PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba: User weg / Probleme Vertrauensstellung



Micodat
26.01.09, 10:49
Hi,

ich hab' da was ganz skurriles:

System: Suse SLES 9.2 mit Kernel 2.6.5
Samba 3.0.33

Im Netzwerk / In der Domäne sind ca. 8 Windows XP (sp2 und sp3) PC's und ein Win2003-Server. Alles läuft ohne größere Probleme. Wenn ich mir z.B. für die Einrichtung von Rechten die Domänen-User anzeigen lasse, erscheinen auch alle:
http://tv-engen.piranho.de/etc/SambaUserAll.JPG




2 Probleme:
Wenn ich einen neuen Client hinzufügen will (egal, ob Original WinXP sp2, oder Win XP sp3 oder WinServer2008) habe ich folgendes Problem:
(dieses Problem ist Hardware-unabhängig und besteht auch, wenn ich den Client nur virtuell z.B. unter VM habe)

Ich lege das neue Maschinenkonto an (keine Fehlermeldung) und füge den neuen Client in der Domäne hinzu (keine Fehlermeldung, "Willkommen in der Domäne HQ.MICODAT.COM").


Problem 1:
Starte ich den dann den Client neu, kann ich mich nicht an der Domäne anmelden. Fehlermeldung:

Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden
http://tv-engen.piranho.de/etc/SambaError1.JPG

Dieses Problem kann ich wie folgt umgehen:
-Station aus Domäne herausnehmen und in eine Arbeitsgruppe, kein Neuboot
-Station wieder in die Domäne aufnehmen, kein Neuboot
- Logout / Login -> funktioniert



Problem 2:
es stehen nur zwei User zur Verfügung, als die ich mich anmelden kann: root und jm. Als die anderen User kann ich micht nicht anmelden.

Auch wenn ich mir in der Domäne die Rechte ansehe, erscheinen nur die beiden User:
http://tv-engen.piranho.de/etc/SambaUser2.JPG

Wenn ich mir aber die Gruppen der User anschaue, finde ich keinen Grund, warum das so sein sollte:

miclinux:/etc # groups root
root : root bin uucp shadow dialout audio pkcs11 ntadmin smbusers miclinux:/etc # groups jm
jm : smbusers dvcommon
miclinux:/etc # groups fl
fl : smbusers dvgmicli prog dvcommon dvadm firebird
miclinux:/etc # groups bk
bk : smbusers smbadm dvgmicli dvcommon dvadm
advantage nobody nogroup smbadm dvgmicli dvadm
miclinux:/etc # groups ck
ck : smbusers dvcommon firebird


Wie gesagt: bei allen vorhandenen PC's tritt dieses Problem nicht auf, sondern es werden alle User akzeptiert, aber bei allen neuen PC's habe ich dieses Problem.

Irgendeine Idee, wo ich suchen könnte?

Ciao
Frank

Anlagen: smb.conf

hubrach
27.01.09, 14:41
Kann es sein, das das Computerkonto nicht korrekt angelegt wird :

Hier könnte der Fehler liegen :
add machine script = /usr/sbin/mksmbclient %u
Wie sieht denn das Script aus ?

Micodat
28.01.09, 08:28
Kann es sein, das das Computerkonto nicht korrekt angelegt wird :

Hier könnte der Fehler liegen :
add machine script = /usr/sbin/mksmbclient %u
Wie sieht denn das Script aus ?

ist eigentlich ein recht simples script:



#!/bin/bash
# Skript legt Linux und Samba Maschinenkonto an

if [ $# -eq 1 ]
then
{
useradd -g machines -s /bin/false $1$
smbpasswd -a -m $1
echo -e "12345678\n12345678" | smbpasswd -s $1$
smbpasswd -e -m $1

if [ $? -eq 0 ]
then
echo
echo "Das Maschinenkonto <$1> wurde unter Linux und Samba angelegt !"
echo
else
echo
echo "! Aktion fehlgeschlagen !"
echo
fi
}
else
echo Usage: "mksmbclient <hostname>"
fi

hubrach
28.01.09, 08:47
echo -e "12345678\n12345678" | smbpasswd -s $1$
smbpasswd -e -m $1


Hmm, wieso wird denn dem Computerkonto hier ein Passwort vergeben ?
m.E. ist das nicht Richtig ... mal weglassen ...

Die Antwort ---- Angelegt oder Fehler würde ich auch mal weglassen bzw. ins syslog schreiben ( Stichwort :logger)

Unter welchem User läuft samba denn ?
die Optionen -m und -a können nur als root aufgerufen werden.

Micodat
28.01.09, 09:33
das Script ist schon recht alt, aus 2005


Hmm, wieso wird denn dem Computerkonto hier ein Passwort vergeben ?

es ist damals mal entschieden worden, dass auch Maschinen-Konten ein Passwort haben sollen.



die Optionen -m und -a können nur als root aufgerufen werden.

Ja, das Script wird nur unter 'root' verwendet

hubrach
28.01.09, 09:36
Kann es sein das sich Samba und MS Windows nicht an die Entscheidungen Euerer Firma halten
:D


Versuch es doch mal mit geändertem Script nur so zum Spaß entgegen aller Entscheidungen

Maschinen Konten brauchen kein Kennwort , Vertrauensstellungen schon !

der smb user root ist nicht der OS User root ...

Micodat
29.01.09, 08:08
Hab jetzt mal 'manuell' ein Maschinen-Konto neu angelegt, ohne Passwort, hat leider nichts gebracht.

Dann haben wir
- Samba beendet
- die Samba *.tdb weggesichert
- Samba neu gestartet, um die *.tdb frisch anzulegen
- die Maschinenkonten und User neu angelegt (waren ja nicht sooo viele)

Aber: hat leider auch keine Besserung gebracht

hubrach
29.01.09, 09:01
Dreh dochmal den Loglevel hoch und schau dir an was samba dazu sagt ..
log level = 3
log file = /var/log/samba/%m

Fstype vielleicht mal auf NTFS lassen ...

Ist der Server Mitglied der Domain ?

net rpc join DOMAINNAME

Micodat
30.01.09, 11:36
Hab' den Log-Level mal hochgesetzt.

Wenn der Fehler:

Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden
auftritt, wird nichts ins log geschrieben (also: wirklich nichts, noch nicht mal die Uhrzeit der Log-Datei ändert sich, als wenn ich das Netzwerk-Kabel durchtrennt hätte).
Erst wenn ich die Station wieder aus der Domäne rausnehme und neu in die Domäne aufnehme, erscheinen wieder (die normalen) Einträge in der Log-Datei.

hubrach
30.01.09, 12:51
In welcher Logdatei die des Rechners oder in der smbd.log oder in beiden ?


Wird der Rechnername Statisch eingestellt oder per DHCP vergeben ?