PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba als AD 2k3Server Member



basstscho
05.01.08, 14:32
Hallo zusammen,

ich versuceh gerade meinem Samba beizubringen seine Freigaben über unser AD zu authentifizieren. Leider klappt das bisher noch nicht so ganz ;)

Das ganze läuft über Kerberos und Winbind. Mit wbinfo -u bzw. -g bekomme ich die Liste der User bzw. Gruppen. Soweit funktioniert das ganze also schonmal. Problematisch ist nun noch die Authentifizierung:
Hier ein Auszug aus der smb.conf


[global]
workgroup = DOMAENE
netbios name = TRAVOS
realm = DOMAENE.LOCAL
idmap uid = 10000-15000
idmap gid = 10000-15000
winbind separator = /
winbind use default domain = yes
security = ADS
encrypt passwords = yes
password server = titan.domaene.local
client use spnego = yes
time server = yes

[htdocs]
path = /drive/data/htdocs
valid users = Administrator
force directory security mode = 0770
force create mode = 0770
force group = www
force user = wwwrun
read only = no
browseable = yes


Nun kommt beim Zugriff auf die Freigaben folgende Fehlermedlung in der smb.conf und der Zugtriff wird verweigert.


[2008/01/05 14:22:54, 1] smbd/sesssetup.c:reply_spnego_kerberos(310)
Username DOMAENE/WS-JBIX$ is invalid on this system
[2008/01/05 14:23:02, 1] smbd/sesssetup.c:reply_spnego_kerberos(310)
Username DOMAENE/WS-JBIX$ is invalid on this system
[2008/01/05 14:23:47, 1] smbd/sesssetup.c:reply_spnego_kerberos(310)
Username DOMAENE/Administrator is invalid on this system
[2008/01/05 14:24:37, 1] smbd/sesssetup.c:reply_spnego_kerberos(310)
Username DOMAENE/Administrator is invalid on this system
[2008/01/05 14:25:26, 1] smbd/sesssetup.c:reply_spnego_kerberos(310)
Username DOMAENE/Administrator is invalid on this system
[2008/01/05 14:26:16, 1] smbd/sesssetup.c:reply_spnego_kerberos(310)
Username DOMAENE/Administrator is invalid on this system
[2008/01/05 14:27:05, 1] smbd/sesssetup.c:reply_spnego_kerberos(310)
Username DOMAENE/Administrator is invalid on this system
[2008/01/05 14:27:54, 1] smbd/sesssetup.c:reply_spnego_kerberos(310)
Username DOMAENE/Administrator is invalid on this system


Jetzt frag ich mich nat. an was das liegt - ich hoffe ihr könnt mir helfen ;)

Falls ihr irgendwie noch mehr Infos aus Logifles oder configs braucht geb ich die euch gerne.

Leider hat das herumlesen im Netz zu keiner Fehlerbehebung geholfen :(
Bei vielen waren es immer nur Kleinigkeiten - ich hoffe bei mir auch ;)

Ich danke euch,
Grüße Johannes

hubrach
08.01.08, 08:40
Wie steht mit dem Kerberos Ticket irgendetwas in die Richtung angelegt ?
/etc/krb5.conf

basstscho
08.01.08, 10:04
Hallo hubrach,

klar hab ich kerberos konfiguriert. Ich konnte mich als administrator an der Domäne anmelden und bekam dann auch ein Ticket.

Grüße Johannes

hubrach
08.01.08, 10:14
Und wo ist die /etc/krb5.conf ??
;-)

hubrach
08.01.08, 10:18
Versuch mal folgendes
wbinfo -A Administrator%XXXPASSWORDXXX -u
Gibt er user aus ?
Läuft winbind ?
was sagen die logs unter /var/log/samba ??

basstscho
08.01.08, 11:52
Hallo hubrach,

wie ich oben bereits beschrieben habe gibt wbinfo -u und wbinfo -g die vorhandenen user bzw. gruppen des AD aus.

Die kerberos konfig kann ich dir heute abend posten.

Der entsprechende Ausschnitt aus den samba logs steht ebnefalls im Eingangsposting (zweites Zitat)...

Also eigentlich sind die Grundvorraussetzungen denke ich soweit passend...ich weiß net wos hapert ;)

Vlt. steh ich ja nur aufm Schlauch. Winbind ist nat. gesteratet...

Grüße Johannes

hubrach
08.01.08, 12:02
Hier könnte auch noch ein fehlerchen sein
valid users = Administrator
Sollte vielleicht
valid users = DOMAENE/Administrator sein ...
auch verwenden von "valid user" und "force user" innerhalb einer freigabe scheint mir irgendwie komisch

basstscho
08.01.08, 12:18
Das DOMAENE/username hab ich bereits probiert. Das hat leider auch keinen Erfolg gebracht.

Die Konfiguration der Freigaben lief soweit eigentlich ohne Problem, als der Server noch PDC im Netz war....(und somit die User lokal angelegt)

Grüße Johannes

basstscho
19.03.08, 10:40
Hallo zusammen,

leider ist das Problem immer noch nicht behoben - wurde aber aus zeitlichen Gründen nach hinten geschoben...

Jetzt hab ich wider Zeit:
Leider bin ich noch keinen Schritt weiter. Ich kann mit
wbinfo -u
wbinfo -g
Die Benutzer und Gruppen unserer Domäne sehen. Versuche ich allerdings auf den Server zuzugreifen kommt eine Benutzer- und Passworteingabe (also eingeloggter Administrator im AD) - Er akzeptiert leider auch keine anderen Benutzer-Passwort kombinationen, die es in der Domäne gibt...

Hat jemand ne Idee? Der Rechner ist jetzt komplett neu als Testrechner aufgesetzt - somit könnt ihr nach herzens-lust probieren ;)

Grüße Johannes

hubrach
19.03.08, 10:44
Gehören die Rechner der Domäne an ?
Was ist mit den angefragten conf und log dateien ?

versuchmal password server = *

basstscho
19.03.08, 11:11
Hallo hubrach,

in den logfiles steht nichts, bis auf folgende Meldung in der log.smbd:


Copyright Andrew Tridgell and the Samba Team 1992-2006
[2008/03/19 11:04:42, 0] lib/util_sock.c:get_peer_addr(1229)
getpeername failed. Error was Der Socket ist nicht verbunden
[2008/03/19 11:04:42, 0] lib/util_sock.c:get_peer_addr(1229)
getpeername failed. Error was Der Socket ist nicht verbunden
[2008/03/19 11:04:42, 0] lib/util_sock.c:write_data(562)
write_data: write failure in writing to client 0.0.0.0. Error Die Verbindung wurde vom Kommunikationspartner zurückgesetzt
[2008/03/19 11:04:42, 0] lib/util_sock.c:send_smb(769)
Error writing 4 bytes to client. -1. (Die Verbindung wurde vom Kommunikationspartner zurückgesetzt)


Meine smb.conf sieht mittlerweile so aus:


[global]
workgroup = BIX
netbios name = tester
realm = BIX.LOCAL
idmap uid = 10000-15000
idmap gid = 10000-15000
winbind separator = /
#winbind use default domain = Yes
security = ADS
encrypt passwords = yes
#password server = titan.bix.local
#client use spnego = yes
password server = *
preferred master = no
winbind enum users = Yes


Leider auch noch keinen Erfolg. Das ist mit mittlerweile aufgefallen:
wbinfo -u und -g liefern entsprechende Informationen.
getent passwd liefert auch alles korrekt aus nur getent group gibt nur die lokalen Gruppen zurück - wieso?

und zu guter letzt nochmals die krb5.conf


libdefaults]
default_realm = BIX.LOCAL
clockskew = 300

[realms]
BIX.LOCAL = {
kdc = TITAN.BIX.LOCAL
}

[domain_realm]
.bix.local = BIX.LOCAL

[logging]
# default = SYSLOG:NOTICE:DAEMON
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/kdc.log
kadmind = FILE:/var/log/kadmind.log

[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}


Noch ne Frage: Wie haben hier zwei Controller für das AD - wie kann ich es einrichten, dass der Linuxserver seine Passwörter immer noch bekommt, selbst wenn der titan.bix.locak ausfällt? Einfach eine zweite zeile kdc = CALYPSO.BIX.LOCAL eintragen?

Unsere Rechner gehören aller der Domäne an - sonst wäre die Passworteingabe logisch - war aber als eingeloggter Admin...

Ich hoffe das hilft dir (somit mir) weiter,
Grüße Johannes

basstscho
19.03.08, 11:28
So, nun hab ich es mittlerweile hinbekommen, dass ich auf eine Freigabe zugreifen kann, die nur ein Benutzer verwenden darf - schonmal klasse.

Allerdings funktioniert das ganze nicht mit den AD-Gruppen. Wieso werden mir die dinger nicht mit getent group angezeigt. In der nsswitch steht folgendes:


passwd: compat winbind
group: compat winbind


Ne Idee?

Grüße Johannes

basstscho
21.03.08, 12:41
Hallo zusammen,

hat denn niemand mehr ne Idee, wieso ich die Gruppen aus dem AD nicht angezeigt bekomme?

Schönen Feiertag,
Grüße Johannes