Samba + NT-Domain: 'wbinfo -r' fehlerhaft

M

Murmler

Hallo zusammen,

habe hier einen SQUID Server laufen, welcher User über den Samba(winbind)-Helper gegen 2 vertraute NT-Domains (2 x WinNT 4.0 PDC, im folgenden 'DomainNT1' und 'DomainNT2' genannt) authentifiziert. Dies funktioniert seit geraumer Zeit auch einwandfrei. Jetzt kommt eine dritte Domain hinzu, ein Win2003 Server AD Controller ('domainAD' genannt), welcher im mixed Mode läuft und für den eine Vertrauensstellung zu den NT4 Domains eingerichtet ist. Der Squid-Server selber ist Mitglied von Domain 'domainNT1'.

Folgendes läuft einwandfrei:

Code:
# wbinfo --sequence
BUILTIN : 1
domainAD : 805774
domainNT1 : 80364
domainNT2 : 54675

Code:
# wbinfo -m (list trusted Domains)
BUILTIN
domainAD
domainNT2

Die SIDs und GIDs werden einwandfrei aufgelöst:

Code:
# wbinfo -n domainAD+username
S-1-5-21-154790.....etc

Hier jedoch das Problem:

Im Skript wbinfo_group.pl wird getestet, ob ein Benutzer zu einer authorisierten (lokalen) Gruppe gehört. Im wesentlichen geschieht dies in 2 Schritten. Für die auf Zugehörigkeit zu überprüfenden Gruppe wird die GID ermittelt ('wbinfo -G'). Für den zu überprüfenden Benutzer werden mittels 'wbinfo -r' sämtliche GIDs aller lokalen Gruppen ermittelt, in welcher dieser Member ist. Großes Problem: Die Auflösung der zugehörigen Gruppen funktioniert jedoch NUR für die NT4 Domains. Für die 'domainAD' wird jeweils nur die GID einer EINZIGEN Gruppe gelistet!!?!?
Außerdem werden bei 'wbinfo -u' bzw. 'wbinfo -g' lediglich die Benutzer bzw. die Gruppen der beiden NT Domains gelistet.

Hat jemand eine Idee, warum das wbinfo -r nicht für die AD-Domain funktioniert bzw., wie ich das Problem lösen könnte?

Gruß
Murmler
 
Hallo,

spontan fielen mir zwei Möglichkeiten ein:

Code:
client use spnego = yes

falls nicht gesetzt. Da sich die Authentifizierungsmechanismen von WinNT und 2000/XP/2003 unterscheiden, könnte das ein Problem sein, selbst wenn das ADS im mixed mode läuft.

Und:

Code:
winbind enum groups = yes

wo ich aber vermute, dass das schon so gesetzt ist.
Ansonsten setz mal den Loglevel hoch und schau in das Log von winbind (/var/log/samba/winbindd.log vermutlich).

Gruß
 

Ähnliche Themen

Samba 3.6.25 - OpenLDAP Setup

Samba 4.1.11 Domänen anbindung funktioniert nicht !!!

skuriles Samba Problem

Samba 4 Gast Zugang unter Ubuntu funktioniert nicht

Samba 4 Domain Controller NSLOOKUP für DomainName

Zurück
Oben