mit samba(lenny) in die Windows-Domain
Wolfgang Hotwagner
ich versuche hier ein Debian Lenny in die Windows-Domain zu hieven.
Mit Etch und dieser Anleitung ->
http://www.administrator.de/Debian_Linux_in_eine_Active_Directory_Dom%C3%A4ne_integrieren.html
hab ichs recht flott hinbekommen. Aber mit Lenny will das irgendwie
nicht so recht.
Wenn ich alle Dienste(samba & winbind) stoppe und "net ads join -U
Administrator" ausführe kommt folgender Fehler:
Using short domain name -- OFFICE
Joined 'DSLIN1' to realm 'office.may.co.at'
[2009/04/15 08:52:42, 0] libads/kerberos.c:ads_kinit_password(356)
kerberos_kinit_password DSLIN1$@OFFICE.MAY.CO.AT failed:
Preauthentication failed
Anscheinend bin ich aber an der Domain angemeldet denn ein "net ads
testjoin" sagt: Join is OK
Ich kann mich auch als Administrator per ssh am Server DSLIN1 anmelden.
Trotzdem kann ich auf keine Freigabe zugreifen und obwohl der
Windows-Client in der Domain ist komm ich zu einer Passwortaufforderung
und kann mich auch da nicht anmelden.
Kann mir jemand helfen?
Liebe Grüße
Hoti
--
Haeufig gestellte Fragen und Antworten (FAQ):
http://www.de.debian.org/debian-user-german-FAQ/
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-g...@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listm...@lists.debian.org (engl)
Ralf Oertner
> Hallo,
> ich versuche hier ein Debian Lenny in die Windows-Domain zu hieven.
> Mit Etch und dieser Anleitung ->
> http://www.administrator.de/Debian_Linux_in_eine_Active_Directory_Dom%C3%A4ne_integrieren.html
> hab ichs recht flott hinbekommen. Aber mit Lenny will das irgendwie
> nicht so recht.
> Wenn ich alle Dienste(samba & winbind) stoppe und "net ads join -U
> Administrator" ausführe kommt folgender Fehler:
>
> Using short domain name -- OFFICE
> Joined 'DSLIN1' to realm 'office.may.co.at'
> [2009/04/15 08:52:42, 0] libads/kerberos.c:ads_kinit_password(356)
> kerberos_kinit_password DSLIN1$@OFFICE.MAY.CO.AT failed:
> Preauthentication failed
>
>
> Anscheinend bin ich aber an der Domain angemeldet denn ein "net ads
> testjoin" sagt: Join is OK
> Ich kann mich auch als Administrator per ssh am Server DSLIN1 anmelden.
> Trotzdem kann ich auf keine Freigabe zugreifen und obwohl der
> Windows-Client in der Domain ist komm ich zu einer Passwortaufforderung
> und kann mich auch da nicht anmelden.
>
> Kann mir jemand helfen?
>
> Liebe Grüße
> Hoti
Hallo!
Ich hatte genau das gleiche Problem. Nach ewigem Googeln fand ich einen
Hinweis das es wohl an der Sambaversion liegen soll.
Ich habe dann mit Lenny aufgegeben - mit Etch ging es einwandfrei.
Trotzdem wäre es natürlich wichtig zu wissen ob es wirklich an der
Sambaversion liegt.
--
Viele Grüße
Ralf Oertner
Wolfgang Hotwagner
> Hallo!
> Ich hatte genau das gleiche Problem. Nach ewigem Googeln fand ich
> einen Hinweis das es wohl an der Sambaversion liegen soll.
> Ich habe dann mit Lenny aufgegeben - mit Etch ging es einwandfrei.
> Trotzdem wäre es natürlich wichtig zu wissen ob es wirklich an der
> Sambaversion liegt.
>
Leider kann ich Etch nicht verwenden da in der Etch-Samba-Version
gewisse Features fehlen die ich unbedingt brauche. Es wäre schön wenn
jemand einen fix für dieses Problem hätte.
Thomas Kosch
> Hallo,
> ich versuche hier ein Debian Lenny in die Windows-Domain zu hieven.
> Mit Etch und dieser Anleitung ->
> http://www.administrator.de/Debian_Linux_in_eine_Active_Directory_Dom%C3%A4ne_integrieren.html
Die Kerberos Server Dienste sind überflüssig.
> hab ichs recht flott hinbekommen. Aber mit Lenny will das irgendwie
> nicht so recht.
> Wenn ich alle Dienste(samba & winbind) stoppe und "net ads join -U
> Administrator" ausführe kommt folgender Fehler:
>
> Using short domain name -- OFFICE
> Joined 'DSLIN1' to realm 'office.may.co.at'
> [2009/04/15 08:52:42, 0] libads/kerberos.c:ads_kinit_password(356)
> kerberos_kinit_password DSLIN1$@OFFICE.MAY.CO.AT failed:
> Preauthentication failed
Sieht nach einem Kerberosproblem aus. Läuft die Zeit synchron? Wie
sieht die krb5.conf aus? Was sagt "kinit $USER@REALM"?
ttyl8er, t.k.
Manfred Schmitt
>
> Leider kann ich Etch nicht verwenden da in der Etch-Samba-Version
> gewisse Features fehlen die ich unbedingt brauche. Es wäre schön wenn
> jemand einen fix für dieses Problem hätte.
>
http://packages.debian.org/etch-backports/samba
Und wech,
Manne
Wolfgang Hotwagner
Ich verwende derzeit Lenny und es funktioniert nicht. Wenn ich dann Etch
verwende klappts aber mir fehlen einige Features. Wenn ich Etch verwende
und samba aus Backports nehme wirds wahrscheinlich wieder nicht
funktionieren das dann die samba-version aus lenny ist mit welcher ich
probleme hab...
Wolfgang Hotwagner
> Sieht nach einem Kerberosproblem aus. Läuft die Zeit synchron? Wie
> sieht die krb5.conf aus? Was sagt "kinit $USER@REALM"?
>
> ttyl8er, t.k.
So sieht meine krb5.conf aus:
[libdefaults]
default_realm = OFFICE.MAY.CO.AT
krb4_config = /etc/krb.conf
rb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
[realms]
OFFICE.MAY.CO.AT = {
kdc = srv01.office.may.co.at
admin_server = srv01.office.may.co.at
}
[domain_realm]
.office.may.co.at = OFFICE.MAY.CO.AT
[login]
krb4_convert = true
krb4_get_tickets = false
kinit Admini...@OFFICE.MAY.CO.AT fragt mich nach Passwort aber gibt
nichts aus.
Ben
Lenny / Windows Server 2003 Ent. Ed. und es funktioniert einwandfrei.
Wolfgang Hotwagner
da beschrieben wird.
Nur gefällt es mir nicht dass ich samba kompilieren muss(und in weiterer
folge für jedes update wieder kompilieren). Ich finde es schade dass die
Samba-Version in Lenny anscheinend fehlerhaft ist..
Ben schrieb:
Ben
> Nur gefällt es mir nicht dass ich samba kompilieren muss(und in weiterer
> folge für jedes update wieder kompilieren). Ich finde es schade dass die
> Samba-Version in Lenny anscheinend fehlerhaft ist..
Selbst kompilieren finde ich im Großen und Ganzen viel besser als den
Paketmanager zu benutzen, da man hier selbst penibelst genau auswählen
_kann_ wie etwas eingerichtet werden soll. Dies natürlich abhängig
davon welche Komponente es ist (z.B. installiere ich Apache2 als
Paket, PHP 5 allerdings wird selbst kompiliert).
Ich würde allerdings niemals größere Pakete (wie samba, php, etc.)
selbstkompiliert Systemweit installieren, das kann mehr zerstören als
es hilft - dafür gibt es ja aber die --prefix= Option :)
Wegen deiner Enttäuschung Updates für Samba ebenfalls selbst
kompilieren zu müssen, kann ich sagen, dass du das nicht wirklich
musst. Ich gehe davon aus, dass du dein AD nur im LAN benutzt und
dieses nicht frei aus dem WAN erreichbar ist, daher sind
Sicherheitsupdates für Samba nur bedingt wichtig. Im Firmennetzwerk
sind natürlich bestimmte Sicherheitsupdates wichtiger als im privaten
AD Zuhause.
Generelle Updates musst du ja nicht installieren, denn wenn alles
funktioniert wie du es möchtest / es benötigt wird und evtl. neu
hinzugefügte Funktionen nicht benötigt werden existiert kein Grund für
ein Update. Ausnahmen siehe oben.
Never touch a running System :)
Wolfgang Hotwagner
Ben schrieb:
> Am 16. April 2009 16:05 schrieb Wolfgang Hotwagner <list...@may.co.at>:
>
> Selbst kompilieren finde ich im Großen und Ganzen viel besser als den
> Paketmanager zu benutzen, da man hier selbst penibelst genau auswählen
> _kann_ wie etwas eingerichtet werden soll. Dies natürlich abhängig
> davon welche Komponente es ist (z.B. installiere ich Apache2 als
> Paket, PHP 5 allerdings wird selbst kompiliert).
> Ich würde allerdings niemals größere Pakete (wie samba, php, etc.)
> selbstkompiliert Systemweit installieren, das kann mehr zerstören als
> es hilft - dafür gibt es ja aber die --prefix= Option :)
>
> Wegen deiner Enttäuschung Updates für Samba ebenfalls selbst
> kompilieren zu müssen, kann ich sagen, dass du das nicht wirklich
> musst. Ich gehe davon aus, dass du dein AD nur im LAN benutzt und
> dieses nicht frei aus dem WAN erreichbar ist, daher sind
> Sicherheitsupdates für Samba nur bedingt wichtig. Im Firmennetzwerk
> sind natürlich bestimmte Sicherheitsupdates wichtiger als im privaten
> AD Zuhause.
> Generelle Updates musst du ja nicht installieren, denn wenn alles
> funktioniert wie du es möchtest / es benötigt wird und evtl. neu
> hinzugefügte Funktionen nicht benötigt werden existiert kein Grund für
> ein Update. Ausnahmen siehe oben.
> Never touch a running System :)
>
>
>
den ich aber nicht teilen will.
Ein uraltes system das unzählige sicherheitslücken hat und wo viele neue
features einfach noch nicht funktionieren wird
vielleicht zwar laufen, aber toll ists trotzdem nicht ;-)
Aber so wie es aussieht komm ich in diesem Fall nicht drum rum. Nachdem
das meine erste Lennyinstallation auf einem Server ist und die gleich
scheitert bin ich schon etwas enttäuscht. Mich wundert es nur dass
dieses Problem überhaupt besteht. Es muss doch viele Leute geben die ihr
Samba in eine Windowsdomain hängen..
Ralf Oertner
> Mich wundert es nur dass
> dieses Problem überhaupt besteht. Es muss doch viele Leute geben die ihr
> Samba in eine Windowsdomain hängen..
Das würde mich auch interessieren. Zumal gerade bei Debian sowas doch
kaum passieren kann.
Oder liegt das Problem doch nicht an der Samba-Version?
--
Viele Grüße
Ralf Oertner
Thomas Kosch
On 16.04.2009, at 22:32, Ralf Oertner wrote:
> Wolfgang Hotwagner formulierte Donnerstag :
>> Mich wundert es nur dass
>> dieses Problem überhaupt besteht. Es muss doch viele Leute geben
>> die ihr
>> Samba in eine Windowsdomain hängen..
>
> Das würde mich auch interessieren. Zumal gerade bei Debian sowas
> doch kaum passieren kann.
> Oder liegt das Problem doch nicht an der Samba-Version?
Zumindest gegen einen W2k8 ohne Combatibilitätslayer macht Lenny keine
Probleme. Und es würde mich wundern wenn es bei W2k3 anders wäre, denn
das einzige was von samba benötigt wird ist samba-common. Und das
enthält gerade mal
/usr/bin/net
/usr/bin/nmblookup
/usr/bin/smbpasswd
/usr/bin/testparm
Da muss irgendwas in der Config faul sein.
ttyl8er, t.k.
Markus Meier
Am Donnerstag, 16. April 2009 schrieb Wolfgang Hotwagner:
> kinit Admini...@OFFICE.MAY.CO.AT fragt mich nach Passwort aber
> gibt nichts aus.
Und was gibt ein anschließendes klist aus?
Gruß
Markus
--
Just because I'm not paranoid doesn't mean they're not out to get me!
Thomas Kosch
>
> On 16.04.2009, at 22:32, Ralf Oertner wrote:
>
>> Wolfgang Hotwagner formulierte Donnerstag :
>>> Mich wundert es nur dass
>>> dieses Problem überhaupt besteht. Es muss doch viele Leute geben
>>> die ihr
>>> Samba in eine Windowsdomain hängen..
>>
>> Das würde mich auch interessieren. Zumal gerade bei Debian sowas
>> doch kaum passieren kann.
>> Oder liegt das Problem doch nicht an der Samba-Version?
>
> Zumindest gegen einen W2k8 ohne Combatibilitätslayer macht Lenny
> keine Probleme. Und es würde mich wundern wenn es bei W2k3 anders
> wäre, denn das einzige was von samba benötigt wird ist samba-common.
> Und das enthält gerade mal
>
> /usr/bin/net
> /usr/bin/nmblookup
> /usr/bin/smbpasswd
> /usr/bin/testparm
Ah. Jetzt fällt es wie Schuppen von den Augen. Im Prinzip bist du auf https://bugs.launchpad.net/ubuntu/+source/samba/+bug/236830
hereingefallen. Allerdings ist bei lenny schon alles an Bord
Das Ganze in aller Kürze, vor allem da in dem HOWTO einiges an
überflüssigen Paketen bei ist, für lenny aber auch Pakete fehlen.
krb5-config
krb5-user
libkrb53
libpam-krb5
samba-common
winbind
smbfs
keyutils
Im Folgenden die name bitte entsprechend anpassen.
In der krb5.conf braucht du:
[libdefaults]
default_realm = UPL.NOVIRDATA.COM
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
[realms]
UPL.NOVIRDATA.COM = {
kdc = dopey.upl.novirdata.com
admin_server = dopey.upl.novirdata.com
}
[domain_realm]
.upl.novirdata.com = UPL.NOVIRDATA.COM
upl.novirdata.com = UPL.NOVIRDATA.COM
Das ist alles.
In common-auth möchtest du:
auth sufficient pam_winbind.so krb5_auth krb5_ccache_type=FILE
cached_login
auth required pam_unix.so nullok_secure use_first_pass
Damit du dich um die Tickets nicht selbst kümmern musst. Dazu gehört
noch eine Zeile in der smb.conf.
In der common-account reicht:
auth sufficient pam_winbind.so
account required pam_unix.so
Fals du lokale Homedirctories benutzt möchtest du:
session required pam_unix.so
session required pam_mkhomedir.so skel=/etc/skel umask=022
damit du dich nicht selbst um die Anlage der Homedirectories kümmern
musst.
In der smb.conf möchte man normalerweise:
[global]
netbios name = LENNY
workgroup = UPL
realm = UPL.NOVIRDATA.COM
preferred master = no
server string = Samba file and print server
security = ADS
encrypt passwords = true
log level = 3
log file = /var/log/samba/%m
max log size = 50
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind nested groups = yes
winbind use default domain = yes
winbind offline logon = true
winbind refresh tickets = yes
client use spnego = yes
template shell = /bin/bash
template homedir = /home/%D/%U
nt acl support = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
Einiges davon entspricht zwar dem default Verhalten, aber so hat man
die wichtigsten Informationen auf einem Blick. Außerdem erlebt man
keine Überraschungen wenn sich der Default ändert.
Kommen wir zu spaßigen Teil. Damit jetzt der mount auch mit krb auth
funktioniert braucht es noch
create cifs.spnego * * /usr/sbin/cifs.upcall -
c %k
create dns_resolver * * /usr/sbin/cifs.upcall %k
in der request-key.conf.
Damit müsste im Prinzip dann ein smbmount //$SERVICE/$SHARE /
$MOUNTPOINT -osec=krb5i funktionieren...
Wenn da nicht eine strunzdumme Eigenart von mount.cifs währe. Bekommt
das nämlich kein password als Option übergeben dann präsentiert es dem
User einen Password Prompt auch wenn das wegen sec=krb5i selten
dämlich ist.
Aber auch dem kann abgeholfen werden. Als erstes ergänzen wir die
pam_env.conf um:
PASSWD DEFAULT=""
und ändern dann die common-auth in
auth required pam_env.so
auth sufficient pam_winbind.so krb5_auth krb5_ccache_type=FILE
cached_login
auth required pam_unix.so nullok_secure use_first_pass
Und um die Zicken von "net ads join" kümmern wir uns dann nach dem
Wochenende, falls das nicht nur ein kosmetischer Schluckauf gewesen
sein sollte.
ttyl8er, t.k.
Wolfgang Hotwagner
>
> Ah. Jetzt fällt es wie Schuppen von den Augen. Im Prinzip bist du auf
> https://bugs.launchpad.net/ubuntu/+source/samba/+bug/236830 hereingefallen.
> Allerdings ist bei lenny schon alles an Bord
>
> Das Ganze in aller Kürze, vor allem da in dem HOWTO einiges an
> überflüssigen Paketen bei ist, für lenny aber auch Pakete fehlen.
>
Besten Dank für die Hilfe. Ich habe meine Konfiguration nach deinem Rat
nach angepasst. Es funktioniert leider immer noch nicht, doch ein net
ads join -U Administrator bringt jetzt einen anderen Fehler: Failed to
join domain: failed to lookup DC info for domain 'OFFICE.MAY.CO.AT' over
rpc: Logon failure
Ein "kinit Admini...@OFFICE.MAY.CO.AT" scheint zu funktionieren.
Nach der Passworteingabe mach ich ein klist und bekomm folgendes:
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Admini...@OFFICE.MAY.CO.AT
Valid starting Expires Service principal
04/18/09 15:51:39 04/19/09 01:51:42
krbtgt/OFFICE.M...@OFFICE.MAY.CO.AT
renew until 04/19/09 15:51:39
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
Wolfgang Hotwagner
> Hallo,
>
> Am Donnerstag, 16. April 2009 schrieb Wolfgang Hotwagner:
>
>> kinit Admini...@OFFICE.MAY.CO.AT fragt mich nach Passwort aber
>> gibt nichts aus.
>>
>
> Und was gibt ein anschließendes klist aus?
>
> Gruß
> Markus
>
Valid starting Expires Service principal
04/18/09 15:39:58 04/19/09 01:40:02
krbtgt/OFFICE.M...@OFFICE.MAY.CO.AT
renew until 04/19/09 15:39:58
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
dslin1:/var/log# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Admini...@OFFICE.MAY.CO.AT
Valid starting Expires Service principal
04/18/09 15:39:58 04/19/09 01:40:02
krbtgt/OFFICE.M...@OFFICE.MAY.CO.AT
renew until 04/19/09 15:39:58
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
Thomas Kosch
> Besten Dank für die Hilfe. Ich habe meine Konfiguration nach deinem
> Rat
> nach angepasst. Es funktioniert leider immer noch nicht, doch ein net
> ads join -U Administrator bringt jetzt einen anderen Fehler: Failed to
> join domain: failed to lookup DC info for domain 'OFFICE.MAY.CO.AT'
> over
> rpc: Logon failure
Falsche Credentials. Beim Passwort verschrieben? Bitte dreifach
überprüfen. Ansonsten bitte testparm -s und die global section posten.
> Ein "kinit Admini...@OFFICE.MAY.CO.AT" scheint zu funktionieren.
> Nach der Passworteingabe mach ich ein klist und bekomm folgendes:
> Ticket cache: FILE:/tmp/krb5cc_0
> Default principal: Admini...@OFFICE.MAY.CO.AT
>
> Valid starting Expires Service principal
> 04/18/09 15:51:39 04/19/09 01:51:42
> krbtgt/OFFICE.M...@OFFICE.MAY.CO.AT
> renew until 04/19/09 15:51:39
Der Kerberos Teil funktioniert schon mal. Trotzdem mal bitte die
krb5.conf
ttyl8er, t.k.
Wolfgang Hotwagner
> Falsche Credentials. Beim Passwort verschrieben? Bitte dreifach
> überprüfen. Ansonsten bitte testparm -s und die global section posten.
>
Fehlermeldung "Failed to join domain: failed to lookup DC info for
domain 'OFFICE.MAY.CO.AT' over rpc: Logon failure"
dslin1:~# testparm -s
Load smb config files from /etc/samba/smb.conf
Processing section "[daten]"
Processing section "[test]"
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
[global]
workgroup = OFFICE
realm = OFFICE.MAY.CO.AT
server string = %h server
security = ADS
obey pam restrictions = Yes
passdb backend = tdbsam
pam password change = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n
*Retype\snew\s*\spassword:
* %n\n *password\supdated\ssuccessfully* .
unix password sync = Yes
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
dns proxy = No
panic action = /usr/share/samba/panic-action %d
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
winbind refresh tickets = Yes
winbind offline logon = Yes
valid users = %S
create mask = 0700
directory mask = 0700
>
> Der Kerberos Teil funktioniert schon mal. Trotzdem mal bitte die
> krb5.conf
>
dslin1:~# cat /etc/krb5.conf
[libdefaults]
default_realm = OFFICE.MAY.CO.AT
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
[realms]
UPL.NOVIRDATA.COM = {
kdc = srv01.office.may.co.at
admin_server = srv01.office.may.co.at
}
[domain_realm]
.office.may.co.at = OFFICE.MAY.CO.AT
office.may.co.at = OFFICE.MAY.CO.AT
Bjoern Meier
> [realms]
> UPL.NOVIRDATA.COM = {
> kdc = srv01.office.may.co.at
> admin_server = srv01.office.may.co.at
> }
>
so sollte es richtig sein:
OFFICE.MAY.CO.AT = {
kdc = srv01.office.may.co.at
admin_server = srv01.office.may.co.at
}
sonst weiß er ja nicht welchen KDC er für den Realm OFFICE.MAY.CO.AT
nehmen soll. Dann nochmal winbind durchstarten und neu versuchen.
--
To boldly go where no man has gone before ... I'll wait there with
touristinformation
Wolfgang Hotwagner
>
> so sollte es richtig sein:
>
> OFFICE.MAY.CO.AT = {
> kdc = srv01.office.may.co.at
> admin_server = srv01.office.may.co.at
> }
>
> sonst weiß er ja nicht welchen KDC er für den Realm OFFICE.MAY.CO.AT
> nehmen soll. Dann nochmal winbind durchstarten und neu versuchen.
>
Mann, da öffne ich 1000x das File und les ständig drüber...
Danke jedenfalls für den Hinweis aber das Problem besteht immer
noch(ohne passwortabfrage):
dslin1:~# net ads join -U Administrator
Failed to join domain: failed to lookup DC info for domain
'OFFICE.MAY.CO.AT' over rpc: Logon failure
Thomas Kosch
> [realms]
> UPL.NOVIRDATA.COM = {
> kdc = srv01.office.may.co.at
> admin_server = srv01.office.may.co.at
> }
Ließ dir obiges bitte noch mal ganz langsam durch.
ttyl8er, t.k.
Wolfgang Hotwagner
>
> Ließ dir obiges bitte noch mal ganz langsam durch.
>
>
Ich hab ihn ausgebessert und gleich nen kompletten Reboot gemacht.
Trotzdem hab ich immer noch das problem mit dem net ads join -U
administrator und der meldung: Failed to join domain: failed to lookup
DC info for domain 'OFFICE.MAY.CO.AT' over rpc: Logon failure
Bjoern Meier
> Bjoern Meier schrieb:
>>
>> so sollte es richtig sein:
>>
>> OFFICE.MAY.CO.AT = {
>> kdc = srv01.office.may.co.at
>> admin_server = srv01.office.may.co.at
>> }
>>
>> sonst weiß er ja nicht welchen KDC er für den Realm OFFICE.MAY.CO.AT
>> nehmen soll. Dann nochmal winbind durchstarten und neu versuchen.
>>
>
> Mann, da öffne ich 1000x das File und les ständig drüber...
> Danke jedenfalls für den Hinweis aber das Problem besteht immer
> noch(ohne passwortabfrage):
> dslin1:~# net ads join -U Administrator
> Failed to join domain: failed to lookup DC info for domain
> 'OFFICE.MAY.CO.AT' over rpc: Logon failure
hi,
und der srv01.office.may.co.at läßt sich anpingen? Sonst könnte ich
dir instant communication (ICQ, MSN, Jabber, etc.) anbieten um den
Problem mal von Anfang an auf den Grund zu gehen.
Gruß,
Björn
--
To boldly go where no man has gone before ... I'll wait there with
touristinformation
Thomas Kosch
> Thomas Kosch schrieb:
>>
>> Ließ dir obiges bitte noch mal ganz langsam durch.
>>
>>
> Der Fehler ist mir schon peinlich genug *g*
>
> Ich hab ihn ausgebessert und gleich nen kompletten Reboot gemacht.
> Trotzdem hab ich immer noch das problem mit dem net ads join -U
> administrator und der meldung: Failed to join domain: failed to lookup
> DC info for domain 'OFFICE.MAY.CO.AT' over rpc: Logon failure
Da fällt mir gerade etwas ein. Hast du eventuell schon die
pam_env.conf modifiziert. Dann wäre das erklärbar da bei vorhanener
Enviroment Variabvle PASSW er das Passwort aus dieser nimmt. Und die
ist ja bekanntlich leer. nimm entweder net join ads -U $USER%$PASSWD.
Falls noch an anderer Stelle Probleme mit einem leeren PAADW im
Enviroment auftreten sollten musst du das eben leider wieder dort
herausnehmen und statt dessen den mount options noch ein guest
hinzufügen.
ttyl8er, t.k.
Wolfgang Hotwagner
vielen Dank für die Unterstützung. Ich habe das Problem jetzt behoben
und alles funktioniert wie gewohnt. Mit all den neuen Ideen hab ich
jetzt einfach den kompletten Server neu installiert und Samba+Kerberos
neu konfiguriert.
Der vollständigkeit halber hier noch kurz meine Konfiguration:
apt-get install heimdal-clients samba smbfs smbclient winbind smbclient
ntpdate
ntpdate ruft regelmäßig die zeit vom windows-server ab und resolv.conf
ist auf den windows-dns-server konfiguriert.
Samba-Konfig:
[global]
workgroup = OFFICE
realm = OFFICE.MAY.CO.AT
server string = %h server
security = ADS
obey pam restrictions = Yes
password server = srv01.office.may.co.at
passdb backend = tdbsam
pam password change = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *Enter\snew\s*\spassword:* %n\n
*Retype\snew\s*\spassword:
* %n\n *password\supdated\ssuccessfully* .
unix password sync = Yes
log file = /var/log/samba/log.%m
max log size = 1000
dns proxy = No
panic action = /usr/share/samba/panic-action %d
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
krb5.conf:
[libdefaults]
default_realm = OFFICE.MAY.CO.AT
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true
[realms]
OFFICE.MAY.CO.AT = {
kdc = srv01.office.may.co.at
admin_server = srv01.office.may.co.at
}
[domain_realm]
.office.may.co.at = OFFICE.MAY.CO.AT
[login]
krb4_convert = true
krb4_get_tickets = false
# /etc/nsswitch.conf
passwd: compat winbind
group: compat winbind
shadow: compat
hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
#
# /etc/pam.d/common-auth - authentication settings common to all services
auth sufficient pam_winbind.so
auth required pam_unix.so nullok_secure use_first_pass