Sorehead
02.07.08, 14:09
Hallo zusammen!
Ich versuche unter SLES10 SP2 einen Sambaserver auszusetzen. Dieser Server soll nur als Fileserver dienen. Wichtig dabei ist aber, dass ich zur Authentifizierung keinen lokalen Account, sondern unsere AD-Domäne nutzen will.
Ich habe also die krb5.conf eingerichtet. Das funktioniert auch alles schön. Ich bekomme auch alle Tickets die will.
Auch im AD habe ich die entsprechenden Einträge gemacht (servicePrincipalName etc.).
[libdefaults]
default_realm = RZN.DRV
clockskew = 300
[realms]
RZN = {
kdc = s6702056.rzn.drv
default_domain = rzn
admin_server = s6702056.rzn.drv
}
RZN.DRV = {
kdc = s6702056.rzn.drv
default_domain = rzn.drv
admin_server = s6702056.rzn.drv
}
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
[domain_realm]
.rzn.drv = RZN.DRV
.rzn = RZN
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 1
try_first_pass = true
}
Zu Testzwecken habe ich auch die PAM-Module geändern, um nen Login mit AD-Accounts zu machen. Aber dafür brauche ich auch ja auch lokale Accounts.
Die smb.conf habe ich dann folgendermaßen geändert:
[global]
workgroup = RZN
realm = RZN.DRV
security = ADS
idmap domains = RZN
idmap config RZN:backend = nss
winbind use default domain = Yes
winbind separator = /
idmap gid = 10000-20000
idmap uid = 10000-20000
log level = 2 winbind:3
encrypt passwords = yes
preferred master = no
template shell = /bin/false
template homedir = /home/%D/%U
client use spnego = yes
[Sonstiges]
writeable = yes
path = /share/Sonstiges
Die nsswitch.conf:
passwd: files winbind
shadow: files
group: files winbind
Mit diesem Setup habe ich dann den Zugriff auf die Samba-Freigabe getestet. Allerdings mit einem Benutzer der sowohl im AD als auch lokal war. Funktioniert gut.
Aber ich will ja keine lokalen Accounts. Also habe ich den Acocunt gelöscht und bekomme folgenden Fehler:
[2008/07/02 13:56:15, 1] smbd/sesssetup.c:reply_spnego_kerberos(439)
Username RZN/frenzeltest is invalid on this system
Der Meldung entnehme ich, dass mit Winbind was nicht stimmt.
Ich teste mit
wbinfo -u
und bekomme:
Error looking up domain users
Aber
net ads join -U Administrator@RZN.DRV
hat fehlerfrei geklappt.
Hat jemand eine Idee?
Gruß,Sascha
Ich versuche unter SLES10 SP2 einen Sambaserver auszusetzen. Dieser Server soll nur als Fileserver dienen. Wichtig dabei ist aber, dass ich zur Authentifizierung keinen lokalen Account, sondern unsere AD-Domäne nutzen will.
Ich habe also die krb5.conf eingerichtet. Das funktioniert auch alles schön. Ich bekomme auch alle Tickets die will.
Auch im AD habe ich die entsprechenden Einträge gemacht (servicePrincipalName etc.).
[libdefaults]
default_realm = RZN.DRV
clockskew = 300
[realms]
RZN = {
kdc = s6702056.rzn.drv
default_domain = rzn
admin_server = s6702056.rzn.drv
}
RZN.DRV = {
kdc = s6702056.rzn.drv
default_domain = rzn.drv
admin_server = s6702056.rzn.drv
}
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
[domain_realm]
.rzn.drv = RZN.DRV
.rzn = RZN
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 1
try_first_pass = true
}
Zu Testzwecken habe ich auch die PAM-Module geändern, um nen Login mit AD-Accounts zu machen. Aber dafür brauche ich auch ja auch lokale Accounts.
Die smb.conf habe ich dann folgendermaßen geändert:
[global]
workgroup = RZN
realm = RZN.DRV
security = ADS
idmap domains = RZN
idmap config RZN:backend = nss
winbind use default domain = Yes
winbind separator = /
idmap gid = 10000-20000
idmap uid = 10000-20000
log level = 2 winbind:3
encrypt passwords = yes
preferred master = no
template shell = /bin/false
template homedir = /home/%D/%U
client use spnego = yes
[Sonstiges]
writeable = yes
path = /share/Sonstiges
Die nsswitch.conf:
passwd: files winbind
shadow: files
group: files winbind
Mit diesem Setup habe ich dann den Zugriff auf die Samba-Freigabe getestet. Allerdings mit einem Benutzer der sowohl im AD als auch lokal war. Funktioniert gut.
Aber ich will ja keine lokalen Accounts. Also habe ich den Acocunt gelöscht und bekomme folgenden Fehler:
[2008/07/02 13:56:15, 1] smbd/sesssetup.c:reply_spnego_kerberos(439)
Username RZN/frenzeltest is invalid on this system
Der Meldung entnehme ich, dass mit Winbind was nicht stimmt.
Ich teste mit
wbinfo -u
und bekomme:
Error looking up domain users
Aber
net ads join -U Administrator@RZN.DRV
hat fehlerfrei geklappt.
Hat jemand eine Idee?
Gruß,Sascha