PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : openSuse11,Samba,Kerberos & Active Directory



netwalker
21.08.08, 13:00
Hallo,
ich weis, es gibt viele Themen darüber, wie man Samba so konfiguriert, das der sich an einem W2k3 Domänencontroller anmelden kann. Jedoch habe ich eine Verständnis fragen.

Wie gesagt ich muss mein Linux-Server an so eine W2k3 Domänencontroller anmelden. Da ich das noch nie gemacht habe, habe ich vieles gelesen und herum versucht nur leider ohne erfolg. Nach Rücksprache mit einigen Administratoren (Windows-Admins) habe ich auch Informationen bekommen wie die Domäne, DNS-Domänenname und Domänencontroller heißen.

Domäne: DOM
DSN-Domänenname: DOMX-DNS.xx.xx.local
PDC Domäne: DOMY.xx.local

Das erste Problem was ich habe ist das ich z.b. DOMX-DNS.xx.xx.local nicht anpingen kann oder DOMY.xx.xx.local, wenn ich aber DOMX-DSN oder DOMY-DNS anbinge funktioniert es, aber nicht DOMX-DNS.xx.xx.local. Ich habe die nameserver in /etc/resolv.conf stehen, da ich andere Rechner im Netzwerk anpingen kann, habe ich mir keine weiteren gedanken drum gemacht, wieso das nicht geht und habe die IP Adressen in die /etc/hosts geschrieben, danach habe ich angefangen mein Kerberos zu Konfigurieren



[libdefaults]
default_realm = DOMX-DNS.xx.xx.local
clockskew = 300

[realms]
DOMX-DNS.xx.xx.local = {
kdc = DOMY.xx.local
}

[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
minimum_uid = 1
addressless = false
clockskew = 300
debug = false
debug_sensitive = false
existing_ticket = false
external = sshd
initial_prompt = false
subsequent_prompt = false
use_shmem = sshd
validate = false
}
[domain_realm]
.DOMY.xx.local = DOMY.xx.local


Wenn ich nun ein kinit ausführe (kinit Administrator@DOMY.xx.local) bekomm ich eine Fehlermeldung:
Cannot resolve network address for KDC in realm DOMY.xx.local while getting initial credentials

Ist meine Konfiguration oben überhaupt richtig oder fehlen wichtige Informationen die Benötigt werden. Meine Konfiguration bezieht sich auf die Anleitung auf Pro Linux (http://www.pro-linux.de/work/server/samba3-domaene.html)

Noch dazukommt, das ich diesen ganzen Konstrukt nicht so recht verstanden habe, aber für eine Hilfestellung wäre euch sehr dankbar!

UzumakiNaruto
21.08.08, 13:27
was geben bei dir den nslookups aus??


nslookup pcname
nslookup pcname.domaine.tld

netwalker
21.08.08, 14:01
nslookup DOMX-DNS
nslookup DOMY
funktioniert nicht, da kommt eine Fehlermeldung
server can´t find DOMX-DNS bzw. server can´t find DOMY

Wenn ich
nslookup DOMX-DNS.xx.xx.local
nslookup DOMY.xx.local
bekomm ich erfolgreich eine IP´s geliefert.

UzumakiNaruto
21.08.08, 14:16
dann ist der dns server wohl falsch konfiguriert
was steht den in der /etc/resolver.conf? dort sollte ein domain name stehen

pc1.example.de
resolver.conf

search example.de

netwalker
21.08.08, 14:18
Nur die zwei ip´s von den nameservern

UzumakiNaruto
21.08.08, 14:35
dann fehlt dort was :D

nameserver IP_DES_DNS_SERVERS
domain DOMAINE (ohne pc name( bsp. example.de, nicht www.example.de))

dann wird diese domaine hinten angefügt bei der dns abfrage, wenn nur ein pc name abgefragt wurde ;)

netwalker
21.08.08, 14:43
Danke für so schnelle antworten von dir!
Ich habe jetzt die zwei nameserver drin und die Domäne (xx.LOCAL),
aber kinit wirft immer noch eine Fehlermeldung :/

netwalker
21.08.08, 14:49
Eine gute Nachricht. Ich habe jetzt mal getent passwd ausgeführt und habe massenhaft User bekommen, die am AD angelegt sind, aber getent group liefert leider keine Ergebnisse, aber es ist trotzdem ein Fortschritt :)

e1: Ok, wenn ich jetzt nochmal "getent passwd" ausführe, bekomme ich nur meine Linux-User angezeigt, das verstehe überhaupt nicht! :-(

UzumakiNaruto
21.08.08, 15:00
nslookup funkt jetzt aber komplett oder??

netwalker
21.08.08, 15:19
Ja das funktioniert. Wenn ich ein Rechner anpinge mit NAME.xx.xx.LOCAL funktionert es.

UzumakiNaruto
21.08.08, 16:19
und ohne .xx.xx.LOCAL auch???

du weiß das linux mit .local tlds nicht ganz nett umgeht?
.local werden für multicast dns benutzt.

suse hatte da bei mir schon rumgesponnen (proxyeinstellungen im yast)

netwalker
21.08.08, 17:10
Ebenso, wenn ich nur den Rechnername eingebe, wird der Rechner angepingt. Zwar dauert das etwas, aber nach ca. 5 Sekunden passiert immer was :-)

hessijens
21.08.08, 17:37
Ich kann noch zwei Hinweise beisteuern.

Zum einen wäre:

[domain_realm]
.xx.local = DOMX.xx.xx.local
xx.local = DOMX.xx.xx.local

richtig, jedenfalls wenn

[realms]
DOMX-DNS.xx.xx.local = {
kdc = DOMY.xx.local
}
stimmt (Domain = xx.local , REALM = DOMX-DNS.xx.xx.local und KDC = DOMY.xx.local - richtig?).

EDIT: Domain = Linux Domain, dass was hinter den Rechnernamen steht und hat nicht Windows Domain "DOM" zu tun. Dein KDC ist Dein primärer PDC, Du kannst auch zusätzlich den BDC, sofern vorhanden, als zweiten KDC angeben darunter angeben.

Zum zweiten glaube ich, dass Samba zu eine Problem wird. Per Default setzt Samba den REALM in Großbuchstaben. DOMX.xx.xx.local = DOMX.XX.XX.LOCAL was dann zu einem Fehler führt.

netwalker
21.08.08, 21:02
Danke für dein Antwort. Ich werde morgen früh direkt als erstes die Änderungen durchführen und direkt berichten. Irgendwie muss doch das funktionieren.
Ist es vielleicht wichtig, das die Uhrzeit vom meine Linux relativ identisch zum DC sein muss??
Wenn ja, kann man das irgendwie Konfigurieren, das er die Uhrzeit mit DC synchronisiert?

e1: ich habe jetzt nochmal in in die krb5.conf geschaut und da ist mir aufgefallen das domain_real auskommentiert war oO
Habe dies jetzt editiert


[domain_realm]
.xx.local = domx-dns.xx.xx.local
.XX.LOCAL = DOMX-DNS.xx.xx.local


ist das richtig? Sollte das nicht so sein:


[domain_realm]
.xx.local = domx-dns.xx.xx.local
.DOMX-DNS.xx.xx.local = DOMX-DNS.xx.xx.local


Die Uhrzeit mit dem Linux-Rechner habe ich gerade geprüft, Sie ist identisch mit dem PDC.

Ich wollte nochmal erwähnen, das domx-dns.xx.xx.local & DOMY.xx.local Windowsserver sind.

e2: Habe mal wbinfo -u ausgeführt und bekomme "Error looking up domain users" :-( Irgendwas funktioniert hier nicht so :-(

netwalker
22.08.08, 11:13
Ich habe mal j4f


net join DOMX-DNS.xx.xx.local -UUSER

ausgeführt. Ich habe direkt eine Fehlermeldung bekommen:


Client not found in Kerberos database
Failed to join domain: failed to conect to AD: Client not found in Kerberos database.
ADS join did not work, falling back to RPC...

direkt danach kann ich nochmal das Passwort eingeben. Nachdem ich dies getan habe, bekomm ich die meldung


Joined to domain DOMAIN


Ich vermute das es eine schein joining war, das er nicht wirklich drin ist, da wenn ich wbinfo -u ausführe, die Meldung Error looking up domain users erhalte.

Das Problem mit der Uhrzeit habe ich auch nicht wirklich gelöst bekomme. Ich habe zwar ein Server für die Zeit Synchronisation eingetragen, nur ändert er nicht die Uhrzeit :-(

hessijens
22.08.08, 14:00
Nochmal Nachgedacht. Für krb5.conf



[realms]
DOM = {
kdc = DOMX.xx.xx.local
kdc = DOMY.xx.local
}

[domain_realm]
.xx.local = DOM

könnte auch richtig sein. Irgendwie weiss ich nicht grnau was Deine Domaine = .xx.local? und was Dein REALM = DOM? ist.

De Windowsserver trittst Du übrigens mit

net ads join -U Administrator
und Passwort bei. Aber

Joined to domain DOMAIN
verrät mir, das auch was mit Deiner smb.conf nicht stimmt, oder heist etwa Deine Domaine = DOMAIN?

netwalker
22.08.08, 14:36
Sorry das war ein Fehler von mir. Die Meldung die kommt ist ansich korrekt das sollte DOM heißen.

Starte ich die Dienste neu (SMB, NMB & WINBIND) und führe "getent passwd", dann bekomme ich alle User, auch die vom AD. Ich kann auch über Explorer auf mein Linux-Rechner zugreifen, aber nur für eine kurze Zeit. Nach zwei oder drei Minuten geht es nicht mehr. Führe ich dann über die Console "getent passwd" aus, dann bekomme ich nur meine Linux-User geliefert.
Dieses Verhalten verstehe ich nicht.

smb.conf


[global]
server string = Linux-Server (Samba,openSuse11)
workgroup = XXXX
netbios name = RECHNERNAME
idmap uid = 10000-15000
idmap gid = 10000-15000
winbind separator = +
winbind use default domain = Yes
winbind enum users = yes
winbind enum groups = yes
security = ADS
realm = DOMX-DNS.xx.xx.local
client use spnego = yes
wins proxy = No
domain logons = No
domain master = No
passdb backend = smbpasswd
password server = DOMX-DNS
usershare allow guests = No
usershare max shares = 100

rudi_m
22.08.08, 19:56
Ist es vielleicht wichtig, das die Uhrzeit vom meine Linux relativ identisch zum DC sein muss??
Ja, das ist fuer Kerberos sehr wichtig.

Wenn ja, kann man das irgendwie Konfigurieren, das er die Uhrzeit mit DC synchronisiert
Du solltest dir die Uhrzeit per ntp holen.

netwalker
22.08.08, 20:37
Das habe ich heute versucht. Ich habe im config die Adresse von unserem Server angegeben, woher er die Uhrzeit holen soll, nur leider hat das nicht wirklich funktioniert :(
Ich muss das Montag nochmal versuchen. Da ich nur über den Proxy ins Internet komme und ich irgendwie mein openSuse dazu bewegen muss auf ptbtime1.ptb.de zuzugreifen. Jetzt ist mal Wochenende angesagt :-)

Gut das ich sowas nicht Hauptberuflich machen muss, ich hasse Admin arbeiten :o

netwalker
25.08.08, 09:34
Guten Morgen,
also wegen der Zeitsynchronisation funktioniert nicht, egal was ich mache, funktioniert es nicht. Ich habe von einem mitbekommen, das Firmenintern ein NTP-Dienst eingerichtet ist. Nun, habe ich dort direkt mal die Adresse eingegeben und versucht ob er sich die Zeit holt. Wie erwartet hat das nicht funktioniert. Da wir hier ein so netten Proxy haben, kann ich auch kein Server von NTP.org benutzen.

wenn ich ntpq -p ausführe bekomme ich folgendes:


remote refid st t when poll reach delay offset jitter
================================================== ============================
*LOCAL(0) .LOCL. 10 l 34 64 377 0.000 0.000 0.001
SERVE IP 3 u 91 128 377 0.164 -2964.3 4.604


Was die werte alle aussagen, weis ich nicht. Ich habe jetzt per Hand die Systemzeit umgestellt, das sie ungefähr passt, das ist aber keine Lösung.

netwalker
25.08.08, 12:21
Wie ich jetzt aucht feststellen musste ist,das mein svn server nicht mehr funktioniert, bekomme auch von dort eine Fehlermeldung (anderes Theman). Ich steh echt kurz davor aufzugeben :(

Da wollte ich mal den Windows-Menschen zeigen das Linux eine gute alternative ist, aber langsam uns sicher fange ich selbst daran zu zweifeln.

netwalker
28.08.08, 10:51
Hallo,

es gibt Neuigkeiten :)
Inzwischen wenn ich wbinfo -u oder wbinfo -g ausführe bekomme ich user bzw. gruppen angezeigt. Auch wbinfo --own-domain gibt mir die richtige Domäne aus, jedoch funktioniert die Samba Authentifizierung nicht so richtig, da muss ich noch etwas herumspielen.

Was ich genau gemacht habe, kann ich nicht sagen, aber wenn das alles hier funktioniert, werde ich meine konfigfiles reinstellen.