PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : WinXP will nicht in die Domäne



mischka
24.08.2005, 19:19
Hi !
Dies ist mein erster Beitrag, ich entschuldige mich schon im vorraus für den langen Beitrag, ich möchte euch soviel Angaben machen wie ich kann, und ich hoffe, ihr könnt mir helfen.
Also ich hab hier einen Samba PDC (samba-3.0.14) mit LDAP-Backend (2.2.27) aufgesetzt (hoff ich jedenfalls). Das Problem ist, WinXP möchte nicht in meine Domäne. Ich bekomme folgende Meldung:
"Beim Versuch der Domäne "SPIELE" trat der folgende Fehler auf: Der Benutzername konnte nicht gefunden werden."
Im Samba-Logfile find ich dies:
[2005/08/24 19:04:04, 2] passdb/pdb_ldap.c:init_sam_from_ldap(499)
init_sam_from_ldap: Entry found for user: root
[2005/08/24 19:04:04, 2] auth/auth.c:check_ntlm_password(305)
check_ntlm_password: authentication for user [root] -> [root] -> [root] succeeded
[2005/08/24 19:04:05, 2]
rpc_server/srv_samr_nt.c:_samr_lookup_domain(2580)
Returning domain sid for domain SPIELE -> S-1-5-21-3886292755-2720702596-2478349069

Sieht also eigentlich ganz gut aus, es wird der Maschinenaccount angelegt, und die Domain-SID wird auch geschickt, was geht da also schief ?

Mischka



Hier kommen meine Konfigurationsdateien:

Hier meine smb.conf:
netbios name = STOPPI
workgroup = SPIELE
server string = stoppi

host allow = 192.168.0.
security = user
encrypt passwords = yes
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
interfaces = fxp0
bind interfaces only = yes

log level = 2
log file = /var/log/samba/log.%m
max log size = 10000

local master = yes
os level = 65
domain master = yes
preferred master = yes

domain logons = yes
logon script = login.bat
logon path = \\%L\profiles\%U
logon drive = H:

null passwords = no
hide unreadable = yes
hide dot files = yes

ldap passwd sync = yes
passdb backend = ldapsam:ldap://192.168.0.1/

admin users = root
ldap admin dn = cn=root,dc=localnet,dc=de
ldap suffix = dc=localnet,dc=de
ldap group suffix = ou=Groups
ldap user suffix = ou=Users
ldap machine suffix = ou=Computers

add machine script = /usr/local/sbin/smbldap-useradd -w "%u"
add user script = /usr/local/sbin/smbldap-useradd -m "%u"
ldap delete dn = Yes
add group script = /usr/local/sbin/smbldap-groupadd -p "%g"
add user to group script = /usr/local/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/local/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/local/sbin/smbldap-usermod -g "%g" "%u"

dos charset = 850
unix charset = ISO8859-1

[netlogon] und [profiles] sind auch vorhanden, hier mein ldap-Direktory:

# extended LDIF
#
# LDAPv3
# base <> with scope sub
# filter: (objectclass=*)
# requesting: ALL
#

# localnet.de
dn: dc=localnet,dc=de
objectClass: dcObject
objectClass: organization
o: localnet
dc: localnet

# Users, localnet.de
dn: ou=Users,dc=localnet,dc=de
objectClass: organizationalUnit
ou: Users

# Groups, localnet.de
dn: ou=Groups,dc=localnet,dc=de
objectClass: organizationalUnit
ou: Groups

# Computers, localnet.de
dn: ou=Computers,dc=localnet,dc=de
objectClass: organizationalUnit
ou: Computers

# Idmap, localnet.de
dn: ou=Idmap,dc=localnet,dc=de
objectClass: organizationalUnit
ou: Idmap

# root, Users, localnet.de
dn: uid=root,ou=Users,dc=localnet,dc=de
cn: root
sn: root
objectClass: inetOrgPerson
objectClass: sambaSamAccount
objectClass: posixAccount
objectClass: shadowAccount
gidNumber: 0
uid: root
uidNumber: 0
homeDirectory: /home/root
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaPwdCanChange: 0
sambaHomePath: \\STOPPI\home\root
sambaHomeDrive: H:
sambaProfilePath: \\STOPPI\profiles\root
sambaPrimaryGroupSID: S-1-5-21-3886292755-2720702596-2478349069-512
sambaSID: S-1-5-21-3886292755-2720702596-2478349069-500
loginShell: /bin/false
gecos: Netbios Domain Administrator
sambaAcctFlags: [U]
sambaPwdLastSet: 1124831186
sambaKickoffTime: 0
sambaPwdMustChange: 2447483647

# nobody, Users, localnet.de
dn: uid=nobody,ou=Users,dc=localnet,dc=de
cn: nobody
sn: nobody
objectClass: inetOrgPerson
objectClass: sambaSamAccount
objectClass: posixAccount
objectClass: shadowAccount
gidNumber: 514
uid: nobody
uidNumber: 999
homeDirectory: /dev/null
sambaPwdLastSet: 0
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
sambaPwdMustChange: 2147483647
sambaHomePath: \\STOPPI\home\nobody
sambaHomeDrive: H:
sambaProfilePath: \\STOPPI\profiles\nobody
sambaPrimaryGroupSID: S-1-5-21-3886292755-2720702596-2478349069-514
sambaAcctFlags: [NUD ]
sambaSID: S-1-5-21-3886292755-2720702596-2478349069-2998
loginShell: /bin/false

# Domain Admins, Groups, localnet.de
dn: cn=Domain Admins,ou=Groups,dc=localnet,dc=de
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 512
cn: Domain Admins
memberUid: root
description: Netbios Domain Administrators
sambaSID: S-1-5-21-3886292755-2720702596-2478349069-512
sambaGroupType: 2
displayName: Domain Admins

# Domain Users, Groups, localnet.de
dn: cn=Domain Users,ou=Groups,dc=localnet,dc=de
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 513
cn: Domain Users
description: Netbios Domain Users
sambaSID: S-1-5-21-3886292755-2720702596-2478349069-513
sambaGroupType: 2
displayName: Domain Users
memberUid: micha
# Domain Guests, Groups, localnet.de
dn: cn=Domain Guests,ou=Groups,dc=localnet,dc=de
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 514
cn: Domain Guests
description: Netbios Domain Guests Users
sambaSID: S-1-5-21-3886292755-2720702596-2478349069-514
sambaGroupType: 2
displayName: Domain Guests

# Domain Computers, Groups, localnet.de
dn: cn=Domain Computers,ou=Groups,dc=localnet,dc=de
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 515
cn: Domain Computers
description: Netbios Domain Computers accounts
sambaSID: S-1-5-21-3886292755-2720702596-2478349069-515
sambaGroupType: 2
displayName: Domain Computers
# Administrators, Groups, localnet.de
dn: cn=Administrators,ou=Groups,dc=localnet,dc=de
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 544
cn: Administrators
description: Netbios Domain Members can fully administer the computer/sambaDom
ainName
sambaSID: S-1-5-32-544
sambaGroupType: 5
displayName: Administrators

# Account Operators, Groups, localnet.de
dn: cn=Account Operators,ou=Groups,dc=localnet,dc=de
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 548
cn: Account Operators
description: Netbios Domain Users to manipulate users accounts
sambaSID: S-1-5-32-548
sambaGroupType: 5
displayName: Account Operators

# Print Operators, Groups, localnet.de
dn: cn=Print Operators,ou=Groups,dc=localnet,dc=de
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 550
cn: Print Operators
description: Netbios Domain Print Operators
sambaSID: S-1-5-32-550
sambaGroupType: 5
displayName: Print Operators

# Backup Operators, Groups, localnet.de
dn: cn=Backup Operators,ou=Groups,dc=localnet,dc=de
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 551
cn: Backup Operators
description: Netbios Domain Members can bypass file security to back up files
sambaSID: S-1-5-32-551
sambaGroupType: 5
displayName: Backup Operators

# Replicators, Groups, localnet.de
dn: cn=Replicators,ou=Groups,dc=localnet,dc=de
objectClass: posixGroup
objectClass: sambaGroupMapping
gidNumber: 552
cn: Replicators
description: Netbios Domain Supports file replication in a sambaDomainName
sambaSID: S-1-5-32-552
sambaGroupType: 5
displayName: Replicators

# NextFreeUnixId, localnet.de
dn: cn=NextFreeUnixId,dc=localnet,dc=de
objectClass: inetOrgPerson
objectClass: sambaUnixIdPool
gidNumber: 1000
cn: NextFreeUnixId
sn: NextFreeUnixId
uidNumber: 1003

# micha, Users, localnet.de
dn: uid=micha,ou=Users,dc=localnet,dc=de
objectClass: top
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: sambaSamAccount
cn: micha
sn: micha
uid: micha
gidNumber: 513
homeDirectory: /home/micha
loginShell: /usr/local/bin/bash
gecos: System User
description: System User
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
sambaSID: S-1-5-21-3886292755-2720702596-2478349069-3002
sambaPrimaryGroupSID: S-1-5-21-3886292755-2720702596-2478349069-513
sambaLogonScript: logon.bat
sambaProfilePath: \\STOPPI\profiles\micha
sambaHomePath: \\STOPPI\home\micha
sambaHomeDrive: H:
sambaAcctFlags: [U]
sambaPwdLastSet: 1124831558
displayName: Michael Gusek
uidNumber: 500
sambaPwdMustChange: 2547483647

# SPIELE, localnet.de
dn: sambaDomainName=SPIELE,dc=localnet,dc=de
sambaDomainName: SPIELE
sambaSID: S-1-5-21-3886292755-2720702596-2478349069
sambaAlgorithmicRidBase: 1000
objectClass: sambaDomain

# crolla$, Computers, localnet.de
dn: uid=crolla$,ou=Computers,dc=localnet,dc=de
objectClass: top
objectClass: inetOrgPerson
objectClass: posixAccount
cn: crolla$
sn: crolla$
uid: crolla$
uidNumber: 1002
gidNumber: 515
homeDirectory: /dev/null
loginShell: /bin/false
description: Computer
gecos: Computer

Horus
24.08.2005, 19:57
hast du den Benutzer sowohl in der Linux Benutzerverwaltung - als auch im Samba angelegt.

für die Domänenanmeldung musst du immer den root Account benutzen, da nur er über Administrator Rechte verfügt.
Später kannst du beliebige Benutzer an der Domäne anmelden

Gruß

Horus

mischka
24.08.2005, 20:09
Ja natürlich, siehe auch im gezeigtem Log, der Benutzer root wird erfolgreich authentifiziert:
[2005/08/24 18:46:59, 2] auth/auth.c:check_ntlm_password(305)
check_ntlm_password: authentication for user [root] -> [root] -> [root] succeeded

Mischka

Horus
24.08.2005, 20:14
Probiers mal mit einer "Minimal Konfiguration" der smb.conf

meine SMB.conf (Domänen anmeldung klappt mit Windows 98, Windows 2000 / NT und Windows XP Clients)

[global]
workgroup = SPIELE
netbios name = STOPPI
server string = Samba Server
bind interfaces only = true
interfaces = 127.0.0.1 eth0
printing = cups
printcap name = cups
map to guest = Bad User
encrypt passwords = yes
logon script = logon.cmd
logon path = \\%N\profiles\%u
logon drive = X:
logon home = \\%N\%U\profiles
domain logons = yes
security = user
os level = 33
preferred master = yes
domain master = yes
printer admin = @ntadmin, root, administrator
add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
ldap suffix = dc=example,dc=com
passdb backend = smbpasswd
local master = no
cups options = raw
disable spoolss = yes

[netlogon]
path = /var/lib/samba/netlogon
write list = ntadmin
browseable = yes
guest ok = no
printable = no

[profiles]
path = /var/lib/samba/profiles
read only = No
create mask = 0600
directory mask = 0700
browseable = yes
guest ok = no
printable = no

[homes]
comment = Home Directories
valid users = %S
read only = No
browseable = yes
guest ok = no
printable = no

[users]
comment = All users
path = /home
read only = No
inherit permissions = Yes
veto files = /aquota.user/groups/shares/
browseable = yes
guest ok = no
printable = no

[groups]
comment = All groups
path = /home/groups
read only = No
inherit permissions = Yes
browseable = yes
guest ok = no
printable = no

mischka
24.08.2005, 20:26
Hmmja, Du verwendest smbpasswd als backend, ich wollt eigentlich ldap als backend nehmen ...

Gruss Mischka

Horus
24.08.2005, 21:09
Das sollte eigentlich egal sein, mit
passdb backend = ldapsam:ldap://192.168.0.1 sollte es auch funktionieren
aber du kannst ja mal testweise die smbpasswd ausprobieren,
dann musst du aber daran denken, alle Domänen Benutzer doppelt anzulegen,
sowohl in der Linux Benutzer Verwaltung als auch in der smbpasswd

Horus
24.08.2005, 21:15
kannst du mal noch die Datei /etc/openldap/slapd.conf posten

mischka
24.08.2005, 21:23
ja klar, hier ist sie:
include /usr/local/etc/openldap/schema/core.schema
include /usr/local/etc/openldap/schema/cosine.schema
include /usr/local/etc/openldap/schema/inetorgperson.schema
include /usr/local/etc/openldap/schema/nis.schema
include /usr/local/etc/openldap/schema/samba.schema

pidfile /var/run/slapd.pid
argsfile /var/run/slapd.args

schemacheck on
#lastmod on
loglevel 0
database ldbm

suffix "dc=localnet,dc=de"
rootdn "cn=root,dc=localnet,dc=de"
rootpw {SSHA}xxxxx
password-hash {SSHA}

directory /var/db/openldap-ldbm

index objectClass,uidNumber,gidNumber eq
index cn,sn,uid,displayName pres,sub,eq
index memberUid,mail,givenname eq,subinitial
index sambaSID,sambaPrimaryGroupSID,sambaDomainName eq

access to attrs=userPassword,sambaNTPassword,sambaLMPassword
by self write
by anonymous auth
by * none

access to *
by * read

Horus
24.08.2005, 21:46
Binde mal noch (falls du Samba 3 verwendest) die datei ein

include /usr/local/etc/openldap/schema/samba3.schema

aber ich denke nicht, das es an der ldap Konfiguration liegt.

Wenn du eine Firewall laufen hast, schalte diese mal testweise aus.

ich habe auch noch eine HOWTO gefunden (in Englisch) vielleicht Hilft das weiter:

http://www.idealx.org/prj/samba/samba-ldap-howto.pdf

mischka
24.08.2005, 22:32
ich glaube die verwende ich bereits, nur für den fall, kannst Du mir deine schicken ? Aber eigentlich glaube ich auch nicht, das es an der Konfig liegt. Die Firewall lässt im internen Netz alles zu. Muss man auf XP seite was einstellen, bevor man eine samba-domäne betreten möchte ?
Ich hab eine leicht abgewandelte Anleitung von idealix benutzt:
http://de.gentoo-wiki.com/Samba_PDC_mit_LDAP-Backend

Michka

Horus
25.08.2005, 07:35
war der XP Client schon mal in einer Domäne drin?

mischka
25.08.2005, 08:48
nö, war er nicht, ist ne neue neue Samba-Installation, und der XP-Rechner ist auch frisch aufgesetzt

Mischka

HangLoose
26.08.2005, 20:11
moin

kannst du mal die ausgabe von

getent passwd

posten? ich vermute mal das der zugriff auf die ldap db nicht klappt.


Gruß HL

mischka
26.08.2005, 21:29
hmm, das ist ein Problem. Samba läuft unter FreeBSD, da gibs kein getent. Immerhin läuft das anmelden via nss_ldap und pam_ldap, also so verkehrt kann die Config nicht sein. Übers WE probier ich meine Config mal unter nem Suse 9.3, nur um sicher zu gehen ...

Micha

HangLoose
26.08.2005, 21:42
hi,


ich hab nen zeitlang mit MultiMaster rumgespielt (auf nem SLES9) und dabei war jedesmal nach dem ersten replizieren kein Zugriff mehr auf die LDAP-DB möglich. Bei ner Master/Slave Replikation läuft es problemlos.

Du nimmst die Maschine aber schon mit dem "samba root" auf, oder?


Gruß HL

HangLoose
26.08.2005, 22:01
was mir grade noch einfällt => ist das passwort vom ldap-admin in der secrets.tdb gespeichert? wenn nicht

smbpasswd -w ldap-admin-passwort

dracko
08.09.2005, 11:48
Hallo habe das gleiche Problem gehabt!!
Habe in der smb.conf zun den admin usern den Administrator hinzugefügt, und schon war die sache geritzt!!!


MfG

Daniel

serious
07.06.2006, 22:36
Hi,
ich hatte scheinbar das gleiche problem.

zusammengefasst:
- beim versuch in eine domäne einzutreten passiert so etwas
blafasel \n "Der Benutzername konnte nicht gefunden werden."
- samba verwendet ldap als passwort backend
- benutzer sind in einer ou=Users oder ähnlich
- machine trusts in einer extra ou (hier lauert das problem)
- normale anmeldungen von usern funktionieren, zugriff auf ressourcen auch

lösung und beschreibung:
auf der samba seite wird für die machine trust accounts alles bekannt gemacht (ldap machine suffix = ou=Computers) aber was vergessen wird ist das auf der unix seite auch zugriff auf diese accounts bestehen muss.
deswegen wird ohne ldap password backend ein eintrag in /etc/passwd und einer in der samba eigenen benutzerdatenbank benötigt; jeweils für user _und_ für machine trusts.

bei mir war genau das der fehler. auf der unix seite verwendete ich bereits nss_ldap für groups,passwd und logins. in meiner ldap.conf habe ich dafür angegeben:
nss_base_passwd ou=Users, dc=serious-net,dc=local?one
nss_base_passwd ou=Computers, dc=serious-net,dc=local?one
nss_base_shadow ou=Users, dc=serious-net,dc=local?one
nss_base_group ou=Groups,dc=serious-net, dc=local?one

der springende punkt liegt hierbei am eintrag für ou=Computers, welcher dafür sorgt, dass auch die computer$ accounts auch duch nss zugreifbar sind.
(am besten per getent überprüfen)

das war meine lösung. funktioniert jetzt alles prima

mfg
serious

[ja ich weiss das der thread alt wie scheisse ist; trotzdem einer der wenigen funde der suchmaschiene meines vertrauens, sommit finde ich die informationen auch wieder falls die probleme bei mir mal wieder auftreten :) ]

tekknokrat
18.12.2007, 21:10
- machine trusts in einer extra ou (hier lauert das problem)

klasse aufklärung des problems. Bei mir lag es genau daran!!!1
Ich hab im log immer nur den eintrag gehabt dass kein account für xpclient$ angelegt werden konnte.