Riesengroßes Berechtigungsproblem!

[Dio]

Hallo,

Wir haben einen Suse 9.3 File Server in einer Windows NT Domäne.

Ich habe den Linuxserver heute Morgen neu gestartet weil es Probleme mit dem Emailversand von Logdateien gab..

Nach dem Reboot ging der Winbind Daemon nicht mehr so daß keine User mehr auf die Freigaben zugreifen konnten.

In der System Log stand das winbindd einen permission error auf /tmp/.winbindd hat.

Ein chmod 777 brachte nicht den gewünschten Erfolg. Nach ein bisschen googlen fand ich den Tip das man den Ordner .winbindd löschen soll dann wird automatisch ein neuer erstellt.

Nach dem löschen des Ordners /tmp/.winbindd startete der winbind daemon auch ganz normal.

Allerdings funktionieren nun die Zugriffsrechte von Domänenusern und gruppen die ich über ACL vergeben habe nicht mehr.

Berechtigungsmässig sieht es jetzt so aus das ich alle Ordner zwar anzeigen kann aber den Inhalt nicht ausführen darf.. Löschen usw. ist kein Problem..

Und das obwohl ich für alle Ordner chmod -R 777 gemacht habe und per setfacl meinem Domänenaccount explizit auch nochmal rwx als Berechtigung gegeben habe.

Hat einer von euch Ahnung wie so etwas möglich ist?

[Dio]

Ich hab ein bisschen getestet..

Also wenn ich mich mit meinem Domänenbenutzernamen über SSH anmelde kann ich meine Dateien im Homeverzeichnis ganz normal öffnen.. Über FTP kann ich mit meinem Benutzernamen ganz normal Dateien kopieren.

Wenn ich aber über den Windows Explorer auf mein freigegebenes Homeverzeichnis zugreife darf ich die Dateien nicht ausführen / kopieren / verschieben. Verzeichnis auflisten und Dateien löschen funktioniert aber..

Also ist irgendwas in Samba faul..

[Dio]

Kann mir keiner weiterhelfen? Ich weiß echt nicht mehr weiter

[sayso]

Kann mir keiner weiterhelfen? Ich weiß echt nicht mehr weiter

Hallo,

hast du eine Mapping der S-IDs auf Unixuser/Gruppen gemacht?

Stimmen die IDs noch überein?

was spricht der getent passwd? kommen die user richtig an?

was spricht der getent group? kommen die gruppen richtig an?

Das mit dem 777 auf .winbind ist schon sehr suspekt...

Ist deine /etc/passwd noch ganz?

Fragen über Fragen man(n) braucht input

[sayso]

ergänzend:

sind die tdbs noch i.O?

[Dio]

Hallo,

hast du eine Mapping der S-IDs auf Unixuser/Gruppen gemacht?

Stimmen die IDs noch überein?

was spricht der getent passwd? kommen die user richtig an?

was spricht der getent group? kommen die gruppen richtig an?

Das mit dem 777 auf .winbind ist schon sehr suspekt...

Ist deine /etc/passwd noch ganz?

ergänzend:

sind die tdbs noch i.O?

Wie mach ich denn ein Mapping der S-IDS?

Die /etc/passwd ist noch ganz..

getent passwd und getent group mach ich morgen früh und berichte dann hier..

[Crazy_man]

schonmal chgrp -R domänen-benutzer freigabe/

bzw chown probiert?

[Dio]

schonmal chgrp -R domänen-benutzer freigabe/

bzw chown probiert?

Ja hab ich schon versucht..

[Dio]

Ich hab winbind und Samba Server mal komplett entfernt, den Rechner aus der Domäne entfernt und alle alten config Dateien gelöscht..

Dann hab ich Samba und winbind neu installiert, die smb.conf angepasst, die nsswitch.conf angepasst und bin mit net join pdc -U domainadmin der NT Domäne wieder beigetreten..

Mit wbinfo -g bzw -u bekomme ich auch alle Gruppen und Nutzer angezeigt

Folgende Fehlermeldung bekomme ich wenn ich wbinfo -t eingebe..

id-lux:/home/user # wbinfo -t

checking the trust secret via RPC calls failed

error code was NT_STATUS_INVALID_COMPUTER_NAME (0xc0000122)

Could not check secret

Der Linux Server wird aber unter der NT Serververwaltung als Domainmitglied aufgeführt..

Die Authentifizierung klappt im Moment gar nicht..

Wenn ich von einem Windows Client auf den Linuxserver zugreife bekomme ich bei jeder Freigabe das Passwort Fenster angezeigt.

[sayso]

id-lux:/home/user # wbinfo -t

checking the trust secret via RPC calls failed

error code was NT_STATUS_INVALID_COMPUTER_NAME (0xc0000122)

Could not check secret

Die Authentifizierung klappt im Moment gar nicht..

Wenn ich von einem Windows Client auf den Linuxserver zugreife bekomme ich bei jeder Freigabe das Passwort Fenster angezeigt.

Hi,

hast du die gleiche Samba Version installiert und die TDBs bereinigt?

Das Problem mit dem PopUp bzw. NT_STATUS_INVALID_COMPUTER_NAME habe ich bekommen, als ich eine neue Samba Version installiert habe und sich der Trenner zwischen Domäne und User bzw. Account geänder hat.

Dazu musst du das Debugging höher drehen, dann siehst du das in den Logfiles des Samba Servers.

Wie gehst du an die Domäne? per KRB5?

Kannst du dir Tickets erzeugen?`

Was spricht smbclient -L localhost/hostname

Wie lange hast du nach dem Löschen des Accounts aus der Domäne gewartet bis du den Server wieder reingedrückt hast?

Hat der Maschinenaccount eine gültige ID?

[Dio]

Hi,

hast du die gleiche Samba Version installiert und die TDBs bereinigt?

Ja war die gleiche Samba Version.. TDBs sind was genau? Hab tmp Dateien gelöscht und die samba Dateien..

Das Problem mit dem PopUp bzw. NT_STATUS_INVALID_COMPUTER_NAME habe ich bekommen, als ich eine neue Samba Version installiert habe und sich der Trenner zwischen Domäne und User bzw. Account geänder hat.

Der separator ist bei mir der selbe geblieben..

Dazu musst du das Debugging höher drehen, dann siehst du das in den Logfiles des Samba Servers.

Das werde ich mal versuchen..

Wie gehst du an die Domäne? per KRB5?

Kannst du dir Tickets erzeugen?`

Ich glaub ja.. Wie erzeuge ich mir Tickets?

Was spricht smbclient -L localhost/hostname

Ich bekomme Informationen über Freigaben usw.. Funktioniert also..

Allerdings bekomme ich als Domain=[Computername] angezeigt.. Sollte da nicht die NT Domäne drin stehen?

Wie lange hast du nach dem Löschen des Accounts aus der Domäne gewartet bis du den Server wieder reingedrückt hast?

So 20 Minuten.. Normalerweise müsste der Eintrag ja nach spätestens 15 Minuten weg sein..

Hat der Maschinenaccount eine gültige ID?

Wie kann ich das nach sehen?

Thx 4 help erst mal..

[Dio]

Kann mir jemand ne kurze Anleitung posten wie ich vorgehen muss um Samba und winbind zu deinstallieren und neu zu installieren..

Welche Pakete muss ich entfernen?

Welche conf Dateien und welche anderen Sachen muss ich manuell löschen?

Wie konfiguriere ich Samba Server anschließend?

Welche Einträge kommen in die smb.conf?

Wie konfiguriere ich winbind?

Wie trete ich der Domaine bei?

Hab das zwar alles schonmal gemacht aber wenig dokumentiert und viel rumprobiert weil es irgendwie 100 verschiedene Anleitungen gibt in denen es immer irgendwie anders beschrieben ist..

[sayso]

1) Debugging:

Das Debugging drehst du in der smb.conf hoch (da gibts nen Parameter)

2) Tickets:

Du kannst erstmal schauen ob überhaupt schon nen Accountticket erzeugt wurde (wenn nicht - dann gehts sowieso nicht).

Kommando: Klist

zum erzeugen eines Tickets (Test):

kinit user

In dem Zusammenhang, hat sich das OS eueres DCs geändert, das kann damit zusammenhängen, das das KRB Tool das du im Einsatz hast nicht mehr damit zurecht kommt (Verschlüsselung) oder Längen von KRB Feldern.

3) Anzeige von smbclient -L

Jap.

4) TDBs:

Die TDBs liegen da, wo du sie über die smb.conf konfiguriert hast.

Mach einfach mal nen find /var -type -f -name "*tdb*"

Wenn das kinit bzw klist kommando erfolgreich ist mache mal fogendes:

0) samba stoppen

1) Debugging höher

2) Maschinenaccount aus Domäne raus

3) 10 Minuten warten

4) TDBs löschen

4) net rpc join -S domainserver -u Userid

5) samba starten

6) testen

Eine eindeutige Anleitung gibt es nicht, da diese an soooooooo vielen Faktoren hängt (Windowsversionen, eingesetzte KRB-Tools, Konfigurationen, etc..).

Probiers mal :nett:

[Dio]

Das werde ich alles gleich mal ausprobieren..

Kannst du mir vorher sagen ob die Einträge in der smb.conf stimmen bzw. ob da was fehlt oder merkwürdig ist?

Sambaversion ist 3.13

Mit dieser conf hat alles bis gestern einwandfrei funktioniert

# smb.conf is the main Samba configuration file. You find a full commented

# version at /usr/share/doc/packages/samba/examples/smb.conf.SUSE if the

# samba-doc package is installed.

# Date: 2005-04-04

[global]

	workgroup = domainname

	username map = /etc/samba/smbusers

	map to guest = Bad User

	logon path = \\%L\profiles\.msprofile

	logon home = \\%L\%U\.9xprofile

	template homedir = /home/%u

	logon drive = P:

	domain master = No

	security = user

	name resolve order = wins bcast

	server string = Linux Server

	winbind separator = +

	winbind uid = 10000-20000

	winbind gid = 10000-20000

	template shell = /bin/bash

	restrict anonymous = no

	max protocol = NT

	ldap ssl = No

	server signing = Auto

	wins server = 10.128.32.11

	add machine script = /usr/sbin/useradd  -c Machine -d /var/lib/nobody -s /bin/false %***

	domain logons = No

	idmap gid = 10000-20000

	idmap uid = 10000-20000

	netbios name = linuxserver

	passdb backend = smbpasswd


[install]

	path = /share/install

	valid users = domain+domänen-admins

	read only = No

[Dio]

Ich werde Samba jetzt komplett runterschmeissen..

Was muss ich alles löschen?

Das sind alle tdbs die ich gefunden habe..

/var/lib/samba/brlock.tdb

/var/lib/samba/locking.tdb

/var/lib/samba/gencache.tdb

/var/lib/samba/unexpected.tdb

/var/lib/samba/ntforms.tdb

/var/lib/samba/winbindd_cache.tdb

/var/lib/samba/ntprinters.tdb

/var/lib/samba/netsamlogon_cache.tdb

/var/lib/samba/ntdrivers.tdb

/var/lib/samba/sessionid.tdb

/var/lib/samba/printing/printers.tdb

/var/lib/samba/share_info.tdb

/var/lib/samba/connections.tdb

/var/lib/samba/account_policy.tdb

/var/lib/samba/messages.tdb

/var/lib/samba/lang_de.tdb

/var/lib/samba/winbindd_idmap.tdb

/var/lib/samba/registry.tdb

/var/lib/samba/group_mapping.tdb

Kann ich die gefahrlos löschen bevor ich Samba neu installiere?

Bzw. kann ich den ganzen Ordner /var/lib/samba löschen oder liegen da auch libaries vom Samba Client?

/etc/samba werde ich löschen

/tmp/.winbind werde ich löschen

Noch was?

[sayso]

Ich werde Samba jetzt komplett runterschmeissen..

Was muss ich alles löschen?

Kann ich die gefahrlos löschen bevor ich Samba neu installiere?

Bzw. kann ich den ganzen Ordner /var/lib/samba löschen oder liegen da auch libaries vom Samba Client?

/etc/samba werde ich löschen

/tmp/.winbind werde ich löschen

Noch was?

Warum willst du Samba deinstallieren?

Ist doch nicht Windows ;-)

Ja die TDBs kannst du gefahrenlos löschen, da sie beim Restart bzw. Rejoin in die Domäne von Samba neu generiert werden.

Die smb.conf sieht auf den ersten Blick o.k. aus, wie steht es mit dem krb?

Funktioniert die Ticketerstellung? (nachdem Samba der Domäne beigetreten ist)

Wenn nicht brauchst du mit den anderen Dingen erst gar nicht weitermachen....

[Schlaubi]

Never change a running system...wieso umbedingt löschen!? Leg es doch nebendran nach /etc/samba.org, etc!!!

[Dio]

So...

Ich hab die tdbs gelöscht bzw. den Ordner umbenannt und bin der domain neu beigetreten mit net rpc join -U Domainadminnamewbinfo -t gibt keine Fehlermeldung mehr

Bei klist und kinit kommt allerdings folgendes:

linuxserver:~ # klist

Credentials cache /tmp/krb5cc_0 not found.

linuxserver:~ # kinit domäne+domainadminname

Password for domäne+domainadminname@EXAMPLE.COM:ms1779p

Exception: kerberos.example.com: kerberos.example.com

java.net.UnknownHostException: kerberos.example.com: kerberos.example.com

at java.net.InetAddress.getAllByName0(InetAddress.java:1011)

at java.net.InetAddress.getAllByName0(InetAddress.java:981)

at java.net.InetAddress.getAllByName(InetAddress.java:975)

at java.net.InetAddress.getByName(InetAddress.java:889)

at sun.security.krb5.internal.bg.<init>(DashoA12275:56)

at sun.security.krb5.KrbKdcReq$KdcCommunication.run(DashoA12275:262)

at java.security.AccessController.doPrivileged(Native Method)

at sun.security.krb5.KrbKdcReq.send(DashoA12275:199)

at sun.security.krb5.KrbKdcReq.send(DashoA12275:144)

at sun.security.krb5.KrbKdcReq.send(DashoA12275:110)

at sun.security.krb5.internal.tools.Kinit.<init>(DashoA12275:260)

at sun.security.krb5.internal.tools.Kinit.main(DashoA12275:109)

linuxserver:~ #

Heißt das Kerberos funzt nicht??

[sayso]

Ich hab die tdbs gelöscht bzw. den Ordner umbenannt und bin der domain neu beigetreten mit net rpc join -U Domainadminnamewbinfo -t gibt keine Fehlermeldung mehr

Dann waren die TDBs defekt...

Bei klist und kinit kommt allerdings folgendes:

linuxserver:~ # klist

Credentials cache /tmp/krb5cc_0 not found.

linuxserver:~ # kinit domäne+domainadminname

Password for domäne+domainadminname@EXAMPLE.COM:ms1779p

Exception: kerberos.example.com: kerberos.example.com

java.net.UnknownHostException: kerberos.example.com:

linuxserver:~ #

Heißt das Kerberos funzt nicht??

Ähh ja, wasn das?

Welchen KRB5 Client/Tool setzt du denn ein?

Ich dachte bei SuSE wird Heimdal mitgeliefert (der auch mit Samba läuft).

Desweiteren passen die REALMs nicht (EXAMPLE.COM). Dann kann KRB5 auch nicht gehen...

[Dio]

Wo stelle ich den REALM beim Kerberos Client denn ein?

Bzw. wie stelle ich denn fest welchen Client Samba nutzt?

Wo trage ich dann ein das Samba bzw. winbind Heimdal nehmen soll?

Kann ich Heimdal einfach über den Packetmanager installieren?

Sorry das ich soviel Frage..

und thx 4 help :uli

[Dio]

Folgende Packete zum Thema sind installiert bzw. verfügbar:

Den kerberos Client konfiguriert man doch über die krb5.conf oder`?

Ich hab da als Realm mal unsere Domäne eingetragen aber es geht trotzdem nicht..

[sayso]

Hallo,

benutze mal bitte heimdal, der ist mit Samba getestet und funktioniert.

Die krb5.conf soll z.B. so aussehen

[libdefaults]

default_realm = PRODAS.LOCAL

clockskew = 300

[realms]

PRODAS.LOCAL = {

kdc = PDS-AD.PRODAS.LOCAL

}

[domain_realm]

.prodas.local = PRODAS.LOCAL

[logging]

# default = SYSLOG:NOTICE:DAEMON

default = FILE:/var/log/krb5libs.log

kdc = FILE:/var/log/kdc.log

kadmind = FILE:/var/log/kadmind.log

[appdefaults]

pam = {

ticket_lifetime = 1d

renew_lifetime = 1d

forwardable = true

proxiable = false

retain_after_close = false

minimum_uid = 0

debug = false

}

Im Realm, etc.. natürlich deine Server und Domäne eintragen...

:beagolisc

[Dio]

Wir haben aber eine NT 4.0 Domäne und kein Active Directory..

Macht das keinen Unterschied?

Bei uns ist DNS Domänenname nicht gleich Windows Domänenname

[Dio]

Problem gelöst.. Hab pam_krb5 und pam_krb5_32bit installiert und jetzt funktioniert es wieder..

Thx sayso.. Ohne dich wäre ich nie auf den Kerberos Client gekommen :e@sy