OpenVPN en Samba domain - Netwerken

maandag 5 maart 2007 11:53

Acties:

Topicstarter

Ik heb op m'n linux server Samba (v3) draaien als Primary Domain Controller.
In dat domein maak ik gebruik van roaming profiles. Dit werkt allemaal perfect binnen het netwerk van die locatie.

Nu heb ik ook OpenVPN (v2.0.9) ingesteld op die server om overal in te kunnen loggen op m'n domein.
Inloggen via VPN op het domein werkt. Na het inloggen kan ik bij de server shares komen, zijn de policies geladen, is het login script van de user afgehandeld, kan ik printen etc.
Alleen pakt ie dan niet het roaming profile van de server af, maar maakt een lokaal profiel aan.
Als ik in m'n samba log kijk dan wordt er succesvol verbinding gemaakt met de 'profiles' share, dus dat is wel gewoon bereikbaar.

edit:
Ik kan trouwens ook na naar \\server\profiles\user gaan, daar kan ik na het inloggen gewoon bij komen.

In de Samba logs en in Windows event viewer staan geen foutmeldingen.

Aan de clients kan het eigelijk niet liggen, want m'n laptop doet het binnen het netwerk wel, maar niet via VPN.

Mijn smb.conf:

code:

[global]
workgroup = ROMA
realm = ROMA
netbios name = netserver
server string = RoMa PDC
client ntlmv2 auth = yes
password server = netserver.roma.dc
wins support = yes
dns proxy = no
profile acls = yes
log file = /var/log/samba/log.%m
max log size = 8192
syslog = 0
panic action = /usr/share/samba/panic-action %d

####### Authentication #######
   security = user
   encrypt passwords = true
   passdb backend = tdbsam
   domain logons = yes
   obey pam restrictions = yes
   preferred master = yes
   local master = yes
   os level = 65
   preferred master = yes
   log level = 3
   socket options = TCP_NODELAY
   domain master = yes

   logon path = \\netserver\profiles\%U\%a
   logon home = \\netserver\%U\.9xprofile
   logon drive = H:
   logon script = %U.bat

   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\sUNIX\spassword:* %n\n *Retype\snew\sUNIX\spassword:* %n\n .

########## Printing ##########

   load printers = yes
   preserve case = yes
   short preserve case = yes
   printcap name = cups
   printing = cups
   show add printer wizard = no

########## Scripting #########

   idmap uid = 10000-20000
   idmap gid = 10000-20000
   template shell = /bin/bash
   add user script = /usr/sbin/useradd -m %u -c "Samba user account" -g everyone
   delete user script = /usr/sbin/userdel -r %u
   add group script = /usr/sbin/groupadd %g
   add user to group script = /usr/sbin/usermod -G "%g" "%u"
   delete group script = /usr/sbin/groupdel %g
   delete user from group script = /usr/bin/gpasswd -d "%u" "%g"
   set primary group script = /usr/sbin/usermod -g "%g" "%u"
   add user to group script = /usr/sbin/usermod -G %g %u
   add machine script = /usr/sbin/useradd -g machines -c "Samba machine account" -s /bin/false/ -d /dev/null '%m$'

#======================= Share Definitions =======================

[profiles]
        comment = Network Profiles Share
        path = /home/samba/profiles
        valid users = %U
        create mode = 0660
        directory mode = 0770
        writeable = yes
        browsable = no
        case sensitive = no
        guest ok = no
        hide files = /desktop.ini/outlook*.lnk/*Briefcase*/
        admin users = robin root

[netlogon]
        comment = Network Logon Service
        path = /home/samba/netlogon
        admin users = robin root
        valid users = %U
        guest ok = yes
        read only = yes
        write list = robin root
        create mask = 755

.... andere shares......

Google heeft me (nog) niks opgeleverd, behalve de regel 'profile acls = yes'. Maar was niet eens nodig omdat 2k/XP clients al werkten.

De domein clients zijn trouwens allemaal Windows 2000 en XP professional machines.

Hopelijk kan iemand me verder helpen.

Infinitus est numerus stultorum

donderdag 8 maart 2007 10:32

Acties:

Superboer12

Topicstarter

hulpvragend schopje

Infinitus est numerus stultorum

donderdag 8 maart 2007 10:36

Acties:

MTWZZ

One life, live it!

Zitten de VPN clients op hetzelfde subnet? Is de broadcasting vanaf je interne netwerk richting je VPN wel in orde?
Je zou eventueel met tcpdump op je interne netwerk interface en op je vpn interface kunnen gaan luisteren en kijken of daar alles hetzelfde gaat.

Nu met Land Rover Series 3 en Defender 90

vrijdag 9 maart 2007 11:23

Acties:

Superboer12

Topicstarter

Het interne netwerk zit op 10.0.0.0/24 en vpn draait op 10.0.1.0/24.
Ik heb OpenVPN ingesteld op routing. Dus de beide netwerken kunnen wel bij elkaar komen.
Ik kan via VPN bijv. ook probleemloos printen naar een interne printer.

Samba draait op dezelfde bak als OpenVPN en ik heb Samba niet aan een interface gebonden dus Samba is ook benaderbaar op het vpn subnet.

Ga in het weekend tcpdump proberen. Dan zit ik namelijk weer bij de server. Kan dan via een inbel verbinding mooi VPN testen.

Wat ik zo raar vind is dat de client over VPN bij zowel het in- als uitloggen wel verbinding maakt met de profiles share (staat in de samba log), maar vervolgens niet 1 bestand leest of schrijft.

Infinitus est numerus stultorum

vrijdag 9 maart 2007 12:07

Acties:

MTWZZ

One life, live it!

Aangezien je via clients in je lokale netwerk wel gewoon roaming profiles hebt en ook kunt opslaan lijkt het me een netwerk issue.
Wat je nog zou kunnen proberen is om een nieuw account in je domein te maken en de eerste keer via de VPN in te loggen (dus nog nooit eerder ergens anders ingelogd) en dan kijken of het profiel aangemaakt wordt (lokaal en remote)

Nu met Land Rover Series 3 en Defender 90

vrijdag 9 maart 2007 12:39

Acties:

Superboer12

Topicstarter

Werkt helaas ook niet.
Als ik met een gloednieuwe user inlog via VPN dan maakt ie wel z'n profile map aan, maar zet er niks in. Hij maakt dan stiekem een een lokaal profiel aan (als je via user settings by type kijkt staat er wel roaming profile).

Als ik m'n smb.conf aanpas en logon path invalid maak krijg ik wel een error bij het inloggen dat ie z'n roaming profile niet kan vinden. Dat geeft ie bij een 'juiste' config niet.

Infinitus est numerus stultorum

vrijdag 9 maart 2007 16:09

Acties:

MTWZZ

One life, live it!

Vreemd allemaal. ik zag op een of andere wazige mailing list iemand iets over "profile acls = no" roepen misschien dat dat effect heeft.
Ik denk toch dat je uiteindelijk bij tcpdump uitkomt

Nu met Land Rover Series 3 en Defender 90

zondag 11 maart 2007 19:33

Acties:

Superboer12

Topicstarter

tcpdump heeft me niets interessants verteld.
snap er niks van. hij kijkt over vpn gewoon niet in de profiles share

ik heb besloten om het anders aan te gaan pakken.
Ga nu Win 2003 enterprise server virtueel draaien en zo een AD in het leven roepen.
Dan heb ik een volledig active directory ipv een NT4 style domein. Ik heb nog een licentie liggen, dus dat is makkelijk.
Daarnaast is het natuurlijk ook wel weer vet om alles te gaan virtualiseren.

Bedankt voor de hulp MTWZZ!

Infinitus est numerus stultorum