Samba und der PDC... Profilprobleme! HELP!!!

Dieses Thema: "Samba und der PDC... Profilprobleme! HELP!!!" im Forum "Samba" wurde erstellt von micologe, 05.05.2006.

  1. #1 micologe, 05.05.2006
    micologe

    micologe Jungspund

    Dabei seit:
    05.05.2006
    Beiträge:
    11
    Zustimmungen:
    0
    Hallo

    Habe foglendes Problem mit dem Sch....önen Samba 3.0.20b-3.3-SUSE (auf SUSE 10.0) auf dem noch (be)sch.........öneren Windows XP-Prof......:-)))
    Ich hoffe mir kann da jemand mit ein wenig mehr Ahnung als ich helfen.....:hilfe2: (es hat ja schon mal funktioniert, bis ich es noch ein wenig verbessern wollte......;-))
    Leider weiß ich nicht mehr so genau, was ich danach alles umgeschrieben hab, sonst wäre es ja kein Problem nicht.............................("NEVER CHANGE A RUNNING (SAMBA) SYSTEM!!!) :oldman

    Also folgendens: Ich kann mich mit der Domäne verbinden, und es werden auch die Logon-Skripte gestartet,aber das mit dem Profilen funktioniert nicht wirklich. Hab auch schon mit Win die Profile in den Ordner /var/lib/samba/profiles/"Username(hier Andi) kopiert, aber irgendwie lädt er das Profil nicht direkt beim einloggen.....?????? Es wird immer von einem Standarprofil auf Win xp gestartet aber meine Freigaben sind alle auch dem eingeloggten Benutzer vorhanden.


    Hier mal ein Logon-Skript (im Ordner /var/lib/samba/netlogon)
    (hab ich da evtl was vergessen???)

    @echo: off
    NET USE Z: \\mic-samba\netlogon\andi.bat
    NET USE Y: \\mic-samba\profiles\andi
    NET USE P: \\mic-samba\privat
    NET TIME \\mic-samba /set /yes
    :END



    Dann mal meine Freigaben ~/profile und ~/netlogon aus der smb.conf:

    [profiles]
    comment = Network Profiles Service
    path = /var/lib/samba/profiles
    writeable = yes
    profile acls = yes
    #nur zur bisherigen Erstellung browseable, wird danach dann wieder gelöscht!
    browseable = yes


    [netlogon]
    comment = Network Logon Service
    path = /var/lib/samba/netlogon
    write list = root
    read only = yes
    read list = @privat @betrieb root
    #nur zur bisherigen Erstellung browseable, wird danach dann wieder gelöscht!
    browseable = yes


    Ach ja und die global-Sektion

    [global]
    workgroup = m-net.local
    security = user
    unix charset = LOCALE
    server string = mic-samba
    log level = 3
    syslog = 1
    debug timestamp = no
    max log size = 1000
    printcap name = cups
    cups options = raw
    guest account = nobody
    logon script = %U.bat
    logon path = \\%L\profiles\%U
    logon home = \\%L\homes\%U
    logon drive = M:
    domain logons = Yes
    os level = 65
    preferred master = Yes
    domain master = Yes
    username map = /etc/samba/smbusers
    nt acl support = no
    wins support = yes
    time server = yes
    admin users = root
    unix password sync = yes
    encrypt passwords = yes
    update encrypted =yes
    passwd program = /usr/bin/passwd%u
    passwd chat = new*password* %n/n reenter*new*password* %n/n *successfully*updated*all*tokens*
    pam password change = yes
    passdb backend = smbpasswd
    local master = Yes
    # server signing = Auto
    browseable = no
    public = no
    writeable = no
    socket options = TCP_NODELAY
    log file = /var/log/samba/log.smbd


    Ja, das dürfte hoffentlich ausreichen??? falls irgendjemand noch einen Auszug aus der log-file benötigt, den kann ich auch noch nachreichen....

    Ich hoffe es kennt sich jemand hier aus, der mir hilft, den Samba endlich wieder zu laufen zu bringen.
    Derzeit funktioniert er ja als Fileserver einwandfrei.....aber es soll ja ein PDC werden...:-(((

    Schon mal vielen Dank für die zahlreiche Hilfe.....

    Ciao mfg MIC


    PS: Kann ich den Server dann später auch mal auf eine Knoppix -Version "umpflanzen"? Dürfte doch mit der vorhanden und natürlich auch funktionierenden smb.conf dann kein Problem mehr sein, bis auf das ich die Pfade; User, Groups usw. neu anlegen bzw. ändern muss, oder???
     
  2. Anzeige

    Schau dir mal diesen Ratgeber an. Viele Antworten inkl. passender Shell-Befehle!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Ich wuerde den netuse-Befehlen ja noch das Login-Passwort und den Benutzer uebergeben um Authentifizierungsprobleme auszuschliessen, also
    Code:
    NET USE <laufwerk>: \\<server>\<freigabe> <passwort> /USER:<username>
    Gibt es sonst irgendwelche Unregelmaessigkeiten in den Logs, die darauf hinweisen, dass es Zugriffsprobleme auf das Profil gibt o.ae.?
     
  4. #3 micologe, 05.05.2006
    micologe

    micologe Jungspund

    Dabei seit:
    05.05.2006
    Beiträge:
    11
    Zustimmungen:
    0
    Samba Log Datei

    Code:
    [2006/05/06 14:22:03, 2] param/loadparm.c:do_section(3684)
      Processing section "[netlogon]"
    [2006/05/06 14:22:03, 2] param/loadparm.c:do_section(3684)
      Processing section "[printers]"
    [2006/05/06 14:22:03, 2] param/loadparm.c:do_section(3684)
      Processing section "[print$]"
    added interface ip=192.168.100.33 bcast=192.168.100.255 nmask=255.255.255.0
    Registered MSG_REQ_POOL_USAGE
    Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED
    waiting for a connection
    setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
    setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
    Attempt to bind using schannel without successful serverauth2
    check_ntlm_password:  authentication for user [andi] -> [andi] -> [andi] succeeded
    Returning domain sid for domain M-NET.LOCAL -> S-1-5-21-1167306390-3380132565-721316632
    check_ntlm_password:  authentication for user [andi] -> [andi] -> [andi] succeeded
    mic (192.168.100.32) connect to service profiles initially as user andi (uid=1002, gid=1001) (pid 6421)
    mic (192.168.100.32) connect to service netlogon initially as user andi (uid=1002, gid=1001) (pid 6421)
    mic (192.168.100.32) connect to service andi initially as user andi (uid=1002, gid=1001) (pid 6421)
    mic (192.168.100.32) closed connection to service profiles
    mic (192.168.100.32) closed connection to service netlogon
    mic (192.168.100.32) closed connection to service andi
    check_ntlm_password:  authentication for user [andi] -> [andi] -> [andi] succeeded
    mic (192.168.100.32) connect to service andi initially as user andi (uid=1002, gid=1001) (pid 6421)
    mic (192.168.100.32) connect to service netlogon initially as user andi (uid=1002, gid=1001) (pid 6421)
    andi opened file andi.bat read=Yes write=No (numopen=1)
    andi opened file andi.bat read=Yes write=No (numopen=2)
    andi closed file andi.bat (numopen=1) 
    andi closed file andi.bat (numopen=0) 
    andi opened file andi.bat read=No write=No (numopen=1)
    andi closed file andi.bat (numopen=0) 
    andi opened file andi.bat read=Yes write=No (numopen=1)
    andi closed file andi.bat (numopen=0) 
    andi opened file andi.bat read=Yes write=No (numopen=1)
    andi closed file andi.bat (numopen=0) 
    andi opened file andi.bat read=Yes write=No (numopen=1)
    andi closed file andi.bat (numopen=0) 
    andi opened file andi.bat read=Yes write=No (numopen=1)
    andi closed file andi.bat (numopen=0) 
    andi opened file andi.bat read=Yes write=No (numopen=1)
    mic (192.168.100.32) connect to service profiles initially as user andi (uid=1002, gid=1001) (pid 6421)
    mic (192.168.100.32) connect to service privat initially as user andi (uid=1002, gid=1001) (pid 6421)
    andi closed file andi.bat (numopen=0) 
    Returning domain sid for domain M-NET.LOCAL -> S-1-5-21-1167306390-3380132565-721316632
    mic (192.168.100.32) connect to service profiles initially as user andi (uid=1002, gid=1001) (pid 6421)
    mic (192.168.100.32) closed connection to service netlogon
    mic (192.168.100.32) closed connection to service andi
    mic (192.168.100.32) closed connection to service profiles
    mic (192.168.100.32) closed connection to service privat
    mic (192.168.100.32) closed connection to service profiles
    Closing connections

    Das ist meine Log bei Log-Level 2. Habe mich mal ein und wieder ausgeloggt.

    Ja das mit dem Passwort und Benutzername, gute Sache, aber wie sieht es denn aus, wenn einer der Benutzer sein Passwort ändert??? Dann muss ich doch die *.bat für den Nutzer wieder neu schreiben, oder nicht???

    aber ich werde es mal probieren, wie es damit läuft...

    THX mfg MIC
     
  5. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
  6. #5 micologe, 07.05.2006
    micologe

    micologe Jungspund

    Dabei seit:
    05.05.2006
    Beiträge:
    11
    Zustimmungen:
    0
    Lösung???

    Hallo

    Jetzt hab ich das Problem schon mal kurz gelöst gehabt.....es lag an dem Netlogon skript.... :-) ein \%Username% war zuviel dabei

    ABER:

    Als ich den Pc dann heruntergefahren hab, ging es wieder von vorne los......"Es wurde kein servergespeichertes Profil gefunden.......bla bla bla"

    Ich hoffe mir kann das jemand erklären???

    Hier der Auszug aus meiner share-Sektion der smb.conf:

    Das Profile ist in dem Verzeichnis /var/lib/samba/profiles/mich-a(also der User)/* abgespeichert. Ich habs von dem Win Rechner aus
    herüberkopiert und dann so gelassen.
    Muss ich evtl. ein Default Profile irgendwo anlegen???
    Oder gehören alle Profile der Nutzer (8 verschiede Nutzerprofile) direkt auf die Freigabe Profiles??? Was aber schlecht ist, da ja
    eines das andere überschreibt, oder nicht???

    Code:
    [profiles]
    	comment = Network Profiles Service
    	path = /var/lib/samba/profiles
    	writeable = yes
    	browseable = yes
    	profile acls = yes
    Hier noch ein kurzer Auszug aus der global meiner smb.conf:

    Code:
    logon script = %U.bat
    	logon path = \\%L\profiles\%U
    	logon home = \\%L\homes\%U
    	logon drive = M:
    Und das ist das netlogon-skript des Users:

    Code:
    @echo: off
    NET USE Z: \\mic-samba\netlogon\mich-a.bat
    NET USE Y: \\mic-samba\profiles
    NET USE P: \\mic-samba\privat
    NET USE Q: \\mic-samba\betrieb
    NET TIME \\mic-samba /set /yes
    :END
    Hab bei allen Verzeichnissen samt Unterverzeichnisse mal volle Rechte also 777 vergeben. Aber ich hab echt keine Ahnung mehr, warum das schon wieder nicht mehr geht....

    Ich hoffe das mir da jemand hier weiterhelfen kann!!! Das wäre echt nicht schlecht.............

    Ciao mfg MIC
     
  7. #6 allos, 10.05.2006
    Zuletzt bearbeitet: 10.05.2006
    allos

    allos Maulwurf

    Dabei seit:
    09.05.2006
    Beiträge:
    4
    Zustimmungen:
    0
    Windows kann das nicht richtig gut...

    Das war jedenfalls unsere Erfahrung mit den Profilverzeichnissen auf Samba-Server. Windows überprüft standardmäßig, ob der User Eigentümer des Profilverzeichnisses ist. Das scheint aber auf Linuxkisten gegen die Wand zu laufen. Abhilfe: im Group-Policy-Editor auf den Workstations (gpedit.msc) den Schalter "Eigentümer von Servergespeicherten Benutzerprofilen nicht prüfen" aktivieren (findest Du unter Computerkonfiguration - Administrative Vorlagen - System - Anmeldung). Oder wenn Du den Ärger ganz weghaben willst, nimmst Du den darunterliegenden Schalter "Nur lokale Benutzerprofile zulassen" ;-)

    Dem Tip von theton, Username und Passwort in die Login-Datei zu schreiben, kann ich nicht folgen. Das Eintragen von Passworten im Klartext in Batchdateien ist sicherheitstechnisch nicht gerade optimal, vorsichtig gesprochen. Ausserdem ist doch zu dem Zeitpunkt, wo das Loginskript läuft, der User bereits authentifiziert. Oder bin ich im falschen Film?
     
  8. theton

    theton Bitmuncher

    Dabei seit:
    27.05.2004
    Beiträge:
    4.820
    Zustimmungen:
    0
    Ort:
    Berlin, Germany
    Dass MCert pro Woche etwa 3-5 neue Sicherheitsluecken fuer Windows meldet ist auch nicht gerade optimal. Ich denke, dass da ein paar Klartext-Passwoerter keine Probleme machen. Windows ist ansich unsicher, vorsichtig gesprochen. Da kann man sich noch so sehr anstrengen. Kaum denkt man, dass man das System endlich einigermassen sicher hat, wird schon die naechste Luecke gemeldet. Ich habe es daher mittlerweise aufgegeben Windows-Rechner sicher machen zu wollen, funktioniert eh nicht. Als sch... auf Klartext-Passwoerter unter Windows. Irgendwie kommt man an die ja doch ran, man muss nur lange genug warten bis eine passende Luecke gemeldet wird. :devil:
     
  9. #8 micologe, 10.05.2006
    micologe

    micologe Jungspund

    Dabei seit:
    05.05.2006
    Beiträge:
    11
    Zustimmungen:
    0
    tja, da hast du ja vollkommen Recht, das diese MS-Betriebssysteme einfach nicht sicher genug sind.....
    Da ich aber leider der einzige bei uns bin, der allein nur mit dem Wort Linux überhaupt was anfangen kann ("HÄÄÄ?!?!?! Was ist den Linux?!?!?!?" Ach ja das hat ja den coolen Pinguin mit dabei, oder nicht???)
    Wird es wahrscheinlich etwas schwer, alle Rechner mit Linux laufen zu lassen...... :-)

    Das mit den Passwörtern:
    Ich denke mir wenn sie jemand haben will, der bekommt sie auch so......
    Aber ich will sie ihm echt nicht in Klartext zur Verfügung stellen!!! Wenn dann soll er schon ein wenig arbeiten dafür!!!

    Und es geht eingentlich auch so, ohne die Passwörter....
    Es ist ja bisher, soweit ich das feststellen konnte nur an den sch..... Profiles gescheitert.
    Nun ich werde mal den Tipp mit dem msc probieren, dann schauen wir mal, ob es geht oder nicht...

    THX ciao mfg MIC
     
  10. #9 micologe, 21.05.2006
    micologe

    micologe Jungspund

    Dabei seit:
    05.05.2006
    Beiträge:
    11
    Zustimmungen:
    0
    THX @allos

    Das war genau das, woran es gelegen hat!!! hab das mal mit gpedit.msc umgestellt, seitdem läuft der Samba und will auch garnicht mehr aufhören...... :-)

    Ciao mfg MIC
     
Thema:

Samba und der PDC... Profilprobleme! HELP!!!

Die Seite wird geladen...

Samba und der PDC... Profilprobleme! HELP!!! - Ähnliche Themen

  1. Samba 4 DC ACL auf Attribut

    Samba 4 DC ACL auf Attribut: Hallo, ich möchte ein paar Attribute im AD nur für eine Gruppe lesbar machen, nur beim Speichern bekomme ich die Meldung, daß der Server es nicht...
  2. Autehtifizierung gegen Password Server nach Update SAMBA 3.6.6

    Autehtifizierung gegen Password Server nach Update SAMBA 3.6.6: Hi... ich bekomme einfach den "Dreh" nicht an meine Recherche/Suche nach einer Lösung: Ein Samba 3.5.6 (läßt sich leider z.Z. nicht updaten) läuft...
  3. Samba schließt kritische Sicherheitslücke

    Samba schließt kritische Sicherheitslücke: Nachdem das Samba-Team bereits vor drei Wochen eine Warnung vor einer kritischen Sicherheitslücke in der eigenen Software, aber auch in Windows,...
  4. Anmeldung auf Samba4 Server

    Anmeldung auf Samba4 Server: Ein debian 8 server mit samba4 als pdc und file server installiert. Alle Konfigurationen sind gut gelaufen und samba4 hat bis jetzt einwandfrei...
  5. Artikel: Samba, Btrfs und Shadow Copies

    Artikel: Samba, Btrfs und Shadow Copies: Dieser Beitrag zeigt, wie man auf einem Linux-Server in einer Demoumgebung auf einer zusätzlichen Festplatte mit Btrfs-Snapshots erstellt, und...