PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Probleme mit Winbind und AD



Sorehead
02.07.08, 15:09
Hallo zusammen!

Ich versuche unter SLES10 SP2 einen Sambaserver auszusetzen. Dieser Server soll nur als Fileserver dienen. Wichtig dabei ist aber, dass ich zur Authentifizierung keinen lokalen Account, sondern unsere AD-Domäne nutzen will.

Ich habe also die krb5.conf eingerichtet. Das funktioniert auch alles schön. Ich bekomme auch alle Tickets die will.
Auch im AD habe ich die entsprechenden Einträge gemacht (servicePrincipalName etc.).



[libdefaults]
default_realm = RZN.DRV
clockskew = 300

[realms]
RZN = {
kdc = s6702056.rzn.drv
default_domain = rzn
admin_server = s6702056.rzn.drv
}
RZN.DRV = {
kdc = s6702056.rzn.drv
default_domain = rzn.drv
admin_server = s6702056.rzn.drv
}

[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
[domain_realm]
.rzn.drv = RZN.DRV
.rzn = RZN
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 1
try_first_pass = true
}

Zu Testzwecken habe ich auch die PAM-Module geändern, um nen Login mit AD-Accounts zu machen. Aber dafür brauche ich auch ja auch lokale Accounts.


Die smb.conf habe ich dann folgendermaßen geändert:



[global]
workgroup = RZN
realm = RZN.DRV
security = ADS
idmap domains = RZN
idmap config RZN:backend = nss
winbind use default domain = Yes
winbind separator = /
idmap gid = 10000-20000
idmap uid = 10000-20000
log level = 2 winbind:3
encrypt passwords = yes
preferred master = no
template shell = /bin/false
template homedir = /home/%D/%U
client use spnego = yes

[Sonstiges]
writeable = yes
path = /share/Sonstiges


Die nsswitch.conf:



passwd: files winbind
shadow: files
group: files winbind


Mit diesem Setup habe ich dann den Zugriff auf die Samba-Freigabe getestet. Allerdings mit einem Benutzer der sowohl im AD als auch lokal war. Funktioniert gut.
Aber ich will ja keine lokalen Accounts. Also habe ich den Acocunt gelöscht und bekomme folgenden Fehler:



[2008/07/02 13:56:15, 1] smbd/sesssetup.c:reply_spnego_kerberos(439)
Username RZN/frenzeltest is invalid on this system


Der Meldung entnehme ich, dass mit Winbind was nicht stimmt.
Ich teste mit


wbinfo -u


und bekomme:


Error looking up domain users


Aber



net ads join -U Administrator@RZN.DRV


hat fehlerfrei geklappt.


Hat jemand eine Idee?

Gruß,Sascha

muell200
02.07.08, 16:01
Ich habe also die krb5.conf eingerichtet. Das funktioniert auch alles schön. Ich bekomme auch alle Tickets die will.



achte auf gross und kleinschreibung!!!
z.b.:


[realms]
TEST.LOCAL = {
kdc = DC.TEST.LOCAL
}







wbinfo -u



was sagt getent passwd



Hat jemand eine Idee?


stimmt dein dns infrastruktur?
kannst du alle server mit dem kompletten dns aufloesen?

Sorehead
02.07.08, 16:28
Habe vorhin


winbind enum users = yes
winbind enum groups = yes


der smb.conf hinzugefügt. Jetzt kommt auch was bei wbinfo.

getent teste ich gerade..

DNS funktioniert prächtig :)

Sorehead
02.07.08, 16:31
getent passwd


liefert leider nur die lokalen.

Muss man beim AD vielleicht doch noch was machen? Brauche ich diese Unix-Attribute dafür?

Sorehead
03.07.08, 07:56
Hat niemand eine Idee?

MiGo
03.07.08, 09:11
Hat niemand eine Idee?
Was sagen die Logs, wenn du versuchst mit "id user-aus-dem-ADS" Infos zu dem Benutzer zu beziehen?

Sorehead
03.07.08, 10:50
Hehe.. Da kommt:


id: frenzeltest: Einen solchen Benutzer gibt es nicht

Und frenzeltest ist ein AD-Benutzer

MiGo
03.07.08, 17:01
winbind separator = /
Dann wäre das einzige, was mir akut noch einfällt, einen anderen separator zu verwenden.