Samba LDAP Problem

krook · 23 Juli 2005

Hallo,

habe ein Problem mit der Anbindung eines XP Clients an eine Samba Domaine. Möchte gerne das Backend auf LDAP umstellen.

Folgender Ist-Stand:
Anmeldung aus der Konsole mit smbclient funktioniert.
Authentifizierung vom Windows XP Rechner über die Netzwerkumgebung klappt auch.

Sobald ich Samba jetzt aber als Domainencontroller laufen lassen möchte und in XP der Domaine beitreten möchte, kommt immer der Hinweis "Anmeldung fehlgeschlagen, unbekannter Benutzer..."
In meinem LDAP Directory habe ich aber einen Benutzer Administrator mit der sambaPrimaryGroupSID xyz-512 angelegt.

Weiterhin ist merkwürding, dass auf dem Linux Recher bei Eingabe des Befehl net groupmap list folgende Meldung kommt:

linux:/etc/samba # net groupmap list
[2005/07/23 20:40:55, 0] passdb/pdb_ldap.c:ldapsam_setsamgrent(2763)
ldapsam_setsamgrent: LDAP search failed: Invalid DN syntax
[2005/07/23 20:40:55, 0] passdb/pdb_ldap.c:ldapsam_enum_group_mapping(2828)
ldapsam_enum_group_mapping: Unable to open passdb

Kann mir da vielleicht jemand einen Tip geben?

Vielen Dank und Gruß, MM

stka · 23 Juli 2005

Dein Administrator muss die UID 0 und die GID 0 haben (fake-root) nur dann kannst du mit dem Benutzer einen Host in die Domäne aufnehmen.

baumpaul · 24 Juli 2005

Am Rande.. so bei mir...
"Administartor" wird (Suse default, wenns den eine ist )in der smbusers auf root gemappt....
und root (id 0) muß in der Gruppe der Domain Admins angehöhren, welche
ihrerseits auf die GID0 gemappt wird.
alles gemacht ?
Funtzt und ich habe ihn nicht in der pdb.

Was ich komisch finde ist:
" ldapsam_setsamgrent: LDAP search failed: Invalid DN syntax "
und
" ldapsam_enum_group_mapping: Unable to open passdb "
########################
Vermutung:
Du kriegst das Backend gar nicht auf... Database scheint gar nicht zu laufen,
du hast sie falsch eingetragen oder kein Recht darauf zuzugreifen.
Was kommt mit pdbedit -Lv ?
Suse Kiste ?
dann mach mal ein tail -f /var/log/messages und versuch nochmal darauf zuzugreifen.
Wenn du von "umstellen" sprichst, wie hast du die alte Beutzerdatenbank da rein gekriegt ?
Wie hast du LDAP getestet ?
#######################

krook · 24 Juli 2005

baumpaul schrieb:
Am Rande.. so bei mir...
"Administartor" wird (Suse default, wenns den eine ist )in der smbusers auf root gemappt....

hab ich jetzt geändert, denn user root gibt es in meinem LDAP Directory nicht.

baumpaul schrieb:
und root (id 0) muß in der Gruppe der Domain Admins angehöhren, welche
ihrerseits auf die GID0 gemappt wird.
alles gemacht ?

Habe meinen userAdministrator jetzt die UID=0 und die GID=0 gegeben.
Muss ich auch an der sambaPrimaryGroupSID und die sambaSID ändern?

baumpaul schrieb:
Funtzt und ich habe ihn nicht in der pdb.

Was ich komisch finde ist:
" ldapsam_setsamgrent: LDAP search failed: Invalid DN syntax "
und
" ldapsam_enum_group_mapping: Unable to open passdb "
########################
Vermutung:
Du kriegst das Backend gar nicht auf... Database scheint gar nicht zu laufen,
du hast sie falsch eingetragen oder kein Recht darauf zuzugreifen.
Was kommt mit pdbedit -Lv ?

linux:/etc/samba # pdbedit -Lv
---------------
Unix username: Administrator
NT username: Administrator
Account Flags: [U ]
User SID: S-1-5-21-1265830503-3871554835-2152771207-2996
Primary Group SID: S-1-5-21-1265830503-3871554835-2152771207-0
Full Name: Administrator
Home Directory: \\FRODO\homes\Administrator
HomeDir Drive: H:
Logon Script: scripts\logon.bat
Profile Path: \\FRODO\profiles\Administrator\
Domain: MITTELERDE
Account desc:
Workstations:
Munged dial:
Logon time: 0
Logoff time: Fri, 13 Dec 1901 21:45:51 GMT
Kickoff time: Fri, 13 Dec 1901 21:45:51 GMT
Password last set: Thu, 21 Jul 2005 15:30:15 GMT
Password can change: 0
Password must change: Fri, 28 Oct 2005 15:30:15 GMT
Last bad password : 0
Bad password count : 0
Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
---------------
Unix username: nobody
NT username: nobody
Account Flags: [NU ]
User SID: S-1-5-21-1265830503-3871554835-2152771207-2998
Primary Group SID: S-1-5-21-1265830503-3871554835-2152771207-514
Full Name: nobody
Home Directory: \\FRODO\homes\nobody
HomeDir Drive: H:
Logon Script: scripts\logon.bat
Profile Path: \\FRODO\profiles\nobody
Domain: MITTELERDE
Account desc:
Workstations:
Munged dial:
Logon time: 0
Logoff time: Fri, 13 Dec 1901 21:45:51 GMT
Kickoff time: Fri, 13 Dec 1901 21:45:51 GMT
Password last set: 0
Password can change: 0
Password must change: Fri, 13 Dec 1901 21:45:51 GMT
Last bad password : 0
Bad password count : 0
Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
---------------
Unix username: smbtester1
NT username: smbtester1
Account Flags: [U ]
User SID: S-1-5-21-1265830503-3871554835-2152771207-3000
Primary Group SID: S-1-5-21-1265830503-3871554835-2152771207-513
Full Name: System User
Home Directory: \\FRODO\homes\smbtester1
HomeDir Drive: H:
Logon Script: scripts\logon.bat
Profile Path: \\FRODO\profiles\smbtester1
Domain: MITTELERDE
Account desc: System User
Workstations:
Munged dial:
Logon time: 0
Logoff time: Fri, 13 Dec 1901 21:45:51 GMT
Kickoff time: Fri, 13 Dec 1901 21:45:51 GMT
Password last set: Thu, 21 Jul 2005 15:12:47 GMT
Password can change: 0
Password must change: Fri, 28 Oct 2005 15:12:47 GMT
Last bad password : 0
Bad password count : 0
Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF

baumpaul schrieb:
Suse Kiste ?

Suse 9.3

baumpaul schrieb:
dann mach mal ein tail -f /var/log/messages und versuch nochmal darauf zuzugreifen.

linux:/etc/samba # tail -f /var/log/messages
Jul 24 11:02:58 linux slapd[6405]: conn=279 op=1 SRCH attr=supportedControl
Jul 24 11:02:58 linux slapd[6405]: conn=279 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jul 24 11:02:58 linux slapd[6405]: conn=279 op=2 SRCH base="dc=quenya,dc=org" scope=2 deref=0 filter="(&(objectClass=sambaDomain)(sambaDomainName=mittelerde))"
Jul 24 11:02:58 linux slapd[6405]: conn=279 op=2 SRCH attr=sambaDomainName sambaNextRid sambaNextUserRid sambaNextGroupRid sambaSID sambaAlgorithmicRidBase objectClass
Jul 24 11:02:58 linux slapd[6405]: conn=279 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Jul 24 11:02:58 linux slapd[6405]: conn=279 op=3 SRCH base="dc=quenya,dc=org" scope=2 deref=0 filter="(&(uid=*)(objectClass=sambaSamAccount))"
Jul 24 11:02:58 linux slapd[6405]: conn=279 op=3 SRCH attr=uid uidNumber gidNumber homeDirectory sambaPwdLastSet sambaPwdCanChange sambaPwdMustChange sambaLogonTime sambaLogoffTime sambaKickoffTime cn displayName sambaHomeDrive sambaHomePath sambaLogonScript sambaProfilePath description sambaUserWorkstations sambaSID sambaPrimaryGroupSID sambaLMPassword sambaNTPassword sambaDomainName objectClass sambaAcctFlags sambaMungedDial sambaBadPasswordCount sambaBadPasswordTime sambaPasswordHistory modifyTimestamp sambaLogonHours
Jul 24 11:02:58 linux slapd[6405]: conn=279 op=3 SEARCH RESULT tag=101 err=0 nentries=3 text=
Jul 24 11:02:58 linux slapd[6405]: conn=278 fd=8 closed
Jul 24 11:02:58 linux slapd[6405]: conn=279 fd=35 closed

baumpaul schrieb:
Wenn du von "umstellen" sprichst, wie hast du die alte Beutzerdatenbank da rein gekriegt ?

habe eine Neue Nutzerdatenbank mit einem Testuser per Hand angelegt.

baumpaul schrieb:
Wie hast du LDAP getestet ?

meinen Testuser smbtester1 gibt es nur im LDAP Backend. von der Konsole aus kann ich mit mit smbclient mit dem Benutzer smbclient verbinden.

Vielen Dank und Gruß, MM

baumpaul · 24 Juli 2005

UUUppppsss... anders herum...
bei mit gibt es root, aber Administrator nicht.

Die meine Config: (>>> Beschreibung)
#######
(Pdbedit -Lv)
-------------
Unix username: root >>> Mapping auf UID 0 (/etc/passwd)
NT username: root
Account Flags: [U ]
User SID: S-1-5-21-2311638886-2896855979-2299880717-1000
Primary Group SID: S-1-5-21-2311638886-2896855979-2299880717-512 >>> Domain Admin
Full Name: root
Home Directory: \\windows311\root
HomeDir Drive: H:
Logon Script: logon.bat
Profile Path: \\windows311\profiles\root
Domain: MYNET
Account desc:
Workstations:
Munged dial:
Logon time: 0
Logoff time: Fri, 13 Dec 1901 21:45:51 GMT
Kickoff time: Fri, 13 Dec 1901 21:45:51 GMT
Password last set: Wed, 18 May 2005 00:02:18 GMT
Password can change: Wed, 18 May 2005 00:02:18 GMT
Password must change: Fri, 13 Dec 1901 21:45:51 GMT
Last bad password : 0
Bad password count : 0
Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
########
net groupmap list (primäre Gruppen)
-------------
Domain Admins (S-1-5-21-2311638886-2896855979-2299880717-512) -> root >>> mapping auf GID 0 (/etc/group)
Domain Users (S-1-5-21-2311638886-2896855979-2299880717-513) -> users >>> mapping auf GID 100 (/etc/group)
Domain Guests (S-1-5-21-2311638886-2896855979-2299880717-514) -> nobody >>> mapping auf GID 65533 (/etc/group)
Domain Computers (S-1-5-21-2311638886-2896855979-2299880717-515) -> computers >>> mapping auf GID 3000 (/etc/group)
Administrators (S-1-5-32-544) -> 544
Account Operators (S-1-5-32-548) -> 548
Print Operators (S-1-5-32-550) -> 550
Backup Operators (S-1-5-32-551) -> 551
Replicators (S-1-5-32-552) -> 552
#######
cat /etc/samba/smbusers
------------
windows311:~ # cat /etc/samba/smbusers
# This file allows you to map usernames from the clients to the server.
# Unix_name = SMB_name1 SMB_name2 ...
#
# See section 'username map' in the manual page of smb.conf for more
# information.

root = administrator >>> mapping administrator auf root
nobody = guest pcguest smbguest >>> mapping guest... auf nobody
##############
Meine verw Doku hab ich auf ftp://baumpaul.homelinux.net/upload
Kannste ja mal Querchecken. Das mit den smbldap-tools lief nicht ganz
so rund wie in der Beschreibung, war aber zu lösen.
##############
Weiter hab ich noch den bind DN bei LDAP-Abfragen in der messages.
##############
Guck halt mal durch....
Was es jetzt genau ist, kann ich so leider auch nicht sagen.

############
!!!NACHTRAG!!! Hatte ich gerade vergessen
--------------------------
Getestet : ldapsearch
Benutzer aus dem alten Backend mit pdbedit (Importfunktion)
importiert. siehe man pdbedit

stka · 24 Juli 2005

Hast du für deinen Client überhaupt ein Konto erstellt? Denn so etwas wie hier in dem Beispiel fehlt bei dir, oder hast du uns das nur vorenthalten :roll:

Unix username: pc1$
NT username: pc1$
Account Flags: [W ]
User SID: S-1-5-21-2663062808-3422122102-3980521602-7000
Primary Group SID: S-1-5-21-2663062808-3422122102-3980521602-513
Full Name: pc1
Home Directory: \\ldapserver\pc1_\.9xprofile
HomeDir Drive: P:
Logon Script:
Profile Path: \\ldapserver\profiles\.msprofile
Domain: HOME
Account desc:
Workstations:
Munged dial:
Logon time: 0
Logoff time: Fri, 13 Dec 1901 21:45:51 GMT
Kickoff time: Fri, 13 Dec 1901 21:45:51 GMT
Password last set: 0
Password can change: 0
Password must change: Fri, 13 Dec 1901 21:45:51 GMT
Last bad password : 0
Bad password count : 0
Logon hours : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF

krook · 5 Aug. 2005

vielen Dank Leute! Jetzt läuft alles wunderbar!

Samba LDAP Problem

krook

Newbie

stka

Guru

baumpaul

Hacker

krook

Newbie

baumpaul

Hacker

stka

Guru

krook

Newbie