Hi.

Ich habe ein Problem mit einem LDAP-PDC und angebundenen Win2000 Clients.

Vorab:
1) User anlegen geht.
2) User Gruppen/Rechten zuweisen geht auch
3) Authentifizieren der User geht (bis auf exakt einen User... und da ist mein Problem)
4) Genaue Fehlermeldung kann ich leider im Moment nicht liefern, da ich im Moment platt auf der Nase liege und keinen Fernzugriff auf den Server habe.

Problembeschreibung:

- Der User "Administrator" kann sich nicht in der Domäne anmelden, angeblich hat er nicht die benötigten Rechte um Zugriff auf seine Profildateien auf dem PDC zu nehmen.

- Der Fehler tritt auch auf, nachdem das Administrator-Profil auf dem Server gelöscht wurde. Ich habe einen LDIF (mit JXplorer) erstellt und überprüft, ob das Konto Administrator u.U. nicht gelöscht wurde - Im LDAP ist es ordnungsgemäß entfernt worden
Es scheint mir als könnte der Administrator-User weder schreibend noch lesend auf die Profile zugreifen. Vermutlich kommt er nicht einmal in das Basisverzeichnis ./Profile/ hinein.

- Die Rechte des "Basisverzeichnisses" der Profile stehen auf 777 Owner ist root, Gruppe ist "Domain Users". Jeder Useraccount steht auf 700 und Username:Domain Users

- Ich habe bereits einmal versucht, ein Verzeichnis ./Profile/Administrator mit den Rechten 700 und Administrator:Domain Admins von Hand anzulegen. Auf der Linuxebene sah alles sauber aus, jedoch war es dem Useraccount beim authentifizieren nicht möglich, auf dieses Verzeichnis zuzugreifen.


Und nun wird es verwirrend ...

1) Anlegen eines neuen Benutzerkontos und versehen des Accounts mit allen Rechten eines Administrators... funktioniert bestens. Account kann auf das Netzprofil zugreifen, Account aktualisiert sein Profil beim Abmelden... keine Probleme

2) Umbenennen dieses neuen Benutzerkontos in einen anderen Namen und entsprechende Nacharbeiten bez. der Dateizugriffsrechte auf Linuxebene -> Profil arbeitet wie vorher, jedoch unter dem neuen Usernamen

3) Umbenamsen des Benutzerkontos in "Administrator" mit entsprechenden Nacharbeiten bez. der Dateizugriffsrechte auf Linuxebene -> Kein Zugriff auf die Profildateien möglich.

4) Umbenamsen des Benutzerkontos "Administrator" aus 3) in einen beliebigen anderen Namen mit entsprechender Nachbearbeitung in der Dateistruktur -> Profil arbeitet wie unter 1)


Sorry für die etwas wirre Fehlerbeschreibung, ich hoffe irgend jemand kann trotzdem etwas damit anfangen.

Könntest Du bitte mal den Eintrag im LDAP des Administrators zeigen und auch die dazu gehörende Gruppe der "Domain Admins"?
Mich interessieren vor allem die SID.

mamue

Kann ich erst nächste Woche (hoff...) machen, da ich im Moment krankgeschrieben bin und keine Fernzugriffsmöglichkeit habe. Aber vielleicht hilft folgendes aus dem hohlen Bauch zur Ideenfindung:

Domain Admins (S-1-5-21-x-x-x-512) -> Domain Admins
Domain Users (S-1-5-21-x-x-x-513) -> Domain Users
Domain Guests (S-1-5-21-x-x-x-514) -> Domain Guests
Domain Computers (S-1-5-21-x-x-x-515) -> Domain Computers
Administrators (S-1-5-32-544) -> Administrators

Der User Administrator wird zunächst als einfacher User angelegt (513), danach in die Gruppe der Domain Admins und abschließend in "Netzwerkdomänenadministratoren" eingeführt (das sind User, die im Netzwerk rumpfuschen dürfen - die SID habe ich echt nicht im Kopf) und abschließend noch in die Administrators (544) gesetzt. Da der Administrator eigentlich nur ein aufgebohrtes Userkonto ist, ist seine UID irgendwas um 12xxx (Angefangen bei 10000).

Solange der User NICHT Administrator heißt, alles kein Problem - andernfalls keine Netzwerkanmeldung.

Die primäre Gruppe steht (wenn ich nicht irre) auf 513.

LDIF des Kontos und der Gruppe kommt sobald möglich. Meinst du, die SID ändert sich aus unbekannten Gründen wenn ich ein gegebenes Konto in "Administrator" umbenamse? Dann dürfte der User doch die Domäne schon gar nicht finden. Er mault jedoch eindeutig erst beim Zugriff auf die Profile...

Mist - ich hasse Sommergrippen :-(

Hast Du die SID geändert, nachdem der Admin bereits ein Profil hatte? Dann steht dort natürlich die falsche SID drin und Windows beschwert sich, trotz passender Zugriffsrechte.
Ansonsten fällt mir auf die Schnelle nichts anderes ein, man sollte sich nur noch mal die uidNumber und SID anschauen und im Zweifelsfall ebenfalls die Dateisystemberechtigungen. Aber eigentlich sieht das soweit gut aus.

mamue

P.S.: Gute Besserung.

Hi, hier nochmal das Ganze auf "Hochdeutsch". Ich habe neben dem Auszug für Administrator auch "meinen" Eintrag (der funktioniert) als Muster beigefügt.

Windows Fehlermeldung:



Sie haben keine Berechtigung, auf Ihr servergespeichertes Profil zuzugreifen,
das sich in "\\server\SHARE$\administrator\PROFILES" befindet. Wenden Sie
sich an den Netzwerkadministrator.



Mein Useraccount (funzt vollkommen):


dn: uid=abeule,ou=Benutzer,dc=aaa,dc=bbb,dc=de
objectClass: top
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: sambaSamAccount
cn: abeule
description: System User
displayName: Beule, Andreas
gecos: System User
gidNumber: 513
homeDirectory: /mnt/domaene/Benutzer/abeule
loginShell: /bin/bash
mail: abeule@aaa.bbb.DE
sambaAcctFlags: [U ]
sambaKickoffTime: 0
sambaLMPassword: XXXXXXXXXXXXXXXXXXXXXXXXXXX
sambaLogonScript: abeule.bat
sambaLogonTime: 1176467251
sambaNTPassword: XXXXXXXXXXXXXXXXXXXXXXX
sambaProfilePath: \\server\SHARE$\abeule\PROFILES
sambaPwdLastSet: 1175579357
sambaSID: S-1-5-21-333390449-276196380-1082013118-4543
sn: abeule
uid: abeule
uidNumber: 11785
userPassword:: XXXXXXXXXXXXXXXXXXXXX


Konto für Domain Admins:


version: 1
dn: cn=Domain Admins,ou=Gruppen,dc=aaa,dc=bbb,dc=de
objectClass: posixGroup
objectClass: sambaGroupMapping
cn: Domain Admins
description:: QWRtaW5pc3RyYXRvcmVuIGRlciBEb23DpG5l
displayName:: RG9tw6RuZW4tQWRtaW5z
gidNumber: 512
memberUid: root
memberUid: abeule
memberUid: administrator
sambaGroupType: 2
sambaSID: S-1-5-21-333390449-276196380-1082013118-512


Administrator-Account (sieht auf Linux korrekt auf und verhält sich auch so, aber führt bei Logon zu o.a. Windowsfehlermeldung):



version: 1
dn: uid=administrator,ou=Benutzer,dc=aaa,dc=bbb,dc=de
objectClass: top
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: sambaSamAccount
cn: administrator
description: System User
displayName: Administrator
gecos: System User
gidNumber: 513
homeDirectory: /mnt/domaene/Benutzer/administrator
loginShell: /bin/bash
mail: administrator@aaa.bbb.DE
sambaAcctFlags: [UX ]
sambaKickoffTime: 0
sambaLMPassword: B69932ABB50F7473AAD3B435B51404EE
sambaMungedDial: bQA6ACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIA AgACAAIABkAAEAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAg ACAAIAAgACAAIAAgACAAIAAgACAA
sambaNTPassword: XXXXXXXXXXXXXXXXXXXXXXXXXXX
sambaPasswordHistory: 108AA78A0FC9AA55B98F1A21D3384696C7C68EDABD34EDB2F2 D054E4FB67C5C6000000000000000000000000000000000000 0000000000000000000000000000
sambaProfilePath: \\server\SHARE$\administrator\PROFILES
sambaPwdCanChange: 1184679392
sambaPwdLastSet: 1184679392
sambaPwdMustChange: 1192455392
sambaSID: S-1-5-21-333390449-276196380-1082013118-1147
sn: administrator
uid: administrator
uidNumber: 12988
userPassword:: XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX



Alle LDIFS wurden mit JXplorer erstellt, das Konto "ABeule" wurde per Vampire von einem NT-PDC übernommen, die Gruppe "Domain Admins" dito, das Konto "Administrators" wurde wie bereits beschrieben mit smbldap-tools von Hand erstellt.

smbclient -L server -U administrator

liefert interessanter Weise den Fehler: session setup failed: NT_STATUS_LOGON_FAILURE

Wenn ich bei smbclient KEIN Passwort eingebe (d.h. Durchentere), dann erhalte ich eine Liste der Shares für "administrator". Ich habe jedoch (via Usrmgr und auch smbldap-tools) ein Passwort für den User gesetzt...

Was'n nu scho wieder im Eimer da?????

Wenn ich bei smbclient KEIN Passwort eingebe (d.h. Durchentere), dann erhalte ich eine Liste der Shares für "administrator". Ich habe jedoch (via Usrmgr und auch smbldap-tools) ein Passwort für den User gesetzt...

Was'n nu scho wieder im Eimer da?????

Das ist durchaus normal. Viele shares lassen sich listen, ohne dass man sich anmelden muß. Den "NT_STATUS_LOGON_FAILURE" erhält man bei einem falschen Kennwort.
"getent passwd administrator" bzw. "getent group "Domain Admins"" geht?
Welche SID steht denn im Profil (profiles -v <wo auch immer>/SHARE$/administrator/PROFILES/NTUSER.DAT)? Dort sollten "Trustee SID" mit dem Wert der SID des Admin zu finden sein.
Im Übrigen: Die Rechte auf das Verzeichnis hast Du sicher geprüft, oder? Wenn Du das entgegen meiner Annahme nicht gemacht hast, wechsel mal zum Benutzer Administrator (su - administrator) und schau mal nach, ob Du dort auch schreiben darfst.
Die LDIF sehen ansonsten gut aus, auch wenn ich solch einen profile path noch nicht gesehen habe.
ALs letztes könntest Du mal den loglevel höher setzen und mal berichten, was im logfile erscheint.

HTH,
mamue

Das ist durchaus normal. Viele shares lassen sich listen, ohne dass man sich anmelden muß. Den "NT_STATUS_LOGON_FAILURE" erhält man bei einem falschen Kennwort.


Das ist ja das Elend: Ich bin absolut sicher dass ich das richtige Passwort eingegeben habe, und wenn ich mich unter Windows authentifiziere wird dieses Password auch vom LDAP als korrekt erkannt und weitergeleitet - bis ich dann auf die Profilanfrage stoße...




"getent passwd administrator"

liefert:
administrator:x:12988:513:System User:/mnt/domaene/Benutzer/administrator:/bin/bash

... also alles vollkommen in Ordnung. Anlegen einer Datei via "touch" im Profilverzeichnis des Kontos "administrator" als User "administrator" erfolgt auch ohne Probleme.

getfacl liefert folgendes Resultat für das Unterverzeichnis "administrator":



PDC:/mnt/domaene/Profile # getfacl administrator
# file: administrator
# owner: administrator
# group: Domain\040Users
user::rwx
group::---
other::---

PDC:/mnt/domaene/Profile # cd administrator
PDC:/mnt/domaene/Profile/administrator # getfacl PROFILES/
# file: PROFILES
# owner: administrator
# group: Domain\040Users
user::rwx
group::---
other::---
default:user::rwx
default:group::---
default:other::---






bzw. "getent group "Domain Admins"" geht?


Liefert mir alle Member der Gruppe, incl. "administrator"



Welche SID steht denn im Profil (profiles -v <wo auch immer>/SHARE$/administrator/PROFILES/NTUSER.DAT)? Dort sollten "Trustee SID" mit dem Wert der SID des Admin zu finden sein.


Das Verzeichnis wurde auf dem Server gelöscht in der (irrigen) Annahme, daß es Problemlos neu angelegt werden würde (siehe OP)



Die LDIF sehen ansonsten gut aus, auch wenn ich solch einen profile path noch nicht gesehen habe.


Der Profile Path war vorgegeben von dem vorher verwendeten NT-PDC. Da ich nicht groß rumzaubern wollte um meine xhundert Schäfchen mit einem sinnvollen Pfad zu bestücken, habe ich den alten Müll (von dem keiner mehr weiß warum er so angelegt wurde) übernommen.



ALs letztes könntest Du mal den loglevel höher setzen und mal berichten, was im logfile erscheint.


Loglevel ist z.Z. auf 3... liefert aber nix berauschendes. Die Identifikation des Users via LDAP erfolgt laut Log jedenfalls korrekt...

--------------------------------------------------------------------------

EDIT:

ich bin (zum wiederholten Male !!!) heute hingegangen und habe den User "Administrator" mit USRMGR.EXE gelöscht und neu angelegt. Wundersamer Weise findet er jetzt sein Profil... ausser Löschen und neu Anlegen habe ich NICHTS verändert :-(

EDIT:

ich bin (zum wiederholten Male !!!) heute hingegangen und habe den User "Administrator" mit USRMGR.EXE gelöscht und neu angelegt. Wundersamer Weise findet er jetzt sein Profil... ausser Löschen und neu Anlegen habe ich NICHTS verändert :-(

Es gibt Fehlermeldungen beim Zugriff auf das Profil auch dann, wenn im Profil die falsche SID steht. Mit dem "profiles" Werkzeug kann man die SID im Profil einsehen und auch verändern. Vielleicht lag ja auf dem Rechner, mit dem Du getestet hattest, noch eine lokale Kopie des Profils? Wenn dann das auf dem Server gelöscht wird, wird halt beim nächsten mal die lokale Kopie genommen, die natürlich den selben "Defekt" hat. Wäre das denkbar?

mamue

An und für sich bin ich recht sicher, dass keine Reste des Profils in den entsprechenden Verzeichnissen des Clients vorlagen - was ich aber nicht beeiden kann ist, ob ich den Papierkorb geleert hatte... daran hakte es bei einem Kollegen der sich nach der wundersamen Wiederauferstehung des Kontos als Administrator (Domäne) anmelden wollte.

Nachdem wir schlußendlich auch den Inhalt des Papierkorbs endgültig gelöscht hatten, konnte das neue Administratorkonto auch auf diesem Client genutzt werden.

Klingt irgendwie nach Voodoo - ist aber so gelaufen. :(