Mittwoch, 23. Mai 2012, 07:23

Du bist nicht angemeldet.



Automatische Einbindung in ADS

bratze

ist zu Gast bei Freunden.

  • »bratze« ist der Autor dieses Themas

Beiträge: 2

Kernel: 2.6.22-14-gen

Desktop: KDE

Architektur: 32-bit

  • Private Nachricht senden

1

Mittwoch, 24. Oktober 2007, 11:29

Automatische Einbindung in ADS

Hallo,

mein Problem ist, dass ich mich noch nicht richtig an eine ADS-basierte Domain anhängen kann. Das Problem scheint die Password-Verwaltung zu sein. Ich werde bei der Anmeldung noch nicht automatisch als User der Domain erkannt (muss mich bei jedem Zugriff immer wieder erneut an shares anmelden), und Kennwortänderungen am PDC der ADS-Domain werden nicht automatisch vom Samba/Krb5-Client übernommen.

Hintergrund:
Bei mir läuft ein Intranet, dessen User- und Berechtigungsverwaltung per Domain-basiertem Active Directory von einem W3K-Server (PDC) geleistet wird. In diesem Netz läuft bereits ein Samba-Dateiserver mit Suse9.x, der in ADS eingebunden ist (mein erster Linuxversuch). Das funktioniert auch 1a, d.h. alle Windoof-Clients im Netz haben gem. ihrer Benutzer- und Gruppenrechte nach dem Anmelden automatisch Zugriff auf ihre entsprechenden Samba-Verzeichnisse.

Das Ganze funktioniert aber NICHT mit einem Gutsy Gibbon-Client, der per krb5/Samba-Client ebenfalls an das Netz angeschlossen ist. Ich kann mich zwar auch bei allen Samba-shares anmelden, aber durchgehend nur manuell.

Mit der Samba/Kerberos-Konfig hängt noch irgendetwas. Um den Vorgang zu beschleunigen, hatte ich die smb.conf/krb5.conf/nsswitch.conf-Einstellungen des Samba-Dateiservers übernommen, aber das funktioniert leider mit dem Desktop nicht.

TESTPARM gibt keine Fehler. "nslookup MEINNETZ6.MEINNETZ.INTERN" gibt aus ...

Quellcode

 
1
2
3
4

 Server:         192.168.1.250
Address:        192.168.1.250#53
Name:   MEINNETZ6.MEINNETZ.INTERN
Address: 192.168.1.250


"sudo kinit Administrator@MEINNETZ.INTERN" funktioniert, und der Nutzer wird von der Domaine akzeptiert. "sudo wbinfo -u" und "sudo wbinfo -u" geben korrekt die User der Domain aus.

Aber bei
"sudo net ads join -U Administrator@MEINNETZ.INTERN"
bekomme ich als Ausspuck

Quellcode

 
1
2
3
4
5

 Using short domain name -- MEINNETZ
[2007/10/10 18:24:29, 0] utils/net_rpc_join.c:net_rpc_join_ok(70)
  net_rpc_join_ok: failed to get schannel session key from server MEINNETZ6.MEINNETZ.intern for domain MEINNETZ.
Error was NT_STATUS_ACCESS_DENIED
Failed to verify membership in domain!


Mit dem Netzwerkbrowser habe ich anscheinend trotz gescheiterter Anmeldung an der Domain mit den aktuellen Einstellungen Samba-Zugriff auf die Domain MEINNETZ, Zugriff auf den Dateiserver, und dort auf den ersten Blick sogar nutzerrechteabhängigen Zugriff. Aaaaaaber: ich kann mich zwar bei den Shares, für die ich Rechte habe, auf dem Samba/Linux-Dateiserver und dem W3K-Server einloggen, aber nur manuell und er erkennt mit nicht automatisch, obwohl ich mich am Desktop mit dem Domain-User/Kennwort angemeldet habe.

"klist" liefert ...

Quellcode

 
1
2
3
4
5
6
7

 Ticket cache: FILE:/tmp/krb5cc_1000
Default principal: cve@MEINNETZ.INTERN
Valid starting     Expires            Service principal
10/10/07 16:33:47  10/10/07 23:13:47  krbtgt/MEINNETZ.INTERN@MEINNETZ.INTERN
10/10/07 16:33:47  10/10/07 23:13:47  krbtgt/MEINNETZ@MEINNETZ.INTERN
Kerberos 4 ticket cache: /tmp/tkt1000
klist: You have no tickets cached


Meine Konfig-Dateien sehen folgendermaßen aus. Vielleicht entdeckt von Euch ja einer noch etwas ...

smb.conf:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78

 workgroup = MEINNETZ
server string = "CVs Rechner %v auf %h"
netbios name = MEINNETZ11
realm = MEINNETZ.INTERN
password server = MEINNETZ6.MEINNETZ.INTERN
winbind uid = 10000-15000
winbind gid = 10000-15000
winbind separator = /
winbind use default domain = yes
security = ads
client use spnego = yes
printing = CUPS
printcap name = CUPS
printcap cache time = 750
cups options = raw
username map = /etc/samba/smbusers
map to guest = Bad User
domain master = no
log level = 1
syslog = 0
debug level = 0
socket options = SO_KEEPALIVE TCP_NODELAY IPTOS_LOWDELAY IPTOS_THROUGHPUT SO_SNDBUF=16384 SO_RCVBUF=16384 
adduser script = /usr/sbin/useradd -m %u
restrict anonymous = no
preferred master = no
max protocol = NT
server signing = Auto
ldap ssl = No

[homes]
comment = Home Directories
path = /home
read only = no
share modes = no
locking = no

[netlogon]
comment = Network Logon Service
path = /home/netlogon
share modes = no
locking = no

[profiles]
comment = User Profiles
path = /home/profiles
read only = no
browseable = no
locking = no
create mask = 0600
directory mask = 0700

[printers]
comment = All Printers
path = /var/spool/samba
printable = yes
share modes = no
locking = no

[pdf-documents]
path = /home/pdf-documents
comment = Converted PDF Documents
read only = no
guest ok = yes

[pdf-printer]
path = /tmp
comment = PDF Printer Service
printable = yes
guest ok = yes
use client driver = yes
printing = bsd
print command = /usr/bin/gsambadpdf %s %u
lpq command = 
lprm command = 

[SDA2]
path = /media/sda2/
guest ok = yes


krb5.conf:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38

 [logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = MEINNETZ.INTERN
clockskew = 300
krb4_get_tickets = false

[realms]
MEINNETZ.intern = {
kdc = MEINNETZ6.MEINNETZ.INTERN
admin_server = MEINNETZ6.MEINNETZ.INTERN
default_domain = MEINNETZ.INTERN
}

[domain_realm]
.MEINNETZ.intern = MEINNETZ.INTERN
MEINNETZ.intern = MEINNETZ.INTERN

[kadmin]
default_keys = v5

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
krb4_convert = false
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}


nsswitch.conf:

Quellcode

 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

 passwd:   files winbind ldap
shadow: files winbind ldap
group:   files winbind ldap

hosts:   files lwres dns
networks:   files dns

services:   files
protocols:   files
rpc:   files
ethers:   files
netmasks:   files
netgroup:   files
publickey:   files

bootparams:   files
automount:   files nis
aliases:   files


common-auth:

Quellcode

 
1
2

auth    sufficient      pam_winbind.so
auth    required        pam_unix.so nullok_secure use_first_pass


common-account:

Quellcode

 
1
2

account   sufficient   pam_winbind.so
account   required   pam_unix.so


common-session:

Quellcode

 
1
2
3

session required        pam_unix.so
session optional        pam_foreground.so
session required        pam_mkhomedir.so umask=0022 skel=/etc/skel


common-password:

Quellcode

 
1

password required       pam_unix.so nullok obscure min=4 max=50 md5


Viele Grüße,

CV