[samba] Problem mit AD Authentifizierung unter Solaris 9

[Schlaubi]

//Edit: zur Überschrift gehört noch...(AD: Windows 2003 Server)

Hallo zusammen,

wir haben kerberos 5 (krb5-1.3.1), sowie openldap-2.3.17 selbst kompiliert.

Zusätzlich dazu haben wir Samba in der Version 3.0.21b mit den Optionen "--with-winbind --with-pam --with-ads --with-pam_smbpass" kompiliert.

Die /etc/nsswitch.conf ist für die Nutzung von winbind vorbereitet:

passwd: files winbind

group: files winbind

Die /etc/krb5/krb5.conf ist ebenfalls konfiguiert:

[libdefaults]

        default_realm = XXX.INTERN

        clockskew = 300


[realms]

        XXX.INTERN = {

                kdc = SVDC01.XXX.INTERN

                admin_server = SVDC01.XXX.INTERN

                kpasswd_server = SVDC01.XXX.INTERN

        }


[domain_realm]

        .xxx.intern = XXX.INTERN


[logging]

        default = FILE:/var/krb5/kdc.log

        kdc = FILE:/var/krb5/kdc.log

        kdc_rotate = {


# How often to rotate kdc.log. Logs will get rotated no more

# often than the period, and less often if the KDC is not used

# frequently.


                period = 1d


# how many versions of kdc.log to keep around (kdc.log.0, kdc.log.1, ...)


                versions = 10

        }


[appdefaults]

        kinit = {

                renewable = true

                forwardable= true

        }

        gkadmin = {

                help_url = http://docs.sun.com:80/ab2/coll.384.1/SEAM/@AB2PageView/1195

        }

Die /usr/local/samba/lib/smb.conf ist wie folgt konfiguriert (testparm)

rootbash@server [/] # testparm /usr/local/samba/lib/smb.conf

Load smb config files from /usr/local/samba/lib/smb.conf

Processing section "[Testvolume]"

Global parameter guest account found in service section!

Loaded services file OK.

WARNING: passdb expand explicit = yes is deprecated

'winbind separator = +' might cause problems with group membership.

Server role: ROLE_DOMAIN_MEMBER

Press enter to see a dump of your service definitions


[global]

        workgroup = XXX

        realm = XXX.INTERN

        netbios name = XXX-BAK

        security = ADS

        password server = SVDC01

        log file = /var/log/samba/smbd.log

        max log size = 50

        client use spnego = No

        socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

        os level = 65

        dns proxy = No

        idmap uid = 10000-20000

        idmap gid = 10000-20000

        winbind separator = +

        winbind use default domain = Yes


[Testvolume]

        comment = testvolume

        path = /testvolume

        force user = blubb

        force group = blubb

        read only = No

        guest ok = Yes

Der Join war erfolgreich:

/usr/local/samba/bin/net join -n xxx-bak -S SVDC01 -U <user with admin rights>

Mit wbinfo -u bzw. wbinfo -g bekommen wir alle User aus dem Active Directory übermittelt. Sogar ein lokaler 'wbinfo -a user%pass' funktioniert. Mit kinit bekommen wir auch ein gültiges Ticket (wie wir mit klist sehen können). Wenn wir auf dem Sambaserver ein

smbclient -L localhost -U <AD User>

ausführen und anschließend ein Passwort eingeben, bekommen wir die Fehlermeldung:

session setup failed: NT_STATUS_LOGON_FAILURE

Geben wir hingegen kein Passwort ein, bekommen wir ein anständiges Listing.

Wenn wir jetzt versuchen uns am SambaServer via "Apfel + K" (MacOSX) zu verbinden, dann funktioniert das leider nicht.

Hat irgend jemand noch eine Idee, was wir tun könnten?

Vielen Dank im Voraus (wenn ich etwas vergessen haben sollte, dann schreibe ich das gerne noch hinzu).