Nach update auf 3.0.23c keine Vertrauenstellung mehr

B

ba4_philipp

Grünschnabel
Hallo,

leider findet man zu Samba 3 mit Vertrauenstellung recht wenig im Internet und so hoffe ich hier jmd zu finden, der uns weiterhelfen kann.

kurz zum Netzwerk:
Wir haben Samba in einer Schule installiert, pro Abteilung gibt es einen Samba Server der gleichzeitig Router ist. Alle Router sind mit einem Gigabit Netzwerk verbunden und im Keller steht, an diesem Gigabit Netz angeschlossen, ein weiterer Samba Server.

Die Samba Server haben alle einen eigenen LDAP Server auf dem die Benutzerdaten abgelegt werden. Für temporären Zugriff gibt es in der lokalen Domäne (also an dem Samba Server an dem die Rechner direkt angeschlossen sind) Rechnerbezogene Accounts und für Schüler die oft mit den PC Laboren abreiten gibt es Benutzeraccounts die auf dem Server im Keller abgelegt sind.

Aus den verschiedenen Domänen besteht immer eine Vertrauensstellung zu der Samba Domäne im Keller, so dass man bei der Anmeldung an jedem Rechner in der Schule wählen kann ob man sich an die lokale Domäne oder an die im Keller anmelden möchte.

Der Samba Server im Keller hat wins support aktiviert und ist bei allen Rechnern als WINS Server eingetragen.

So 100%ig reibungslos lief es bisher noch nie, aber es funktionierte. Bis heute.

Heute haben wir auf Samba 3.0.23c geuptdated (von 3.0.21) und seitdem funktioniert die Anmeldung an die Domäne im Keller nicht mehr. Man kann sich an die lokalen Domänen anmelden und der Windows Rechner, der im Gigabit Netz hängt kann sich auch an die Domäne im Keller anmelden (diese ist für ihn die lokale und auch einzig verfügbare Domäne).

Es scheinen ja beide Domänencontroller zu laufen. Wenn ich ein "net rpc trustdom list" absetze zeigt er auch den jeweils anderen Server an mit der richtigen SID.

Wenn man nun jedoch versucht sich an die Domäne im Keller anzumelden kommt die Meldung "Ein an das System angeschlossenes Gerät funktioniert nicht", diese Meldung kommt jedoch nur, wenn das Passwort stimmt, wird es falsch eingegen so kommt die normale Meldung über das falsche Kennwort.

Hat jmd eine Idee?

Vielen Dank schonmal
Gruß Philipp

PS: Es wird zwischen den Netzen gerouted, so das ein ping von jedem Rechner zu jedem anderen funktioniert. Die Server sind alle mit Debian Linux installiert. Und die Clients sind Windows XP Pro Rechner.
 
Was gibt's denn in den Samba-Logs, wenn du dich versuchst anzumelden?
 
Ich habe das Releasenote mal gelesen und hab da leider nichts gefunden, was die Vertrauensstellung stören könnte.

In dem Log hab ich auch keine Fehler gesehen, was wäre denn dort interessant, die Logs sind zur Zeit riesig weil ich das Loglevel sehr hoch gestellt hab, notfalls poste ich nochmal alles.

Ich hatte eben nochmal die Vertrauenstellung komplett entfernt und wollte sie neu einrichten.

Ich habe dazu mit den smbldap Tools wieder einen User erstellt.

smbldap-useradd -a -i kfm$ <- das auf dem Rechner mit der bsmoelln domain

als ich nun auf dem 2. Rechner die Verbindung herstellen wollte kam diese Medlung

kfmsmb:~# net rpc trustdom establish bsmoelln
Password:
Could not connect to server ZENTRALE
Trust to domain BSMOELLN established
kfmsmb:~#

Scheinbar sehen die sich doch nicht oder?
auf zentrale (die BSMOELLN Domäne) ist in der smb.conf dies hier drin:
wins support = yes

und auf kfm
wins support = no
wins server = 10.0.0.80 <- das ist zentrale


leider läuft es immernoch nicht wieder.

Vielen dank schonmal
Gruß Philipp
 
ba4_philipp schrieb:
wins server = 10.0.0.80 <- das ist zentrale
Hallo,
Wenn ich dich richtig verstehe, verbindest du dich innerhalb eines privaten Netzwerkes oder?
(d.h. ZENTRALE wird nicht übers Internet angesprochen)
In diesem Falle müsstest du aber auch den korrekten IP-Bereich verwenden.
Dieser liegt dann im Bereich von 192.168.X.1 bis 192.168.X.254
Kann mich aber auch irren ;)

Gruß Lumpi
 
10.0.0.0 ist ein privates Class A Netzwerk

Das Gigabit Netz hat eine 24bit maske 10.0.0.0/24
und Teilnetze haben 16 bit Masken und sehen so aus

10.X.X.X/16 in den Subnetzen sind dann die einzelnen Abteilungen und es wird gerouted. Das funktioniert aber auch alles. Alle Rechner sind über IP erreichbar, das Internet (läuft über 2 Squid Proxies) funktioniert auch.

--
Folgende Fehlermeldung taucht in den Samba Logs auf dem Server im Keller auf:
...
117-[2006/09/15 14:11:11, 5] auth/auth_util.c:is_trusted_domain(1665)
118- is_trusted_domain: Checking for domain trust with [KFM]
119:[2006/09/15 14:11:11, 5] passdb/secrets.c:secrets_fetch_trusted_domain_password(336)
120- secrets_fetch failed!
121-[2006/09/15 14:11:11, 3] smbd/sec_ctx.c:pop_sec_ctx(386)
...

Eine Anmeldung direkt an diese Domäne (ohne Vertrauensstellung) funktioniert an diesem Server.

Gruß Philipp
 
Zuletzt bearbeitet:
Du kannst ja einfach mal ein 'tail -f /deine/samba/log' machen und dann den Output genau einer Anmeldung eines Rechners, der Vertrauensstellung haben sollte, hier posten. Am besten das ganze in einen Code-Block packen (
Code:
), dann nimmt es nicht soviel Platz weg.
 

Ähnliche Themen

kein Zugriff auf Freigabe über IP Adresse

Zugriff auf Samba Fileserver Freigaben verweigert(Samba 4 Active Directory Domäne)

Samba 4.1.11 Domänen anbindung funktioniert nicht !!!

Virtualisieren einer Samba Domäne mit OpenLDAP und Sanfte Migration

Netzwerk Probleme mit Opensuse 12.3

Zurück
Oben