PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba in Windows 2000 Domäne integrieren?



white-horse
29.08.06, 15:02
Hallo,

wir sind gerade dabei einen Debian Linux-Rechner mit Samba in eine Windows 2000 Domäne einzuhängen. Was wir eigentlich wollen ist Samba als Fileserver zu verwenden. Samba soll also die AD-Benutzer nutzen. Lokales Anmelden der Benutzer ist nicht notwendig.

Linux-Rechner: linux
DomainController: dc1
Domäne: dom.com

Einiges funktioniert auch schon einiges: (Rechner wurde zur Domäne hinzugefügt)

linux:/var/log# net ads testjoin
Join is OK

linux:/var/log# net rpc testjoin
Join to 'DOM' is OK

linux:/var/log# wbinfo -g
BUILTIN/system operators
BUILTIN/replicators
BUILTIN/guests
BUILTIN/power users
BUILTIN/print operators
BUILTIN/administrators
BUILTIN/account operators
BUILTIN/backup operators
BUILTIN/users
linux:/var/log#

..einiges geht leider noch nicht...


linux:/var/log# wbinfo -u
Error looking up domain users
linux:/var/log#

linux:~# klist
klist: No credentials cache found (ticket cache FILE:/tmp/krb5cc_0)


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
linux:~#

linux:~# kinit administrator
Password for administrator@DOM.COM:
linux:~#



hier noch die krb5.conf

[libdefaults]
default_realm = DOM.COM
clockskew = 300

[realms]
DOM.COM = {
kdc = dc1.dom.com
admin_server = dc1.dom.com
default_domain = dom.com
kpasswd_server = dc1.dom.com
}

[domain_realm]
.dom.com = DOM.COM

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/kdc.log
kadmind = FILE:/var/log/kadmind.log

[appdefaults]
pam = {
ticket_lifetime = ld
renew_lifetime = ld
forwardable = ture
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}

smb.conf

# Global parameters
[global]
workgroup = DOM
netbios name = linux
realm = DOM.COM
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind separator = /
winbind use default domain = Yes
winbind enum users = yes
winbind enum groups = yes
security = ads
encrypt passwords = yes
password server = dc1.dom.com
client use spnego = no
server string = %h server (Samba %v)
obey pam restrictions = Yes


..und ein Ausschnitt der /var/log/samba/log.smbd
getpeername failed. Error was Transport endpoint is not connected
[2006/08/29 14:39:50, 0] lib/util_sock.c:get_peer_addr(1150)
getpeername failed. Error was Transport endpoint is not connected
[2006/08/29 14:39:52, 0] lib/util_sock.c:get_peer_addr(1150)
getpeername failed. Error was Transport endpoint is not connected
[2006/08/29 14:40:07, 0] lib/util_sock.c:get_peer_addr(1150)
getpeername failed. Error was Transport endpoint is not connected


Die Netzwerkkonfiguration, sprich DNS usw. funktioniert alles.

Hat irgendjemand eine Idee wo der Fehler liegen könnte? Wir haben schon so einiges an HowTos durchgestöbert und getestet. Leider ohne Erfolg.

Danke für Hilfe

phrenicus
29.08.06, 17:28
Hallo,

gleich mehrere Probleme...
Die /etc/krb5.conf ist wirklich so eins zu eins gepastet? Die ist ziemlich falsch.
Dann hätte ich mir das Kerberos TGT vor dem Beitritt zum AD geholt und nicht danach.
Und sorry, aber ich glaube Dir nicht, dass der DNS "und alles" wirklich funktioniert (getpeername failed spricht eine deutliche Sprache). Über 90% der Probleme bei SAMBA und AD haben mit dem DNS zu tun.

Gruß

white-horse
29.08.06, 19:06
Hallo,

gleich mehrere Probleme...
Die /etc/krb5.conf ist wirklich so eins zu eins gepastet? Die ist ziemlich falsch.Hallo
Das die so nicht stimmt das hab ich auch vermutet, sonst hätte ich es nicht gepostet. Allerdings bringt mir die Aussage es ist falsch nicht wirklich viel........ Was ist den bitte falsch? Deswegen schreib ich ja.


Dann hätte ich mir das Kerberos TGT vor dem Beitritt zum AD geholt und nicht danach.
Und sorry, aber ich glaube Dir nicht, dass der DNS "und alles" wirklich funktioniert (getpeername failed spricht eine deutliche Sprache). Über 90% der Probleme bei SAMBA und AD haben mit dem DNS zu tun.

Gruß

Also DNS funktioniert. nslookup/nmblookup (auf Hostname, FQDN und Reverse) funktioniert sowohl zum Domain Controller als auch zurück und zu anderen Netzteilnehmern.

Gruß

phrenicus
29.08.06, 20:26
Hallo,

jetzt ist die krb5.conf schon richtiger, Du hast das Default_Realm geändert ;) Dachte mir schon, dass Du es unkenntlich haben wolltest.
Zur Sache:
Realms und die dazugehörigen Server schreibt man üblicherweise groß, bei manchen muss man es sogar.



[libdefaults]
default_realm = DOM.COM
clockskew = 300
dns_lookup_kdc = true
dns_lookup_realm = true

[realms]
DOM.COM = {
kdc = DC1.DOM.COM
admin_server = DC1.DOM.COM
default_domain = dom.com
kpasswd_server = DC1.DOM.COM
}

[domain_realm]
.dom.com = DOM.COM

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/kdc.log
kadmind = FILE:/var/log/kadmind.log

[appdefaults]
pam = {
ticket_lifetime = ld
renew_lifetime = ld
forwardable = ture
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}


Unter der Annahme, dass es heimdal ist. Das das Ticket forwardable sein soll, wolltest Du auf true setzen. Tippfehler (ture).

Nach der Korrektur bitte gleich mal mit "kinit Administrator@DOM.COM" ein TGT anfordern und prüfen, ob Du eins bekommen hast (klist kennst Du ja). Auch auf dem Windows-Server mit "klist tickets" prüfen!

Wenn hier schon nix geht: Hast Du pam_krb5 installiert?

Wenn das OK ist, unbedingt nochmal den DNS prüfen. Windows trägt den KDC im DNS ein!
Dann im Windows den SAMBA-Server aus dem AD werfen und warten, bis er wirklich draußen ist. Dann den SAMBA-Server neustarten und dem AD beitreten.

Eigentlich müsste es dann gehen. Wenn nicht, aus Erfahrung: DNS, DNS, DNS...

Viel Erfolg