[samba 3] kan niet aanloggen bij het domein - Linux en overige clients

vrijdag 28 mei 2004 11:14

Acties:

Topicstarter

ja er is er weer eens eentje die het niet voor elkaar krijgt. Ik heb een poging gedaan om samba 3.0.4 te installeren en configureren als pdc. Het installeren is niet zo'n probleem. Netjes gecompileerd vanaf source, samba draait prima als ik samba configureer als workgroup member, maar ik wil eigenlijk er een pdc van maken.

In eerste instantie heb ik ldap nog achterwege gelaten, aangezien ik daar eerst nog meer onderzoek naar wil doen (sync tussen een oracle internet directory en samba ldap moet eerst werken voordat ik samba naar ldap laat authentiseren. Dat is nog een heel ander verhaal)

Als ik vanaf mijn locale windows XP client wil connecten naar mijn samba domein, dan krijg ik de volgende melding:

code:

1 2	windows cannot connect to the domain, either because the domain controller is down or otherwise unavailable, or because your computer account was not found

De enige optie die genoemd wordt, is voor mij "otherwise unavailable", want ik weet zeker dat samba draait:

code:

[root@panda root]# ps -ef | grep smbd
root     26949     1  0 10:27 ?        00:00:00 /usr/sbin/smbd -D -s /etc/samba/

[root@panda root]# ps -ef | grep nmbd
root     26954     1  0 10:27 ?        00:00:00 /usr/sbin/nmbd -D -s /etc/samba/

ook weet ik zeker dat mijn computer aanwezig is:

code:

[root@panda root]# cat /etc/shadow | grep travel
traveldate$:!!:12565:0:99999:7:::

[root@panda root]# cat /etc/samba/smbpasswd | grep travel
traveldate$:503:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX:9E93EB980FBADAFC72AAB4D5A2AAF89A:[UW         ]:LCT-40B5FC8E:

en zowel mijn eigen user als root zijn aanwezig:

code:

[root@panda root]# cat /etc/samba/smbpasswd | grep root
root:0:98E6A4349424DDC136077A718CCDF409:883E29F6CF08DB674176557D985AA458:[U          ]:LCT-40AB5674:

[root@panda root]# cat /etc/samba/smbpasswd | grep jacco
jacco:502:69C34725D8F061A2695109AB020E401C:F2519CF53E72100A3C4881186557BFC4:[U          ]:LCT-40B2070E:

Verder is mijn samba config als volgt:

code:

[global]
        announce as = NT
        workgroup = panda
        server string = panda
        netbios name = panda
        load printers = no
        time server = yes
        dns proxy = no
        local master = yes
        name resolve order = wins lmhosts host bcast
        wins support = yes
        password level = 0
        preserve case = yes
        default case = lower
        case sensitive = no
        socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192
        read raw = yes
        write raw = yes
        oplocks = True
        deadtime = 1
        lock directory = /opt/samba/lock
        log file = /var/log/samba/%m.log
        log level = 2
        max log size = 250
        security = user
        encrypt passwords = yes
        null passwords = no
        hosts allow = 10.100.90. 127.
        guest account = guest
        passdb backend = smbpasswd
        smb passwd file = /etc/samba/smbpasswd
        unix password sync = yes
        passwd program = /usr/bin/passwd %u
        passwd chat = *New*UNIX*password* %nn *Retype*new*UNIX*password* %nn *Enter* new*UNIX*password* %nn 
*Retype*new*UNIX*password* %nn *passwd: *all* authentication*tokens*updated*successfully*
        passwd chat debug = yes

        domain master = yes
        preferred master = yes
        domain logons = yes
        os level = 255
        admin users = root
        veto files = /Network Trash Folder/TheVolumeSettingsFolder/lost+found/
        logon path = \\panda-pdc\profiles\%U
        logon script = %U.cmd
        logon drive = U:
        logon home = \\panda-pdc\%U

        add user script = /usr/sbin/useradd -d /opt/samba/homes/%U -m -c "Useraccount" -g everyone -s /bin/false
        add group script = /usr/sbin/groupadd "%g"
        add user to group script = /usr/sbin/usermod -G "%g" "%u"
        add machine script = /usr/sbin/useradd -n -g machines -c "Machineaccount" -d /dev/null -s /bin/false -n %m $
        delete user from group script = /usr/sbin/usermod g "%g" "%u"
        set primary group script = /usr/sbin/usermod -g "%g" "%u"
        delete user script = /usr/sbin/userdel -r %u
        delete group script = /usr/sbin/groupdel "%g"

#
#============================ Share Definitions ==============================
#

#
# netlogon voor scripts en policy files
#
[netlogon]
        comment = Domain Logon Service
        path = /opt/samba/scripts
        guest ok = yes
        write list = root
        create mask = 0644

#
# profile for de windowsprofielen (roaming profiles)
#
[profiles]
        comment = Roaming User Profiles
        path = /opt/samba/profiles
        create mask = 0600
        force create mode = 0600
        directory mode = 0777
        force directory mode = 0777
        read only = no
#       writeable = yes
#       browseable = no

[%U]
        comment = Home Directory of %u
        path = /opt/samba/homes/%U
        browseable = no
        writable = yes
        valid users = %S
        create mask = 0755
        directory mode = 0775

Het OS level staat op 255, omdat ik bang ben dat een andere PDC die een ander domein beheert, maar wel binnen de 10.100.90.X range staat (deze moet die windows PDC dus gaan vervangen) anders om wat voor reden dan ook als leidend wordt gezien.

Verder bestaan de van toepassing zijnde directories:

code:

[root@panda root]# ls -l /opt/samba/
total 16
drwxr-xr-x    3 root     root         4096 May 19 17:21 homes
drwxr-xr-x    3 root     root         4096 May 28 10:48 lock
drwxr-xrwt    2 root     root         4096 May 19 14:44 profiles
drwxr-xr-x    2 root     admins       4096 May 27 16:28 scripts

[root@panda root]# ls -l /opt/samba/homes/
total 8
drwxr-xr-x    2 jacco    everyone     4096 May 24 16:33 jacco
drwxr-xr-x    2 root     root         4096 May 28 10:49 root

[root@panda root]# ls -l /opt/samba/scripts/
total 12
-rwxr-xr-x    1 root     root           62 May 27 16:28 jacco.cmd
-rwxr-xr-x    1 beheer   beheer         59 May 24 16:49 logon.cmd
-rwxr-xr-x    1 root     root           61 May 28 10:50 root.cmd

[root@panda root]# cat /opt/samba/scripts/root.cmd
NET USE U: \\panda-pdc\root
NET TIME \\panda-pdc /SET /YES

In de machine waar samba op staat zit 1 netwerkkaart (en daarom dus geen bind tag in het configfile). Deze machine draait zelf geen dns of dhcp server. Het OS is ReHat AS 2.1 met de stock 2.4.9-e.3 kernel

Het client die probeert de connecten is in dit geval een Windows XP professional client. De "reg-patch" heb ik uitgevoerd. Ook heb ik QoS uit staan bij de netwerk settings. Het IP van de samba server staat ingevuld bij Wins (verder dhcp)
Ook heb ik alle domain member entries bij local security policy --> local policies --> security options op disabled staan.

Naast google, samba.org en idealix heb ik o.a. de volgende topics ook nog bekeken:

Samba, Wie heeft nu echt een Samba PDC draaien
[Howto] Suse 9.0 PDC Samba met XP clients
Topic: Howto - SambaPDC+WinXP+Policies
[Samba] Configuratie stappenplan

(en nog vele anderen)

Is er iemand die mij de goede richting op kan helpen?

Egoist: A person of low taste, more interested in themselves than in me

vrijdag 28 mei 2004 11:22

Acties:

WHiZZi

Museumdirecteurtje

Reg key in Windows XP verandert?

Zoek maar op WinXP SignorSeal

HomeComputerMuseum - Interactief computermuseum waar wij de geschiedenis van de thuiscomputer preserveren. Centraal gelegen in de Benelux.

vrijdag 28 mei 2004 11:29

Acties:

JaQ

Topicstarter

WHiZZi schreef op 28 mei 2004 @ 11:22:
Reg key in Windows XP verandert?

Zoek maar op WinXP SignorSeal

yip. (uiteraard, dat komt maar in 10.000 posts voor of zo

)

Egoist: A person of low taste, more interested in themselves than in me

vrijdag 28 mei 2004 11:41

Acties:

Verwijderd

Firewall misschien? Poortjes 137,139 en 445 open gooien.
En zet eens onder [global]:
interfaces = 10.100.90.0/255.255.255.0 127.0.0.1
bind interfaces only = Yes

[ Voor 10% gewijzigd door Verwijderd op 28-05-2004 11:42 ]

vrijdag 28 mei 2004 11:55

Acties:

WHiZZi

Museumdirecteurtje

Bestaat de groupname machines ?

En wat zeggen de logboeken ?

HomeComputerMuseum - Interactief computermuseum waar wij de geschiedenis van de thuiscomputer preserveren. Centraal gelegen in de Benelux.

vrijdag 28 mei 2004 12:17

Acties:

JaQ

Topicstarter

Verwijderd schreef op 28 mei 2004 @ 11:41:
Firewall misschien? Poortjes 137,139 en 445 open gooien.
En zet eens onder [global]:
interfaces = 10.100.90.0/255.255.255.0 127.0.0.1
bind interfaces only = Yes

firewall zit niet tussen deze machines (alleen als ik naar 10.100.x.x wil of naar internet). Nu ik deze directives heb toegevoegd krijg ik een andere melding als ik het domein wil joinen:

code:

1	The trust relationsship between this workstation and the primary domain controller failed

Hier zal ik nu verder naar gaan zoeken (wel vreemd overigens .. ).

WHiZZi schreef op 28 mei 2004 @ 11:55:
Bestaat de groupname machines ?

En wat zeggen de logboeken ?

de groupname machines bestaat, evenals een group admins (voor domain admins straks). Wel opvallend overingens dat ik mijn machinenaam niet als lid van de group vindt in /etc/group (of is dat normaal?)

logboeken tijdens joinen:

10.100.90.107.log (het samba log vanaf deze machine):

code:

[2004/05/28 12:07:45, 2] lib/access.c:check_access(322)
  Allowed connection from  (10.100.90.107)
[2004/05/28 12:07:45, 2] smbd/sesssetup.c:setup_new_vc_session(602)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2004/05/28 12:07:45, 2] smbd/sesssetup.c:setup_new_vc_session(602)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2004/05/28 12:07:46, 2] lib/access.c:check_access(322)
  Allowed connection from  (10.100.90.107)
[2004/05/28 12:07:46, 2] smbd/sesssetup.c:setup_new_vc_session(602)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2004/05/28 12:07:46, 2] smbd/sesssetup.c:setup_new_vc_session(602)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2004/05/28 12:07:46, 2] lib/access.c:check_access(322)
  Allowed connection from  (10.100.90.107)
[2004/05/28 12:07:46, 2] smbd/sesssetup.c:setup_new_vc_session(602)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
[2004/05/28 12:07:46, 2] smbd/sesssetup.c:setup_new_vc_session(602)
  setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.

traveldate.log (mijn machine naam)

code:

[2004/05/28 12:07:45, 2] auth/auth.c:check_ntlm_password(300)
  check_ntlm_password:  authentication for user [root] -> [root] -> [root] succeeded
[2004/05/28 12:07:45, 2] lib/access.c:check_access(322)
  Allowed connection from  (10.100.90.107)
[2004/05/28 12:07:45, 2] rpc_server/srv_samr_nt.c:_samr_lookup_domain(2477)
  Returning domain sid for domain PANDAPDC -> S-1-5-21-3264822784-3401670110-3904895071
[2004/05/28 12:07:45, 2] rpc_parse/parse_samr.c:samr_io_userinfo_ctr(6432)
  samr_io_userinfo_ctr: unknown switch level 0x1a
[2004/05/28 12:07:45, 0] rpc_server/srv_samr.c:api_samr_set_userinfo(786)
  api_samr_set_userinfo: Unable to unmarshall SAMR_Q_SET_USERINFO.
[2004/05/28 12:07:46, 2] smbd/server.c:exit_server(568)
  Closing connections
[2004/05/28 12:07:46, 1] auth/auth_util.c:make_server_info_sam(821)
  User guest in passdb, but getpwnam() fails!
[2004/05/28 12:07:46, 2] auth/auth.c:check_ntlm_password(310)
  check_ntlm_password:  Authentication for user [] -> [] FAILED with error NT_STATUS_NO_SUCH_USER
[2004/05/28 12:07:46, 2] smbd/server.c:exit_server(568)
  Closing connections
[2004/05/28 12:07:46, 1] auth/auth_util.c:make_server_info_sam(821)
  User guest in passdb, but getpwnam() fails!
[2004/05/28 12:07:46, 2] auth/auth.c:check_ntlm_password(310)
  check_ntlm_password:  Authentication for user [] -> [] FAILED with error NT_STATUS_NO_SUCH_USER
[2004/05/28 12:07:46, 2] smbd/server.c:exit_server(568)
  Closing connections

is het trouwens normaal dat ik zowel een log op machinenaam als een log op ip vind (met verschillende entries?) Het machinenaam log roept trouwens no such user, maar zowel de user root als de user jacco (mijn user dus) bestaan in zowel /etc/shadow als /etc/samba/smbpasswd en zijn enabled.

[ Voor 4% gewijzigd door JaQ op 28-05-2004 12:36 ]

Egoist: A person of low taste, more interested in themselves than in me

vrijdag 28 mei 2004 13:15

Acties:

Verwijderd

Waarom gebruik je een smbpasswd file en geen tdb?

[ Voor 14% gewijzigd door Verwijderd op 28-05-2004 13:16 ]

vrijdag 28 mei 2004 13:22

Acties:

JaQ

Topicstarter

Verwijderd schreef op 28 mei 2004 @ 13:15:
Waarom gebruik je een smbpasswd file en geen tdb?

waarom wel?

Ik wil straks tegen ldap authentiseren, waarom dan nu met kerberos aan de slag? (tdb is toch kerberos?) of eigenlijk tegen oracle aan authentiseren met ldap tools, nog net iets anders, maar iets meer uitzoekwerk.

Egoist: A person of low taste, more interested in themselves than in me

vrijdag 28 mei 2004 15:56

Acties:

JaQ

Topicstarter

Goed, weer een klein stapje verder....

Als ik mijn network ID ga zetten in windows XP (dus niet rechtstreeks domein invullen maar via de "wizard"), is het mogelijk om aan te loggen aan het domein, maar direct na het aanloggen krijg ik een wizard voor mijn neus die een nieuwe locale user wil aanmaken. Dat vind ik prima en laat gewoon netjes een standaard user aanmaken, maar dit lukt niet met dezelfde melding als ik eerder had:

--
The trust relationsship between this workstation and the primary domain controller failed
--

Het log geeft mij heen hele interessante foutmelding:

code:

1	User guest in passdb, but getpwnam() fails!

Dat zou er op duiden dat ik problemen zou hebben met mijn guest account. De guest account is default nobody als ik mij niet vergis. nobody komt voor in /etc/shadow en /etc/passwd. Ook heb ik de groep nobody gemapt naar de groep nobody

code:

[root@panda samba]# net groupmap list
System Operators (S-1-5-32-549) -> -1
Replicators (S-1-5-32-552) -> -1
Guests (S-1-5-32-546) -> nobody
Domain Users (S-1-5-21-3264822784-3401670110-3904895071-513) -> everyone
Power Users (S-1-5-32-547) -> admins
Print Operators (S-1-5-32-550) -> -1
Administrators (S-1-5-32-544) -> wheel
Account Operators (S-1-5-32-548) -> wheel
Domain Admins (S-1-5-21-3264822784-3401670110-3904895071-512) -> wheel
Domain Guests (S-1-5-21-3264822784-3401670110-3904895071-514) -> nobody
Backup Operators (S-1-5-32-551) -> -1
Users (S-1-5-32-545) -> -1

Klein stapje verder nog, maar ik heb gewoon het gevoel dat ik met symptoonbestrijding bezig ben.

Egoist: A person of low taste, more interested in themselves than in me

vrijdag 28 mei 2004 16:43

Acties:

Verwijderd

DrFrankenstoner schreef op 28 mei 2004 @ 13:22:

tdb is toch kerberos?

Nee. Het is een bestandsgebaseerde database, net als Berkeley DB. Heel simpel, geen database kennis vereist. Meestal default bij Samba 3 installaties.

vrijdag 28 mei 2004 16:53

Acties:

JaQ

Topicstarter

Verwijderd schreef op 28 mei 2004 @ 16:43:
[...]

Nee. Het is een bestandsgebaseerde database, net als Berkeley DB. Heel simpel, geen database kennis vereist. Meestal default bij Samba 3 installaties.

mm.. ok. In dit geval maakt dat dus niet zo heel veel uit. (trouwens de groupmap staat ook in z'n tdb database als ik me niet vergis, dus ik gebruik m half)

Anyway, ik heb de oplossing voor het probleem gevonden!

Het zat er in dat er dus geen map gedaan werd naar de nobody account vanaf de guest account. Dus oplossing is dus of een guest account toevoegen, of een mapping van guest naar nobody opnemen. (guest account = nobody , ipv guest account = guest zoals in mijn config stond)

Thx voor alle input allemaal!

[ Voor 6% gewijzigd door JaQ op 28-05-2004 16:54 ]

Egoist: A person of low taste, more interested in themselves than in me