ads_add_machine_acct (io): Type or value exists

[Cisanius]

Servus allerseits,

Habe hier derzeit ein kleines Problem ...

und zwar habe ich auf der einen Seite eine Fedora Core 3 Kiste und auf der anderen einen Windows 2k3 Server (Enterprise Edition).

Zunächst habe ich auf der Fedora Kiste einen DNS aufgesetzt, der auch vom win2k3 server stündlich upgedatet wird. Alles kein Thema auch die Zeitsynchronisation ist über einen NTP auf der Fedora Kiste gesichert.

Jetzt wollte ich die Fedora Kiste auch in das Active Directory auf dem win2k3 Server aufnehmen. Also erstmal Howtos suchen und fleißig googeln. Nach einigen Dokumenten hatte ich dann meine Config so stehen, dass es eigentlich hätte funktionieren müssen (klar, sagt jeder ) ... doch als ich gerade den join-befehl abgesetzt habe kam folgende Fehlermeldung, zu der ich leider keine weitere Doku mehr finde und langsam keine Lust mehr habe zu rätseln. Also frage ich euch in der Hoffnung, dass sich jemand einen Reim darauf machen kann ...

also hier der Befehl, der den Fehler erzeugt (samba und winbind sind runtergefahren):

Code:

[root@io ~]# net ads join -S 192.168.0.101 -U Administrator
Administrator's password:
[2005/12/15 13:35:21, 0] libads/ldap.c:ads_join_realm(1640)
  ads_add_machine_acct (io): Type or value exists
ads_join_realm: Type or value exists

das klappt allerdings:

Code:

[root@io ~]# kinit -V Administrator@HUAQI.LOCAL
Password for Administrator@HUAQI.LOCAL:
Authenticated to Kerberos v5
[root@io ~]# net ads user -U Administrator
Administrator's password:
Administrator
Guest
SUPPORT_388945a0
krbtgt
henning.weiler
[root@io ~]#

ein 'net rpc join -S 192.168.0.101 -U Administrator' funktioniert ohne meckern. Aber trotzdem schlagen 'wbinfo -u' oder 'wbinfo -g' fehl, wobei 'wbinfo -t' eine Trust bestätigt!

Die Domain heißt 'huaqi.local' kurzname 'huaqi' der realm 'HUAQI.LOCAL'
Der Hostname und Netbios-name der Fedora Box ist 'io'

--------------------------- Configs -----------------------

/etc/samba/smb.conf (samba-3.0.8fc3)

Code:

[global]

# General settings
   workgroup = huaqi
   netbios name = io
   server string = linux box
   hosts allow = 192.168.0. 127.

# logging
   log file = /var/log/samba/%m.log
   max log size = 50

# ADS connector
   security = ads
   encrypt passwords = yes
   socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
   dns proxy = no
   realm = HUAQI.LOCAL
   password server = 192.168.0.101

# ID Mapping
   idmap uid = 10000-20000
   idmap gid = 10000-20000

# winbind settings
   winbind use default domain = yes
   winbind separator = +
   winbind cache time = 10
   winbind enum users = yes
   winbind enum groups = yes
   template shell = /bin/bash
   template homedir = /home/%D/%U


# Share definitions

[homes]
   comment = Home Directories
   browseable = no
   writable = yes

[public]
   comment = Public Stuff
   path = /home/public
   public = yes
   read only = yes
   write list = @users

/etc/krb5.conf (MIT Kerberos)

Code:

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = HUAQI.LOCAL
 default_keytab_name = /etc/krb5.keytab

[realms]
 HUAQI.LOCAL = {
  kdc = crystal.huaqi.local
  admin_server = crystal.huaqi.local
  default_domain = huaqi.local
 }

[domain_realm]
 .huaqi.local = HUAQI.LOCAL
 huaqi.local = HUAQI.LOCAL

[appdefaults]
 pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
 }

/etc/nsswitch.conf

Code:

passwd:     compat winbind
shadow:     compat
group:      compat winbind

hosts:      files dns

bootparams: nisplus [NOTFOUND=return] files

ethers:     files
netmasks:   files
networks:   files
protocols:  files winbind
rpc:        files
services:   files winbind

netgroup:   files winbind

publickey:  nisplus

automount:  files winbind
aliases:    files nisplus

------------------------- /Configs -----------------------


Ich habe sogar schon versucht, auf dem win2k3 Server ein extra keytab zu erstellen, der einen hostnamen auf einen user mapped, dieses in eine datei schreiben lassen, auf io gezogen und dort per kutil in die krb5.keytab importiert. Aber nöö ... keine chance

Ich habe auch schon mal die Domain-Controller Rolle vom win2k3 server entfernt und wieder aufgesetzt ... aber das ging auch nicht. Auch ein Nachstellen der beiden Kisten in 2 VMs führte zum gleichen Ergebnis.

Hmm ... nunja, vielleicht habt ihr ja eine Idee?!

Danke schonmal im Voraus!

ciao
Henning

[Cisanius]

hallo nochmal, ich habe jetzt nochmal mit dem windowstool 'kpass' einen host-account auf einen useraccount gemapped, und dann auf IO übertragen; sprich mein .keytab per kutil in krb5.keytab gespeichert.

dann mit net changeclientpw -f das passwort von meinem client auf das des gemappten users auf der windoof domäne geändert.

die wbinfo -u und wbinfo -g Befehle funktionieren jetzt;allerding ist die Ausgabe nicht DOMAIN+User sondern nur User. Sehr strange!

aber getent passwd zeigt mir die User wiederum nicht an ... *hmpf* ... ich verzweifel noch.

irgendwelche Ideen?

Danke
Henning

[emba]

starte winbindd bitte interaktiv "-d4 -i"
nutzt er auch die richtige config?

evtl. auch mal caches löschen /var/lib/samba/winb*.tdb

greez