lord-of-linux
Anmeldungsdatum: 13. Mai 2006
Beiträge: 79
|
Hallo, mein Samba PDC mit ldap-Benutzerverwaltung steht nun soweit. Allerdings kann ich keine Windowsmachine anmelden. Auch habe ich Probleme, mich per smbclient zu Verbinden. Anmeldung per smbclient: Die Anmeldung per smbclient funktioniert nur für den Nutzer root. Alle anderen Nutzer bekommen die Meldung: session setup failed: NT_STATUS_LOGON_FAILURE Woran kann das liegen? Die Anmeldung an die LDAP-Accounts unter Linux ist kein Problem, hier funktioniert alles. Die smbldap-tools erledigen ihre Aufgabe auch wie erwartet. Anmeldung "echter" Clients: Versuche ich, einen Windowsrechner der Domain hinzuzufügen erhalte ich unter Windows die Meldung: Kann nicht Verbinden ... "Der Benutzer konnte nicht gefunden werden." Was hat das zu bedeuten? Ich habe den root-Account verwendet und der Rechner-Account wurde korrekt angelegt. In den Samba-Logs sehe ich auch keine Probleme: Nacheinander wird die korrekte Authentifikation bestätigt und die Domain-SID an den Client gesendet. (Siehe http://ubuntuusers.de/paste/390469/) Ich habe den Server auch schon als WINS-Server eingetragen. Was muss ich tun, um die Windows-Client einzubinden? Warum verweigert Samba trotz Ergänzung: Ich habe gerade kurz noch ein paar Test gemacht. Sowohl von einem Windows, als auch von einem MacOS X-Client, komme ich mit dem Nutzer root in dessen Homeverzeichnis. Alle anderen Anmeldeversuche schlagen fehl. Meine smb.conf: http://ubuntuusers.de/paste/390470/ (Ich habe sie aus Infos aus einem Linux-Magazin Sonderheft und einigen Seiten meiner Internetrecherche zusammengebaut. Ich denke nicht, das hier große Fehler drin sind.)
|
Dalai
Anmeldungsdatum: 16. Juni 2008
Beiträge: 2316
Wohnort: Meiningen
|
lord-of-linux hat geschrieben: Die smbldap-tools erledigen ihre Aufgabe auch wie erwartet.
Woran machst du das fest? Wenn du dich mit einem Linux-Client anmeldest, dann wird überhaupt kein Gebrauch von den smbldap-tools gemacht, solange lediglich ein LDAP-Client und kein Samba benutzt wird. Samba auf einem Linux-Client bzw. einen Linux-Client per Samba zu authentifizieren wäre auch etwas sinnlos. Deine smb.conf sieht schonmal richtig aus. Zeig mal die /etc/smbldap-tools/smbldap.conf her. Ist das Verzeichnis /nethomes (und alles darunter) für die User schreibbar? MfG Dalai
|
lord-of-linux
(Themenstarter)
Anmeldungsdatum: 13. Mai 2006
Beiträge: 79
|
Die Nutzerverzeichnisse sind beschreibbar. Ich kann mich unter Linux auch ohne Probleme einloggen. Und das die smbldap-tools funktionieren, zeigt sich schon allein daran, dass ich mich unter Linux am LDAP authentifizieren kann. Dort habe ich keine Nutzer manuell angelegt oder ähnliches. Habe jeweils mit "smbldap-useradd -a -m" die Nutzer angelegt. Von dort kann ich auch in die Homes schreiben. By the way: Wie teile ich den Nutzern nun eigentlich Gruppen zu? Das dürfte hier zwar keinen Einfluss haben, werde ich aber auch noch brauchen. Die smbldap.conf hab ich hier gepastet: http://ubuntuusers.de/paste/390513/
|
Dalai
Anmeldungsdatum: 16. Juni 2008
Beiträge: 2316
Wohnort: Meiningen
|
lord-of-linux hat geschrieben: Ich kann mich unter Linux auch ohne Probleme einloggen. Und das die smbldap-tools funktionieren, zeigt sich schon allein daran, dass ich mich unter Linux am LDAP authentifizieren kann.
Meldest du dich direkt auf dem Server (z.B. per SSH) oder an einem Linux-Client an? Ich schreib's nochmal anders, um es klar zu machen: die smbldap-tools werden nur für die Kommunikation bzw. die Parameter derselben zwischen Samba und LDAP gebraucht! Solange du auf den Linux-Clients keinen Samba-Server drauf hast und dem gesagt hast, dass er gegen den LDAP-Server authentifizieren soll, werden keine smbldap-tools benötigt. Es wird dann alles über den LDAP selbst abgewickelt, und dafür wird die /etc/ldap/ldap.conf benutzt. sambaUnixIdPooldn="cn=nextFreeUnixId,${suffix}" Das sieht bei mir anders aus:
sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}" Ich habe damals diese Seite zur Konfiguration benutzt: OpenLDAP + Samba Domain Controller On Ubuntu 7.10. Vielleicht findest du den entscheidenden Unterschied. lord-of-linux hat geschrieben: By the way: Wie teile ich den Nutzern nun eigentlich Gruppen zu?
Das geht über smbldap-usermod --group "<gruppe>" <user> MfG Dalai
|
lord-of-linux
(Themenstarter)
Anmeldungsdatum: 13. Mai 2006
Beiträge: 79
|
Dalai hat geschrieben: Meldest du dich direkt auf dem Server (z.B. per SSH) oder an einem Linux-Client an?
Die Tests waren bisher nur direkte Anmeldungen am Server. Die Clients werde ich nun die nächsten Tage mal einrichten. Vorher muss halt dann noch SSL am LDAP eingerichtet werden. Dalai hat geschrieben: sambaUnixIdPooldn="cn=nextFreeUnixId,${suffix}" Das sieht bei mir anders aus:
sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
Ich habe das so gelöst, da ich das so irgendwo gelesen hatte. Useradd usw. funktionieren damit ohne Probs und die UIDs/GIDs passen soweit alle. Und danke für den Hinweis mit den Gruppen. Hoffentlich kann ich das auch bald gebrauchen, denn dazu sollte wohl das Anmelden funktionieren. Mich wundert sowieso am Meisten, das root sich einloggen kann, andere aber nicht.
|
Dalai
Anmeldungsdatum: 16. Juni 2008
Beiträge: 2316
Wohnort: Meiningen
|
lord-of-linux hat geschrieben: Die Tests waren bisher nur direkte Anmeldungen am Server.
Dann spielen die smbldap-tools überhaupt keine Rolle. Hast du in der /etc/smbldap-tools/smbldap_bind.conf Nutzername und Passwort für den LDAP-Admin hinterlegt? Bist du dir sicher, dass das Verzeichnis /nethomes (und alles darunter) für die Nutzer schreibbar ist? Ich frage das, weil das Home der Nutzer normalerweise unter /home eingebunden wird und nichts mit dem "Samba-Home" des Nutzers zu tun hat und auch nicht beim Login am Server benutzt wird. MfG Dalai
|
lord-of-linux
(Themenstarter)
Anmeldungsdatum: 13. Mai 2006
Beiträge: 79
|
Ich sage ja, das passt soweit alles. smbldap-tools legen ja die Windows und Linux-Benutzerdaten an. Wenn ich mich unter Linux anmelde kann ich auch in mein Homeverzeichnis schreiben usw. Und wenn ich in meinem Verzeichnis pwd eingebe, dann sehe ich auch das passende /nethomes/NUTZERNAME. Da funktioniert also ohne Probleme. Da ich die Nutzer mit smbldap-tools angelegt habe, stimmt auf alle Fälle auch die smbldap_bind.conf!
|
Dalai
Anmeldungsdatum: 16. Juni 2008
Beiträge: 2316
Wohnort: Meiningen
|
Mmh, langsam gehen mir die Ideen aus. Funktioniert ein sudo pdbedit -Lv <user>? Sonst musst du wirklich mal mit dem o.g. Guide vergleichen, denn mit dem hatte ich Erfolg. MfG Dalai
|
lord-of-linux
(Themenstarter)
Anmeldungsdatum: 13. Mai 2006
Beiträge: 79
|
Ich habe keine Idee warum, aber nun geht das Anmelden der Nutzer sowie das Betreten der Domain. Jedenfalls bin ich nun Happy und einen großen Schritt weiter. Nun ist NFS + OpenLDAP(SSL) für die Linuxkisten dran. Ich denk und hoffe, hier habe ich es ein bisschen einfacher. Danke jedenfalls für eure Hilfe.
|
Dalai
Anmeldungsdatum: 16. Juni 2008
Beiträge: 2316
Wohnort: Meiningen
|
NFS und LDAP auf den Linux-Clients ist einfacher. Ich hab's nach der Anleitung im Wiki eingerichtet. Mit LDAP-Verschlüsselung hatte ich bisher keinen Erfolg, aber da lasse ich noch jemanden helfen, der sich damit auskennt 😉. MfG Dalai
|
lord-of-linux
(Themenstarter)
Anmeldungsdatum: 13. Mai 2006
Beiträge: 79
|
Hab ich doch geschrieben, dass die Linux-Clients LDAP + NFS bekommen. Und die Verschlüsselung bekomm ich mit ein bisschen Tüffteln auch hin. Ist mir halt wichtig, dass das LDAP auch verschlüsselt. Will es auch nicht nur für die Anmeldung nutzen. Ich werde ggf. noch ein paar andere Dinge damit verwalten.
|
Dalai
Anmeldungsdatum: 16. Juni 2008
Beiträge: 2316
Wohnort: Meiningen
|
Ich meinte das so, dass ich bei meinem LDAP-Server für die Verschlüsselung noch Hilfe hole, weil ich es selbst bisher nicht hinbekommen habe. Und NFS und die LDAP-Clients sind einfacher einzurichten als der LDAP-Server plus Samba. Ich wollte dir hier nicht meine Hilfe oder die eines anderen aufzwingen 😉. MfG Dalai
|
lord-of-linux
(Themenstarter)
Anmeldungsdatum: 13. Mai 2006
Beiträge: 79
|
Ich hatte deinen Text irgendwie falsch verstanden, sorry. Habe es so verstanden, LDAP + NFS sei einfacher als NFS + OpenLDAP. Kleines Missverständnis.
|
lord-of-linux
(Themenstarter)
Anmeldungsdatum: 13. Mai 2006
Beiträge: 79
|
Lieder kann man gerade wegen der Migration nicht editieren, daher ausnahmsweise mal ein Doppelpost. Ich habe mir gedacht ich führe einfach mal den Thread fort und mache nicht extra einen neuen auf. Folgendes Problem. Ich kann mich nun mit der Domain verbinden und habe nun schon zwei der Rechner an diese angemeldet. Allerdings kann man mit den Accounts nun scheinbar keinerlei Einstellungen ändern, obwohl ich schon welche der Gruppe Administrators zugeordnet habe. Nichtmal die Bildschirmschoner+Energieverwaltung sind konfigurierbar. Warum bleibt sogar einem Admin der Zugriff verwehrt?
|
Dalai
Anmeldungsdatum: 16. Juni 2008
Beiträge: 2316
Wohnort: Meiningen
|
lord-of-linux hat geschrieben: Allerdings kann man mit den Accounts nun scheinbar keinerlei Einstellungen ändern, obwohl ich schon welche der Gruppe Administrators zugeordnet habe.
Sind diese User auch Mitglied der Domain Admins? Nur so als Hinweis: ich hatte keinen Erfolg bei mir, den root zum Domain Admin zu machen. Er war zwar dort Mitglied, hatte aber trotzdem keine anderen Rechte auf den Rechnern als ein normaler User. Ich hab dann einfach einen administrator angelegt und den sowohl in die Administrators als auch in die Domain Admins aufgenommen. Und damit hatte er Adminrechte auf den Clients. MfG Dalai
|