PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Einrichtung von Winbind... Net join schlägt fehl



pc-nico
04.07.07, 14:17
hallo @ all

ich habe auf CentOS 5 Samba eingerichtet... läuft auch...

Nun will ich mittels Winbind Bentzer aus deiner W2K Domain nutzen...
habe alles soweit eingerichtet, doch bevor ich Winbind anstarten kann, muss
die Linux Maschine noch in die Domain aufgenommen werden...

Leider schlägt das fehl:


[root@file003 ]# net join -w DOMAINNAME -S DOMAINCONTROLLER -U Administrator
Host is not configured as a member server.
Invalid configuration. Exiting....
ADS join did not work, falling back to RPC...
cannot join as standalone machine


Die Maschine heist file003, in der Domain habe ich schon händisch ein Computerkonto angelegt, ohne erfolge... Die Verbindung zum PDC (Ping) steht....

kann jemand helfen? thx

cooper83
04.07.07, 17:15
Hi,

Das Computerkonto wird ja duch das join erstellt! Das klingt ganz so, als ob deine Samba konfiguration schon nicht richtig ist. Auf dieser Seite

http://www.pro-linux.de/work/server/samba3-domaene.html

wird das komplette einbinden von Samba in eine Windows domäne beschrieben. Vielleicht hilft dir das weiter!


schöne Grüße

cooper83

pc-nico
06.07.07, 09:22
jetzt muss ich mal fragen was an samba falsch eingerichtet sein soll.....

das net join wird doch völlig unabhängig von Samba ausgeführt und soll doch nur den Linux Server in die Windows Domain aufnehmen, oder irre ich da....

Die Anleitung ist mir bekannt, allerdings ist sie doch für Win2003 ADs

Hab sie trotzdem versucht und bekomme beim Punkt kinit den Fehler

kinit(v5): Cannot find KDC for requested realm while getting initial credentials

der Eintrag unter KDC in der krb5.conf ist aber Korrekt, dann den Namen samt Suffix anpingen...

muell200
06.07.07, 14:59
das net join wird doch völlig unabhängig von Samba ausgeführt und soll doch nur den Linux Server in die Windows Domain aufnehmen, oder irre ich da....


falsch,er nimmt die werte von smb.conf, da samba in die domaene aufgenommen wird!



der Eintrag unter KDC in der krb5.conf ist aber Korrekt, dann den Namen samt Suffix anpingen...


dann muss es funktionieren.
es waere evt. hilfreich wenn du uns mal in deine "richtige" conf-datei schauen laesst :)

aber schon komisch, das es nicht funktioniert, wenn alles "richtig" eingerichtet ist :) ( sorry... )

pc-nico
06.07.07, 15:16
hab nicht behauptet das alles richtig ist... sonst würds ja gehen :p

Hier die krb5.conf





[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = INTRANET.MEINE-DOM.DE
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes

[realms]
INTRANET.MEINE-DOM.DE = {
kdc = TS011.INTRANET.MEINE-DOM.DE
# admin_server = kerberos.example.com:749
# default_domain = example.com
}

[domain_realm]
.intranet.meltec.de = INTRANET.MEINE-DOM.DE

# .example.com = EXAMPLE.COM
# example.com = EXAMPLE.COM

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}


und die smb.conf
ist noch die defualt, habe mal die kommentare entfernt... sonst hab ich nur die winbind einstellungen eingefügt und eine freigabe....




[global]


workgroup = MEINE-DOM

server string = Samba Server

; security = user

; hosts allow = 192.168.1. 192.168.2. 127.

; load printers = yes

; printcap name = /etc/printcap

; printcap name = lpstat

; printing = cups

cups options = raw

; guest account = pcguest

log file = /var/log/samba/%m.log

max log size = 50

; password server = <NT-Server-Name>

; realm = MY_REALM

; passdb backend = tdbsam

; include = /usr/local/samba/lib/smb.conf.%m

; interfaces = 192.168.12.2/24 192.168.13.2/24

; local master = no

; os level = 33

; domain master = yes

; preferred master = yes

; domain logons = yes

; logon script = %m.bat

; logon script = %U.bat

; logon path = \\%L\Profiles\%U

; wins support = yes

; wins server = w.x.y.z

; wins proxy = yes

dns proxy = no
username map = /etc/samba/smbusers
; encrypt passwords = yes
; guest ok = no
; guest account = nobody

; add user script = /usr/sbin/useradd %u
; add group script = /usr/sbin/groupadd %g
; add machine script = /usr/sbin/adduser -n -g machines -c Machine -d /dev/null -s /bin/false %u
; delete user script = /usr/sbin/userdel %u
; delete user from group script = /usr/sbin/deluser %u %g
; delete group script = /usr/sbin/groupdel %g



winbind uid=10000-20000
winbind gid=10000-20000
winbind use default domain=no
template homedir=/tmp
template shell=/bin/bash
; template primary group=nobody
; winbind cache time=300
winbind enum users=yes
winbind enum groups=yes
winbind separator = +

#============================ Share Definitions ==============================
[homes]
comment = Home Directories
browseable = no
writeable = yes

# Un-comment the following and create the netlogon directory for Domain Logons
; [netlogon]
; comment = Network Logon Service
; path = /usr/local/samba/lib/netlogon
; guest ok = yes
; writable = no
; share modes = no


# Un-comment the following to provide a specific roving profile share
# the default is to use the user's home directory
;[Profiles]
; path = /usr/local/samba/profiles
; browseable = no
; guest ok = yes


# NOTE: If you have a BSD-style print system there is no need to
# specifically define each individual printer
[printers]
comment = All Printers
path = /usr/spool/samba
browseable = no
# Set public = yes to allow user 'guest account' to print
; guest ok = no
; writeable = no
printable = yes

# This one is useful for people to share files
;[tmp]
; comment = Temporary file space
; path = /tmp
; read only = no
; public = yes

# A publicly accessible directory, but read only, except for people in
# the "staff" group
;[public]
; comment = Public Stuff
; path = /home/samba
; public = yes
; writable = yes
; printable = no
; write list = @staff


[Data]
comment = Data
path = /Data
writeable = yes
browseable = yes

muell200
06.07.07, 15:54
hab nicht behauptet das alles richtig ist... sonst würds ja gehen :p
[\QUOTE]

wenigstens verstehst du spass :)


[QUOTE=pc-nico;1553595]


....
[realms]
INTRANET.MEINE-DOM.DE = {
kdc = TS011.INTRANET.MEINE-DOM.DE
#
# default_domain = example.com !!auskommentieren und richtige werte einsetzen!!
}

[domain_realm]
.intranet.meltec.de = INTRANET.MEINE-DOM.DE meltec.de??? richtigen wert einsetzen!!!
....



[QUOTE=pc-nico;1553595]
und die smb.conf
ist noch die defualt, habe mal die kommentare entfernt... sonst hab ich nur die winbind einstellungen eingefügt und eine freigabe....


???
lese nochmal die seite von @cooper83 durch...

evt. ist es noch ein dns problem
dienst ncsd abschalten...

pc-nico
09.07.07, 11:08
also ich weiß jetzt nicht mehr genau was alles falsch war...

habe einfach die Configs aus der Anleitung kopiert und nochmal ganz von vorn angefangen...

also Kinit administrator@DOMAIN gibt mir jetzt einen Prompt zur Passworteingabe, wenn das richtige Passwort eingegeben wird, gibt es keine Meldung, bei falschem eine Fehlermeltung. Also scheint die Kerberos anbindung IO zu sein.

Net Join hat auch geklappt....

Samba und Winbind laufen...
mit wbinfo -u werden mir auch die Domainuser angezeigt... ich kann sie auch mit chmod verwenden....

allerdings werden mit die Nutzer nicht, wie in der Anleitung beschrieben, mit getent passwd angezeigt.

Auch bekomme ich weiterhin unter Windows beim Zugriff auf den Server eine Passwortabfrage, obwohl ich mit einem Domainuser angemeldet bin, der auf eine Freigabe explitzt mit valid user berechtigt ist....

muell200
09.07.07, 13:31
allerdings werden mit die Nutzer nicht, wie in der Anleitung beschrieben, mit getent passwd angezeigt.

Auch bekomme ich weiterhin unter Windows beim Zugriff auf den Server eine Passwortabfrage, obwohl ich mit einem Domainuser angemeldet bin, der auf eine Freigabe explitzt mit valid user berechtigt ist....

- stimmt der eintrag in der /etc/nsswitch.conf
( steht in der einleitung! )

- was sagt id username?

- ncsd abgeschaltet

- stimmt die namesaufloesung!

pc-nico
09.07.07, 13:42
also in der nsswitch habe ich die 2 Winbind einträge vorgenommen:



# Example:
#passwd: db files nisplus nis
#shadow: db files nisplus nis
#group: db files nisplus nis

passwd: files winbind
shadow: files winbind
group: files winbind

#hosts: db files nisplus nis dns
hosts: files dns



ID gibt mir die User ID der Domainnutzer aus:



# id nhaensel
uid=10000(nhaensel) gid=10000(Domaenen-Benutzer) Gruppen=10000(Domaenen-Benutzer)


wie schaltet man ncsd aus?
Service ncsd gibts bei mir nicht.... auch mit ps -ef | grep ncsd sehe ich keinen Prozess... also scheint er nicht zu laufen.....

welche namensauflösungen meinst du?
Ich kann vom Samba Server die beiden W2K-Domäncontroller anpingen (per Hostname, und auch per Hostname mit realm zusatz.... zuätzlich steh einer auch noch in der Hosts

muell200
09.07.07, 13:46
welche namensauflösungen meinst du?
Ich kann vom Samba Server die beiden W2K-Domäncontroller anpingen (per Hostname, und auch per Hostname mit realm zusatz.... zuätzlich steh einer auch noch in der Hosts

das koennte das problem sein.
entweder hosts oder dns-server....

pc-nico
09.07.07, 13:54
ok, eintrag aus der Hosts entfernt... ping und co geht...

kinit user@realm bringt eine passwortabfrage, die bei richtigem passwort keine rückmeldung gibt, bei falschem eine fehlermelung...

getent passwd liefert aber weiterhin nur die lokalen

muss ich nach änderungen an nsswitch einen dienst neustarten? (obwohl hatte schon rebootet....)

thx

muell200
09.07.07, 14:35
getent passwd liefert aber weiterhin nur die lokalen

muss ich nach änderungen an nsswitch einen dienst neustarten? (obwohl hatte schon rebootet....)


smb.conf
winbind enum users = Yes
winbind enum groups = Yes

nsswitch wird auto. eingelesen

pc-nico
09.07.07, 14:47
bringt nichts.... ist ja auch standardmäßig yes, wenn nicht vorhanden... sonst würde ich ja kleine nutzer bei wbinfo -u sehen....

ich verstehs langsam echt nicht mehr....kann das am PDC liegen?

Wir haben ihr einen Server da geht es... der läuft aber noch mit der alten einstellung "security = domain".. hab ich aber nicht eingerichtet...
wollts für unseren neuen fileserver richtig machen und gleich ADS verwenden....:confused::confused:

pc-nico
09.07.07, 15:09
getent passwd liefert nun auch die User der Domain...

wie so oft ist das Problem vor dem Bildschirm.... hatte in der SMB.CONF einen schreibfehler beim Password Server....

@muell200
danke für deine hilfe...

muell200
09.07.07, 15:14
@muell200
danke für deine hilfe...

no prob...

pc-nico
10.07.07, 07:38
langsam wird das Topic unübersichtliche... habe ein neues aufgemacht, da es ja im prinzip ein anderes Problem ist...

http://www.linuxforen.de/forums/showthread.php?p=1554587#post1554587

danke