PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba 2.2.7 PDC für NT/W2K



Jorge
03.12.02, 09:14
Hallo zusammen,

die meisten denken jetzt wahrscheinlich "Oh, nicht schon wieder!". Und genau so fühle ich mich auch :-(. Ich bekomme es einfach nicht gebacken mich an der Samba Domände anzumelden. Das Beitreten der Maschinen funktioniert dagegen ohne Problem, nur bringt mir das so nichts.

Aber von vorne:

Installiert ist Samba 2.2.7, aus den Sourcen kompiliert. Bei den Sourcen liegt ja nun gerade genug Dokumentation bei, habe es also so gemacht wie es dort steht - eigentlich Idiotensicher. Ergo sieht meine smb.conf so aus:



[global]
; Basic server settings
netbios name = CFS-LX
workgroup = NARNIA

; we should act as the domain and local master browser
os level = 64
preferred master = yes
domain master = yes
local master = yes

; security settings (must user security = user)
security = user

; encrypted passwords are a requirement for a PDC
encrypt passwords = yes

; support domain logons
domain logons = yes

; where to store user profiles?
logon path = \\%N\profiles\%u

; where is a user's home directory and where should it
; be mounted at?
logon drive = H:
logon home = \\%L\%u

; Automatic generation of machine accounts
add user script = /usr/sbin/useradd -d /dev/null -g 100 -s
/bin/false -M %u

; specify a generic logon script for all users
; this is a relative **DOS** path to the [netlogon] share
logon script = logon.cmd

; necessary share for domain controller
[netlogon]
comment = netlogon
path = /netlogon
read only = yes
write list = ntadmin

; share for storing user profiles
[profiles]
comment = profiles
path = /ntprofile
read only = no
create mask = 0600
directory mask = 0700

; testshare
[daten]
comment = Testshare
path = /daten
read only = no


Alle smb.conf die ich über google und Webforen gefunden habe sehen im großen und ganze ähnlich aus. smbclient -L localhost sieht gut aus:



Domain=[NARNIA] OS=[Unix] Server=[Samba 2.2.7]

Sharename Type Comment
--------- ---- -------
netlogon Disk netlogon
profiles Disk profiles
daten Disk Testshare
IPC$ IPC IPC Service (Samba 2.2.7)
ADMIN$ Disk IPC Service (Samba 2.2.7)

Server Comment
--------- -------
CBU-NT Backup Rechner OB 4.1
CFS-LX Samba 2.2.7

Workgroup Master
--------- -------
NARNIA CFS-LX


Jetzt kommt das eigentliche Problem. Wie gesagt die Maschinen sind ohne Probleme Mitglied in der Domäne geworden, nur versuche ich jetzt z.B. mich als ein User anzumelden erhalte ich die Meldung von NT/W2K:

,----------------------------------------------------------
| Das System kann Sie nicht bei dieser Domäne anmelden, da das Computer-Konto des
| Systems in seiner primären Domäne fehlt, oder das Kennwort für dieses Computer-Konto ist | falsch.
`----------------------------------------------------------

Der User, mit welchem der Login versucht wurde, existiert im System (passwd) und ist in die ausser in der Standardgruppe "users" in der Gruppe "samba" zu finden.
Die entsprechenden Usr wurden Samba mittels "smbpasswd -a name" bekannt gemacht.

Die Verzeichnisse für das netlogon und die Profile bestehen:



ll /ntprofile /netlogon -d
drwxrwx--- 2 root samba 80 Dec 2 21:57 /netlogon
drwxrwx--- 2 root samba 48 Dec 2 21:55 /ntprofile


Das in der smb.conf angegebene logon.cmd existiert und alle haben leserechte (-rw-r--r--).

Das ganze habe ich sowohl mit meinen schon länger laufenden NT/W2K Maschinen versucht, als auch mit einer frisch installierten NT 4 WS Maschine.

Ich habe keine Idee mehr wo ich suchen soll, alles was Google mir zu gegebener Windows Fehlermeldung ausgegeben hat, brachte mich nicht weiter. Abgesehen davon waren die Antworten verwirrend.

Ach ja, das Betriebsystem ist ein LFS 4.0 mit Kernel 2.4.19.

Kann mir jemand eine Richtung zeigen?

MrIch
03.12.02, 09:45
also ich denke, dass hat nichts mit den useraccounts und netlogon zu tun, sondern eher mit dem nicht vorhandenden computer account!

Existiert denn ein user testcomputer$, wenn der NT Rechner testcomputer heißt?

Was sagen denn de logfiles in /var/log/samba ?

Jorge
03.12.02, 09:49
Original geschrieben von MrIch
also ich denke, dass hat nichts mit den useraccounts und netlogon zu tun, sondern eher mit dem nicht vorhandenden computer account!

Existiert denn ein user testcomputer$, wenn der NT Rechner testcomputer heißt?

Ja es existiert, da ich mich ja auch an der Domäne anmelden konnte. Wie Du an der smb.conf sehen kannst, wird dabei der Computer Account angelegt.


Was sagen denn de logfiles in /var/log/samba?

Welche brauchts denn? die von den clients (log.machinenname) oder das log.{s,n}mbd? Kann ich aber erst heute Abend nach liefern.

snafoo
03.12.02, 11:26
ich weiß nicht, ob es daran liegen kann, aber zum erstellen eines maschinen accounts muss 'root' ein passwort in der smbpasswd haben (oder ein anderer user mit der uid 0). dieses passwort muss nicht mit dem systempasswort übereinstimmen.
[dieser user muss halt schreibrecht auf die /etc/passwd haben, da diese ja geändert wird]

desweiteren hab ich folgendes in meiner smb.conf:
---------
admin users = root
domain admin group = root
---------

dort muss halt der user mit der uid 0 bzw. den schreibrechten auf /etc/passwd stehen.

viel glück...

bei mir funktioniert es, allerdings ohne 'add user script', ich habs manuell gemacht.
und hier meine frage: was ist die option "-M" in useradd? steht nicht in der manpage. spezifiziert das den maschinen account, so dass man "\$" hinter dem namen weglassen kann?

Jorge
03.12.02, 12:09
Original geschrieben von snafoo
ich weiß nicht, ob es daran liegen kann, aber zum erstellen eines maschinen accounts muss 'root' ein passwort in der smbpasswd haben (oder ein anderer user mit der uid 0). dieses passwort muss nicht mit dem systempasswort übereinstimmen.
[dieser user muss halt schreibrecht auf die /etc/passwd haben, da diese ja geändert wird]

root ist in der smbpasswd eingetragen.


desweiteren hab ich folgendes in meiner smb.conf:
---------
admin users = root
domain admin group = root
---------

dort muss halt der user mit der uid 0 bzw. den schreibrechten auf /etc/passwd stehen.


Den root user werde ich noch hinzufügen, verspreche mir allerdings nichts davon...
viel glück...

MrIch
03.12.02, 12:12
naja vielleicht funktioniert das automatische Anlegen ja nicht...

welche logfiles... das kann ich so direkt nicht sagen, aber ich denke es sollte was in den log.computername stehen!

Arnie
03.12.02, 12:33
Hallo,

ich hatte das gleiche problem allerdings mit win xp als client. es ließ sich durch das ändern eines registry-schlüssels lösen:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\netlogon\parameters
"RequireSignOrSeal"=dword:00000000

mag sein, daß dies auch für win 2k funktioniert?

Tschüß
Arnie

steve-bracket
03.12.02, 12:34
Mahlzeit
Geb jetzt auch noch meinen Senf dazu. :-)

Würde das ganze Schritt für Schritt probieren.

Zuerst den MachinenAccount anlegen,($ nicht vergessen) dann der Domäne beitreten.
Wenn's dann auch nicht klappt weiß ich leider keine konkrete Lösung.

Vielleicht hilft meine smb.conf weiter. (von einem bestehenden System)
Hier mal die global Section. (wäre bestimmt auch noch zu verbessern, aber sie funkt)

Übrigens
Diese Section ist mit nicht ganz klar
; where is a user's home directory and where should it
; be mounted at?
logon drive = H:
logon home = \\%L\%u <<--??????????????


viel Glück

fG Steve


[global]
passwd program = /usr/bin/passwd %u
domain master = yes
printing = bsd
encrypt passwords = true
logon path = \\%L\profiles\%U
character set = ISO8859-1
printcap name = /etc/printcap
logon script = logon.bat
passwd chat = New*password* %n\n New*password*(again)* % n\n *changed*
security = user
domain logons = yes
unix password sync = true
server string = samba server
workgroup = XXXXXXX
local master = yes
log file = /var/log/samba/%m
load printers = yes
logon drive = Q:
interfaces = 127.0.0.1/8, 192.168.0.1/24
bind interfaces only = yes
admin users = XXXX

Jorge
04.12.02, 21:56
Oh man, ist das ein ******! Beim genauen Studium der log.smbd habe ich folgende Sequenz gefunden:


[2002/12/04 21:02:07, 3] smbd/negprot.c:reply_negprot(342)
Requested protocol [PC NETWORK PROGRAM 1.0]
[2002/12/04 21:02:07, 3] smbd/negprot.c:reply_negprot(342)
Requested protocol [XENIX CORE]
[2002/12/04 21:02:07, 3] smbd/negprot.c:reply_negprot(342)
Requested protocol [MICROSOFT NETWORKS 1.03]
[2002/12/04 21:02:07, 3] smbd/negprot.c:reply_negprot(342)
Requested protocol [LANMAN1.0]
[2002/12/04 21:02:07, 3] smbd/negprot.c:reply_negprot(342)
Requested protocol [Windows for Workgroups 3.1a]
[2002/12/04 21:02:07, 3] smbd/negprot.c:reply_negprot(342)
Requested protocol [LM1.2X002]
[2002/12/04 21:02:07, 3] smbd/negprot.c:reply_negprot(342)
Requested protocol [LANMAN2.1]
[2002/12/04 21:02:07, 3] smbd/negprot.c:reply_negprot(342)
Requested protocol [NT LM 0.12]
[2002/12/04 21:02:07, 3] smbd/negprot.c:reply_negprot(426)
Selected protocol NT LM 0.12
[2002/12/04 21:02:07, 3] smbd/process.c:process_smb(878)
Transaction 2 of length 131
[2002/12/04 21:02:07, 3] smbd/process.c:switch_message(685)
switch message SMBsesssetupX (pid 11166)
[2002/12/04 21:02:07, 3] smbd/sec_ctx.c:set_sec_ctx(329)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2002/12/04 21:02:07, 3] smbd/reply.c:reply_sesssetup_and_X(858)
Domain=[] NativeOS=[Windows NT 1381] NativeLanMan=[]
[2002/12/04 21:02:07, 3] smbd/reply.c:reply_sesssetup_and_X(868)
sesssetupX:name=[]
[2002/12/04 21:02:07, 3] smbd/reply.c:reply_sesssetup_and_X(1048)
No such user nobody [] - using guest account
[2002/12/04 21:02:07, 1] smbd/reply.c:reply_sesssetup_and_X(1082)
Username nobody is invalid on this system
[2002/12/04 21:02:07, 3] smbd/error.c:error_packet(94)
error string = No such file or directory


Er versucht als User "nobody" etwas zu erledigen. Diesen User gab es aber bis gerade eben nicht. Nachdem ich den User angelegt habe ging auf einmal "net view" und die Maschinen waren sofort in der Netzwerkumgebung sichtbar und ich konnte auch in die Domäne hinein gehen.

MrIch
04.12.02, 22:23
jepp nen nobody sollte es eigentlich immer geben!

ls001:~# id nobody
uid=65534(nobody) gid=65534(nogroup) groups=65534(nogroup)

Jorge
04.12.02, 22:45
Tja, nur leider gibt es diesen User auf einer Standard LFS Installation nicht. Wieder was dazu gelernt. :D