PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Problem: Beitritt zu einer Windows 2003-Domäne mit Benutzerübernahme



RealHangman
04.04.06, 12:00
Hallo,
wir würden gerne einen Linux Server (SUSE 9.2) in unsere Windows 2003 Domäne aufnehmen. Zu diesem Thema habe ich auch eine gute Beschreibung unter http://www.pro-linux.de/work/server/samba3-domaene.html
gefunden. Ich arbeite leider nicht immer mit Linux und deswegen fehlt mir wahrscheinlich der Einblick :rolleyes:

So nun zu meinem Problem:
Der Rechner (SUSE 9.2) soll von unserer Windows 2003 Domäne die Benutzer und die Gruppen bekommen. Wir möchten diesen Rechner als File- und Entwicklungsserver nutzen. Das bedeutet wir möchten zu einzelnen Freigaben auch verschiedene Rechte, Benutzer und Gruppen haben.

Ich bin diesen Bericht durchgegangen und es hat soweit auch alles funktioniert.

Ich benutze:

Suse 9.2 (als Server) Neuinstallation --> Name Server02
Windows 2003 Server (benutzen wir schon lange) --> Name Server01
Windows XP Professional (als Client)

Auf dem Suse 9.2 ist folgendes installiert:

* Samba 3.0.9 (mit Online-Update - 3.0.7 ist Standard in 9.2)
* Samba-Client 3.0.9 (mit Online-Update - 3.0.7 ist Standard in 9.2)
* Samba-Winbind 3.0.9 (mit Online-Update - 3.0.7 ist Standard in 9.2)
* Heimdal 0.6.2 (Kerberosunterstützung für Linux)

Ich haben den Kerberos-Server eingerichtet und bekommen ein Ticket zugewiesen:


kinit Administrator@DOMÄNE.LOCAL
kinit: NOTICE: ticket renewable lifetime is 1 week


So, kommen wir zu meiner smb.conf (Samba-Einstellung):



# version at /usr/share/doc/packages/samba/examples/smb.conf.SUSE
# Date: 2004-10-05
[global]
workgroup = DOMÄNE
netbios name = Server02
realm = "DNS-Domänenname" DOMÄNE.LOCAL
idmap uid = 10000-15000
idmap gid = 10000-15000
winbind separator = /
winbind use default domain = Yes
security = ADS
encrypt passwords = yes
password server = "Domänencontroller" server01.domäne.local
client use spnego = yes
winbind enum users = yes
winbind enum groups = yes

[backup]
comment = Backup
path = /srv/samba
browseable = yes
# guest ok = no
# create mask = 0770
# directory mask = 0770
# valid users = t.henn
# force user = t.henn

[www]
comment = Webserver
path = /srv/www/htdocs/
writeable = yes
create mask = 0777
directory mask = 0777
guest ok = yes


Mit diesem Befehl nehme ich den Server in die Windows 2003 Domäne auf:



net join -S domäne -UAdministrator%password

Using short domain name -- DOMÄNE
Joined 'SERVER02' to realm 'DOMÄNE.LOCAL'


In der /etc/nsswitch.conf werden anfallende Zugriffe auf die Benutzerdatenbank an Winbind weitergeleitet:



#
# /etc/nsswitch.conf
#
# An example Name Service Switch config file. This file should be
# sorted with the most-used services at the beginning.
#
# The entry '[NOTFOUND=return]' means that the search for an
# entry should stop if the search in the previous entry turned
# up nothing. Note that if the search failed due to some other reason
# (like no NIS server responding) then the search continues with the
# next entry.
#
# Legal entries are:
#
# compat Use compatibility setup
# nisplus Use NIS+ (NIS version 3)
# nis Use NIS (NIS version 2), also called YP
# dns Use DNS (Domain Name Service)
# files Use the local files
# db Use the /var/db databases
# [NOTFOUND=return] Stop searching if not found so far
#
# For more information, please read the nsswitch.conf.5 manual page.
#

# passwd: files nis
# shadow: files nis
# group: files nis

#passwd: compat
#group: compat

passwd: files winbind
group: files winbind

hosts: files lwres dns
networks: files dns

services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files
publickey: files

bootparams: files
automount: files nis
aliases: files


So, nun noch mit


rcsmb start bzw. rcsmb restart
rcnmb start bzw. rcnmb restart
rcwinbind start bzw. rcwinbind restart

alles neu starten und mit


wbinfo -u
wbinfo -g

Die Benutzer und die Gruppen anzeigen lassen.

Alles funktioniert :o
Ich kann leider unter Windows keine Freigaben Mappen.
Es kommt immer ein Anmeldebefehl in dem ich Benutzer und Passwort eintragen soll aber es kommt die Meldung, dass ich keine Zugriffrechte hätte (hab ich aber).

Ich habe schon in den Logs nachgeschaut, es füllt sich immer nur das log.winbindd (alle paar Minuten):


[2006/04/04 10:48:06, 1] nsswitch/winbindd.c:main(854)
winbindd version 3.0.7-5-SUSE started.
Copyright The Samba Team 2000-2004
[2006/04/04 10:48:06, 1] libsmb/clikrb5.c:ads_krb5_mk_req(313)
krb5_cc_get_principal failed (No such file or directory)
[2006/04/04 10:52:33, 1] nsswitch/winbindd_group.c:winbindd_getgroups(1059)
user 'postfix' does not exist
[2006/04/04 10:53:33, 0] libsmb/smb_signing.c:signing_good(240)
signing_good: BAD SIG: seq 1
[2006/04/04 10:53:33, 0] libsmb/clientgen.c:cli_receive_smb(121)
SMB Signature verification failed on incoming packet!
[2006/04/04 10:53:33, 0] libsmb/smb_signing.c:signing_good(240)
signing_good: BAD SIG: seq 1
[2006/04/04 10:53:33, 0] libsmb/clientgen.c:cli_receive_smb(121)
SMB Signature verification failed on incoming packet!
[2006/04/04 10:53:33, 0] libsmb/smb_signing.c:signing_good(240)
signing_good: BAD SIG: seq 1
[2006/04/04 10:53:33, 0] libsmb/clientgen.c:cli_receive_smb(121)
SMB Signature verification failed on incoming packet!
[2006/04/04 10:58:33, 0] libsmb/smb_signing.c:signing_good(240)
signing_good: BAD SIG: seq 1
[2006/04/04 10:58:33, 0] libsmb/clientgen.c:cli_receive_smb(121)
SMB Signature verification failed on incoming packet!
[2006/04/04 10:58:33, 0] libsmb/smb_signing.c:signing_good(240)
signing_good: BAD SIG: seq 1
[2006/04/04 10:58:33, 0] libsmb/clientgen.c:cli_receive_smb(121)
SMB Signature verification failed on incoming packet!
[2006/04/04 10:58:33, 0] libsmb/smb_signing.c:signing_good(240)
signing_good: BAD SIG: seq 1
[2006/04/04 10:58:33, 0] libsmb/clientgen.c:cli_receive_smb(121)
SMB Signature verification failed on incoming packet!
[2006/04/04 10:59:01, 0] libsmb/smb_signing.c:signing_good(240)
signing_good: BAD SIG: seq 1
[2006/04/04 10:59:01, 0] libsmb/clientgen.c:cli_receive_smb(121)
SMB Signature verification failed on incoming packet!
[2006/04/04 10:59:01, 0] libsmb/smb_signing.c:signing_good(240)
signing_good: BAD SIG: seq 1
[2006/04/04 10:59:01, 0] libsmb/clientgen.c:cli_receive_smb(121)
SMB Signature verification failed on incoming packet!
[2006/04/04 10:59:01, 0] libsmb/smb_signing.c:signing_good(240)
signing_good: BAD SIG: seq 1
[2006/04/04 10:59:01, 0] libsmb/clientgen.c:cli_receive_smb(121)
SMB Signature verification failed on incoming packet!
[2006/04/04 10:59:01, 1] nsswitch/winbindd_group.c:winbindd_getgroups(1059)
user 'root' does not exist
[2006/04/04 11:00:01, 1] nsswitch/winbindd_group.c:winbindd_getgroups(1059)
user 'root' does not exist
[2006/04/04 11:04:01, 0] libsmb/smb_signing.c:signing_good(240)
signing_good: BAD SIG: seq 1



Ich weiß es war jetzt eine sau lange Einführung aber Ihr sollt das ja ein wenig nachvollziehen können.
Könntet ihr mir bitte helfen oder einen Tipp geben?

Vielen Dank und Gruß

RealHangman
04.04.06, 18:07
Also noch einmal ich :rolleyes:
Ich hab alles schon gemacht.
Server02 (Suse 9.2) ist in der Windows 2003 Domäne angemeldet.
Server02 (Suse 9.2) bekommt alle Benutzer und Gruppen von der Windows 2003 Domäne.

Was ich nicht kann und das war der Sinn von dem ganzen:
Ich möchte von einem Windows XP Professional (Client) einen Ordner auf dem Server02 (Suse 9.2) Mappen.
Der Ordner wird erkannt und ich werde nach meinen Benutzernamen und Passwort gefragt. Wenn ich alles korrekt eingebe auch mit DOMÄNE\Benutzername bekomme ich keine Zugriff.
Wenn ich mich als Server02\Administrator anmelde komme ich drauf.

:ugly:

Was habe ich übersehen oder was muss ich einstellen.

Wäre super wenn mir jemand helfen könnte.

Grüße
RealHangman

jki
07.04.06, 10:16
hi,
ich habe das gleiche Problem:
bei security=ADS geht das Mappen nur mit \\ip-nummer\share

bei security=domain geht:
\\ip-nummer\share
\\servername\share

eine Lösung warum ds so ist würde mich auch interessieren ...

gruß jörg

RealHangman
07.04.06, 11:48
Also mein Problem ist immer noch, ich kann mich nicht über meinen Benutzernamen(mit Kennwort) welcher für die Windows 2003 Domäne gilt auf den Suse Rechner Mappen. Das kann doch für einen echten Linuxprofi nicht so schwer sein.

jki
07.04.06, 12:03
hast du security=domain mal probiert?
(siehe mein Post)

RealHangman
07.04.06, 13:03
Ja, geht leider auch nicht.
Was gut ist, ist dass durch "security=domain" dann "Domäne\Benutzername" kommt. Wenn ich aber mein Passwort eingebe, passiert nichts oder Besser gesagt, bleibt "Domäne\Benutzername" und im Passwortfeld ist dann mein Passwort drin. Was aber auch komisch ist, ist dass ich bei den Ordnern keinen Benuterrechte eingeben habe.
Also einfach nur


[backup]
comment = Backup
path = /srv/samba
browseable = yes

Ich müsste doch so drauf kommen :confused: und ich sehe unter Microsoft Windows-Netzwerk\Meine Domäne den Rechner "Server02" aber keine Freigaben. :ugly:

buffoon
10.04.06, 09:25
Hi!
Ich habe auf diesem Gebiet zwar nicht viel erfahrung, aber durch ein wenig googeln bin ich auf folgenden Link gekommen:

http://www.pro-linux.de/work/server/samba3-domaene.html

Auszug:


Das System lief damit auch, aber nach ca. einem Tag konnte ich die
Active Directory-Benutzer mit Winbind nicht mehr aus dem Active
Directory holen. Ein Neustart von Winbind brachte den gewünschten
Erfolg für wieder ca. einen Tag. Ein Online-Update der Pakete auf
neuere Samba-Versionen brachte keinen Erfolg und machte das Ganze
sogar noch schlimmer. Aufgrund eines Bugs in Heimdal 0.6.1 konnte ich
Winbind nach dem Update gar nicht mehr starten. Natürlich hätte ich
jetzt Heimdal und Samba nehmen können, selber kompilieren etc... aber
ich dachte mir einfach: Nö... mal schauen, ob es auch mit Bordmitteln
funktioniert. Also neue SUSE 9.2 rauf und gleiche Konfiguration.
Wieder das Problem dass die Benutzer nur ca. einen Tag aus dem
Active Directory gezogen werden konnten. Also Standard Online-Update
mit Yast durchgeführt und von Samba 3.0.7 auf 3.0.9 upgedatet und
siehe da, das System läuft tatsächlich seit einer Woche stabil *freu*.
Also gleich vorweg: Bitte mindestens diese hier angegebenen Versionen
verwenden! Alles unter Heimdal 0.6.2 und Samba 3.0.9 führt zu Fehlern!

Ich hoffe mal, das hat geholfen...