Ricky99
31.10.07, 14:25
Hallihallohallöle zusammen,
ich hätt' da gern mal ein Problem zu o.g. Konstellation.
Also.
Eingehend kurz die Sysinfo:
2003AD-Domäne, statische IP's. Alle WK's bis auf einen XP SP2.
Es dreht sich jetz' um den einen:
OpenSuse 10.3 (vonner c't-DVD) eingespielt, smb.conf und krbb5.conf weitgehend analog zu http://www.pro-linux.de/work/server/print/samba3-domaene.html bearbeitet.
Nachstehend die Configs:
smb.conf:
[global]
workgroup = DOMÄNE
netbios name = RECHNERNAME
realm = DOMÄNE.LOCAL
idmap uid = 10000-15000
idmap gid = 10000-15000
winbind separator = /
winbind
use default domain = Yes
security = ADS
encrypt passwords = yes
password server = domaincontroller.domäne.local
client use spnego = yes
client schannel = no
[backup]
comment = Backup
path = /srv/samba
browseable = yes
read only = no
guest ok = no
valid users = DOMÄNE/Domänen-Admins
create mask = 0770
directory mask = 0770
krb5.conf:
[libdefaults]
default_realm = DOMÄNE.LOCAL
clockskew = 300
[realms]
DOMÄNE.LOCAL = {
kdc = DOMAINCONTROLLER.DOMÄNE.LOCAL
default_domain = DOMÄNE
admin_server = DOMAINCONTROLLER.DOMÄNE.LOCAL
}
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
default = FILE:/var/log/krb5libs.log
[domain_realms]
.kerberos.server = DOMÄNE.LOCAL
[domain_realm]
.DOMÄNE.local = DOMÄNE.LOCAL
DOMÄNE = DOMÄNE.LOCAL
.DOMÄNE = DOMÄNE.LOCAL
[appdefaults]
pam = { ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
use_shmem = sshd
}
Jetz' mein Problem (watt Ihr sicher schon gehört un' möglicherweise auch gelöst habt, ich aber noch in keinem Forum hab' für meinen Fall gelöst finden können):
net join -s DOMÄNE -U Administrator
liefert bis auf 'n nickeliges "DNS update failed!"
auch brav "Joined 'RECHNER' to realm 'DOMÄNE'" zurück.
Allerdings liefert
wbinfo -u zwar die User aus der AD-Domäne,
getent passwd
liefert aber eben nur die lokalen User.
Jetz' hab' ich den Verdacht, datt et am Kerberos-Kontakt liegt. 'n Kerberos5-Ticket bekomm' ich wohl mit kinit (nach meinem Dafürhalten):
Rechner:- # kinit
Password for Administrator@DOMÄNE.LOCAL:
Rechner:- # klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@DOMÄNE.LOCAL
Valid starting Expires Service principal
10/31/07 15:06:14 11/01/07 01:07:51 krbtgt/DOMÄNE.LOCAL@...LOCAL
renew until 11/01/07 15:06:14
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached.
Da ich jetz' an anderer Stelle gelesen hab', datt die Kerberos-Jeschichte sehr DNS-anhängig ist, hab' ich Ping un' nslookup sowohl vom Suse-Rechner zum PDC als auch zurück versucht, Ergebnis: Von Suse zum PDC geht beides, zurück Nix.
Daraufhin hab' ich den den Suse-Rechner manuell sowohl der Forward- als auch der Reverse-LookupZone am PDC hinzugefügt.
Trotzdem gehen weder Ping noch nslookup.
Gibt 's die Möglichkeit (ähnlich zum Vorgang an XP-Clients), sich den Rechner mit seiner IP und seinem Namen selbst im DNS registrieren zu lassen ?
Und warum kann ich denn jetz' die Domänen-User nich' als User auf der Suse-Kiste integrieren ?
Hab' ich evtl. doch kein Kerberos-Ticket ?
Der Vorschläge harrend,
Ich.
ich hätt' da gern mal ein Problem zu o.g. Konstellation.
Also.
Eingehend kurz die Sysinfo:
2003AD-Domäne, statische IP's. Alle WK's bis auf einen XP SP2.
Es dreht sich jetz' um den einen:
OpenSuse 10.3 (vonner c't-DVD) eingespielt, smb.conf und krbb5.conf weitgehend analog zu http://www.pro-linux.de/work/server/print/samba3-domaene.html bearbeitet.
Nachstehend die Configs:
smb.conf:
[global]
workgroup = DOMÄNE
netbios name = RECHNERNAME
realm = DOMÄNE.LOCAL
idmap uid = 10000-15000
idmap gid = 10000-15000
winbind separator = /
winbind
use default domain = Yes
security = ADS
encrypt passwords = yes
password server = domaincontroller.domäne.local
client use spnego = yes
client schannel = no
[backup]
comment = Backup
path = /srv/samba
browseable = yes
read only = no
guest ok = no
valid users = DOMÄNE/Domänen-Admins
create mask = 0770
directory mask = 0770
krb5.conf:
[libdefaults]
default_realm = DOMÄNE.LOCAL
clockskew = 300
[realms]
DOMÄNE.LOCAL = {
kdc = DOMAINCONTROLLER.DOMÄNE.LOCAL
default_domain = DOMÄNE
admin_server = DOMAINCONTROLLER.DOMÄNE.LOCAL
}
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
default = FILE:/var/log/krb5libs.log
[domain_realms]
.kerberos.server = DOMÄNE.LOCAL
[domain_realm]
.DOMÄNE.local = DOMÄNE.LOCAL
DOMÄNE = DOMÄNE.LOCAL
.DOMÄNE = DOMÄNE.LOCAL
[appdefaults]
pam = { ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
use_shmem = sshd
}
Jetz' mein Problem (watt Ihr sicher schon gehört un' möglicherweise auch gelöst habt, ich aber noch in keinem Forum hab' für meinen Fall gelöst finden können):
net join -s DOMÄNE -U Administrator
liefert bis auf 'n nickeliges "DNS update failed!"
auch brav "Joined 'RECHNER' to realm 'DOMÄNE'" zurück.
Allerdings liefert
wbinfo -u zwar die User aus der AD-Domäne,
getent passwd
liefert aber eben nur die lokalen User.
Jetz' hab' ich den Verdacht, datt et am Kerberos-Kontakt liegt. 'n Kerberos5-Ticket bekomm' ich wohl mit kinit (nach meinem Dafürhalten):
Rechner:- # kinit
Password for Administrator@DOMÄNE.LOCAL:
Rechner:- # klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@DOMÄNE.LOCAL
Valid starting Expires Service principal
10/31/07 15:06:14 11/01/07 01:07:51 krbtgt/DOMÄNE.LOCAL@...LOCAL
renew until 11/01/07 15:06:14
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached.
Da ich jetz' an anderer Stelle gelesen hab', datt die Kerberos-Jeschichte sehr DNS-anhängig ist, hab' ich Ping un' nslookup sowohl vom Suse-Rechner zum PDC als auch zurück versucht, Ergebnis: Von Suse zum PDC geht beides, zurück Nix.
Daraufhin hab' ich den den Suse-Rechner manuell sowohl der Forward- als auch der Reverse-LookupZone am PDC hinzugefügt.
Trotzdem gehen weder Ping noch nslookup.
Gibt 's die Möglichkeit (ähnlich zum Vorgang an XP-Clients), sich den Rechner mit seiner IP und seinem Namen selbst im DNS registrieren zu lassen ?
Und warum kann ich denn jetz' die Domänen-User nich' als User auf der Suse-Kiste integrieren ?
Hab' ich evtl. doch kein Kerberos-Ticket ?
Der Vorschläge harrend,
Ich.