PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Samba3: Integration SuSE 9.0 in Win2000 ADS



PWR
04.08.2005, 10:56
Hallo,

Bin momentan mit der Integration eines SuSE 9.0 Clients in eine Windows2000 ADS beschäftigt. Letztendlich sollte man sich im KDM direkt über einen ADS-Account einloggen können. Dies ist schon mit zwei Domänen möglich, aber die dritte (die, die ich brauche) wird nicht gefunden.

Mein Host ist schon im ADS aufgenommen und am DC ist er sichtbar. Daran liegts nicht. Hier mal der Output von winbind beim Start:


it0033:/home/pwr # winbindd -i -d 3 -s /etc/samba/smb.conf
winbindd version 3.0.14a-SUSE started.
Copyright The Samba Team 2000-2004
lp_load: refreshing parameters
Initialising global parameters
params.c:pm_process() - Processing configuration file "/etc/samba/smb.conf"
Processing section "[global]"
Processing section "[htdocs]"
adding IPC service
adding IPC service
added interface ip=10.103.1.105 bcast=10.103.1.255 nmask=255.255.255.0
added interface ip=10.103.1.105 bcast=10.103.1.255 nmask=255.255.255.0
Registered MSG_REQ_POOL_USAGE
Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED
Added domain OFFICE PLAST.LOCAL S-0-0
cm_get_ipc_userpass: No auth-user defined
Doing spnego session setup (blob length=116)
got OID=1 2 840 48018 1 2 2
got OID=1 2 840 113554 1 2 2
got OID=1 2 840 113554 1 2 2 3
got OID=1 3 6 1 4 1 311 2 2 10
got principal=officesrv$@PLAST.LOCAL
Kinit failed: Preauthentication failed
lsa_io_sec_qos: length c does not match size 8
add_trusted_domain: OFFICE is an ADS mixed mode domain
ads: alternate_name
Connected to LDAP server 10.103.1.11
got ldap server name tpsqlsrv@PLAST.LOCAL, using bind path: dc=PLAST,dc=LOCAL
ads_sasl_spnego_bind: got OID=1 2 840 48018 1 2 2
ads_sasl_spnego_bind: got OID=1 2 840 113554 1 2 2
ads_sasl_spnego_bind: got OID=1 2 840 113554 1 2 2 3
ads_sasl_spnego_bind: got OID=1 3 6 1 4 1 311 2 2 10
ads_sasl_spnego_bind: got server principal name =tpsqlsrv$@PLAST.LOCAL
ads_krb5_mk_req: krb5_cc_get_principal failed (No such file or directory)
kerberos_kinit_password host/IT0033@PLAST.LOCAL failed: Client not found in Kerberos database
ads_connect for domain OFFICE failed: Client not found in Kerberos database
ads: trusted_domains
cm_get_ipc_userpass: No auth-user defined
Doing spnego session setup (blob length=116)
got OID=1 2 840 48018 1 2 2
got OID=1 2 840 113554 1 2 2
got OID=1 2 840 113554 1 2 2 3
got OID=1 3 6 1 4 1 311 2 2 10
got principal=officesrv$@PLAST.LOCAL
Kinit failed: Preauthentication failed
cli_nt_setup_creds: auth2 challenge failed NT_STATUS_ACCESS_DENIED
schannel refused - continuing without schannel (NT_STATUS_ACCESS_DENIED)
Added domain SAP sap.technoplast.local S-1-5-21-1176254614-2005282282-1538882281
Added domain PLAST technoplast.cc S-1-5-21-1547161642-1500820517-725345543
Added domain BUILTIN S-1-5-32
Added domain IT0033 S-1-5-21-1987135206-2675671312-1246824556
ads: trusted_domains
cm_get_ipc_userpass: No auth-user defined
Doing spnego session setup (blob length=116)
got OID=1 2 840 48018 1 2 2
got OID=1 2 840 113554 1 2 2
got OID=1 2 840 113554 1 2 2 3
got OID=1 3 6 1 4 1 311 2 2 10
got principal=officesrv$@PLAST.LOCAL
Kinit failed: Preauthentication failed
cli_nt_setup_creds: auth2 challenge failed NT_STATUS_ACCESS_DENIED
schannel refused - continuing without schannel (NT_STATUS_ACCESS_DENIED)

Zur Erklärung: Mein Host heißt IT0033. PDC ist officesrv, BDC tpsqlsrv. Beide wechseln sich ab, je nachdem, wie ausgelastet ADS gerade ist.
OFFICE ist die Domain der Begierde, die leider nicht verfügbar ist. Den vermutlichen Grund dafür hab ich im log schon Fett hervorgehoben. Scheinbar ist mein Host nicht in der Kerberos-DB... den Fehler scheinen einige Leute zu haben, was ich über Google herausbekam. Eine brauchbare Lösung fand ich nicht. Werd nachher evtl. veranlassen, dass der Host nocheinmal neu ins ADS aufgenommen wird.


Und jetzt noch meine smb.conf und die krb5.conf:


[libdefaults]
default_realm = PLAST.LOCAL
clockskew = 300

[realms]
PLAST.LOCAL = {
kdc = 10.103.1.22
kpasswd_server = 10.103.1.22
default_domain = OFFICE
}

[domain_realm]
.OFFICE = OFFICE
.office = OFFICE

uuuund die smb.conf:


[global]
# ADS STUFF
realm = PLAST.LOCAL
workgroup = OFFICE
os level = 2
time server = Yes
unix extensions = Yes
encrypt passwords = yes
password server = *
map to guest = Bad User
wins support = No
security = ADS
server string = SuSE9

# WINBIND SECTION
winbind separator = +
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
preferred master = no
template shell = /bin/false

[htdocs]
comment = Webdokumente
path = /srv/www/htdocs/
browseable = yes
guest ok = no
printable = no
read only = no


Falls die eigentliche Frage noch nicht klar herauskam: Schonmal wer ein ähnliches Problem gehabt? Wie kann ich die Domain OFFICE erreichbar machen?

grüße, philipp