Samba kann Gruppe in ADS nicht finden

kayxxx · 14.11.04, 14:16

Hallo Leute,
ich habe Samba 3.0.7-Debian in eine W2k ADS-domain eingfuegt. Einen Testbenutzer habe ich auf dem DC in "SambaUsers" als primaere Gruppe gebracht. Ich kann von einem XP-Client aus Dateien auf Samba erzeugen, die dem Testuser in "SambaUsers" gehoeren. Er ist also erfolgreich authentifiziert worden. Er soll die Freigabe "p" mounten koennen. Dies ist moeglich, wenn "valid users" fuer die Freigabe nicht gesetzt wurde. Sobald ich aber den Zugriff mittels "valid users = @SambaUsers" limitieren will, wird die Gruppe in der Domaene nicht gefunden.
Sollte ich mir winbind angucken?

Kay

testparm:

# Global parameters
[global]
unix charset = UTF8
display charset = UTF8
workgroup = LIHH
realm = LIHH.LOC
server string = %h server (Samba %v)
security = ADS
password server = liba.lihh.loc
log level = 3 passdb:5 auth:10 winbind:5
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
domain master = No
dns proxy = No
wins server = 10.1.1.3
ldap ssl = no
panic action = /usr/share/samba/panic-action %d
idmap uid = 10000-20000
idmap gid = 10000-20000
template primary group = sambausers
template shell = /bin/bash
winbind separator = +
winbind use default domain = Yes

[homes]
comment = Home Directories
create mask = 0700
directory mask = 0700
browseable = No

[p]
comment = Documents
path = /home/samba/p
valid users = @LIHH\SambaUsers
read only = No
create mask = 0750

[profiles]
comment = Documents
path = /home/samba/profiles
read only = No
create mask = 0750

Gruppen auf dem DC:

morgane:/etc/samba# wbinfo -g
BUILTIN+System Operators
BUILTIN+Replicators
BUILTIN+Guests
BUILTIN+Power Users
BUILTIN+Print Operators
BUILTIN+Administrators
BUILTIN+Account Operators
BUILTIN+Backup Operators
BUILTIN+Users
Domänencomputer
Domänen-GÃ¤ste
Zertifikatherausgeber
Organisations-Admins
Schema-Admins
Domänencontroller
Domänen-Benutzer
Domänen-Admins
Richtlinien-Ersteller-Besitzer
DnsUpdateProxy
SambaUsers

Groupmap auf der Samba Maschine:

morgane:/etc/samba# net groupmap list
System Operators (S-1-5-32-549) -> -1
Replicators (S-1-5-32-552) -> -1
Guests (S-1-5-32-546) -> -1
Domain Guests (S-1-5-21-788693271-928550680-3704065133-514) -> nobody
Power Users (S-1-5-32-547) -> -1
Print Operators (S-1-5-32-550) -> -1
Administrators (S-1-5-32-544) -> -1
Account Operators (S-1-5-32-548) -> -1
Domänen-Benutzer (S-1-5-21-788693271-928550680-3704065133-1201) -> users
Domain Admins (S-1-5-21-788693271-928550680-3704065133-512) -> root
SambaUsers (S-1-5-21-788693271-928550680-3704065133-21065) -> sambausers
Backup Operators (S-1-5-32-551) -> -1
Users (S-1-5-32-545) -> -1
Domain Users (S-1-5-21-788693271-928550680-3704065133-513) -> -1

Die verdaechtige Ausgabe von /var/log/samba/log.winbindd:

[2004/11/14 04:28:05, 1] nsswitch/winbindd_group.c:winbindd_getgrnam(298)
group LIHH\SambaUsers in domain LIHH does not exist
[2004/11/14 04:28:06, 3] libads/ads_ldap.c:ads_sid_to_dn(222)
ads sid_to_dn mapped CN=Pentium,CN=Computers,DC=lihh,DC=loc
[2004/11/14 04:28:06, 1] nsswitch/winbindd_group.c:winbindd_getgrnam(298)
group LIHH\SambaUsers in domain LIHH does not exist
[2004/11/14 04:28:14, 1] nsswitch/winbindd_group.c:winbindd_getgrnam(298)
group LIHH\SambaUsers in domain LIHH does not exist
[2004/11/14 04:28:15, 1] nsswitch/winbindd_group.c:winbindd_getgrnam(298)
group LIHH\SambaUsers in domain LIHH does not exist

Dann bekomme ich natuerlich in /var/log/samba/log.<ip_number>:

[2004/11/14 04:28:15, 2] smbd/service.c:make_connection_snum(314)
user 'LIHH+User.Name' (from session setup) not permitted to access this share (p)
[2004/11/14 04:28:15, 3] smbd/error.c:error_packet(129)
error packet at smbd/reply.c(416) cmd=117 (SMBtconX) NT_STATUS_ACCESS_DENIED

**thecarpy** · 14.11.04, 17:43

ersetze
valid users = @LIHH\SambaUsers
mit
valid users = @SambaUsers

kayxxx · 15.11.04, 05:26

Habe natuerlich schon ein paar Varianten durchprobiert:

#valid users = @LIHH\"Domain Users"
#valid users = "+LIHH\SambaUsers"
#valid users = @sambausers
#valid users = @"LIHH\sambausers"
valid users = @"LIHH\SambaUsers"
#valid users = @"LIHH+SambaUsers"
#valid users = @SambaUsers

kayxxx · 15.11.04, 16:57

Hallo Leute,
ich habe grosse Fortschritte gemacht mit meiner Gruppengeschichte. In der Samba-NG fand ich ein Syntaxbeispiel "valid users = @ADSDOMAIN\groupname". Das klappt nicht. "winbind -i" sagte mir, er wuerde nach \\ADSDOMAIN\ADSDOMAIN\groupname suchen. Es soll doch "valid users = @groupname" heissen, was ich zuvor natuerlich schon laengst ausprobiert hatte...
Dann aber probierte ich "winbind -n" (caching disabled) und es klappt!
Was aber ist los mit dem caching?

Kay