schneerunzel
Goto Top

Samba und LDAP

Hallo Zusammen,

ich versuche gerade einen PDC mit Samba und LDAP als PasswortBackend aufzubauen.

Die Freigaben sind über die LDAP Kennungen erreichbar und auch die Gruppen Zuordnung ist kein Problem.

Mein Problem ist das Anmelden an der Domain.
Ich konnte mit einem Admin Account zwar in die Domain Join aber ich kann mich mit meinem Windows 7 Rechner nicht anmelden.
Wenn ich versuche mich mit dem Benutzer anzumelden mit dem ich beigetreten bin bekommen ich von Windows diese Meldung:
Die Anmeldung der Dienstes "Benutzerprofildienst" ist fehlgeschlagen. Das Benutzerprofil kann nicht geladen werden"
wenn ich mich mit einem Benutzer anmelde der die selben Rechte hat bekomme ich als Fehlermeldung:" Ein an das System angeschlossenen Gerät funktioniert nicht Einwand frei".
Wenn ich auf dem Server ein net rpc testjoin mache bekomme ich diese Antwort:

Failed to open /var/lib/samba/secrets.tdb
Failed to open /var/lib/samba/secrets.tdb
Failed to open /var/lib/samba/secrets.tdb
Failed to open /var/lib/samba/secrets.tdb
get_schannel_session_key: could not fetch trust account password for domain 'TESTDOMAIN'
net_rpc_join_ok: failed to get schannel session key from server PDC-SERVER for domain TESTDOMAIN. Error was NT_STATUS_CANT_ACCESS_DOMAIN_INFO
Join to domain 'TESTDOMAIN' is not valid: NT_STATUS_CANT_ACCESS_DOMAIN_INFO

Wo liegt das Problem?
Und was kann ich dagegen tun?

Was braucht Ihr? SMB.CONF? Logs?

Vielen Dank für eure Hilfe!

Content-Key: 250470

Url: https://administrator.de/contentid/250470

Ausgedruckt am: 19.03.2024 um 05:03 Uhr

Mitglied: Chonta
Chonta 02.10.2014 um 17:52:15 Uhr
Goto Top
Hallo,

da Du noch am Anfang stehst, steig auf SAMBA4 um. Das bringt ein echtes AD mit und läßt sich auch wie ein Windows DC administrieren.
Noch btrfs als Dateisystem für Samba installation und die Freigaben und Du hast eine tolle Lösung.

Gruß

Chonta
Mitglied: Alchimedes
Alchimedes 03.10.2014 um 16:04:27 Uhr
Goto Top
Hallo ,

bei wikiubuntu gibt es eine hervoragende Anleitung.

http://wiki.ubuntuusers.de/Samba_Server_PDC?redirect=no

Wenn Du nach der Anleitung vorgehst sollte alles klappen.
Die Fehlermeldung sagt ja Testdomain ist not valid.

Also bestimt ein Fehler in der smb.conf

Gruss
Mitglied: schneerunzel
schneerunzel 03.10.2014 um 16:52:22 Uhr
Goto Top
Ja Samba 4 wäre einem Lösung aber ich bin mir da noch zu unsicher was LDAP angeht daher vorerst Samba 3 und sobald die Hardware getauscht ist, die DNS Server in den einzelnen Netzen installiert sind und die Zentralen Dienste wie LDAP und der DNS Server funktioniert werde ich auch SAMBA 4 und AD in Angriff nehmen. Aber leider sind im Moment noch zu viele Baustellen die voher noch gechlossen werden müssen. Momentan Scheitert es vorallen an der entsprechenden Hardware und an den DSL Leitungen (aber das ist eine anderes Thema, also vorerst einen ganz normalen PDC mit Samba 3 und LDAP (zentral) als Backend)
Mitglied: schneerunzel
schneerunzel 03.10.2014 um 16:59:17 Uhr
Goto Top
Hier die smb.conf:

[global]
        workgroup = TESTDOMAIN
        netbios name = PDC-SERVER

        deadtime = 10

        log level = 1
        log file = /var/log/samba/log.%m
        max log size = 5000
        debug pid = yes
        debug uid = yes
        syslog = 0
        utmp = yes

        security = user
        lanman auth = yes
        client lanman auth = yes
        client plaintext auth = yes
        domain logons = yes
        os level = 65
        logon path =
        logon home =
        logon drive = K:
        logon script =
        preferred master = yes

        passdb backend = ldapsam:"ldap://ldap.fritz.box/"  
        ldap ssl = off
        ldap admin dn = cn=admin,dc=ldap,dc=fritz,dc=box
        ldap delete dn = no

        ## Sync UNIX password with Samba password
        ## Method 1:
        ldap password sync = yes
        ## Method 2:
        ;ldap password sync = no
        ;unix password sync = yes
        ;passwd program = /usr/sbin/smbldap-passwd -u '%u'  
        ;passwd chat = "Changing *\nNew password*" %n\n "*Retype new password*" %n\n"  

        ldap suffix = dc=ldap,dc=fritz,dc=box
        ldap user suffix = ou=Users
        ldap machine suffix = ou=Computers
        ldap idmap suffix = ou=Idmap

        add user script = /usr/sbin/smbldap-useradd -m '%u' -t 1  
        rename user script = /usr/sbin/smbldap-usermod -r '%unew' '%uold'  
        delete user script = /usr/sbin/smbldap-userdel '%u'  
        set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'  
        add group script = /usr/sbin/smbldap-groupadd -p '%g'  
        delete group script = /usr/sbin/smbldap-groupdel '%g'  
        add user to group script = /usr/sbin/smbldap-groupmod -m '%u' '%g'  
        delete user from group script = /usr/sbin/smbldap-groupmod -x '%u' '%g'  
        add machine script = /usr/sbin/smbldap-useradd -w '%u' -t 1  

[NETLOGON]
        path = /var/lib/samba/netlogon
        browseable = no
        share modes = no

[homes]
    comment = Home Directories
    valid users = %S, %D%w%S
    browseable = No
    read only = No
    inherit acls = Yes


Ich bin jetzt nicht so 100% sicher was den Umgang mit der SMB.Conf angeht... Ich finde den Fehler nicht...

und übrigens im LDAP ist sowohl die Domain als auch der PC sauber hinterlegt.
Mitglied: Chonta
Lösung Chonta 06.10.2014, aktualisiert am 15.10.2014 um 01:33:03 Uhr
Goto Top
Zitat von @schneerunzel:

Ja Samba 4 wäre einem Lösung
Nicht nur eine sondern auch im Falle der Andministration für Windowsclients die bessere und vor allem leichtere (Installation, und Administration)

aber ich bin mir da noch zu unsicher was LDAP angeht daher vorerst Samba 3
Das MS AD ist zwar an LDAP angeleht aber nicht mit einem anderem LDAP so wirklich kompatibel.

und sobald die Hardware getauscht ist, die DNS Server in den einzelnen Netzen installiert sind und die Zentralen Dienste wie LDAP und der DNS
Server funktioniert werde ich auch SAMBA 4 und AD in Angriff nehmen. Aber leider sind im Moment noch zu viele Baustellen die voher
noch gechlossen werden müssen. Momentan Scheitert es vorallen an der entsprechenden Hardware und an den DSL Leitungen (aber
das ist eine anderes Thema, also vorerst einen ganz normalen PDC mit Samba 3 und LDAP (zentral) als Backend)

In meinen Augen eine falsche herangehensweise. Das was Du jetzt mit LDAP machst hilft Dir nachher bei einer Umstellung auf SAMBA4 und AD nicht wirklich außer Du betreibst SAMBA4 als reinen Fileserver mit LDAP-Anbindung und verschenkst die AD Komponente.
SAMBA4 macht neben AD auch DNS und in einer AD-Umgebung andere DNS-Server als die DC/SAMBA4-DC einzusetzen ist keine gute Idee.

Gruß

Chonta

#Nachtrag
ldap://ldap.fritz.box/

Am Anfang erzählst Du was von Testdomain und dann steht in deiner config die fritzbox drin? Das kann nicht gehen.
LDAP oder AD beides braucht ein sauberes DNS mit einem richtigen DNS-Server der von allen Cleints und Servern als DNS-Server verwendet wird.
Bei der Verwendung von .local Domänen müssen bei Linux die wichtigen Server in der /etc/hosts eingetragen sein. Hatte bisher mit .local und Linux immer das Problem das die Namensauflösung nur mit /etc/hosts funktionierte.