Active Directory Login

G

Greeny

Grünschnabel
Servus und hallo,
im Moment versuche ich meinem Linuxserver beizubringen, dass ich auf ihn mit Samba, Kerberos und AD zugreifen kann.
Habe google schon ausgiebig durchforstet und meine kleine "Suse 11.2" wird nun auch endlich in der Netzwerkumgebung angezeigt.:)

Leider schaffe ich es nicht, dass ich einfach auf den Server zugreifen kann, ohne Username und Passwort einzugeben, bzw. selbst wenn ich das tue, fragt er mich bis ins Unendliche nochmal nach dem Login.:think:

Habe zum Beispiel das hier ausprobiert:
http://www.servercommunity.de/viewtopic.php?t=1258
und das klappt auch, nur, wie gesagt, der Login nicht wirklich.
Und das ist leider eher unpraktikabel, da ich so wie es nun ist alle Ordner an alle freigeben muss, damit ich überhaupt an dieser heran komme.?(

Da scheint noch ein Fehler zu sein und ich hoffe ihr und Sie könnt/können mir hierbei helfen, da mir momentan anscheinend die Vulkanasche das Hirn verstaubt.:hilfe2:

Mit einem netten Gruß und einem schönen Tag

Greeny
 
Fehlermeldungen? Logfileinhalte? Sonstige Auffälligkeiten?
Meine Kristallkugel ist leider auch eingestaubt.
 
Fehlermeldungen gibt es eigentlich keine.
Auffällig ist auf jedenfall, dass ich mich per "su" mit 2 Benutzern aus dem AD auch anmelden kann, alle anderen meldet er als unbekannt.
Der Login über Putty klappt bei gar keinem User.

Außerdem fehlt mir die pam_unix2.conf im Ordner /etc/security
die laut allen Anleitungen da liegen sollte.


wbinfo -u klappt einwandfrei und gibt mir alle AD User zurück.

Weiterhin noch:
Der Server taucht im Netzwerk auf, aber nur solange Gastzugriff erlaubt ist in der smb.conf, komme ich darauf.


In den Logfiles sind keine Fehler zu sehen.
Bzw sind ein Haufen Logfiles, welcher würde denn was nutzen?
 
Welche logfiles gibt es denn?
bzw. setze in der smb.conf
Code:
log file = /path/to/logdir/smb.log.%m
log level = 1
Damit wird für jeden Host ein eigenes Logfile angelegt und die Ausgabe wird übersichtlich.
Dann von einem Host versuchen, eine Verbindung aufzubauen, das logfile finden und checken.
Vielleicht danach nochmal mit
Code:
log level = 3
Samba gesprächiger machen, aber dann werden deutlich mehr Daten gelogt und es könnte zu viel werden.

Das wäre dann erstmal ein Ansatz rauszufinden, warum Samba zickt.
Normalerweise schreibt Samba das in die Logfiles.
 
Hab das mal umgestellt und es ist doch schon wesentlich übersichtlicher.

Bekomme nun folgenden Fehler sobald ich "Gast" deaktiviere und versuche auf den Ordner zu kommen:
Code:
[2010/04/20 13:32:05,  1] smbd/service.c:676(make_connection_snum)
  create_connection_server_info failed: NT_STATUS_ACCESS_DENIED
[2010/04/20 13:32:05,  1] smbd/sesssetup.c:464(reply_spnego_kerberos)
  Username NETZ.INTERN#MAARTEND-XP$ is invalid on this system
[2010/04/20 13:32:05,  1] smbd/service.c:676(make_connection_snum)
  create_connection_server_info failed: NT_STATUS_ACCESS_DENIED

Den Benutzer Maartend-xp gibt es AD auch nicht. Das ist nur der Computername und nicht der Windowsloginname.
Kann man das irgendwo einstellen, dass er den Windowsloginnamen nimmt?

EDIT:
Was mir dann aber noch ein Rätsel ist, warum ich wenn ich bei Putty den Loginnamen angebe, es trotzdem nicht klappt.

Und noch des Level 3 Log:
Code:
[2010/04/20 13:43:21,  3] auth/auth.c:222(check_ntlm_password)
  check_ntlm_password:  Checking password for unmapped user [VM-NIS-SLX]\[markusm]@[MAARTEND-XP] with the new password interface
[2010/04/20 13:43:21,  3] auth/auth.c:225(check_ntlm_password)
  check_ntlm_password:  mapped user is: [VM-NIS-SLX]\[markusm]@[MAARTEND-XP]
[2010/04/20 13:43:21,  3] smbd/sec_ctx.c:210(push_sec_ctx)
  push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1
[2010/04/20 13:43:21,  3] smbd/uid.c:428(push_conn_ctx)
  push_conn_ctx(0) : conn_ctx_stack_ndx = 0
[2010/04/20 13:43:21,  3] smbd/sec_ctx.c:310(set_sec_ctx)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2010/04/20 13:43:21,  3] smbd/sec_ctx.c:418(pop_sec_ctx)
  pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2010/04/20 13:43:21,  3] auth/auth_sam.c:282(check_sam_security)
  check_sam_security: Couldn't find user 'markusm' in passdb.
[2010/04/20 13:43:21,  3] auth/auth_winbind.c:54(check_winbind_security)
  check_winbind_security: Not using winbind, requested domain [VM-NIS-SLX] was for this SAM.
[2010/04/20 13:43:21,  2] auth/auth.c:320(check_ntlm_password)
  check_ntlm_password:  Authentication for user [markusm] -> [markusm] FAILED with error NT_STATUS_NO_SUCH_USER
[2010/04/20 13:43:21,  3] smbd/sesssetup.c:42(do_map_to_guest)
  No such user markusm [VM-NIS-SLX] - using guest account
[2010/04/20 13:43:21,  3] smbd/sec_ctx.c:210(push_sec_ctx)
  push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1
[2010/04/20 13:43:21,  3] smbd/uid.c:428(push_conn_ctx)
  push_conn_ctx(0) : conn_ctx_stack_ndx = 0
[2010/04/20 13:43:21,  3] smbd/sec_ctx.c:310(set_sec_ctx)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2010/04/20 13:43:21,  3] smbd/sec_ctx.c:418(pop_sec_ctx)
  pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2010/04/20 13:43:21,  3] smbd/sec_ctx.c:210(push_sec_ctx)
  push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1
[2010/04/20 13:43:21,  3] smbd/uid.c:428(push_conn_ctx)
  push_conn_ctx(0) : conn_ctx_stack_ndx = 0
[2010/04/20 13:43:21,  3] smbd/sec_ctx.c:310(set_sec_ctx)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2010/04/20 13:43:21,  3] smbd/sec_ctx.c:418(pop_sec_ctx)
  pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2010/04/20 13:43:21,  3] smbd/password.c:269(register_existing_vuid)
  register_existing_vuid: User name: nobody     Real name: nobody
[2010/04/20 13:43:21,  3] smbd/password.c:279(register_existing_vuid)
  register_existing_vuid: UNIX uid 65534 is UNIX user nobody, and will be vuid 100
[2010/04/20 13:43:21,  3] smbd/process.c:1459(process_smb)
  Transaction 3 of length 100 (0 toread)
[2010/04/20 13:43:21,  3] smbd/process.c:1273(switch_message)
  switch message SMBtconX (pid 27636) conn 0x0
[2010/04/20 13:43:21,  3] smbd/sec_ctx.c:310(set_sec_ctx)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2010/04/20 13:43:21,  2] smbd/service.c:584(create_connection_server_info)
  guest user (from session setup) not permitted to access this share (beispiel2)
[2010/04/20 13:43:21,  1] smbd/service.c:676(make_connection_snum)
  create_connection_server_info failed: NT_STATUS_ACCESS_DENIED
[2010/04/20 13:43:21,  3] smbd/error.c:60(error_packet_set)
  error packet at smbd/reply.c(684) cmd=117 (SMBtconX) NT_STATUS_ACCESS_DENIED
[2010/04/20 13:43:21,  3] smbd/process.c:1459(process_smb)
  Transaction 4 of length 1588 (0 toread)
[2010/04/20 13:43:21,  3] smbd/process.c:1273(switch_message)
  switch message SMBsesssetupX (pid 27636) conn 0x0
[2010/04/20 13:43:21,  3] smbd/sec_ctx.c:310(set_sec_ctx)
 setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2010/04/20 13:43:21,  2] smbd/service.c:584(create_connection_server_info)
  guest user (from session setup) not permitted to access this share (beispiel2)
[2010/04/20 13:43:21,  1] smbd/service.c:676(make_connection_snum)
  create_connection_server_info failed: NT_STATUS_ACCESS_DENIED
[2010/04/20 13:43:21,  3] smbd/error.c:60(error_packet_set)
  error packet at smbd/reply.c(684) cmd=117 (SMBtconX) NT_STATUS_ACCESS_DENIED
[2010/04/20 13:43:21,  3] smbd/process.c:1459(process_smb)
  Transaction 4 of length 1588 (0 toread)
[2010/04/20 13:43:21,  3] smbd/process.c:1273(switch_message)
  switch message SMBsesssetupX (pid 27636) conn 0x0
[2010/04/20 13:43:21,  3] smbd/sec_ctx.c:310(set_sec_ctx)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2010/04/20 13:43:21,  3] smbd/sesssetup.c:1404(reply_sesssetup_and_X)
  wct=12 flg2=0xc807
[2010/04/20 13:43:21,  3] smbd/sesssetup.c:1160(reply_sesssetup_and_X_spnego)
  Doing spnego session setup
[2010/04/20 13:43:21,  3] smbd/sesssetup.c:1202(reply_sesssetup_and_X_spnego)
  NativeOS=[Windows 2002 Service Pack 3 2600] NativeLanMan=[Windows 2002 5.1] PrimaryDomain=[]
[2010/04/20 13:43:21,  3] smbd/sesssetup.c:786(reply_spnego_negotiate)
  reply_spnego_negotiate: Got secblob of size 1356
[2010/04/20 13:43:21,  3] libads/authdata.c:302(decode_pac_data)
  Found account name from PAC: MAARTEND-XP$ [MAARTEND-XP$]
[2010/04/20 13:43:21,  3] smbd/sesssetup.c:348(reply_spnego_kerberos)
  Ticket name is [MAARTEND-XP$@NETZ.INTERN]
[2010/04/20 13:43:21,  1] smbd/sesssetup.c:464(reply_spnego_kerberos)
  Username NETZ.INTERN#MAARTEND-XP$ is invalid on this system
[2010/04/20 13:43:21,  3] smbd/error.c:60(error_packet_set)
  error packet at smbd/sesssetup.c(469) cmd=115 (SMBsesssetupX) NT_STATUS_LOGON_FAILURE
[2010/04/20 13:43:21,  3] smbd/process.c:1459(process_smb)
  Transaction 5 of length 100 (0 toread)
[2010/04/20 13:43:21,  3] smbd/process.c:1273(switch_message)
  switch message SMBtconX (pid 27636) conn 0x0
[2010/04/20 13:43:21,  3] smbd/sec_ctx.c:310(set_sec_ctx)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2010/04/20 13:43:21,  2] smbd/service.c:584(create_connection_server_info)
  guest user (from session setup) not permitted to access this share (beispiel2)
[2010/04/20 13:43:21,  1] smbd/service.c:676(make_connection_snum)
  create_connection_server_info failed: NT_STATUS_ACCESS_DENIED
[2010/04/20 13:43:21,  3] smbd/error.c:60(error_packet_set)
  error packet at smbd/reply.c(684) cmd=117 (SMBtconX) NT_STATUS_ACCESS_DENIED
 
Zuletzt bearbeitet:
hier:
Code:
[2010/04/20 13:43:21,  3] auth/auth_sam.c:282(check_sam_security)
  check_sam_security: Couldn't find user 'markusm' in passdb.
[2010/04/20 13:43:21,  3] auth/auth_winbind.c:54(check_winbind_security)
  check_winbind_security: Not using winbind, requested domain [VM-NIS-SLX] was for this SAM.
[2010/04/20 13:43:21,  2] auth/auth.c:320(check_ntlm_password)
  check_ntlm_password:  Authentication for user [markusm] -> [markusm] FAILED with error NT_STATUS_NO_SUCH_USER
[2010/04/20 13:43:21,  3] smbd/sesssetup.c:42(do_map_to_guest)
  No such user markusm [VM-NIS-SLX] - using guest account

Wie heisst deine Domäne?
Poste bitte deine smb.conf.
 
Meine smb.conf ist:
Code:
# smb.conf is the main Samba configuration file. You find a full commented
# version at /usr/share/doc/packages/samba/examples/smb.conf.SuSE
# Date: 2004-04-06
[global]
workgroup = Netz.intern
server string = VM-AD1-2K8
wins server = VM-AD1-2K8
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
security = ads
encrypt passwords = true
obey pam restrictions = yes
socket options = TCP_NODELAY
domain master = no
idmap uid = 10000-40000
idmap gid = 10000-30000
template shell = /bin/bash
dos charset = 850
unix charset = ISO-8859-15
display charset = ISO-8859-15
realm = NETZ.INTERN
password server = VM-AD1-2K8
update encrypted = yes
map to guest = Bad User
local master = no
winbind separator = #
winbind cache time = 10
winbind use default domain = Yes
netbios name = VM-AD1-2K8
winbind enum users = yes
winbind enum groups = yes
admin users = NETZ.INTERN#markusm
 
[freigabe]
        comment = Kommentar
        writeable = yes
        path = /home/NETZ.INTERN/users
        write list = @smb

Vielen Dank für deine Mühen!
 
In der smb.conf setzt du die Domäne als
Netz.intern,
der Client meldet sich als Mitglied der Domäne
VM-NIS-SLX

In welcher Domäne steht der passwort-server/PDC??

Ich bezweifle, dass das überhaupt passwortlos funktionieren kann mit unterschiedlichen Domänen.

Gib mal bei dem Versuch einer Verbindung in das Dialogfeld
Code:
Domainname\Username
password
ein.
Das könnte dann schon funktionieren, sofern die anderen Einstellungen stimmen.
 
Habe mir grade eben die VM zerschossen -.-
Habe deshalb nochmal von vorne angefangen wie hier beschrieben:
http://www.servercommunity.de/viewtopic.php?t=1258

Aber jetzt klappt wieder mal rein gar nichts -.-
Hier unten ist mal das was ich getan habe, bzw was dabei rum kam.
Was hat es genau mit dem "DNS update failed" auf sich?

Code:
vm-nis-slx:/etc/init.d # net ads join -U mmadmin
Enter mmadmin's password:
Using short domain name -- NETZ.INTERN
Joined 'VM-NIS-SLX' to realm 'netz.intern'
[2010/04/20 15:20:16,  0] libads/kerberos.c:332(ads_kinit_password)
  kerberos_kinit_password VM-NIS-SLX$@NETZ.INTERN failed: Looping detected inside krb5_get_in_tkt
vm-nis-slx:/etc/init.d # net ads join -U mmadmin
Enter mmadmin's password:
Using short domain name -- NETZ.INTERN
Joined 'VM-NIS-SLX' to realm 'netz.intern'
DNS update failed!
vm-nis-slx:/etc/init.d # net ads join -U mmadmin
Enter mmadmin's password:
Using short domain name -- NETZ.INTERN
Joined 'VM-NIS-SLX' to realm 'netz.intern'
DNS update failed!
vm-nis-slx:/etc/init.d # net ads join -U mmadmin
Enter mmadmin's password:
Using short domain name -- NETZ.INTERN
Joined 'VM-NIS-SLX' to realm 'netz.intern'
vm-nis-slx:/etc/init.d # wbinfo -u
Error looking up domain users

lg
 
Das finde ich viel beunruhigender:
Code:
kerberos_kinit_password VM-NIS-SLX$@NETZ.INTERN failed: Looping detected inside krb5_get_in_tkt

mmadmin ist ein Domänen-Adminaccount?
Ist irgendetwas Interessantes in den logs (kdc, kadmind, syslog) zufinden?
 
Ja das war sehr beunruhigend ;)
mmadmin ist der Admin ja.
Habe aber den Fehler dort gefunden. es hatte sich ein Großbuchstabe darin verfangen der da nicht hingehörte.

Gibt jetzt neue Symptome vom Ganzen:

Das "su" funktioniert nun von root aus. Jedoch kann ich nicht unter 2 Benutzern wechseln, da dann kommt, dass das PW falsch ist.
Wenn ich im Netzwerk versuche auf den Ordner zu kommen soll ich mich einloggen, aber ich weiß leider nicht wirklich womit, da die AD-Daten nicht funktionieren es gibt folgenden Fehler im Log:
Code:
[2010/04/20 15:51:58,  1] smbd/sesssetup.c:342(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2010/04/20 15:51:58,  1] smbd/service.c:676(make_connection_snum)
  create_connection_server_info failed: NT_STATUS_ACCESS_DENIED
[2010/04/20 15:51:58,  1] smbd/sesssetup.c:342(reply_spnego_kerberos)
  Failed to verify incoming ticket with error NT_STATUS_LOGON_FAILURE!
[2010/04/20 15:51:58,  1] smbd/service.c:676(make_connection_snum)
  create_connection_server_info failed: NT_STATUS_ACCESS_DENIED
Und die UID und GID stimmen nicht mit den AD Daten überein, aber das ist denke ich eine Einstellung!?

Entweder bin ich zu blöd(da es bei allen nach der Anleitung klappt) oder ihr seid zu schlau...
Aber vielen vielen Dank für die Hilfe sonst würde ich hier kaputt gehen:))
 
Zuletzt bearbeitet:
Schau dir das mal an:
Klick


Checke als erstes mit
Code:
kinit user@domain
ob, die user überhaupt bekannt sind und alles funktioniert.
Samba würde ich jetzt erstmal vergessen und statt dessen das Ticket- und Authentifizierungszeugs checken.
 
Danke für den Link, werde ich mich mal gründlich durchlesen.
Zum kinit:
Macht er und danach ist er wieder im normalen Bash also denke ich da ist kein Fehler

Auch der Login über Putty klappt nun einwandfrei :) Super schonmal ein Teilerfolg :)

Jetzt muss nurnoch der Netzwerkzugriff funktionieren und alles ist wunderbar ;)
Das Ganze klappt immernoch nicht(sobald ich auf den Server im Netzwerk klicke kommt Zugriff verweigert) aber ich dokumentiere es hier mal, falls irgendwann mal jemand den gleichen Fehler hat:
Im "log.winbindd-dc-connect" steht:
Code:
[2010/04/21 09:55:12,  1] libsmb/async_smb.c:607(cli_request_send)
  cli_chain_cork failed
[2010/04/21 09:55:12,  1] rpc_client/rpc_transport_np.c:38(rpc_transport_np_state_destructor)
  rpc_transport_np_state_destructor: cli_close failed on pipe \NETLOGON. Error was NT_STATUS_OK
[2010/04/21 09:55:13,  1] libsmb/async_smb.c:607(cli_request_send)
  cli_chain_cork failed
[2010/04/21 09:55:13,  1] rpc_client/rpc_transport_np.c:38(rpc_transport_np_state_destructor)
  rpc_transport_np_state_destructor: cli_close failed on pipe \lsarpc. Error was NT_STATUS_OK
[2010/04/21 09:55:13,  1] libsmb/async_smb.c:607(cli_request_send)
  cli_chain_cork failed
[2010/04/21 09:55:13,  1] rpc_client/rpc_transport_np.c:38(rpc_transport_np_state_destructor)
  rpc_transport_np_state_destructor: cli_close failed on pipe \NETLOGON. Error was NT_STATUS_OK
[2010/04/21 09:55:15,  1] libsmb/async_smb.c:607(cli_request_send)
  cli_chain_cork failed
[2010/04/21 09:55:15,  1] rpc_client/rpc_transport_np.c:38(rpc_transport_np_state_destructor)
  rpc_transport_np_state_destructor: cli_close failed on pipe \NETLOGON. Error was NT_STATUS_OK
[2010/04/21 09:55:15,  1] libsmb/async_smb.c:607(cli_request_send)
  cli_chain_cork failed
[2010/04/21 09:55:15,  1] rpc_client/rpc_transport_np.c:38(rpc_transport_np_state_destructor)
  rpc_transport_np_state_destructor: cli_close failed on pipe \lsarpc. Error was NT_STATUS_OK
[2010/04/21 09:55:15,  1] libsmb/async_smb.c:607(cli_request_send)
  cli_chain_cork failed
[2010/04/21 09:55:15,  1] rpc_client/rpc_transport_np.c:38(rpc_transport_np_state_destructor)
  rpc_transport_np_state_destructor: cli_close failed on pipe \NETLOGON. Error was NT_STATUS_OK
Und im "log.__ffff_10.20.0.39":
Code:
[2010/04/21 09:55:16,  0] auth/pampass.c:586(smb_pam_account)
  smb_pam_account: PAM: UNKNOWN PAM ERROR (28) during Account Management for User: markusm
[2010/04/21 09:55:16,  0] auth/pampass.c:794(smb_pam_accountcheck)
  smb_pam_accountcheck: PAM: Account Validation Failed - Rejecting User markusm!
[2010/04/21 09:55:16,  1] smbd/sesssetup.c:439(reply_spnego_kerberos)
  PAM account restriction prevents user login
[2010/04/21 09:55:16,  0] auth/pampass.c:586(smb_pam_account)
  smb_pam_account: PAM: UNKNOWN PAM ERROR (28) during Account Management for User: markusm
[2010/04/21 09:55:16,  0] auth/pampass.c:794(smb_pam_accountcheck)
  smb_pam_accountcheck: PAM: Account Validation Failed - Rejecting User markusm!
[2010/04/21 09:55:16,  1] smbd/sesssetup.c:439(reply_spnego_kerberos)
  PAM account restriction prevents user login

Bin dran und berichte :)
.
.
.
EDIT (autom. Beitragszusammenführung) :
.

Also soweit klappt es schon mit der Implementierung:
Wie gesagt, das mit dem Netzwerkzugriff klappt noch nicht ganz
Außerdem kann ich mich wenn ich mit einem Benutzer eingeloggt bin, nicht mit "su" wechseln da er dann sagt das pw ist falsch.
Ebenfalls holt er bisher noch nicht die UID/GID aus dem AD
Vielleicht hab ich da noch etwas vergessen.
 
Zuletzt bearbeitet:
Zurück
Oben