PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SAMBA in WIN2k AD - Probleme mit Berechtigungen



jak.pot
17.07.07, 22:00
Ich habe hier Samba als Domänen-Member-Server eingerichtet und das funktioniert im Groben.

getent passwd, group
wbinfo -g, -u

geben aus was sie sollten!
Allerdings darf irgendwie jeder auf das Share zugreifen bis auf der Administrator der Domäne...is doch sehr komisch oder?

Die Freigabe hat die Einstellung chmod 777.

[global]
encrypt passwords = yes
netbios name = PHUNK
workgroup = SKYNET
realm = SKYNET.HOME
security = ADS
password server = base.skynet.home
client use spnego = yes
idmap uid = 10000 - 15000
idmap gid = 10000 - 15000
winbind separator = +
winbind enum users = Yes
winbind enum groups = Yes
#winbind use default domain = Yes

#to correct strange characters
unix charset = ISO8859-15

[share]
path = /home
valid users = SKYNET+jak, SKYNET+kol, SKYNET+Administrator
browseable = yes
read only = no
writeable = yes
guest ok = no
public = no

log.smbd sagt dazu folgendes wenn ich mich als Domänen-Admin mit dem Share verbinden will:

[2007/07/17 21:39:18, 0] smbd/server.c:main(944)
smbd version 3.0.25b started.
Copyright Andrew Tridgell and the Samba Team 1992-2007
[2007/07/17 21:39:19, 0] smbd/server.c:main(986)
standard input is not a socket, assuming -D option
[2007/07/17 21:40:16, 1] smbd/sesssetup.c:reply_spnego_kerberos(316)
Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2007/07/17 21:40:16, 1] smbd/sesssetup.c:reply_spnego_kerberos(316)
Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2007/07/17 21:40:16, 1] smbd/sesssetup.c:reply_spnego_kerberos(316)
Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2007/07/17 21:40:16, 1] smbd/sesssetup.c:reply_spnego_kerberos(316)
Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!

client use spnego hab ich auf yes und auf no gehabt. Bringt nichts!

log.smbd sagt dazu folgendes wenn ich mich als "kol" mit dem Share verbinden will:

[2007/07/17 21:44:25, 0] libads/authdata.c:decode_pac_data(809)
decode_pac_data: failed to parse PAC
[2007/07/17 21:44:28, 0] libads/authdata.c:decode_pac_data(809)
decode_pac_data: failed to parse PAC
[2007/07/17 21:44:28, 1] smbd/service.c:make_connection_snum(1033)
192.168.1.34 (192.168.1.34) connect to service share initially as user SKYNET+kol (uid=12010, gid=12014) (pid 2985)



log.smbd sagt dazu folgendes wenn ich mich als irgendein User mit dem Share verbinden will:

[2007/07/17 21:44:39, 1] smbd/service.c:close_cnum(1230)
192.168.1.34 (192.168.1.34) closed connection to service share
[2007/07/17 21:45:56, 0] libads/authdata.c:decode_pac_data(809)
decode_pac_data: failed to parse PAC
[2007/07/17 21:45:56, 1] smbd/service.c:make_connection_snum(1033)
filer (192.168.1.33) connect to service share initially as user SKYNET+jak (uid=12005, gid=12014) (pid 2988)



Ich werd aus der ganzen Sache nicht schlau...Ich weiß nur dass dieses PAC z.B. Daten ueber Berechtigungen enthält.

Achja ...ich kann auch keine Domänen-Gruppen den Shares zuweisen.
Also valid users = @mygroup funktioniert nicht obwohl @mygroup vorhanden ist....bzw. @SKYNET+mygroup.

Hoffentlich könnt ihr mir helfen, die Sache is mir ziemlich wichtig.

jak.pot
20.07.07, 01:24
Also das Problem ist gelöst...hab gestern mit den Entwicklern gesprochen...BlaBlaBla...es hat sich heraus gestellt, dass ich auf einen Bug gestoßen bin, den die selber noch nicht kannten.
Das wird in der nächsten Version von Samba wohl verbessert werden.

Als eine Art Workaround einfach SP4 auf dem Server installieren und Samba und Kerberos auf dem Linux Server neuinstallieren. Danach kann Winbindd die PAC Daten richtig parsen.
Die Vanilla Version von Win2k hat wohl noch ein anderes PAC Format verwendet.

Hoffe dass ich euch jetzt helfen konnte. Ich bin fast verrückt geworden und hab stark an mir gezweifelt :D
Aber jetzt ist alles gut.