PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Problem bei der Samba-LDAP-Authentifizerung von Win-Clients



Leser
08.03.07, 17:10
Hallo Forum,

ich habe einen Samba PDC mit LDAP-Authentifizierung zu laufen. Die Anmeldung der Linux-Clients funktioniert einwandfrei. Es gibt lediglich zwei Probleme bei der Anmeldung von Windows-Clients.

1. Der Beitritt eines Windows-Client-PCs zur Domäne funktioniert nur dann, wenn ich, dem im LDAP mit Hilfe eines add-machine-scripts angelegten Maschinen-Account, manuell die sambaSamAccount Objektklasse und die entsprechende sambaSID zufüge.

Mein add machine script sieht so aus:

add machine script = /usr/local/sbin/smbldap-useradd -w %m

2. Die Anmeldung eines Windows-Users ist nicht möglich, wenn sein User-Account ausschließlich im LDAP existiert. Es ist zusätzlich notwendig, dass ich mit useradd einen lokalen User (auf dem Server) in der /etc/passwd anlege. Wenn ich das nicht tue, ist eine Anmeldung nicht möglich und die Ausgabe von pdbedit -Lv sieht wie folg aus:
ldap-server:~# pdbedit -Lv clara
smbldap_search_domain_info: Searching for:[(&(objectClass=sambaDomain)(sambaDomainName=GEO))]
smbldap_open_connection: connection opened
smbldap_search_domain_info: Searching for:[(&(objectClass=sambaDomain)(sambaDomainName=GEO))]
smbldap_open_connection: connection opened
init_sam_from_ldap: Entry found for user: clara
Unix username: clara
NT username: clara
Account Flags: [U ]
User SID: S-1-5-21-2521797875-1312664911-1260376487-3012
pdb_get_group_sid: Failed to find Unix account for clara
Primary Group SID: (NULL SID)
Full Name: System User
Home Directory: \\ldap-server\clara
HomeDir Drive: Z:
Logon Script: logon.bat
Profile Path: \\ldap-server\clara\profile
Domain: GEO
Account desc:
Workstations:
Munged dial:
Logon time: 0
Logoff time: Di, 19 Jan 2038 04:14:07 CET
Kickoff time: Di, 19 Jan 2038 04:14:07 CET
Password last set: Do, 08 Mär 2007 14:22:52 CET
Password can change: 0
Password must change: So, 22 Apr 2007 15:22:52 CEST
Last bad password : 0
Bad password count : 0
Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF


So sieht es aus, wenn ich clara auf dem Server anlege (Die Anmeldung von Win-Clients funktioniert nun einwandfrei):


ldap-server:~# /etc/init.d/slapd stop
Stopping OpenLDAP: slapd.
ldap-server:~# useradd clara
ldap-server:~# /etc/init.d/slapd start
Starting OpenLDAP: slapd.
ldap-server:~# pdbedit -Lv clara
smbldap_search_domain_info: Searching for:[(&(objectClass=sambaDomain)(sambaDomainName=GEO))]
smbldap_open_connection: connection opened
smbldap_search_domain_info: Searching for:[(&(objectClass=sambaDomain)(sambaDomainName=GEO))]
smbldap_open_connection: connection opened
init_sam_from_ldap: Entry found for user: clara
Unix username: clara
NT username: clara
Account Flags: [U ]
User SID: S-1-5-21-2521797875-1312664911-1260376487-3012
Primary Group SID: S-1-5-21-2521797875-1312664911-1260376487-513
Full Name: System User
Home Directory: \\ldap-server\clara
HomeDir Drive: Z:
Logon Script: logon.bat
Profile Path: \\ldap-server\clara\profile
Domain: GEO
Account desc:
Workstations:
Munged dial:
Logon time: 0
Logoff time: Di, 19 Jan 2038 04:14:07 CET
Kickoff time: Di, 19 Jan 2038 04:14:07 CET
Password last set: Do, 08 Mär 2007 14:22:52 CET
Password can change: 0
Password must change: So, 22 Apr 2007 15:22:52 CEST
Last bad password : 0
Bad password count : 0
Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
ldap-server:~#



Danke fürs Lesen

emba
11.03.07, 12:42
dann stimmt der eintrag bzw. die posix account infos fuer den user im ldap nicht, oder du hast ein prob mit NSS

greez

Leser
12.03.07, 13:59
Zu Problem 2:

Wenn ich in der smb.conf "obey pam restrictions = Yes" auskommentiere, funktioniert es.
Warum für einige User die Anmeldung funktionierte und für andere nicht, kann ich mir allerdings nicht erklären. An den User-Accounts im LDAP liegt es aber nicht.

Leser
21.03.07, 13:23
Ich habe die pam-Einstellungen angepasst. Jetzt funzt es auch mit o.g. Eintrag.