Dio Geschrieben 16. Mai 2006 Geschrieben 16. Mai 2006 Hallo, Wir haben einen Suse 9.3 File Server in einer Windows NT Domäne. Ich habe den Linuxserver heute Morgen neu gestartet weil es Probleme mit dem Emailversand von Logdateien gab.. Nach dem Reboot ging der Winbind Daemon nicht mehr so daß keine User mehr auf die Freigaben zugreifen konnten. In der System Log stand das winbindd einen permission error auf /tmp/.winbindd hat. Ein chmod 777 brachte nicht den gewünschten Erfolg. Nach ein bisschen googlen fand ich den Tip das man den Ordner .winbindd löschen soll dann wird automatisch ein neuer erstellt. Nach dem löschen des Ordners /tmp/.winbindd startete der winbind daemon auch ganz normal. Allerdings funktionieren nun die Zugriffsrechte von Domänenusern und gruppen die ich über ACL vergeben habe nicht mehr. Berechtigungsmässig sieht es jetzt so aus das ich alle Ordner zwar anzeigen kann aber den Inhalt nicht ausführen darf.. Löschen usw. ist kein Problem.. Und das obwohl ich für alle Ordner chmod -R 777 gemacht habe und per setfacl meinem Domänenaccount explizit auch nochmal rwx als Berechtigung gegeben habe. Hat einer von euch Ahnung wie so etwas möglich ist? Zitieren
Dio Geschrieben 16. Mai 2006 Autor Geschrieben 16. Mai 2006 Ich hab ein bisschen getestet.. Also wenn ich mich mit meinem Domänenbenutzernamen über SSH anmelde kann ich meine Dateien im Homeverzeichnis ganz normal öffnen.. Über FTP kann ich mit meinem Benutzernamen ganz normal Dateien kopieren. Wenn ich aber über den Windows Explorer auf mein freigegebenes Homeverzeichnis zugreife darf ich die Dateien nicht ausführen / kopieren / verschieben. Verzeichnis auflisten und Dateien löschen funktioniert aber.. Also ist irgendwas in Samba faul.. Zitieren
Dio Geschrieben 16. Mai 2006 Autor Geschrieben 16. Mai 2006 Kann mir keiner weiterhelfen? Ich weiß echt nicht mehr weiter Zitieren
sayso Geschrieben 16. Mai 2006 Geschrieben 16. Mai 2006 Kann mir keiner weiterhelfen? Ich weiß echt nicht mehr weiter Hallo, hast du eine Mapping der S-IDs auf Unixuser/Gruppen gemacht? Stimmen die IDs noch überein? was spricht der getent passwd? kommen die user richtig an? was spricht der getent group? kommen die gruppen richtig an? Das mit dem 777 auf .winbind ist schon sehr suspekt... Ist deine /etc/passwd noch ganz? Fragen über Fragen man(n) braucht input Zitieren
Dio Geschrieben 16. Mai 2006 Autor Geschrieben 16. Mai 2006 Hallo, hast du eine Mapping der S-IDs auf Unixuser/Gruppen gemacht? Stimmen die IDs noch überein? was spricht der getent passwd? kommen die user richtig an? was spricht der getent group? kommen die gruppen richtig an? Das mit dem 777 auf .winbind ist schon sehr suspekt... Ist deine /etc/passwd noch ganz? ergänzend: sind die tdbs noch i.O? Wie mach ich denn ein Mapping der S-IDS? Die /etc/passwd ist noch ganz.. getent passwd und getent group mach ich morgen früh und berichte dann hier.. Zitieren
Crazy_man Geschrieben 17. Mai 2006 Geschrieben 17. Mai 2006 schonmal chgrp -R domänen-benutzer freigabe/ bzw chown probiert? Zitieren
Dio Geschrieben 17. Mai 2006 Autor Geschrieben 17. Mai 2006 schonmal chgrp -R domänen-benutzer freigabe/ bzw chown probiert? Ja hab ich schon versucht.. Zitieren
Dio Geschrieben 17. Mai 2006 Autor Geschrieben 17. Mai 2006 Ich hab winbind und Samba Server mal komplett entfernt, den Rechner aus der Domäne entfernt und alle alten config Dateien gelöscht.. Dann hab ich Samba und winbind neu installiert, die smb.conf angepasst, die nsswitch.conf angepasst und bin mit net join pdc -U domainadmin der NT Domäne wieder beigetreten.. Mit wbinfo -g bzw -u bekomme ich auch alle Gruppen und Nutzer angezeigt Folgende Fehlermeldung bekomme ich wenn ich wbinfo -t eingebe.. id-lux:/home/user # wbinfo -t checking the trust secret via RPC calls failed error code was NT_STATUS_INVALID_COMPUTER_NAME (0xc0000122) Could not check secret Der Linux Server wird aber unter der NT Serververwaltung als Domainmitglied aufgeführt.. Die Authentifizierung klappt im Moment gar nicht.. Wenn ich von einem Windows Client auf den Linuxserver zugreife bekomme ich bei jeder Freigabe das Passwort Fenster angezeigt. Zitieren
sayso Geschrieben 17. Mai 2006 Geschrieben 17. Mai 2006 id-lux:/home/user # wbinfo -t checking the trust secret via RPC calls failed error code was NT_STATUS_INVALID_COMPUTER_NAME (0xc0000122) Could not check secret Die Authentifizierung klappt im Moment gar nicht.. Wenn ich von einem Windows Client auf den Linuxserver zugreife bekomme ich bei jeder Freigabe das Passwort Fenster angezeigt. Hi, hast du die gleiche Samba Version installiert und die TDBs bereinigt? Das Problem mit dem PopUp bzw. NT_STATUS_INVALID_COMPUTER_NAME habe ich bekommen, als ich eine neue Samba Version installiert habe und sich der Trenner zwischen Domäne und User bzw. Account geänder hat. Dazu musst du das Debugging höher drehen, dann siehst du das in den Logfiles des Samba Servers. Wie gehst du an die Domäne? per KRB5? Kannst du dir Tickets erzeugen?` Was spricht smbclient -L localhost/hostname Wie lange hast du nach dem Löschen des Accounts aus der Domäne gewartet bis du den Server wieder reingedrückt hast? Hat der Maschinenaccount eine gültige ID? Zitieren
Dio Geschrieben 17. Mai 2006 Autor Geschrieben 17. Mai 2006 Hi, hast du die gleiche Samba Version installiert und die TDBs bereinigt? Ja war die gleiche Samba Version.. TDBs sind was genau? Hab tmp Dateien gelöscht und die samba Dateien.. Das Problem mit dem PopUp bzw. NT_STATUS_INVALID_COMPUTER_NAME habe ich bekommen, als ich eine neue Samba Version installiert habe und sich der Trenner zwischen Domäne und User bzw. Account geänder hat. Der separator ist bei mir der selbe geblieben.. Dazu musst du das Debugging höher drehen, dann siehst du das in den Logfiles des Samba Servers. Das werde ich mal versuchen.. Wie gehst du an die Domäne? per KRB5? Kannst du dir Tickets erzeugen?` Ich glaub ja.. Wie erzeuge ich mir Tickets? Was spricht smbclient -L localhost/hostname Ich bekomme Informationen über Freigaben usw.. Funktioniert also.. Allerdings bekomme ich als Domain=[Computername] angezeigt.. Sollte da nicht die NT Domäne drin stehen? Wie lange hast du nach dem Löschen des Accounts aus der Domäne gewartet bis du den Server wieder reingedrückt hast? So 20 Minuten.. Normalerweise müsste der Eintrag ja nach spätestens 15 Minuten weg sein.. Hat der Maschinenaccount eine gültige ID? Wie kann ich das nach sehen? Thx 4 help erst mal.. Zitieren
Dio Geschrieben 17. Mai 2006 Autor Geschrieben 17. Mai 2006 Kann mir jemand ne kurze Anleitung posten wie ich vorgehen muss um Samba und winbind zu deinstallieren und neu zu installieren.. Welche Pakete muss ich entfernen? Welche conf Dateien und welche anderen Sachen muss ich manuell löschen? Wie konfiguriere ich Samba Server anschließend? Welche Einträge kommen in die smb.conf? Wie konfiguriere ich winbind? Wie trete ich der Domaine bei? Hab das zwar alles schonmal gemacht aber wenig dokumentiert und viel rumprobiert weil es irgendwie 100 verschiedene Anleitungen gibt in denen es immer irgendwie anders beschrieben ist.. Zitieren
sayso Geschrieben 17. Mai 2006 Geschrieben 17. Mai 2006 1) Debugging: Das Debugging drehst du in der smb.conf hoch (da gibts nen Parameter) 2) Tickets: Du kannst erstmal schauen ob überhaupt schon nen Accountticket erzeugt wurde (wenn nicht - dann gehts sowieso nicht). Kommando: Klist zum erzeugen eines Tickets (Test): kinit user In dem Zusammenhang, hat sich das OS eueres DCs geändert, das kann damit zusammenhängen, das das KRB Tool das du im Einsatz hast nicht mehr damit zurecht kommt (Verschlüsselung) oder Längen von KRB Feldern. 3) Anzeige von smbclient -L Jap. 4) TDBs: Die TDBs liegen da, wo du sie über die smb.conf konfiguriert hast. Mach einfach mal nen find /var -type -f -name "*tdb*" Wenn das kinit bzw klist kommando erfolgreich ist mache mal fogendes: 0) samba stoppen 1) Debugging höher 2) Maschinenaccount aus Domäne raus 3) 10 Minuten warten 4) TDBs löschen 4) net rpc join -S domainserver -u Userid 5) samba starten 6) testen Eine eindeutige Anleitung gibt es nicht, da diese an soooooooo vielen Faktoren hängt (Windowsversionen, eingesetzte KRB-Tools, Konfigurationen, etc..). Probiers mal :nett: Zitieren
Dio Geschrieben 17. Mai 2006 Autor Geschrieben 17. Mai 2006 Das werde ich alles gleich mal ausprobieren.. Kannst du mir vorher sagen ob die Einträge in der smb.conf stimmen bzw. ob da was fehlt oder merkwürdig ist? Sambaversion ist 3.13 Mit dieser conf hat alles bis gestern einwandfrei funktioniert # smb.conf is the main Samba configuration file. You find a full commented # version at /usr/share/doc/packages/samba/examples/smb.conf.SUSE if the # samba-doc package is installed. # Date: 2005-04-04 [global] workgroup = domainname username map = /etc/samba/smbusers map to guest = Bad User logon path = \\%L\profiles\.msprofile logon home = \\%L\%U\.9xprofile template homedir = /home/%u logon drive = P: domain master = No security = user name resolve order = wins bcast server string = Linux Server winbind separator = + winbind uid = 10000-20000 winbind gid = 10000-20000 template shell = /bin/bash restrict anonymous = no max protocol = NT ldap ssl = No server signing = Auto wins server = 10.128.32.11 add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %*** domain logons = No idmap gid = 10000-20000 idmap uid = 10000-20000 netbios name = linuxserver passdb backend = smbpasswd [install] path = /share/install valid users = domain+domänen-admins read only = No Zitieren
Dio Geschrieben 17. Mai 2006 Autor Geschrieben 17. Mai 2006 Ich werde Samba jetzt komplett runterschmeissen.. Was muss ich alles löschen? Das sind alle tdbs die ich gefunden habe.. /var/lib/samba/brlock.tdb /var/lib/samba/locking.tdb /var/lib/samba/gencache.tdb /var/lib/samba/unexpected.tdb /var/lib/samba/ntforms.tdb /var/lib/samba/winbindd_cache.tdb /var/lib/samba/ntprinters.tdb /var/lib/samba/netsamlogon_cache.tdb /var/lib/samba/ntdrivers.tdb /var/lib/samba/sessionid.tdb /var/lib/samba/printing/printers.tdb /var/lib/samba/share_info.tdb /var/lib/samba/connections.tdb /var/lib/samba/account_policy.tdb /var/lib/samba/messages.tdb /var/lib/samba/lang_de.tdb /var/lib/samba/winbindd_idmap.tdb /var/lib/samba/registry.tdb /var/lib/samba/group_mapping.tdb Kann ich die gefahrlos löschen bevor ich Samba neu installiere? Bzw. kann ich den ganzen Ordner /var/lib/samba löschen oder liegen da auch libaries vom Samba Client? /etc/samba werde ich löschen /tmp/.winbind werde ich löschen Noch was? Zitieren
sayso Geschrieben 17. Mai 2006 Geschrieben 17. Mai 2006 Ich werde Samba jetzt komplett runterschmeissen.. Was muss ich alles löschen? Kann ich die gefahrlos löschen bevor ich Samba neu installiere? Bzw. kann ich den ganzen Ordner /var/lib/samba löschen oder liegen da auch libaries vom Samba Client? /etc/samba werde ich löschen /tmp/.winbind werde ich löschen Noch was? Warum willst du Samba deinstallieren? Ist doch nicht Windows ;-) Ja die TDBs kannst du gefahrenlos löschen, da sie beim Restart bzw. Rejoin in die Domäne von Samba neu generiert werden. Die smb.conf sieht auf den ersten Blick o.k. aus, wie steht es mit dem krb? Funktioniert die Ticketerstellung? (nachdem Samba der Domäne beigetreten ist) Wenn nicht brauchst du mit den anderen Dingen erst gar nicht weitermachen.... Zitieren
Schlaubi Geschrieben 17. Mai 2006 Geschrieben 17. Mai 2006 Never change a running system...wieso umbedingt löschen!? Leg es doch nebendran nach /etc/samba.org, etc!!! Zitieren
Dio Geschrieben 17. Mai 2006 Autor Geschrieben 17. Mai 2006 So... Ich hab die tdbs gelöscht bzw. den Ordner umbenannt und bin der domain neu beigetreten mit net rpc join -U Domainadminnamewbinfo -t gibt keine Fehlermeldung mehr Bei klist und kinit kommt allerdings folgendes: linuxserver:~ # klist Credentials cache /tmp/krb5cc_0 not found. linuxserver:~ # kinit domäne+domainadminname Password for domäne+domainadminname@EXAMPLE.COM:ms1779p Exception: kerberos.example.com: kerberos.example.com java.net.UnknownHostException: kerberos.example.com: kerberos.example.com at java.net.InetAddress.getAllByName0(InetAddress.java:1011) at java.net.InetAddress.getAllByName0(InetAddress.java:981) at java.net.InetAddress.getAllByName(InetAddress.java:975) at java.net.InetAddress.getByName(InetAddress.java:889) at sun.security.krb5.internal.bg.<init>(DashoA12275:56) at sun.security.krb5.KrbKdcReq$KdcCommunication.run(DashoA12275:262) at java.security.AccessController.doPrivileged(Native Method) at sun.security.krb5.KrbKdcReq.send(DashoA12275:199) at sun.security.krb5.KrbKdcReq.send(DashoA12275:144) at sun.security.krb5.KrbKdcReq.send(DashoA12275:110) at sun.security.krb5.internal.tools.Kinit.<init>(DashoA12275:260) at sun.security.krb5.internal.tools.Kinit.main(DashoA12275:109) linuxserver:~ # Heißt das Kerberos funzt nicht?? Zitieren
sayso Geschrieben 17. Mai 2006 Geschrieben 17. Mai 2006 Ich hab die tdbs gelöscht bzw. den Ordner umbenannt und bin der domain neu beigetreten mit net rpc join -U Domainadminnamewbinfo -t gibt keine Fehlermeldung mehr Dann waren die TDBs defekt... Bei klist und kinit kommt allerdings folgendes: linuxserver:~ # klist Credentials cache /tmp/krb5cc_0 not found. linuxserver:~ # kinit domäne+domainadminname Password for domäne+domainadminname@EXAMPLE.COM:ms1779p Exception: kerberos.example.com: kerberos.example.com java.net.UnknownHostException: kerberos.example.com: linuxserver:~ # Heißt das Kerberos funzt nicht?? Ähh ja, wasn das? Welchen KRB5 Client/Tool setzt du denn ein? Ich dachte bei SuSE wird Heimdal mitgeliefert (der auch mit Samba läuft). Desweiteren passen die REALMs nicht (EXAMPLE.COM). Dann kann KRB5 auch nicht gehen... Zitieren
Dio Geschrieben 17. Mai 2006 Autor Geschrieben 17. Mai 2006 Wo stelle ich den REALM beim Kerberos Client denn ein? Bzw. wie stelle ich denn fest welchen Client Samba nutzt? Wo trage ich dann ein das Samba bzw. winbind Heimdal nehmen soll? Kann ich Heimdal einfach über den Packetmanager installieren? Sorry das ich soviel Frage.. und thx 4 help :uli Zitieren
Dio Geschrieben 18. Mai 2006 Autor Geschrieben 18. Mai 2006 Folgende Packete zum Thema sind installiert bzw. verfügbar: Den kerberos Client konfiguriert man doch über die krb5.conf oder`? Ich hab da als Realm mal unsere Domäne eingetragen aber es geht trotzdem nicht.. Zitieren
sayso Geschrieben 18. Mai 2006 Geschrieben 18. Mai 2006 Hallo, benutze mal bitte heimdal, der ist mit Samba getestet und funktioniert. Die krb5.conf soll z.B. so aussehen [libdefaults] default_realm = PRODAS.LOCAL clockskew = 300 [realms] PRODAS.LOCAL = { kdc = PDS-AD.PRODAS.LOCAL } [domain_realm] .prodas.local = PRODAS.LOCAL [logging] # default = SYSLOG:NOTICE:DAEMON default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/kdc.log kadmind = FILE:/var/log/kadmind.log [appdefaults] pam = { ticket_lifetime = 1d renew_lifetime = 1d forwardable = true proxiable = false retain_after_close = false minimum_uid = 0 debug = false } Im Realm, etc.. natürlich deine Server und Domäne eintragen... :beagolisc Zitieren
Dio Geschrieben 18. Mai 2006 Autor Geschrieben 18. Mai 2006 Wir haben aber eine NT 4.0 Domäne und kein Active Directory.. Macht das keinen Unterschied? Bei uns ist DNS Domänenname nicht gleich Windows Domänenname Zitieren
Dio Geschrieben 18. Mai 2006 Autor Geschrieben 18. Mai 2006 Problem gelöst.. Hab pam_krb5 und pam_krb5_32bit installiert und jetzt funktioniert es wieder.. Thx sayso.. Ohne dich wäre ich nie auf den Kerberos Client gekommen :e@sy Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.