Problem Samba mit ADS

[pc-nico]

Hallo,

ich habe zwar schon ein Topic offen, aber das ist inzwischen so unübersichtich geworden, das ich es jetzt nochmal neue Versuche. Habe schon das Forum durchsucht, aber leider nichts passendes gefunden.

hier die Grundinfos:
Netzwerk mit W2K Domain (PDC 1 BDC)
Linux CentOS5 mit Samba 3.X

Ich möchte das Samba die Domainuser für seine Freigaben verwendet.
Habe mich an diese Anleitung gehalten: http://www.pro-linux.de/work/server/samba3-domaene.html

Samba und Winbind laufen.
Mit Getent passwd sehe ich auch die Nutzer.
Wenn ich jetzt aber, einen Nutzer zugriff auf einen Share geben will, bekomme ich unter Windows immer eine Anmeldemaske, obwohl der betreffende User angemeldet ist.

Hier meine Configs:
krb5.conf

Code:

[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = INTRANET.MELTEC.DE
 clockskew = 300

[realms]
 INTRANET.MELTEC.DE = {
        kdc = MTS003.INTRANET.MELTEC.DE
 }

[domain_realm]
.intranet.meltec.de = INTERNET.MELTEC.DE

[kdc]
 profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
        pam = {
                ticket_lifetime = 1d
                renew_lifetime = 1d
                forwardable = true
                proxiable = false
                retain_after_close = false
                minimum_uid = 0
                debug = false
        }

smb.conf

Code:

[global]
        workgroup = MELTEC-DOM
        realm = intranet.meltec.de
        idmap uid = 10000-15000
        idmap gid = 10000-15000
        winbind separator = +
#        winbind use default domain = Yes
        winbind uid = 10000-15000
        winbind gid = 10000-15000
        security = ADS
        encrypt passwords = yes
        password server = mts003.intranet.meltec.de
        client use spnego = no
winbind enum users = Yes
winbind enum groups = Yes
[backup]
        comment = Backup
        path = /Data/temp
        browseable = yes
        read only = no
        guest ok = no
        create mask = 0770
        valid users = MELTEC-DOM+nhaensel, nhaensel
        #invalid users = MELTEC-DOM+test_ooo
        directory mask = 0770

nsswitch

Code:

passwd:     files winbind
shadow:     files winbind
group:      files winbind

Net Join:

Code:

[root@mts004 samba]# net ads join -U Administrator
Administrator's password:
Using short domain name -- MELTEC-DOM
Joined 'MTS004' to realm 'INTRANET.MELTEC.DE'

getent passwd (auszug)

Code:

MELTEC-DOM+test_ooo:*:10076:10000:test_ooo:/home/MELTEC-DOM/test_ooo:/bin/false

Beim Zugriff von Windows auf die Freigabe bekomme ich folgende Meldungen im smbd.log:

Code:

[2007/07/10 08:10:44, 0] libads/authdata.c:decode_pac_data(797)
  decode_pac_data: failed to parse PAC
[2007/07/10 08:10:44, 0] libads/authdata.c:decode_pac_data(797)
  decode_pac_data: failed to parse PAC
[2007/07/10 08:10:44, 0] libads/authdata.c:decode_pac_data(797)
  decode_pac_data: failed to parse PAC
[2007/07/10 08:10:44, 0] libads/authdata.c:decode_pac_data(797)
  decode_pac_data: failed to parse PAC
[2007/07/10 08:10:44, 0] libads/authdata.c:decode_pac_data(797)
  decode_pac_data: failed to parse PAC

ich bin langsam ratlos.... DNS Auflösung vom PDC geht auch....

Kinit:

Code:

[root@mts004 samba]# kinit Administrator@INTRANET.MELTEC.DE
Password for Administrator@INTRANET.MELTEC.DE:
[root@mts004 samba]#

Müsste nicht eine Meldung kommen, das ich eine Ticket bekommen habe?

[derikke]

Privilege Attribute Certificate(PAC).
The PAC contains various types of authorization data including groups that the user is a member of, rights the user has, and what policies apply to the user. When the client receives a ticket, the information contained in the PAC is used to generate the user’s access token.

Gib mal den realm = in der sbm.conf Gross ein,
und versuch client use spnego = yes und encrypt passwords = true

Mehr kann ich nicht helfen, viel Glück

[pc-nico]

OK, realm in Großbuchstaben und true bei Passwords...
leider keinen erfolg... :-(

client use spnego = yes ist soweit ich gelesen habe nur für W2003 ADS... habs trotzdem versucht, leider auch keinen erfolg....

weiterhin nur diese Meldung in der smb.log:

Code:

[2007/07/19 10:52:33, 0] lib/util_sock.c:get_peer_addr(1229)
  getpeername failed. Error was Der Socket ist nicht verbunden
[2007/07/19 10:52:33, 0] lib/util_sock.c:get_peer_addr(1229)
  getpeername failed. Error was Der Socket ist nicht verbunden
[2007/07/19 10:52:33, 0] lib/util_sock.c:read_data(534)
  read_data: read failure for 4 bytes to client 0.0.0.0. Error = Die Verbindung wurde vom Kommunikationspartner zurückgesetzt
[2007/07/19 10:52:33, 0] libads/authdata.c:decode_pac_data(797)
  decode_pac_data: failed to parse PAC
[2007/07/19 10:52:33, 0] libads/authdata.c:decode_pac_data(797)
  decode_pac_data: failed to parse PAC
[2007/07/19 10:52:33, 0] libads/authdata.c:decode_pac_data(797)
  decode_pac_data: failed to parse PAC
[2007/07/19 10:52:33, 0] libads/authdata.c:decode_pac_data(797)
  decode_pac_data: failed to parse PAC

[pc-nico]

Die Kerberos Verbinung scheint aber zu laufen, der User bekommt eine Tickets...:

Code:

[root@mts004 Data]# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: test_ooo@INTRANET.MELTEC.DE

Valid starting     Expires            Service principal
07/19/07 10:56:11  07/19/07 20:56:29  krbtgt/INTRANET.MELTEC.DE@INTRANET.MELTEC.DE
        renew until 07/20/07 10:56:11


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached

Nur aus irgend einem Grund nimmt Samba die Domainnutzer nicht war... Wenn ich meinen Domainacount als invalid für einen Share angebe, bekomme ich trotzdem Zugriff...


verstehe das nicht mehr....

[Zotti]

Hast Du das schon ohne SELinux versucht?
console -> setup -> firewall.

Ich hoffe es hilft bei Dir auch!

LG Olli

[pc-nico]

Firewall und SELinux sind schon bei der Installation deaktiviert worden....

[jak.pot]

Ich hab das PAC-Problem gelöst. Ich glaube bei dir ist es der selbe Fehler.
Bitte diesen Thread lesen, dort wird alles erklärt:
http://www.linuxforen.de/forums/showthread.php?t=239321

[pc-nico]

Hey jak.pot

ich weiß nicht wie lange ich jetzt schon nach einer Lösung gesucht habe, ich habe schon an mir gezweifelt.... ich habe mir gerade ein Testsystem aufgesetzt und es geht Problemlos... SUPER... DANKE für den Tipp....

Du schreib in deinem Topic Samba und Kreberos neuinstallieren?
Ist das wirklich nötig? Möchte gern ein Produktivsystem auf ADS umstellen.
Da möchte ich diese Pakete ungern deinstallieren....

[jak.pot]

Nein, das geht natuerlich auch ohne...aber so ist man auf jeden Fall auf der sicheren Seite.
Ich hab es nicht ausprobiert, probier mal folgendes:
- Winbindd, Nmbd und Smbd killen
- Host auf dem Win2k Server löschen
- lösch /var/cache/samba/*
- lösch /etc/samba/secrets.tdb

(Die Datein können in ganz anderen Verzeichnissen sein)

Wenn dann deine Konfigurationsdatein passen, kannst du wieder ins ActiveDir joinen. SambaSuite starten...
Danach solltest du die Benutzer und Gruppen des ADs benutzen können, so als
wären sie lokal vorhanden.

Freut mich, dass ich dir helfen konnte. Lass mal hören ob es letztendlich geklappt hat.

Offtopic:
Ich hab erstmal gelacht als ich gecheckt habe, dass dieser ****** Server kein SP4 hat. Die haben Content Filter Firewalls IDS aber der AD Server hat noch kein SP4

[pc-nico]

hab den Server schon von DOMAIN auf ADS umgestellt

also ich hab noch weniger gemacht...

dienst gestoppt
die kr5b.conf und smb.conf überarbeitet....
net ads join
dienst gestartet
und es läuft