LDAP: Problem mit sambaLMPassword und sambaNTPassword

Hallo:

ich betreibe einen SAMBA-PDC (3.0.4) und BDC der auf ein LDAP-Backend zurückgreift.

IM LDAP bei den Computer-Konten gibt es die Attribute "sambaLMPassword und sambaNTPassword". Für jedes Computerkonto.

Was genau bewirken diese Attribute für Computer-Konten? Ich hab gerade (wieder) das Problem, dass die Werte auf PDC und BDC unterschiedlich sind...demzufolge sich manche User nicht an der Domäne anmelden können, wenn der BDC aus ist.


Vielen Dank...
Gruß
T.

Hallo:

ich denke die ACLS im LDAP hab ich richtig eingestellt:

PDC:
access to attr=userPassword,sambaNTPassword,sambaLMPassword
by dn="cn=ldapadmin,dc=laa-kom,dc=loc" write
by self write
by anonymous auth
by * none
access to * by read

BDC:
access to * by read

Das Problem besteht folgendermaßen:

1.Einbindung in die Domäne "Herzlich willkommen.."
PDC und BDC:
sambaLMPassword 56C2C4354C9D9C96AAD3B435B51404EE
sambaNTPassword B3646C8FBBE15905E5EAA1FD69338988

2. Nach NEUSTART des NT-PC's > LDAP ist unterschiedlich:
PDC
sambaLMPassword 56C2C4354C9D9C96AAD3B435B51404EE
sambaNTPassword B3646C8FBBE15905E5EAA1FD69338988
BDC:
sambaLMPassword 4C3EE5295F17852E3AEA84EA52F4D6CD
sambaNTPassword 4C3EE5295F17852E3AEA84EA52F4D6CD

Keine Ahnung, was hier falsch läuft.

Viele Grüße
t.

Hallo: das sind zwei SMB-Server, mit jeweils einer lokalen LDAP-Installation, die durch den SLURPD abgeglichen werden:

Meine Einstellungen:

[global des PDC]
workgroup = LAA-KOMM
netbios name = srv_pdc1
server string = Samba-PDC-1
encrypt passwords = Yes
map to guest = Never
syslog = 2
log level = 3
log file = /var/log/samba/%m.log
max log size = 7000
time server = Yes
unix extensions = Yes
admin users = @"Domain Admins"
domain logons = Yes
os level = 99
preferred master = Yes
domain master = Yes
wins support = Yes
passwd chat debug = Yes
passwd program = /usr/local/bin/smbldap-passwd.pl -o %u
passwd chat = *new*password* %n\n *new*password:* %n\ *successfully*
ldap passwd sync = Yes
min passwd length = 5
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_KEEPALIVE SO_RCVBUF=8192 SO_SNDBUF=8192
add machine script = /usr/local/sbin/smbldap-useradd.pl -w "%m"
logon path =

#LDAP-Einstellungen
passdb backend = ldapsam:ldap://localhost:389
ldap suffix = dc=laa-komm,dc=loc
ldap machine suffix = ou=computer
ldap user suffix = ou=user
ldap group suffix = ou=groups
ldap admin dn = cn=ldapadmin,dc=laa-komm,dc=loc
ldap ssl = no

[global des BDC]
workgroup = LAA-KOMM
netbios name = srv_pdc2
server string = Samba-PDC-2
encrypt passwords = Yes
map to guest = Never
syslog = 0
log level = 0
log file = /var/log/samba/%m.log
max log size = 5000
time server = Yes
unix extensions = Yes
admin users = @"Domain Admins"
domain logons = Yes
os level = 65
preferred master = No
domain master = No
wins support = Yes
socket options = TCP_NODELAY IPTOS_LOWDELAY SO_KEEPALIVE SO_RCVBUF=8192 SO_SNDBUF=8192
logon path =

#LDAP-Einstellungen
passdb backend = ldapsam:ldap://localhost:389
ldap passwd sync = No
ldap suffix = dc=laa-komm,dc=loc
ldap machine suffix = ou=computer
ldap user suffix = ou=user
ldap group suffix = ou=groups
ldap admin dn = cn=ldapadmin,dc=laa-komm,dc=loc
ldap ssl = no

Hi cypermailer:

ich dachte, ich könnte über die ACL's die Zugriff des BDC's auf den LDAP unterbinden. Ein folgenreicher Fehler. Das peinliche: Ich hab 50 Win-Clients schon eingebunden, die nicht passen. Naja, ich ändere per LDAP-Browser die Werte im LDAP manuell ab. Die Verschlüsselung mach ich noch, klar.

Ich hab folgende Änderung am BDC vorgenommen:

passdb backend = ldapsam:ldap://10.2.10.13:389
(Statt "localhost" die IP des PDC's eingetragen...) Funktioniert soweit.

Bei Systemausfall des PDC muß ich halt den LOCALHOST am BDC wieder setzen.

Auf jeden Fall: DANKE für Deine Hilfe! Ein Lob auch an dieses Forum, hier werden Sie geholfen! Respekt!

Herzliche Grüße aus Franken
t.