Hallo Forum,
ICh hab ein kleines Config Problem wohl, aber ich finde den bug nicht.
Das Problem ist das ich obwohl ich den workstations das Flag WX gegeben habe die konten ablaufen z.b.
smbd[26330]: _net_auth2: creds_server_check failed. Rejecting auth request from client PC125 machine account PC125$
Ich habe mal recherchiert, und die Samba HOwto sagt dazu =
Maschinen-Konten laufen immer wieder ab
Dieses Problem tritt auf, wenn die passdb-Dateien (SAM) von einem zentralen Server aus kopiert werden, aber der lokale BDC als PDC arbeitet. Dies führt zu Updates der Passwörter der lokalen Maschinen-Vertrauenskonten in der lokalen SAM. Solche Updates werden nicht zum zentralen Server zurückkopiert. Das neuere Maschinen-Konten-Passwort wird damit überschrieben, sobald die SAM vom PDC neu kopiert wird. Das Ergebnis ist, dass die Domänen-Mitgliedsmaschine beim Start keine Übereinstimmung zwischen ihren eigenen Passwörtern und denen in der Datenbank findet, und da der Sicherheits-Check beim Start daher fehlschlägt, wird diese Maschine keine Anmelde-Versuche zulassen und es wird der Fehler gemeldet, dass das Konto abgelaufen ist.
Die Lösung ist, ein robusteres passdb-Backend zu verwenden, wie z.B. das ldapsam-Backend, und mit diesem für jeden BDC einen Slave-LDAP-Server aufzusetzen sowie einen Master-LDAP-Server für den PDC.
nur ich habe ein LDAPMASTER der PDC ist und ein BDC der LDAPSLAVE ist.
also kann ich mir nur noch die rechte ausmalen wo falsch sind im LDAP.
hier meine acl.conf
access to dn.base="cn=subSchema"
by * read
access to attrs=userPassword,userPKCS12
by self write
by * auth
access to attrs=shadowLastChange
by self write
by * read
access to dn.subtree="ou=adressbuch,dc=test,dc=intern"
by users write
by * read
access to dn.subtree="ou=users,dc=test,dc=intern"
by self write
by dn="uid=sven,ou=users,dc=test,dc=intern"
by * read
access to dn.subtree="ou=groups,dc=test,dc=intern"
by * read
access to dn.sub="ou=hosts,dc=test,dc=intern"
by self write
by dn="uid=admin,ou=users,dc=test,dc=intern" write
access to dn.base=""
by * read
Ich habe leider noch nicht soviel ahnung von der LDAP materie, währe nett wenn mir einer ein Tipp geben könnte.
P.S. ich habe eine richtlinie von 90 Tagen gesetzt für PW interval bezieht das sich dann auch auf die maschinen konten? oder nur für die user.
MFG flippa
ICh hab ein kleines Config Problem wohl, aber ich finde den bug nicht.
Das Problem ist das ich obwohl ich den workstations das Flag WX gegeben habe die konten ablaufen z.b.
smbd[26330]: _net_auth2: creds_server_check failed. Rejecting auth request from client PC125 machine account PC125$
Ich habe mal recherchiert, und die Samba HOwto sagt dazu =
Maschinen-Konten laufen immer wieder ab
Dieses Problem tritt auf, wenn die passdb-Dateien (SAM) von einem zentralen Server aus kopiert werden, aber der lokale BDC als PDC arbeitet. Dies führt zu Updates der Passwörter der lokalen Maschinen-Vertrauenskonten in der lokalen SAM. Solche Updates werden nicht zum zentralen Server zurückkopiert. Das neuere Maschinen-Konten-Passwort wird damit überschrieben, sobald die SAM vom PDC neu kopiert wird. Das Ergebnis ist, dass die Domänen-Mitgliedsmaschine beim Start keine Übereinstimmung zwischen ihren eigenen Passwörtern und denen in der Datenbank findet, und da der Sicherheits-Check beim Start daher fehlschlägt, wird diese Maschine keine Anmelde-Versuche zulassen und es wird der Fehler gemeldet, dass das Konto abgelaufen ist.
Die Lösung ist, ein robusteres passdb-Backend zu verwenden, wie z.B. das ldapsam-Backend, und mit diesem für jeden BDC einen Slave-LDAP-Server aufzusetzen sowie einen Master-LDAP-Server für den PDC.
nur ich habe ein LDAPMASTER der PDC ist und ein BDC der LDAPSLAVE ist.
also kann ich mir nur noch die rechte ausmalen wo falsch sind im LDAP.
hier meine acl.conf
access to dn.base="cn=subSchema"
by * read
access to attrs=userPassword,userPKCS12
by self write
by * auth
access to attrs=shadowLastChange
by self write
by * read
access to dn.subtree="ou=adressbuch,dc=test,dc=intern"
by users write
by * read
access to dn.subtree="ou=users,dc=test,dc=intern"
by self write
by dn="uid=sven,ou=users,dc=test,dc=intern"
by * read
access to dn.subtree="ou=groups,dc=test,dc=intern"
by * read
access to dn.sub="ou=hosts,dc=test,dc=intern"
by self write
by dn="uid=admin,ou=users,dc=test,dc=intern" write
access to dn.base=""
by * read
Ich habe leider noch nicht soviel ahnung von der LDAP materie, währe nett wenn mir einer ein Tipp geben könnte.
P.S. ich habe eine richtlinie von 90 Tagen gesetzt für PW interval bezieht das sich dann auch auf die maschinen konten? oder nur für die user.
MFG flippa