 'fertig' in passdb.
[2006/03/07 10:55:34, 2] smbd/reply.c:reply_sesssetup_and_X(962)
NT Password did not match for user 'fertig'!
[2006/03/07 10:55:34, 2] smbd/reply.c:reply_sesssetup_and_X(972)
Defaulting to Lanman password for fertig
[2006/03/07 10:55:34, 1] smbd/password.c:pass_check_smb(555)
Couldn't find user 'fertig' in passdb.
[2006/03/07 10:55:34, 1] smbd/reply.c:reply_sesssetup_and_X(998)
Rejecting user 'fertig': bad password
[2006/03/07 10:55:34, 3] smbd/error.c:error_packet(91)
error string = No such file or directory
[2006/03/07 10:55:34, 3] smbd/error.c:error_packet(103)
error packet at smbd/reply.c(1000) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE


Ändere ich den Security-Level auf Server klappt alles, ich sehe im Log auch schön, wie der PDC angefragt wird:



[2006/03/07 10:57:34, 3] smbd/oplock.c:init_oplocks(1184)
open_oplock_ipc: opening loopback UDP socket.
[2006/03/07 10:57:34, 3] lib/util_sock.c:open_socket_in(798)
bind succeeded on port 0
[2006/03/07 10:57:34, 3] smbd/oplock_linux.c:linux_init_kernel_oplocks(295)
Linux kernel oplocks enabled
[2006/03/07 10:57:34, 3] smbd/oplock.c:init_oplocks(1215)
open_oplock ipc: pid = 3286, global_oplock_port = 33874
[2006/03/07 10:57:34, 3] smbd/process.c:process_smb(860)
Transaction 0 of length 72
[2006/03/07 10:57:34, 2] smbd/reply.c:reply_special(92)
netbios connect: name1=TRILLIAN name2=FERTIG
[2006/03/07 10:57:34, 2] smbd/reply.c:reply_special(111)
netbios connect: local=trillian remote=fertig
[2006/03/07 10:57:34, 3] smbd/process.c:process_smb(860)
Transaction 1 of length 137
[2006/03/07 10:57:34, 3] smbd/process.c:switch_message(667)
switch message SMBnegprot (pid 3286)
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/negprot.c:reply_negprot(348)
Requested protocol [PC NETWORK PROGRAM 1.0]
[2006/03/07 10:57:34, 3] smbd/negprot.c:reply_negprot(348)
Requested protocol [LANMAN1.0]
[2006/03/07 10:57:34, 3] smbd/negprot.c:reply_negprot(348)
Requested protocol [Windows for Workgroups 3.1a]
[2006/03/07 10:57:34, 3] smbd/negprot.c:reply_negprot(348)
Requested protocol [LM1.2X002]
[2006/03/07 10:57:34, 3] smbd/negprot.c:reply_negprot(348)
Requested protocol [LANMAN2.1]
[2006/03/07 10:57:34, 3] smbd/negprot.c:reply_negprot(348)
Requested protocol [NT LM 0.12]
[2006/03/07 10:57:34, 3] libsmb/namequery.c:resolve_lmhosts(752)
resolve_lmhosts: Attempting lmhosts lookup for name TODESSTERN<0x20>
[2006/03/07 10:57:34, 3] lib/util_sock.c:open_socket_out(830)
Connecting to 192.168.130.10 at port 445
[2006/03/07 10:57:34, 2] lib/util_sock.c:open_socket_out(859)
error connecting to 192.168.130.10:445 (Connection refused)
[2006/03/07 10:57:34, 3] lib/util_sock.c:open_socket_out(830)
Connecting to 192.168.130.10 at port 139
[2006/03/07 10:57:34, 3] smbd/password.c:server_cryptkey(1063)
connected to password server TODESSTERN
[2006/03/07 10:57:34, 3] smbd/password.c:server_cryptkey(1080)
got session
[2006/03/07 10:57:34, 3] smbd/password.c:server_cryptkey(1095)
password server OK
[2006/03/07 10:57:34, 3] smbd/negprot.c:reply_nt1(185)
using password server validation
[2006/03/07 10:57:34, 3] smbd/negprot.c:reply_negprot(432)
Selected protocol NT LM 0.12
[2006/03/07 10:57:34, 3] smbd/process.c:process_smb(860)
Transaction 2 of length 138
[2006/03/07 10:57:34, 3] smbd/process.c:switch_message(667)
switch message SMBsesssetupX (pid 3286)
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/reply.c:reply_sesssetup_and_X(848)
Domain=[] NativeOS=[Windows 2000 2195] NativeLanMan=[Windows 2000 5.0]
[2006/03/07 10:57:34, 3] smbd/reply.c:reply_sesssetup_and_X(858)
sesssetupX:name=[]
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:push_sec_ctx(282)
push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1
[2006/03/07 10:57:34, 3] smbd/uid.c:push_conn_ctx(285)
push_conn_ctx(0) : conn_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:get_current_groups(162)
get_current_groups: user is in 2 groups: 65533, 65534
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:pop_sec_ctx(421)
pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:get_current_groups(162)
get_current_groups: user is in 2 groups: 65533, 65534
[2006/03/07 10:57:34, 3] smbd/password.c:register_vuid(328)
uid 65534 registered to name nobody
[2006/03/07 10:57:34, 3] smbd/password.c:register_vuid(330)
Clearing default real name
[2006/03/07 10:57:34, 3] smbd/password.c:register_vuid(332)
User name: nobody Real name: nobody
[2006/03/07 10:57:34, 3] smbd/process.c:chain_reply(1005)
Chained message
[2006/03/07 10:57:34, 3] smbd/process.c:switch_message(667)
switch message SMBtconX (pid 3286)
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/password.c:authorise_login(864)
authorise_login: ACCEPTED: guest account and guest ok (nobody)
[2006/03/07 10:57:34, 3] smbd/service.c:make_connection(488)
Connect path is /tmp
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:push_sec_ctx(282)
push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1
[2006/03/07 10:57:34, 3] smbd/uid.c:push_conn_ctx(285)
push_conn_ctx(0) : conn_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:get_current_groups(162)
get_current_groups: user is in 2 groups: 65533, 65534
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:pop_sec_ctx(421)
pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:get_current_groups(162)
get_current_groups: user is in 2 groups: 65533, 65534
[2006/03/07 10:57:34, 3] lib/util_seaccess.c:se_access_check(244)
se_access_check: user sid is S-1-5-21-1990960070-3193826302-1231426128-132068
[2006/03/07 10:57:34, 3] lib/util_seaccess.c:se_access_check(248)
se_access_check: also S-1-5-21-1990960070-3193826302-1231426128-132067
[2006/03/07 10:57:34, 3] lib/util_seaccess.c:se_access_check(248)
se_access_check: also S-1-5-21-1990960070-3193826302-1231426128-132069
[2006/03/07 10:57:34, 3] lib/util_seaccess.c:se_access_check(248)
se_access_check: also S-1-1-0
[2006/03/07 10:57:34, 3] lib/util_seaccess.c:se_access_check(248)
se_access_check: also S-1-5-2
[2006/03/07 10:57:34, 3] lib/util_seaccess.c:se_access_check(248)
se_access_check: also S-1-5-32-546
[2006/03/07 10:57:34, 3] smbd/vfs.c:vfs_init_default(99)
Initialising default vfs hooks
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (65534, 65533) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(319)
2 user groups:
65533 65534
[2006/03/07 10:57:34, 3] smbd/vfs.c:vfs_ChDir(669)
vfs_ChDir to /tmp
[2006/03/07 10:57:34, 3] smbd/service.c:make_connection(615)
fertig (192.168.130.202) connect to service IPC$ as user nobody (uid=65534, gid=65533) (pid 3286)
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/reply.c:reply_tcon_and_X(395)
tconX service=ipc$ user=nobody
[2006/03/07 10:57:34, 3] smbd/process.c:process_smb(860)
Transaction 3 of length 43
[2006/03/07 10:57:34, 3] smbd/process.c:switch_message(667)
switch message SMBulogoffX (pid 3286)
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/reply.c:reply_ulogoffX(1730)
ulogoffX vuid=100
[2006/03/07 10:57:34, 3] smbd/process.c:process_smb(860)
Transaction 4 of length 39
[2006/03/07 10:57:34, 3] smbd/process.c:switch_message(667)
switch message SMBtdis (pid 3286)
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/service.c:close_cnum(655)
fertig (192.168.130.202) closed connection to service IPC$
[2006/03/07 10:57:34, 3] smbd/connection.c:yield_connection(48)
Yielding connection to IPC$
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/process.c:process_smb(860)
Transaction 5 of length 197
[2006/03/07 10:57:34, 3] smbd/process.c:switch_message(667)
switch message SMBsesssetupX (pid 3286)
[2006/03/07 10:57:34, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:34, 3] smbd/reply.c:reply_sesssetup_and_X(848)
Domain=[OMC] NativeOS=[Windows 2000 2195] NativeLanMan=[Windows 2000 5.0]
[2006/03/07 10:57:34, 3] smbd/reply.c:reply_sesssetup_and_X(858)
sesssetupX:name=[fertig]
[2006/03/07 10:57:35, 3] smbd/sec_ctx.c:push_sec_ctx(282)
push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1
[2006/03/07 10:57:35, 3] smbd/uid.c:push_conn_ctx(285)
push_conn_ctx(0) : conn_ctx_stack_ndx = 0
[2006/03/07 10:57:35, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2006/03/07 10:57:35, 3] smbd/sec_ctx.c:get_current_groups(162)
get_current_groups: user is in 1 groups: 100
[2006/03/07 10:57:35, 3] smbd/sec_ctx.c:pop_sec_ctx(421)
pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:35, 3] smbd/sec_ctx.c:get_current_groups(162)
get_current_groups: user is in 1 groups: 100
[2006/03/07 10:57:35, 3] smbd/password.c:register_vuid(328)
uid 507 registered to name fertig
[2006/03/07 10:57:35, 3] smbd/password.c:register_vuid(330)
Clearing default real name
[2006/03/07 10:57:35, 3] smbd/password.c:register_vuid(332)
User name: fertig Real name:
[2006/03/07 10:57:35, 3] smbd/process.c:chain_reply(1005)
Chained message
[2006/03/07 10:57:35, 3] smbd/process.c:switch_message(667)
switch message SMBtconX (pid 3286)
[2006/03/07 10:57:35, 3] smbd/sec_ctx.c:set_sec_ctx(314)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2006/03/07 10:57:35, 3] smbd/password.c:authorise_login(745)
authorise_login: ACCEPTED: validated uid ok as non-guest (user=fertig)

:confused:

Was fehlt, damit das auch mit security = domain funktioniert?

Ciao, René

stefan-h
07.03.06, 16:23
Vielleicht funkt's

Richten einen Maschinen-Account für den Samba-Server ein
führe Folgendes aus
net rpc join -U root%password

http://gertranssmb3.berlios.de/output/ServerType.html

Sargnagel
07.03.06, 16:57
Jetzt hat mein Browser doch meinen ganzen schönen Text gelöscht... :(

Also nochmal:

Der Parameter "password-server" wird normalerweise bei "security=domain" nicht ausgewertet (weiß es jemand besser?), wohl aber bei "security=server". Der PDC der Domäne wird per Broadcast gefunden, wenn ich mich recht erinnere. Damit sollte die Angabe der Workgroup ausreichen.

Die smb.conf eines Mitgliedsservers meiner Domäne sieht so aus:


[global]
workgroup = WG
server string = Plattenserver
security = DOMAIN
passwd chat =
socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY
logon path =
logon home =
os level = 2
preferred master = No
local master = No
domain master = No
ldap ssl = no
admin users = @root
printer admin = @root
veto files = /*.nws/riched20.dll/*.{*}/


Vielleicht funkt's

Richten einen Maschinen-Account für den Samba-Server ein
führe Folgendes aus
net rpc join -U root%password

http://gertranssmb3.berlios.de/output/ServerType.html

Das Beitreten zu einer Domäne geht bei Samba 2 noch nicht mit "net", sondern mit smbpasswd: http://lug.krems.cc/docu/samba/ch06_03.html (ganz unten)
Ein Trustaccount auf dem PDC reicht noch nicht. Man muss mit dem entsprechenden Server der Domäne auch beitreten.

Grüzi!
Marc

romeofox
07.03.06, 17:04
Hallo stefan-h.

Es handelt sich noch um einen 2.2.3a Server, net gibt's erst ab samba 3.0.
Ich hab es mal mit dem 2.2er equivalent smbpasswd probiert:


smbpasswd -D 2 -j OMC -r TODESSTERN -U Administrator%password
added interface ip=192.168.130.200 bcast=192.168.130.255 nmask=255.255.255.0
error connecting to 192.168.130.10:445 (Connection refused)
failed session setup
Error connecting to TODESSTERN
Unable to join domain OMC.


Das mit dem Port 445 war mir schon in den Logs aufgefallen, da aber security = server geht, hatte ich das nicht als Problem angesehen. Auf dem Todesstern lauscht da wirklich nix. Welcher Samba-Dienst steckt denn dahinter, d.h. was muss ich konfigurieren/starten, damit da was lauscht? Oder ist die 2.2.3a einfach zu alt? :(

Ciao, René

Sargnagel
07.03.06, 18:53
Meinen Beitrag nicht gelesen?

Welche Distribution verwendest Du? Läuft der PDC korrekt? Funktionieren Logons von Windows-Clients aus?

"connetion refused" deutet darauf hin, dass entweder auf Todesstern kein Samba läuft oder dort auf diesen Ports keine Verbindungen angenommen werden.
netstat -tuplen auf Todesstern zeigt die lauschenden Dienste an. Kannst Du das posten?

Samba wird mit


/etc/init.d/smb start
/etc/init.d/nmb start

gestartet.

Grüzi...
Marc

emba
07.03.06, 22:09
my 2 cents:


Der Parameter "password-server" wird normalerweise bei "security=domain" nicht ausgewertet
falsch


Der Parameter "password-server" wird normalerweise bei "security=domain" nicht ausgewertet
oder per wins, oder dns, oder ...

greez

Sargnagel
08.03.06, 07:57
Morgen...

Emba, steckt da ein Sinnfehler in Deinem letzten Posting? Klär' mich mal auf, wofür der Parameter "password server" bei "security=domain" steht...

Grüzi!

emba
08.03.06, 08:33
er steht für dasselbe, wie bei "security = server"


password server (G)

By specifying the name of another SMB server or Active Directory domain controller with this option, and using security = [ads|domain|server] it is possible to get Samba to to do all its username/password validation using a specific remote server.

ich glaube du verkennst die bedeutung von "security = domain"

greez

romeofox
08.03.06, 10:42
Meinen Beitrag nicht gelesen?

Welche Distribution verwendest Du? Läuft der PDC korrekt? Funktionieren Logons von Windows-Clients aus?
Gelesen ja, aber er kam wärend ich an der Antwort an stefan-h schrieb, daher da nicht berücksichtigt.
Distribution von Trillian ist SuSE 8.0 mit Samba 2.2.3a (aus der Distri), auf Todesstern läuft eine SuSE 7.3 mit einem (nicht von mir) selbstkompilierten Samba 2.2.5.
Der PDC läuft (m.E.) seit Jahren einwandfrei. Auch die Logons von unseren W2k-Clients.


"connetion refused" deutet darauf hin, dass entweder auf Todesstern kein Samba läuft oder dort auf diesen Ports keine Verbindungen angenommen werden.
netstat -tuplen auf Todesstern zeigt die lauschenden Dienste an. Kannst Du das posten?

Samba läuft, aber nur auf den NT-Ports 137, 138 und 139. Port 445 gibts IMHO doch erst ab W2k, oder?



netstat -tuplen
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name
tcp 0 0 0.0.0.0:5666 0.0.0.0:* LISTEN 0 3203 487/inetd
tcp 0 0 0.0.0.0:617 0.0.0.0:* LISTEN 0 3209 495/nlservd
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN 0 1509 375/smbd
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 0 742 238/portmap
tcp 0 0 0.0.0.0:21 0.0.0.0:* LISTEN 65534 1075 352/proftpd (accept
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 0 420 200/sshd
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 0 1625 401/sendmail: accep
tcp 0 0 0.0.0.0:639 0.0.0.0:* LISTEN 0 2404 459/rpc.rquotad
udp 0 0 0.0.0.0:514 0.0.0.0:* 0 547 213/syslogd
udp 0 0 127.0.0.1:55556 0.0.0.0:* 0 466412693 13562/smbd
udp 0 0 192.168.130.10:137 0.0.0.0:* 0 1506 379/nmbd
udp 0 0 0.0.0.0:137 0.0.0.0:* 0 1503 379/nmbd
udp 0 0 192.168.130.10:138 0.0.0.0:* 0 1507 379/nmbd
udp 0 0 0.0.0.0:138 0.0.0.0:* 0 1504 379/nmbd
udp 0 0 127.0.0.1:59540 0.0.0.0:* 0 538428474 16103/smbd
udp 0 0 127.0.0.1:59553 0.0.0.0:* 0 539855918 19064/smbd
udp 0 0 127.0.0.1:46883 0.0.0.0:* 0 278434782 1040/smbd
udp 0 0 127.0.0.1:59300 0.0.0.0:* 0 526341520 9777/smbd
udp 0 0 127.0.0.1:59558 0.0.0.0:* 0 539985834 7379/smbd
udp 0 0 127.0.0.1:59432 0.0.0.0:* 0 529401292 4414/smbd
udp 0 0 127.0.0.1:59573 0.0.0.0:* 0 540281272 19486/smbd
udp 0 0 127.0.0.1:59576 0.0.0.0:* 0 540427221 9656/smbd
udp 0 0 127.0.0.1:59321 0.0.0.0:* 0 526492041 3231/smbd
udp 0 0 127.0.0.1:59326 0.0.0.0:* 0 526635404 27432/smbd
udp 0 0 127.0.0.1:59589 0.0.0.0:* 0 542146238 25470/smbd
udp 0 0 127.0.0.1:59590 0.0.0.0:* 0 542258929 11647/smbd
udp 0 0 127.0.0.1:59079 0.0.0.0:* 0 523937297 19076/smbd
udp 0 0 127.0.0.1:59592 0.0.0.0:* 0 542258947 11650/smbd
udp 0 0 127.0.0.1:59596 0.0.0.0:* 0 542288854 16477/smbd
udp 0 0 127.0.0.1:59597 0.0.0.0:* 0 542292762 17080/smbd
udp 0 0 127.0.0.1:59598 0.0.0.0:* 0 542296680 17681/smbd
udp 0 0 127.0.0.1:59089 0.0.0.0:* 0 523957664 22472/smbd
udp 0 0 127.0.0.1:59092 0.0.0.0:* 0 523974616 25257/smbd
udp 0 0 127.0.0.1:57941 0.0.0.0:* 0 507589725 15343/smbd
udp 0 0 127.0.0.1:59606 0.0.0.0:* 0 542602525 27101/smbd
udp 0 0 127.0.0.1:59482 0.0.0.0:* 0 536537971 2641/smbd
udp 0 0 127.0.0.1:59485 0.0.0.0:* 0 536644573 21564/smbd
udp 0 0 127.0.0.1:55518 0.0.0.0:* 0 465932386 7161/smbd
udp 0 0 127.0.0.1:55519 0.0.0.0:* 0 465934348 7458/smbd
udp 0 0 127.0.0.1:59492 0.0.0.0:* 0 536916275 2138/smbd
udp 0 0 127.0.0.1:59495 0.0.0.0:* 0 537042510 22013/smbd
udp 0 0 127.0.0.1:59370 0.0.0.0:* 0 527137579 12654/smbd
udp 0 0 0.0.0.0:111 0.0.0.0:* 0 695 238/portmap
udp 0 0 127.0.0.1:59124 0.0.0.0:* 0 524284504 10763/smbd
udp 0 0 127.0.0.1:58998 0.0.0.0:* 0 520564151 23734/smbd
udp 0 0 127.0.0.1:59128 0.0.0.0:* 0 524319957 14752/smbd
udp 0 0 127.0.0.1:59385 0.0.0.0:* 0 528704545 16387/smbd
udp 0 0 127.0.0.1:59130 0.0.0.0:* 0 524385617 23267/smbd
udp 0 0 192.168.130.10:123 0.0.0.0:* 0 1806 405/ntpd
udp 0 0 127.0.0.1:123 0.0.0.0:* 0 1805 405/ntpd
udp 0 0 0.0.0.0:123 0.0.0.0:* 0 1804 405/ntpd
udp 0 0 0.0.0.0:636 0.0.0.0:* 0 2399 459/rpc.rquotad



Samba wird mit


/etc/init.d/smb start
/etc/init.d/nmb start

gestartet.

Bei SuSE sind beide Starts in /etc/init.d/smb zusammengefasst.

Auf Trillian ist übrigens auch kein Port 445 offen.

Ciao, René

romeofox
08.03.06, 10:53
Hab den Fehler gefunden, er saß, wie so oft, zwischen den Ohren! :rolleyes:

Beim wiederholten Lesen von http://lug.krems.cc/docu/samba/ch06_03.html (Gaaanz unten) war mir dann doch noch aufgefallen, das die smbpasswd-Befehlszeile smbpasswd -j SIMPLE -r beowulf doch von dem abwich, was ich bisher alles versucht hatte. Habe laso den Samba auf Trillian gestoppt, dann smbpasswd -j OMC -r TODESSTERN ausgeführt (Ergebnis: 2006/03/08 10:39:00 : change_trust_account_password: Changed password for domain OMC. Joined domain OMC.) Samba wieder gestartet, dann ging's auf einmal!!! :)

Ich war bislang felsenfest davon ausgegangen, dass Trillian bereits der Domäne beigetreten war. Wie kann man sowas denn prüfen (die secrets.tdb existierte)?

Ciao, René

Sargnagel
08.03.06, 19:07
er steht für dasselbe, wie bei "security = server"



ich glaube du verkennst die bedeutung von "security = domain"

greez

Ich habe den Parameter noch nie benutzt, möglicherweise ging da was an mir vorbei... Danke für die Belehrung :) Wenn ich das richtig verstehe, braucht man ihn aber nur, wenn man einen speziellen Server verwenden möchte und nicht den ersten in Frage kommenden, oder?

Grüzi!
Marc

emba
10.03.06, 09:14
nö,

der parameter kommt hauptsächlich in frage, wenn du keine domain gejoined bist

greez

Sargnagel
10.03.06, 16:17
Impliziert das dann nicht "security=server"?

emba
12.03.06, 22:11
nein, denn security=server ist etwas anderes als "domain" level security.

greez

Sargnagel
13.03.06, 15:39
Du missverstehst mich da möglicherweise noch immer. Der Unterschied ist mir klar, aber seis drum...

Grüzi.
Marc

emba
13.03.06, 16:14
wenn du den unterschied kennst, dann weißt du, dass security=domain nie security=server implizieren kann. oder wo verstehe ich dich falsch?

greez

Sargnagel
14.03.06, 07:50
Morgen...

Möglicherweise reden wir aneinander vorbei...

Wenn man "security=domain" wählt, aber mit dem Rechner keiner Domäne beitritt (wie oben) und dieser Parameter "password server" die Auswahl eines bestimmten PDC (was auch kein PDC sein muss, soweit ich das einmal realisiert hatte) angeben kann und der Parameter auch verwendet wird, verhält sich dann das System, als hätte man "security = server" ausgewählt, "security = domain" und Domänenprinzip hin oder her?
Das jedenfalls habe ich gemeint, ausprobiert habe ich es nicht, und ich kenne auch das Feature nicht so genau, daher erlaubte ich mir zu fragen - Du scheinst ja einige Samba-Nischen zu kennen.

Grüzi...
Marc

emba
14.03.06, 09:07
laut doku und meiner erfahrung, funktioniert security=domain nicht/nicht richtig, wenn die maschine keiner domain gejoined wurde. es werden zudem kryptagraphische routinen zur passwortvalidierung verwendet. desweiteren bedingt "domain" auch die angabe eines DCs als password server (oder "*", wo der DC automatisch gesucht wird). all dies (und mehr, s. docs) steht im widerspruch zu serverlevel-security

greez

Sargnagel
14.03.06, 09:44
Morgen...

Gut, dankeschön :), jetzt bin ich klüger. Möglicherweise ist die Angabe von "password server = *" voreingestellt, weswegen ich das nie bemerkt habe.

Grüzi...
Marc

emba
14.03.06, 11:30
per default ist es blank.

da ich immer der auffassung bin, dass man niemanden 100% glauben sollte, kannst du obiges szenario gern mal versuchen zu reproduzieren (s. dein post von 7:50) und die ergebnisse hier posten

greez