• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[GELÖST] Samba/Winbind/PAM-Win2003 auth

L-user

L-user

Newbie
Hallo zusammen,

Ich benötige Hilfe bei meinem Problem mit einem samba/winbind/pam-server.

Situation:

win2003 PDC/DNS/WINS-Server OK
winXP-Client (kann auf PDC zugreifen) OK
Linux (Kanotix/Debian)kernel 2.6.8.x
samba = v3.0.11-1
winbind = v3.0.11-1
pam = libauthen-pam-perl v0.76-22
libpam-modules v0.76-22
libpam-runtime v0.76-22

winbind soll jetzt die Benutzer authentifizieren und den Dienst später an einen squid-proxy weitergeben aber erst mal soll er richtig die user erkennen (wbinfo -u).

Ich bin nach dem HOWTO von Samba-HOWTO-Sammlung Kapitel 21 Winbind:Benutzer von Domänenkonten.

Folgendes habe ich bis jetzt verbrochen

1./etc/nsswitch.conf
Code: 
passwd:         files winbind
group:          files winbind
shadow:         files
hosts:          files dns
2./etc/samba/smb.conf
# Global parameters
Code: 
[global]
   workgroup = privat.local
   server string = Samba Server AR
   password server = 192.168.2.100
   security = DOMAIN
   #security = ADS
   #realm = arulix3.privat.local
   case sensitive = no
   log level = 3
   log file = /var/log/samba/log.%m
   syslog = 3
   log file = /var/log/samba/log.%m
   time server = Yes
   name resolve order = wins lmhosts host bcast
   
#WINS-DNS
   wins support= no   
   wins server = 192.168.2.100
   wins proxy = no
   os level = 65
   domain logons = no
   domain master = no
   
# WINBIND
   winbind separator = +
   idmap uid = 10000-20000
   idmap gid = 10000-20000
   winbind enum users = yes
   winbind enum groups = yes
   winbind use default domain = yes
shell:
Code: 
net rpc join -S arulix3 -U Adminiustrator
passwd=admin
Joined domain Privat
kontrolle OK:
PDC/Active Directory /privat.local/computer/arulix2 (samba-server)
winbind dämon starten:
Code: 
/etc/init.d/winbind start
OK
jetzt will ich mit :
Code: 
wbinfo -u
die user kontrollieren ,bekomme aber nur die Fehlermeldung:
Error looking up domain users

bei
Code: 
wbinfo -g
bekomme ich
Code: 
BUILTIN+operators
BUILTIN+users
.....

bei :
Code: 
wbinfo -t
bekomme ich :
Code: 
cheking code was NT_STATUS_INTERNAL_ERROR (0xc00000e5)
Could not check secret
weitere check Punkte :
Code: 
testparm /etc/samba/smb.conf
OK!

ping samba > client (mit dns-namen) #OK!
ping samba > PDC (mit dns-namen) #OK!
ping client > samba (mit dns-namen) #OK!
ping PDC > samba (mit dns-namen) #OK!
Code: 
smbclient -L ARULIX3.privat.local
smbclient :command not found
warum kennt er das nicht?
Code: 
nmblookup -B ARULIX3. __SAMBA__
#OK!

so sieht meine resolv.conf aus
Code: 
search privat.local
nameserver 192.168.2.1				#router
#muss hier noch der DNS-Server hin ?
#z.B:nameserver 192.168.2.100  			#Win2003 DNS-server


die host-Datei sieht so aus:
Code: 
#Computer in der Domäne [privat.local]
#Linux-SquidProxy-SambaServer
127.0.0.1	ARulix2 localhost
#Win2003-PDC-DNS-WINS
192.168.2.100   ARULIX3.privat.local
#WinXP-Client 
192.168.2.105	ARULIX1.privat.local

am PAM habe ich noch gar nichts geändert.

Bitte um schnelle Hilfe!!!!
im voraus schon mal Danke !

Gruß L-user



Code:
Code:
 
M

mcdaniels

Member
Hi!
Ich kenn zwar deine Distribution nicht genau, aber check mal ob der name service cache daemon läuft (nscd)

Der sollte u.A. ned laufen ,wenn du winbind verwendest.

Weiters frag ich mich , warum du security = DOMAIN und nicht ADS verwendest ?

ACHTUNG: Realm auch angeben! (Am besten in Grossbuchstaben)

der Rechner soll doch in ne AD Domäne? Da würd ich ihn mittels

net ads join -S SERVERNAME -U Domänenadmin einbinden

winbind vor dem join stoppen!

Du kannst auch noch in den Log Dateien von Samba und Winbind nachschauen...
 
OP
L-user

L-user

Newbie
Hallo mcdaniels

danke für die Antwort.

Aber ich benutze jetzt security = ADS habe aber leider auch Probleme.
Vielleicht kannst du mir ja weiterhelfen.

1.Fehler
root@ARulix2:~# kinit andreas
Password for andreas@PRIVAT.LOCAL:
kinit(v5): Clock skew too great while getting initial credentials

Wie kann ich die System-Zeit synchronisieren
a.)Linux
root@ARulix2:~# date
Mi Apr 20 18:32:03 UTC 2005
root@ARulix2:~#

b.)Win2003
C:time
Aktuelle Zeit :18:23:33,63

Die Zeit ist doch keine 300 sekunden auseinander?

2.Fehler
root@ARulix2:~# net join ads -U Administrator
Administrator's password:
realm of remote server (PRIVAT.LOCAL) and realm in smb.conf (ARULIX3.PRIVAT.LOCAL) DO NOT match. Aborting join
ADS join did not work, falling back to RPC...

Hier meine krb5.conf
Code: 
# AR krb5.conf

default_realm = PRIVAT.LOCAL

[realms]
	PRIVAT.LOCAL = {
	kdc = 192.168.2.100				#Win2003 ADS
	admin_server = 192.168.2.100			#Win2003 ADS
	default_domain = PRIVAT.LOCAL			#Domäne
	kpasswd_server = 192.168.0.100:88		#Win2003 ADS
	}

[domain_realm]
	.privat.local = PRIVAT.LOCAL
	privat.local = PRIVAT.LOCAL
	.PRIVAT.LOCAL = PRIVAT.LOCAL
	
[libdefaults]
	default_realm = PRIVAT.LOCAL
	clockskew = 300

[appdefaults]
	pam = 	{
	ticket_lifetime = 1d
	renew_lifetime = 1d
	forwardable = true
	proxiable = false
	retain_after_close = false
	minimum_uid = 0
	}

Hier meine smb.conf
Code: 
[global]
# Global parameters
   workgroup = PRIVAT.LOCAL
   server string = Samba Server AR
   password server = 192.168.2.100
   interfaces = eth0
   netbios name = ARULIX2
   security = ADS
   realm = ARULIX3.PRIVAT.LOCAL
   case sensitive = no
   log level = 3
   log file = /var/log/samba/log.%m
   syslog = 3
   log file = /var/log/samba/log.%m
   time server = Yes
   name resolve order = wins lmhosts host bcast
   
#WINS-DNS
   wins support= no   
   wins server = 192.168.2.100
   wins proxy = no
   os level = 65
   domain logons = no
   domain master = no
   
# WINBIND
   winbind separator = +
   idmap uid = 10000-20000
   idmap gid = 10000-20000
   winbind enum users = yes
   winbind enum groups = yes
   winbind use default domain = yes

Host-Datei
Code: 
#Computer in der Domäne [privat.local]
#Linux-SquidProxy-SambaServer
127.0.0.1	ARulix2.PRIVAT.LOCAL localhost
#Win2003-PDC-DNS-WINS
192.168.2.100   ARULIX3.PRIVAT.LOCAL
#WinXP-Client 
192.168.2.105	ARULIX1.PRIVAT.LOCAL

PS:In 2 Wochen MUSS ich damit fertig sein (Abgabetermin)

Ich brauche die Authentifizierung für das PAM-Modul für Squid.
Vielleicht kennst du dich damit ja auch aus,Squid und Squidguard
läuft schon.

Im voraus schonmal danke.


Gruß L-user
 
M

mcdaniels

Member
Hoi

1. Der Realm in der smb.conf ist nur PRIVAT.LOCAL und nicht ARILUX.PRIVAT.LOCAL

2. Die Zeit lässt sich mittels dem net befehl unter linux vom 2003er Server holen, das ganze in einen cronjob verpackt (z.b. Synchronisierung alle 4 Stunden mit dem 2003er Server) und es gibt kein clock skew too great mehr ;)

Die Syntax weiß ich leider im moment nicht auswendig. Versuchs mal mit man net in der konsole....

PS schon mal hier nachgelesen http://www.wlug.org.nz/ActiveDirectorySamba

siehe nützliche Samba Links weiter oben...

Viel Glück :wink:
 
OP
L-user

L-user

Newbie
SERS

Schöne Seite dein link ,die hätte ich schon früher brauchen können.

1.
habe ARULIX.PRIVAT.LOCAL in PRIVAT.LOCAL geändert , bei einem join kommt jetzt folgende Fehlermeldung.

Code: 
root@ARulix2:~# net ads join -U Administrator
Administrator's password:
The workgroup in smb.conf does not match the short
domain name obtained from the server.
Using the name [PRIVAT] from the server.
You should set "workgroup = PRIVAT" in smb.conf.
Using short domain name -- PRIVAT
Joined 'ARULIX2' to realm 'PRIVAT.LOCAL'
root@ARulix2:~#

ist das ein Problem ?

2.
habe die Zeit synchronisiert wie du es gesagt hast.
Code: 
crontab -u squid -e 

# m h dom mon dow user  command
1 4     * * *    /bin/bash net time set
bei kinit kommt jetzt folgendes
Code: 
root@ARulix2:~# kinit andreas
Password for andreas@PRIVAT.LOCAL:
root@ARulix2:~#
es kommt kein “success” aber auch kein “Fehler”

bei klist kommt das:

Code: 
root@ARulix2:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@PRIVAT.LOCAL

Valid starting     Expires            Service principal
04/21/05 13:44:58  04/21/05 23:44:58  krbtgt/PRIVAT.LOCAL@PRIVAT.LOCAL


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached

bei net ads user kommt das:

Code: 
root@ARulix2:~# net ads user
Administrator
Gast
SUPPORT_388945a0
krbtgt
test
andreas
aljoscha
alex
AljoschaR
AlexanderR
PeterR
RobertR
AndreasR
UrsulaR
SaschaZ
MichaelP

den Samba server kann man jetzt richtig (?) auf dem Win2003-Server sehen unter Active Direktory / Computer /arulix2 /name: Samba Version:3.0.11-Debian.

bei wbinfo -u kommt:

Code: 
root@ARulix2:~# wbinfo -u
administrator
gast
support_388945a0
arulix3$
krbtgt
test
andreas
aljoscha
alex
arulix1$
aljoschar
alexanderr
peterr
robertr
andreasr
ursular
saschaz
michaelp
arulix2$

Wo sind ist der domänenname und der winbindseperator ?

Ich will zwar jetzt nicht schleimen aber vielen vielen dank an dich !!!!

PS:mein erstes kind wird nach dir ,mcdaniels benannt!!!



Gruß L-user aka _ARulez_ :cry: :lol:
 
OP
L-user

L-user

Newbie
Hallo mcdaniels oder auch andere ,

ich sollte noch wissen wie ich die Userdaten jetzt über das PAM-modul an den Squid weitergebe.


im voraus schon mal danke ! :wink:


Gruß L-user
 
M

mcdaniels

Member
Hi!
Also ich hab mich mit pam noch nicht so genau beschäftigt aber normalerweise kannst du das machen indem du unter etc/pam.d eine Datei erstellst die die dem Squid zugeordnet ist und die Authentifizierungsmodule entsprechend dort eingibst (zb das winbind modul zur Userauthentifizierung)

Allerdings hab ich mich damit noch nicht so genau beschäftigt

Gibt sicher jemanden hier, der sich damit ge

Schau dir mal die manpages dazu an man pam
 
OP
L-user

L-user

Newbie
Hallo mcdaniels ,

Das mit dem Pam ist glaube ich nicht so einfach !!!

Das habe ich mal probiert:

1.squid.conf
Code: 
#auth_param
auth_param basic program /usr/lib/squid/pam_auth
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
#acl
acl ARNETZ_hosts src 192.168.2.100-192.168.2.120
http_access allow ARNETZ_hosts

acl ARUSER proxy_auth REQUIRED
http_access allow ARUSER all

http_access deny all

2.PAM

2.1 squid pam /etc/pam.d/squid

Code: 
#%PAM-1.0
auth       required    /lib/security/pam_stack.so    service=winbind
account  required    /lib/security/pam_stack.so    service =winbind

2.2 winbind pam /etc/pam.d/winbind

Code: 
#%PAM-1.0
auth       required    /lib/security/pam_winbind.so    
account  required    /lib/security/pam_winbind.so
#passwd required    /lib/security/pam_winbind.so

Was ist da jetzt falsch /richtig ?!

soll ich pam_winbind.so oder pam_krb5.so nehmen ???


Im voraus schon mal danke . :ugly:


Gruß L-user
 
OP
L-user

L-user

Newbie
SERS Styyxx,

habe gerade eben wieder alles hin bekommen. :lol:

Die anbindung von Winbind über PAM an den Squid funktioniert noch nicht habe aber das Packet runtergeladen wie kann ich das installen ?
Code: 
/root/desktop/libpam-stack_0.72-0.balsa.30_i386.deb
hier liegt es

habe es nach /var/cache/apt/archives verschoben.
jetzt habe ich mit :
Code: 
dpkg -i libpam-stack_0.72-0.balsa.30_i386.deb
oder
Code: 
apt-get install libpam-stack_0.72-0.balsa.30_i386.deb
probiert es zu installieren ,ging aber nicht die Fehlermeldung war:
E: Konnte Paket libpam-stack_0.72-0.balsa.30_i386.deb nicht finden
Zum Vergrößern anklicken....

muss das Packet wo anders hin ??

greets Styyxx



Gruß L-user :wink: :lol: :D
 
OP
L-user

L-user

Newbie
Hallo zusammen ,

habe die Aufgabe gelöst und zwar:

neuste version von Samba installiert (v3.0.14-1a) und in "/etc/pam.d/squid/"

folgendes eingetragen:

Code: 
auth 		required 	/lib/security/pam_winbind.so 		debug
account 	required 	/lib/security/pam_winbind.so 		debug

das wars danach konnte ich am Anmeldefenster im Browser mich mit einem Account der Windows Domäne Anmelden.



Gruß L-user :wink:
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben