PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba findet Benutzerinformationen im AD nicht



Floh86
16.06.06, 15:38
Hallo,

ich möchte Samba als Fileserver mit Authentifizierung am Win2K Active Directory einsetzten. Ich bin auch soweit nach diesem (http://www.pro-linux.de/work/server/samba3-domaene.html) HowTo vorgegangen und habe das ganze soweit bekommen, dass wbinfo -u die Benutzer des ADs und wbinfo -g die Gruppen ausgibt. Ein id <Benutzername> gibt auch die korrekte ID wieder (> 10000), aber ich kann mich per Samba vom Client aus nicht anmelden.
Das Log sagt dazu: (log.wb-<DOMAIN>)

[2006/06/16 15:30:01, 0] lib/util_sid.c:string_to_sid(285)
string_to_sid: Sid S-0-0 is not in a valid format.
[2006/06/16 15:34:05, 0] libsmb/credentials.c:creds_client_check(256)
creds_client_check: credentials check failed.
[2006/06/16 15:34:05, 0] rpc_client/cli_netlogon.c:rpccli_netlogon_sam_network_logon(8 98)
rpccli_netlogon_sam_network_logon: credentials chain check failed
bzw. (log.<ip>)

[2006/06/16 15:34:13, 1] smbd/sesssetup.c:reply_spnego_kerberos(322)
make_server_info_pac failed!
bzw. (log.<hostname>)

[2006/06/16 15:34:05, 0] lib/util_sock.c:send_smb(765)
Error writing 4 bytes to client. -1. (Connection reset by peer)
sowie (log.smbd)

[2006/06/16 15:34:05, 0] lib/util_sock.c:get_peer_addr(1225)
getpeername failed. Error was Transport endpoint is not connected

Fällt jemandem dazu eine Lösung ein? Ein net ads testjoin gibt ein OK zurück, kinit funktioniert auch.

Danke schonmal,
Floh

Floh86
16.06.06, 15:42
Ach ja, und hier noch meine smb.conf:


# Global parameters
[global]

workgroup = DOMAIN
netbios name = srv-002
realm = DOMAIN
server string = %h server (Samba %v)
interfaces = eth1
bind interfaces only = yes
security = ADS
encrypt passwords = true
password server = srv-001.domain
client use spnego = no
syslog = 10
log file = /var/log/samba/log.%m
max log size = 1000
dns proxy = No
wins server = 192.168.99.1
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind separator = /
winbind use default domain = Yes

[homes]
comment = Home Directories
read only = No
guest ok = No
create mask = 0770
directory mask = 0770
valid users = @DOMAIN/Mitarbeiter
path = /home/%D/%U

[bilder]
comment = Bilder
browseable = Yes
read only = No
guest ok = No
create mask = 0770
directory mask = 0770
valid users = @DOMAIN/Mitarbeiter
path = /mnt/data/bilder

dan_arwed
02.07.06, 13:09
Hej Floh,

ich bastel auch ein bisschen an einer aehnlichen Konfiguration rum.
Ich kann leider mit den Fehlermeldungen nicht so wirklich was anfangen (bin gerade erst in der Einlese-Phase), aber hast Du evtl. den NSC-Daemon (NSCD) laufen?
Das war bei mir und ist wohl auch sonst das typische Problem falls das Einsehen der Credentials (+ uid,gid) sowie kinit auf dem AD Server klappt aber ein Login nicht.

Bei der Waikato LUG:

http://www.wlug.org.nz/ActiveDirectorySamba

findet kurz vor dem "Configure PAM and Winbind" was dazu geschrieben.

Wie gesagt kenn ich mich auch nicht gut aus aber vll. nutzts ja was....

lG, Dan

Floh86
03.07.06, 11:00
Danke für deinen Tipp, aber ich habe das Problem inzwischen hier (http://lug-owl.de/pipermail/linux/2006-June/027896.html) gelöst.

Gruß,
Floh

dan_arwed
11.07.06, 18:14
Hi Floh,

schoen, dass es geklappt hat.

By the way hab ich noch ein anderes Problem:
Authentifiezierung gg. den AD-Server funktioniert, falls ich mich per ssh auf den Linux-Rechner (SuSe10.0) einloggen will (laut /var/log/messages: access granted), aber die Verbindung wird immer sofort gekappt (closed).

Ein ssh mit lokalem Nutzer (Credentials in /etc/passwd usw.) klappt.

Die Datei /etc/pam.conf sihet so aus:

auth required pam_securetty.so
auth sufficient pam_winbind.so
auth required pam_unix2.so
auth required pam_nologin.so
account sufficient pam_winbind.so
account required pam_unix2.so
password required pam_unix2.so #service=system-auth
session required pam_unix2.so

Hatte jemand mal ein aehnliches Problem? Falls ja, bitte dringend melden 8-)

Dann poste ich gerne auch die ssh-Ausgabe auf Server und Client.
Ich komme da einfach nicht weiter.

Danke und viele Gruesse!

Dan

emba
12.07.06, 17:32
viel wichtiger wäre die sshd_config ;)

btw: warum machst du kein SSO, wenn du eh kerberos durch das ADS im einsatz hast?

greez