Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Samba 3.0.20 auf SuSE 10.0 mit Windows 2003 Domänen-Authentifizierung

Frage Linux Samba

Mitglied: Balubaer

Balubaer (Level 1) - Jetzt verbinden

09.11.2005, aktualisiert 14.09.2006, 17230 Aufrufe, 15 Kommentare

Probleme mit Freigaben auf SuSE 10.0 Samba-Server mit Authentifizierung gegen Active Directory von Windows 2003

Hallo Leute,

ich habe ein nicht leicht zu knackendes Problem, glaub ich, und hoffe, dass hier viellicht jemand ist, der mir mit meinen bescheidenen Samba-Kenntnissen aushelfen kann.

Ich habe einen (aktualisieren) Windows 2003 Server (inkl. Exchange 2003), der ebenso ein Active-Directory (AD) beinhaltet. Jenes AD soll als Authentifizierungsgrundlage für die (Samba-)Shares auf einer Linux-Maschine werden. Der Linux-Server ist mit (Novell) SuSE 10.0 bestückt und beinhaltet unter Anderem Samba in der Version 3.0.20-4-SUSE und das MIT-Kerberos5 in der Version 1.4.1-5 (beides von der SuSE-DVD bzw. geupdatet über YOU, Stand: 09.11.2005)

Ich habe mich auch grundsätzlich und überhaupt an die Anleitung von Samba.org bzw. von http://www.pro-linux.de/work/server/samba3-domaene.html gehalten. Das kuriose ist:

a) ich kann mit kinit ein (offensichtlich gültiges) Kerberos-Ticket erzeugen (ersichtlich mit "klist")
b) ich kann mich mit "net join -S domain -UAdministrator%pass" in der Domäne anmelden und habe dann auch im AD ein entsprechendes Computer-Konto
c) "wbinfo -u" und "wbinfo -g" liefern die Domänen-User bzw. Domänen-Gruppen
d) "getent passwd" und "getent group" liefern sowohl lokale, als auch die AD-User bzw. -Gruppen

Wenn ich dann allerdings auf eine Freigabe mit einem Windows-XP-Rechner zugreifen will, bekomme ich die Windows-typische Anmeldeaufforderung (was ja schon mal nicht sein sollte, da ich ja an dem Rechner bereits als Domänen-Nutzer angemeldet bin und die Freigabe für alle Domänen-Benutzer erreichbar sein soll) und selbst, wenn ich dann die Benutzer-Daten nochmals mit angebe, funktioniert die Anmeldung nicht. Auch der Versuch, auf die Freigabe "alles" zugreifen zu können (mit dem Administrator-Konto der Domäne)

Wo liegt denn nun das Problem?

Hier mal meine Konfigurationsdateien (auszugsweise):

###
###smb.conf
###
[global]
workgroup = DOMAIN
netbios name = devel
server string = devel
realm = DOMAIN.DMN
idmap uid = 10000-15000
idmap gid = 10000-15000
winbind separator = /
winbind use default domain = yes
security = ADS
encrypt passwords = yes
password server = ad-server@domain.dmn
client use spnego = yes
auth methods = winbind
log level = 3
template shell = /bin/bash
template homedir = /home/ads
username map = /etc/samba/smbusers

[alles]
comment = Vollzugriff
path = /
browsable = yes
read only = no
guest ok = no
valid users = DOMAIN/Administrator
create mask = 700
directory mask = 711

[vhosts]
comment = Hosts
path = /srv/www/vhosts
browsable = yes
read only = no
guest ok = no
valid users = @Domain/gruppe
create mask = 755
directory mask = 755


###
### krb5.conf
###
[libdefaults]
default_realm = EXOZETBERLIN.XOZ
clockskew = 300

[realms]
DOMAIN.DMN = {
kdc = AD-SERVER@DOMAIN.DMN
admin_server = AD-SERVER@DOMAIN.DMN
default_domain = DOMAIN
}

[domain_realm]
.domain.dmn = DOMAIN.DMN
domain.dmn = DOMAIN.DMN

[logging]
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmin.log
default = FILE:/var/log/krb5lib.log

[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 10000
debug = false
try_first_pass = true
}



Beim Kerberos finde ich merkwürdig, dass die unter "logging" angegebenen Dateien in keinster Weise mit Daten beschrieben werden. Selbst nach einem touch bleiben die Dateien leer?! Schlecht für's Debugging.


Hier noch ein Auszug aus den Logs von Samba:

###
### log.smbd
###
(...)
[2005/11/09 15:34:03, 3] smbd/sesssetup.c:reply_sesssetup_and_X_spnego(619)
NativeOS=[Windows 2002 Service Pack 2 2600] NativeLanMan=[Windows 2002 5.1] PrimaryDomain=[]
[2005/11/09 15:34:03, 3] smbd/sesssetup.c:reply_spnego_negotiate(480)
Got OID 1 2 840 48018 1 2 2
[2005/11/09 15:34:03, 3] smbd/sesssetup.c:reply_spnego_negotiate(480)
Got OID 1 2 840 113554 1 2 2
[2005/11/09 15:34:03, 3] smbd/sesssetup.c:reply_spnego_negotiate(480)
Got OID 1 3 6 1 4 1 311 2 2 10
[2005/11/09 15:34:03, 3] smbd/sesssetup.c:reply_spnego_negotiate(483)
Got secblob of size 1189
[2005/11/09 15:34:03, 3] smbd/sesssetup.c:reply_spnego_kerberos(179)
Ticket name is [COMPUTER$@DOMAIN.DMN]
[2005/11/09 15:34:03, 1] smbd/sesssetup.c:reply_spnego_kerberos(263)
Username DOMAIN.DMN/COMPUTER$ is invalid on this system
[2005/11/09 15:34:03, 3] smbd/error.c:error_packet(147)
error packet at smbd/sesssetup.c(267) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE
[2005/11/09 15:34:03, 3] smbd/process.c:process_smb(1114)
(...)
[2005/11/09 15:34:03, 3] smbd/sesssetup.c:reply_sesssetup_and_X_spnego(619)
NativeOS=[Windows 2002 Service Pack 2 2600] NativeLanMan=[Windows 2002 5.1] PrimaryDomain=[]
[2005/11/09 15:34:03, 3] smbd/sesssetup.c:reply_spnego_negotiate(480)
Got OID 1 2 840 48018 1 2 2
[2005/11/09 15:34:03, 3] smbd/sesssetup.c:reply_spnego_negotiate(480)
Got OID 1 2 840 113554 1 2 2
[2005/11/09 15:34:03, 3] smbd/sesssetup.c:reply_spnego_negotiate(480)
Got OID 1 3 6 1 4 1 311 2 2 10
[2005/11/09 15:34:03, 3] smbd/sesssetup.c:reply_spnego_negotiate(483)
Got secblob of size 1329
[2005/11/09 15:34:03, 3] smbd/sesssetup.c:reply_spnego_kerberos(179)
Ticket name is [user@DOMAIN.DMN]
[2005/11/09 15:34:03, 1] smbd/sesssetup.c:reply_spnego_kerberos(263)
Username DOMAIN.DMN/user is invalid on this system
[2005/11/09 15:34:03, 3] smbd/error.c:error_packet(147)
error packet at smbd/sesssetup.c(267) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE
[2005/11/09 15:34:03, 3] smbd/process.c:timeout_processing(1366)
timeout_processing: End of file from client (client has disconnected).
(...)


Beim Start von smbd erscheint noch folgende Meldung von log.smbd:

(...)
[2005/11/09 15:54:22, 3] smbd/server.c:main(850)
Becoming a daemon.
[2005/11/09 15:54:22, 2] lib/tallocmsg.c:register_msg_pool_usage(56)
Registered MSG_REQ_POOL_USAGE
[2005/11/09 15:54:22, 2] lib/dmallocmsg.c:register_dmalloc_msgs(71)
Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED
[2005/11/09 15:54:22, 3] libsmb/namequery.c:resolve_lmhosts(855)
resolve_lmhosts: Attempting lmhosts lookup for name ad-server.domain.dmn<0x20>
[2005/11/09 15:54:22, 3] libsmb/namequery.c:resolve_wins(752)
resolve_wins: Attempting wins lookup for name ad-server.domain.dmn<0x20>
[2005/11/09 15:54:22, 3] libsmb/namequery.c:resolve_wins(755)
resolve_wins: WINS server resolution selected and no WINS servers listed.
[2005/11/09 15:54:22, 3] libsmb/namequery.c:resolve_hosts(917)
resolve_hosts: Attempting host lookup for name ad-server.domain.dmn<0x20>
[2005/11/09 15:54:22, 3] libads/ldap.c:ads_connect(285)
Connected to LDAP server 192.168.12.243
[2005/11/09 15:54:22, 3] libads/ldap.c:ads_server_info(2514)
got ldap server name ad-server@DOMAIN.DMN, using bind path: dc=DOMAIN,dc=DMN
[2005/11/09 15:54:22, 3] libads/sasl.c:ads_sasl_spnego_bind(206)
ads_sasl_spnego_bind: got OID=1 2 840 48018 1 2 2
[2005/11/09 15:54:22, 3] libads/sasl.c:ads_sasl_spnego_bind(206)
ads_sasl_spnego_bind: got OID=1 2 840 113554 1 2 2
[2005/11/09 15:54:22, 3] libads/sasl.c:ads_sasl_spnego_bind(206)
ads_sasl_spnego_bind: got OID=1 2 840 113554 1 2 2 3
[2005/11/09 15:54:22, 3] libads/sasl.c:ads_sasl_spnego_bind(206)
ads_sasl_spnego_bind: got OID=1 3 6 1 4 1 311 2 2 10
[2005/11/09 15:54:22, 3] libads/sasl.c:ads_sasl_spnego_bind(215)
ads_sasl_spnego_bind: got server principal name =ad-server$@DOMAIN.DMN
[2005/11/09 15:54:22, 3] libsmb/clikrb5.c:ads_krb5_mk_req(384)
ads_krb5_mk_req: krb5_cc_get_principal failed (No credentials cache found) <<<<< was sagt das aus?
[2005/11/09 15:54:22, 3] libsmb/clikrb5.c:ads_cleanup_expired_creds(321)
Ticket in ccache[MEMORY:prtpub_cache] expiration Thu, 10 Nov 2005 01:54:21 GMT
[2005/11/09 15:54:22, 3] printing/printing.c:start_background_queue(1321)
start_background_queue: Starting background LPQ thread
[2005/11/09 15:54:22, 2] smbd/server.c:open_sockets_smbd(330)
waiting for a connection


Weiss Jemand vielleicht Rat? Selbst das manuelle Kompilieren/Konfigurieren einer von Samba.org geladenen aktuellen Version (3.0.20b) brachte keine Abhilfe!

Danke für jedwedige Hilfe...

Gruß
Dennis Galander
Mitglied: 7036
09.11.2005 um 19:19 Uhr
Hi,

1. Firewall abschalten! In der Firewall den Samba dienst aufnehmen
2. laufen die Dienste rcsmb, rcnmb und rcwinwind?
3. läuft der xinet - Dienst?

Mit freundlichen Grüßen
Siggi
Bitte warten ..
Mitglied: Balubaer
14.11.2005 um 10:46 Uhr
Hi Siggi,

die Firewall habe ich vorsorglich schon abgeschaltet gehabt, solange die Maschine noch nicht fertig konfiguriert ist.

Die Dienste SMB, NMB und Winbind sind konfiguriert und laufen auch fleissig vor sich hin (sonst hätte ich ja keine logs bekommen).

Xinetd haben wir nicht laufen auf der Maschine, da die Dienste ja als Daemons laufen...

Gruß
Dennis
Bitte warten ..
Mitglied: 7036
14.11.2005 um 11:00 Uhr
Hi Dennis,

also ich habe eine ähnliche konfiguration laufen nach der gleichen Anleitung und es läuft wie gewünscht.

Die Konfiguration habe genauso und es läuft.

Schau Dir mal bitte diese Info hier an: http://www.netadmintools.com/part172.html
und vor allem die Screenshots unter dem Link!

Ich habe beim Beitritt zu einer Domäne Probleme gehabt und dann mit "net join ads" gelöst.!!!

Uhrzeitsync und Kerberos scheinen aber richtig zu laufen...

Sag mal bescheid...

Gruß und Viel Erfolg
Siggi
Bitte warten ..
Mitglied: 7036
14.11.2005 um 11:02 Uhr
Hi,

habe noch eine IDEE:

hast du in der /etc/nsswitsch.conf die Benutzerdatenbank an winbind weitergeleitet?

passwd: files winbind
group: files winbind

IST SEHR WICHTIG????
Bitte warten ..
Mitglied: Balubaer
14.11.2005 um 15:02 Uhr
Hi Siggi,

danke für die Anleitung.

Ich bin soweit nochmals durchgegangen und habe den allerletzen Abschnitt nicht erfolgreich durchbringen können:

devel:~ # smbclient xozserver5.exozetberlin.xoz/ax -k
OS=[Windows Server 2003 3790 Service Pack 1] Server=[Windows Server 2003 5.2]
tree connect failed: NT_STATUS_BAD_NETWORK_NAME

Auch mit "devel:~ # smbclient
192.168.12.243/ax -k" funktioniert es nicht.

In der /etc/nsswitch.conf steht bei mir

passwd: compat winbind
group: compat winbind

Aber auch files statt compat hat nix gebracht.
Bitte warten ..
Mitglied: Balubaer
14.11.2005 um 15:13 Uhr
Ups,

ein kleiner Fehler ist mir da unterlaufen.

Also, den smbclient-Befehl kann ich problemlos ausführen und mich auf der Freigabe auf dem Server "bewegen".

Was allerdings noch immer nicht klappt ist der Zugriff auf eine der Samba-Freigaben. Ich erhalte immernoch das Anmelde-Popup-Fenster...

Gruß
Dennis
Bitte warten ..
Mitglied: 7036
14.11.2005 um 18:27 Uhr
Hi Dennis,
...
1. ads_krb5_mk_req: krb5_cc_get_principal failed (No credentials cache found) <<<<< was sagt das aus?
....

ich habe mir deine Logs mal genauer angesehen! Deine Kerberos stimmt nicht !!!
DU:
...
[libdefaults]
default_realm = EXOZETBERLIN.XOZ

kdc = AD-SERVER@DOMAIN.DMN
admin_server = AD-SERVER@DOMAIN.DMN
default_domain = DOMAIN

ICH:
[libdefaults]
default_realm = DOMAIN.DMN

kdc = AD-SERVER.DOMAIN.DMN
admin_server = AD-SERVER.DOMAIN.DMN
default_domain = DOMAIN.DMN


2. in der smb.conf hast du username map = /etc/samba/smbusers stehen!
Dieser Eintrag könnte SAMBA in die Irre führen da er ja die User über die Winbind konfigurieren soll....kommentiere den Eintrag mal aus!!!


und vergleiche bitte noch einmal deine Einträge in der nsswitch.conf!

Gruß Siggi
Bitte warten ..
Mitglied: Balubaer
14.11.2005 um 19:35 Uhr
Hi Siggi,

also, die Einträge der krb5.conf habe ich (wohl schon letzte Woche) korrigiert. Ich habe sie jetzt auch an Deine Konfig ein wenig angepasst.

Trotzdem streikt die Kiste.

Das log.smbd sagt mir (mit loglevel 3), wenn ich einfach mal vom Explorer heraus ein Freigabe ansprechen will, folgendes:

[2005/11/14 19:29:26, 3] smbd/oplock.c:init_oplocks(1380)
open_oplock_ipc: opening loopback UDP socket.
[2005/11/14 19:29:26, 3] smbd/oplock_linux.c:linux_init_kernel_oplocks(309)
Linux kernel oplocks enabled
[2005/11/14 19:29:26, 3] smbd/oplock.c:init_oplocks(1411)
open_oplock ipc: pid = 26813, global_oplock_port = 1183
[2005/11/14 19:29:26, 3] smbd/process.c:process_smb(1114)
Transaction 0 of length 137
[2005/11/14 19:29:26, 3] smbd/process.c:switch_message(900)
switch message SMBnegprot (pid 26813) conn 0x0
[2005/11/14 19:29:26, 3] smbd/sec_ctx.c:set_sec_ctx(288)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2005/11/14 19:29:26, 3] smbd/negprot.c:reply_negprot(466)
Requested protocol [PC NETWORK PROGRAM 1.0]
[2005/11/14 19:29:26, 3] smbd/negprot.c:reply_negprot(466)
Requested protocol [LANMAN1.0]
[2005/11/14 19:29:26, 3] smbd/negprot.c:reply_negprot(466)
Requested protocol [Windows for Workgroups 3.1a]
[2005/11/14 19:29:26, 3] smbd/negprot.c:reply_negprot(466)
Requested protocol [LM1.2X002]
[2005/11/14 19:29:26, 3] smbd/negprot.c:reply_negprot(466)
Requested protocol [LANMAN2.1]
[2005/11/14 19:29:26, 3] smbd/negprot.c:reply_negprot(466)
Requested protocol [NT LM 0.12]
[2005/11/14 19:29:26, 3] smbd/negprot.c:reply_nt1(337)
using SPNEGO
[2005/11/14 19:29:26, 3] smbd/negprot.c:reply_negprot(559)
Selected protocol NT LM 0.12
[2005/11/14 19:29:26, 3] smbd/process.c:process_smb(1114)
Transaction 1 of length 1420
[2005/11/14 19:29:26, 3] smbd/process.c:switch_message(900)
switch message SMBsesssetupX (pid 26813) conn 0x0
[2005/11/14 19:29:26, 3] smbd/sec_ctx.c:set_sec_ctx(288)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_sesssetup_and_X(751)
wct=12 flg2=0xc807
[2005/11/14 19:29:26, 2] smbd/sesssetup.c:setup_new_vc_session(704)
setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_sesssetup_and_X_spnego(588)
Doing spnego session setup
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_sesssetup_and_X_spnego(619)
NativeOS=[Windows 2002 Service Pack 2 2600] NativeLanMan=[Windows 2002 5.1] PrimaryDomain=[]
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_spnego_negotiate(480)
Got OID 1 2 840 48018 1 2 2
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_spnego_negotiate(480)
Got OID 1 2 840 113554 1 2 2
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_spnego_negotiate(480)
Got OID 1 3 6 1 4 1 311 2 2 10
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_spnego_negotiate(483)
Got secblob of size 1189
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_spnego_kerberos(179)
Ticket name is [DENNIS$@EXOZETBERLIN.XOZ]
[2005/11/14 19:29:26, 1] smbd/sesssetup.c:reply_spnego_kerberos(263)
Username EXOZETBERLIN/DENNIS$ is invalid on this system
[2005/11/14 19:29:26, 3] smbd/error.c:error_packet(147)
error packet at smbd/sesssetup.c(267) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE
[2005/11/14 19:29:26, 3] smbd/process.c:process_smb(1114)
Transaction 2 of length 1560
[2005/11/14 19:29:26, 3] smbd/process.c:switch_message(900)
switch message SMBsesssetupX (pid 26813) conn 0x0
[2005/11/14 19:29:26, 3] smbd/sec_ctx.c:set_sec_ctx(288)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_sesssetup_and_X(751)
wct=12 flg2=0xc807
[2005/11/14 19:29:26, 2] smbd/sesssetup.c:setup_new_vc_session(704)
setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_sesssetup_and_X_spnego(588)
Doing spnego session setup
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_sesssetup_and_X_spnego(619)
NativeOS=[Windows 2002 Service Pack 2 2600] NativeLanMan=[Windows 2002 5.1] PrimaryDomain=[]
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_spnego_negotiate(480)
Got OID 1 2 840 48018 1 2 2
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_spnego_negotiate(480)
Got OID 1 2 840 113554 1 2 2
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_spnego_negotiate(480)
Got OID 1 3 6 1 4 1 311 2 2 10
[2005/11/14 19:29:26, 3] smbd/sesssetup.c:reply_spnego_negotiate(483)
Got secblob of size 1329
[2005/11/14 19:29:27, 3] smbd/sesssetup.c:reply_spnego_kerberos(179)
Ticket name is [dgalander@EXOZETBERLIN.XOZ]
[2005/11/14 19:29:27, 1] smbd/sesssetup.c:reply_spnego_kerberos(263)
Username EXOZETBERLIN/dgalander is invalid on this system <<< diese Zeile scheint sehr wichtig!!!

[2005/11/14 19:29:27, 3] smbd/error.c:error_packet(147)
error packet at smbd/sesssetup.c(267) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE
[2005/11/14 19:29:27, 3] smbd/process.c:timeout_processing(1366)
timeout_processing: End of file from client (client has disconnected).
[2005/11/14 19:29:27, 3] smbd/sec_ctx.c:set_sec_ctx(288)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2005/11/14 19:29:27, 2] smbd/server.c:exit_server(608)
Closing connections
[2005/11/14 19:29:27, 3] smbd/connection.c:yield_connection(69)
Yielding connection to
[2005/11/14 19:29:27, 3] smbd/server.c:exit_server(652)
Server exit (normal exit)


Und ich erhalte das Anmeldefenster... wie immer! ;)

Die nsswitch.conf habe ich auch auf "files winbind" angepasst... muss ich eigentlich auch in der pam.d noch weitere Anpassungen machen?

Und noch 'ne Frage: warum loggt Kerberos nichts, obwohl ich Angaben unter [logging] gemacht habe? Die Dateien sind leer...

Gruß
Dennis
Bitte warten ..
Mitglied: 2795
15.11.2005 um 13:27 Uhr
Hi,

ich arbeite im Augenblick mit SUSE 9.2 und Samba 3.0.x.
So wie du das Problem schilderst würde ich zwei Sachen prüfen

1. Gibt es den User als SambaUser?
2. Und wird die Gruppenstruktur aus der ADS auf dem LINUX-Server wiedergespiegelt?


Kerl
Bitte warten ..
Mitglied: Balubaer
15.11.2005 um 15:02 Uhr
Hi Kerl,

1. der Witz an der Sache soll ja grade sein, dass Samba nicht extra 'nen User angelegt bekommen soll, sondern sich den User aus der AD holt, sonst könnte ich mir den ganzen Aufwand ja sparen.

2. Ich weiss nicht ganz genau, was Du damit meinst, aber der getent-Befehl funktioniert und zeigt mir dann halt sowohl die lokalen User/Gruppen, wie auch die "gemappten" AD-User/-Gruppen.

Es scheint mir so, als ob das Kerberos-Ticketing richtig funktioniert und Samba die User auch sehen kann, aber sie nicht lokal "anwenden" kann.

Dennis
Bitte warten ..
Mitglied: 7036
15.11.2005 um 16:20 Uhr
Hi Dennis,

hast du dich um "2. in der smb.conf hast du username map = /etc/samba/smbusers stehen! " gekümmert?

Gruß Siggi
Bitte warten ..
Mitglied: Balubaer
15.11.2005 um 18:25 Uhr
Hi Siggi,

ja, dass habe ich sofort nach Deinem Posting gemacht. Hat aber leider auch nicht wirklich geholfen.

Mein Problem ist mittlerweile, dass ich die mögliche/n Fehlerquelle/n nicht wirklich lokalisieren kann und daher nicht genau weiss, wo ich noch nachschauen sollte.

Der Rechner ist in der Domäne (hab ich im AD auf dem Win2k3-Server gesehen) also hat das JOINEN funktioniert. Kann ich daraus schliessen, dass das Kerberos-Ticketing funktioniert?! Schon, oder?

Da das getent mir neben den lokalen, auch die AD-Daten mit ausgibt, kann ich doch auch davon ausgehen, dass winbind sich korrekt mit dem AD-Server unterhalten kann, oder?

Also scheint doch (nach meinem Laien-Verständis) die Kommunikation lokal irgendwie zu haken. (Samba intern? Oder Samba <-> Rest des Linux-Systems?)

Gruß
Dennis
Bitte warten ..
Mitglied: 2795
18.11.2005 um 09:19 Uhr
Hi,

ich nochmal. Ich habe mehrere Versuche hinter mir zwischen einem Win2003-Server(PDC) und einem Linux-Servermit SAMBA 3.0.9.x über den Eintrag

security = ads

zu vermitteln.

Erfahrungsgemäß benimmt sich aber mein SAMBA-Server wie ein NT4-Server.
Nachdem ich

security = domain

eingetragen habe hats geklappt.


Kerl

Anm.: Ich hatte gehofft das Samba 3.0.20.x die Sache mit dem ADS besser in Griff hat?!
Bitte warten ..
Mitglied: sugo
16.12.2005 um 21:22 Uhr
Also ich habe so ziemlich dasselbe Problem.

kinit funktioniert und klist zeigt ein ticket an.

Samba (habe es mit 3.0.20b und 3.0.21rc2 versucht) ist
nach meinem Dafürhalten richtig konfiguriert.

Der PC ließ sich ohne Problem ins AD hängen und
auch die Winbind Authentifizierung funktioniert
einwandfrei, doch führe ich klist nach dem Anmelden
aus meldet er keine credentials.

Das Samba log meldet einmal in der smb logdatei
das erfolgreiche Anfordern eines Tickets für die Maschine.
Komischerweise meldet die winbind Logdatei wenige
Sekunden später ebenso das Nichvorhandensein eines
Tickets für die Maschine und das erneute Anfordern eines
Tickets für die Maschine.

Eine Anforderung eines Tickets für den Benutzer scheint
nicht zu erfolgen. Die Anmeldung erfolgt wohl mit NTLM.
Verbindungsversuche an ein Share des Win2k3 Servers
verlangen erneut das Passwort (auch logisch da kein
ticket gecached).

Ich tippe nach längerm Probieren doch auf einen Bug
in Samba. Weiß vielleicht jemand ob man in Samba
irgendwie NTLM deaktivieren kann, oder sonst einen
Tip.

Mein System:
Fedora 4 mit neuesten Update
Samba upgedatet auf 3.0.20b und dann auf 3.0.21rc2
Win2k3 DC und Win2k DC, beide als pw-Server getested
Bitte warten ..
Mitglied: 7036
20.12.2005 um 13:34 Uhr
Hi zusammen,

schaut euch mal diesen Link an. Ist eine deutsche Samba 3.0 Übersetzung mit zahlreichen Howto's

http://gertranssmb3.berlios.de/

Viel Erfolg noch.
Gruß Siggi
Bitte warten ..
Neuester Wissensbeitrag
Festplatten, SSD, Raid

12TB written pro SSD in 2 Jahren mit RAID5 auf Hyper-VServer

Erfahrungsbericht von Lochkartenstanzer zum Thema Festplatten, SSD, Raid ...

Ähnliche Inhalte
Windows Installation
Windows 10 BootManager -Windows Bootmanager allgemein Frage (12)

Frage von konstrukt777 zum Thema Windows Installation ...

Windows Server
Windows 10 und Windows SSB 2008 - Login Script greift nicht (21)

Frage von heisenberg4 zum Thema Windows Server ...

Windows Server
Rechtevergabe Fileserver Windows 2003 (1)

Frage von bluepython zum Thema Windows Server ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (34)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...