Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

Maschinen-Accounts werden nicht korrekt erzeugt

Alles rund um die Server (Web-, Mail-, Datenbank-, Datenaustausch-, etc.) die man unter Linux betreiben kann

Moderator: Moderatoren

Antworten
pixel
Hacker
Hacker
Beiträge: 250
Registriert: 30. Mär 2004, 13:26
Wohnort: Bühl

Maschinen-Accounts werden nicht korrekt erzeugt

Beitrag von pixel » 16. Mai 2013, 17:00

Hallo zusammen,

ich habe einen LDAP/Samba - PDC mit OpenSuSE 12.3 aufgesetzt. Auf den ersten Blick funktioniert auch alles bis auf kleiner Schwierigkeiten. Domain-Beitritt hat problemlos geklappt und ich kann mich mit den Usern anmelden. Im Logfile erhalte ich jeodoch folgende Meldungen:

Code: Alles auswählen

==> samba/log.smbd <==
[2013/05/15 20:15:14.462097,  0] rpc_server/netlogon/srv_netlog_nt.c:976(_netr_ServerAuthenticate3)
  _netr_ServerAuthenticate3: netlogon_creds_server_check failed. Rejecting auth request from client WINTS20 machine account WINTS20$
[2013/05/16 08:02:08.899388,  0] rpc_server/netlogon/srv_netlog_nt.c:976(_netr_ServerAuthenticate3)
  _netr_ServerAuthenticate3: netlogon_creds_server_check failed. Rejecting auth request from client PC003 machine account PC003$
[2013/05/16 08:07:48.767733,  0] rpc_server/netlogon/srv_netlog_nt.c:976(_netr_ServerAuthenticate3)
  _netr_ServerAuthenticate3: netlogon_creds_server_check failed. Rejecting auth request from client PC007 machine account PC007$
und zwar nach und nach für alle Rechner. Ich habe dann mal etwas recherchiert wo das Problem liegen könnte. Hierbei habe ich folgendes festgestellt. Im globalen Bereich der smb.conf ist konfiguriert wo im LDAP die Maschinen-Accounts angelegt werden sollen:

Code: Alles auswählen

[global]
        workgroup = LOCALDOM
        passdb backend = ldapsam:ldap://tux20.local.lan
        map to guest = Bad User
        logon path = \\%L\profiles\%U
        logon drive = L:
        usershare allow guests = No
        add machine script = /usr/sbin/useradd  -c Machine -d /var/lib/nobody -s /bin/false %m$
        domain logons = Yes
        domain master = Yes
        idmap backend = ldap:ldap://tux20.local.lan
        ldap admin dn = cn=Administrator,dc=local,dc=lan
        ldap group suffix = ou=group
        ldap idmap suffix = ou=Idmap
        ldap machine suffix = ou=Machines
        ldap passwd sync = Yes
        ldap ssl = Off
        ldap suffix = dc=local,dc=lan
        ldap user suffix = ou=people
        local master = Yes
        os level = 255
        preferred master = Yes
        security = user
        wins support = Yes
        logon script = %U.bat
Das passiert auch wenn ich einen Rechner in die Domäne nehme:

Code: Alles auswählen

ldapsearch -h tux20 -D cn=Administrator,dc=local,dc=lan -W "(objectclass=*)"
# PC003$, Machines, local.lan
dn: uid=PC003$,ou=Machines,dc=local,dc=lan
uid: PC003$
sambaSID: S-1-5-21-1053909155-4230497941-4231668449-1004
objectClass: sambaSamAccount
objectClass: account
displayName: PC003$
sambaNTPassword: DEE4A3B8DF90948B9D948EEAA8192E65
sambaPwdLastSet: 1366550107
sambaAcctFlags: [W          ]
So, stehen alle im LDAP. Zwei Dinge verwundern mich hier. Zum einen müssen die Rechner nicht das Attribut "sambaPrimaryGroupSID" mit ...-515 haben? Zum anderen habe ich festgestellt dass die Maschinen-Accounts alle noch zusätzlich in /etc/passwd:

Code: Alles auswählen

pc001$:x:1010:100:Machine:/var/lib/nobody:/bin/false
pc002$:x:1011:100:Machine:/var/lib/nobody:/bin/false
pc003$:x:1012:100:Machine:/var/lib/nobody:/bin/false
[...]
stehen. Ist das normal?

Ich habe dann bei einem Host das Attribut "sambaPrimaryGroupSID" hinzugefügt:

Code: Alles auswählen

# WINTS20$, Machines, local.lan
dn: uid=WINTS20$,ou=Machines,dc=local,dc=lan
uid: WINTS20$
sambaSID: S-1-5-21-1053909155-4230497941-4231668449-1010
objectClass: sambaSamAccount
objectClass: account
displayName: WINTS20$
sambaNTPassword: 7AA58086DED0E4DBA7970ACE0E4C9138
sambaPwdLastSet: 1368355351
sambaAcctFlags: [W          ]
sambaPrimaryGroupSID: S-1-5-21-1053909155-4230497941-4231668449-515
Aber zum einen ist die Fehlermeldung nicht verschwunden und zum anderen zeigt dieser Host nun ein seltsames verhalten bezüglich der serverseitigen Profile. Melde ich mich mit irgend einem Benutzer an einem Host an wird im lokalen Profilpfad ein Verzeichnis [USERNAME].localdom angelegt. Auf dieser Maschine nicht.

Hat jemand einen Tipp für mich?

Viele Grüße
pixel24
Das maximale Maß an Flach- und Schwachsinn, das eine »kommunizierende« Menschengruppe zu produzieren in der Lage ist, wird seit Internetzeiten nicht mehr an Stammtischen erreicht, deren Besatzung die 10. Runde intus hat.

Werbung:
Antworten