Wiki Samba+LDAP Problemchen

[onegroup]

Hallo,

ich beschäftige mich seit einiger Zeit mit LDAP, FreeBSD und Samba und habe mir von diversen Webseiten eine Konf gebastelt die zwar funktioniert aber dann auch nicht so richtig :/. Zum Bsp. haben die User(20 Stk) arge Performanceprobleme beim Zugriff auf Netzlaufwerke. Im Log konnte ich beobachten das das ganze ca 15-20 Sek bei der LDAP Abfrage hängt oder bei einer Abwesenheit hängt es auch.
Stelle schon per Logonscript viele Sachen in XP aus (offlinedateien, Netzwerkbrowsen usw.).

Nun hab ich das ganze auf einem zweiten Server und anderer Domain mit hilfe des Wikis aufgebaut. Soweit so gut neue Profile und so weiter laufen auch, die Daten werden per MSDFS gemountet. Jetzt habe ich eben die Nachricht erhalten, das es wieder hing.

Da die Anmelde-Authentifikation über den neuen Server läuft und dieser dann sich ja an dem alten über LDAP authentifizieren muss wegen den Freigaben bringt das ganze ja nix.

Es müsste ja eigentlich reichen, auf dem alten Sambaserver den neuen LDAP anzugeben oder? Hat jemand diesbezüglich auch solche Probleme gehabt?

Grüße

Steffen

 

[AndreasMeyer]

Der Nachteil der Wiki-Anleitung:
http://wiki.bsdforen.de/index.php/FreeBSD_-_Samba_PDC
ist der, dass ich die beschriebene Konfiguration nur im VMWare testen konnte (Hab kein Netzwerk mit 20 Windows-Usern). Praxiserfahrungen (mit vielen Benutzern, hohem Traffic) fehlen gänzlich!

Um Dir weiterhelfen zu können und die Wikianleitung auch für den harten Praxiseinsatz tauglich zu machen, benötigte ich genaue Angaben über Deine Netzwerkstruktur (Eingesetzte Samba-, OpenLDAP-Servern, Windows-Betriebssystemversionen etc), Angaben über die eingesetzten Softwareversionen (Samba, OpenLDAP) und Informationen, was genau in den wichtigen Konfigurationsdateien (smb.conf, slapd.conf, nsswitch.conf und und..) steht!

 

[onegroup]

Hallo,

sorry das ich erst jetzt antworte.

Also soweit ich das beurteilen kann (inkl. begeistertes Usersfeedback ) funktioniert das Tutorial super (bis auf ein paar Schreibfehler z.b Profile). Die Performance hat sich total verbessert und es gibt keine Hänger mehr.

Das einzigste Problem was ich noch habe, ist die DNS Auflösung, die zwar funktioniert aber bei einem ausschalten des PC's und am nächsten Morgen anmachen geht die Anmeldung an die Domäne aber die interne DNS auflösung geht erst nach 15-30 min. Was scheinbar ein XP Problem ist. Ich habe deshalb einfach mal in den netlogon Scripten ein ipconfig /flushdns und ipconfig /registerdns dazugefügt. Mal schauen ob das etwas hilft.

Vorteil zur meiner alten Methode ist auch das die User keine Admins mehr sein müssen ..

Letzendlich muss ich jetzt nurnoch den alten Sambaserver auf den neuen LDAP umstellen da die User bei einem Passwortwechsel ja nur den neuen LDAP aktualisieren und nichtmehr auf die Freigaben kommen.

Die zu änderten Dateien sollten ja die smb.conf, ldap Client sein oder?

Viele Grüße

Steffen

 

[wageck]

das

Das einzigste Problem was ich noch habe, ist die DNS Auflösung, die zwar funktioniert aber bei einem ausschalten des PC's und am nächsten Morgen anmachen geht die Anmeldung an die Domäne aber die interne DNS auflösung geht erst nach 15-30 min. Was scheinbar ein XP Problem ist. Ich habe deshalb einfach mal in den netlogon

hört sich für mich so an als ob dein dns oder wins nicht funktioniert und die xp rechner das selbst regeln da der suchdienst ungefähr so 15-30min braucht bis er alles gefunden hat würde das ziemlich gut passen

 

[onegroup]

Ich habe den DNS gemäß des Wiki von hier eingerichtet. Das ganze funktioniert eigentlich auch. DHCP mit automatischer aktulisierung funtz auch. Soll ich eventuell mal die Confdateien posten?

Gruss

Steffen

 

[AndreasMeyer]

hört sich für mich so an als ob dein dns oder wins nicht funktioniert und die xp rechner das selbst regeln da der suchdienst ungefähr so 15-30min braucht bis er alles gefunden hat würde das ziemlich gut passen

Bin gleicher Meinung. Kontrolliere kurz nach der Benutzeranmeldung am Morgen die Namensauflösung auf dem Windows-Client mit den Tools Nslookup (Testet den DNS-Server) und nblookup (Testet den WINS-Server):

http://support.microsoft.com/kb/200525/de
http://support.microsoft.com/kb/830578

zum Beispiel:

# nslookup testwindows
=> IP: 10.0.0.1

# nslookup 10.0.0.1
=> Name: testwindows

# nblookup testwindows
=> IP: 10.0.0.1

Studiere die Windows Netzwerk-Unterlagen (Windows Netzwerk):
http://wiki.bsdforen.de/index.php/FreeBSD_-_Samba_PDC#Windows_Netzwerk

Und den neuen Wiki-Eintrag (Bei_der_Benutzeranmeldung_immer_auf_das_Netzwerk_warten):
http://wiki.bsdforen.de/index.php/F...nutzeranmeldung_immer_auf_das_Netzwerk_warten

 

[onegroup]

Habs eben einmal 6 PCs getestet. Bei der Anmeldung kann ich per nslookup alles auflösen ip -> Name, name->IP.

Was nicht geht ist dann aber komischerweise der Zugriff per http (ie und firefox) auf den Namen und auf die Laufwerke über den Namen.

Ein Neustarten des Rechners behebt das Problem, ein ab/anmelden nicht.

Ich habe jetzt auf den PCs mal die Benutzeranmeldung wie im Wiki geändert vielleicht bringt das ja was.

Wie schon gesagt normal habe ich keine Probleme mit dem DNS. in den Netlogonscripten steht zb immer noch ipconfig /flushdns drin damit löscht er ja den DNS Cache.

Nachtrag:

So habs eben nochmal getestet:

nslookup läuft einwandfrei

nblookup sagt als Standardserver (axispdc) und löst axispdc auf (alter Server), axisbdc nicht (neuer Server)

jetzt ist es so, das da beide mit os level 65 laufen aber mit verschiedenen Domains.

die smb.conf (axispdc) gibt zum wins folgendes her :

wins support = yes
name resolve order = wins lmhosts hosts bcastmax

smb.conf (axisbdc)

wins support = yes
name resolve order = wins lmhosts hosts bcast
dns proxy = yes

bei beiden ist in der resolv.conf der nameserver (axispdc) eingetragen.

Ich sehe nicht so richtig woran es liegen könnte bis auf das wins, kann ich das einfach abschalten auf (axispdc).
Die Anwendung läuft ja komplett über axisbdc, Fileschleuder ist dann axispdc.

Noch ein Nachtrag:

hab jetzt in DHCP den wins server von axispdc auf axisbdc geändert und auf axispdc wins ausgestellt -> Resultat ist scheinbar axispdc wird gefunden, axisbdc jedoch nicht mehr XD. Technik die begeistert

 

[AndreasMeyer]

Bei Verwendung von Samba PDC und Samba BDC sind einige Punkte (Subnetze, Domain master, Local master, preferred master) zu beachten. Bitte beachte das Kapitel 4 vom Buch "Samba":
http://www.oreilly.de/german/freebooks/samba2ger/ch04.html#971244

Und die Änderungen im Kapitel "DCHP-Server":
http://wiki.bsdforen.de/index.php/Samba_PDC#DHCP-Server

 

[onegroup]

Da die beiden Rechner mit getrennten Domains laufen denke ich das Problem liegt nicht hier. Das Browsen der Laufwerke geht auch einwandfrei und ich habe keine Beschwerden mehr gehabt.

Die bezeichnung der Rechner wurde gewählt da eigentlich eine Redundanz geplant war, durch die Performance probleme aber erstmal nicht zum zuge kommt.

Damit ich den "defekten" LDAP neu aufsetzten kann (alte openldapversion) muss ich die darauf laufende Benutzerverwaltung auf den neuen übertragen.

ich habe dementsprechend:

/usr/local/etc/ldap.conf an den neuen Server angepasst(kopiert)
/usr/local/etc/smb.conf die ldap einstellungen eingefügt
/usr/local/etc/openldap/ssl kopiert und die rechte angepasst
/usr/local/etc/openldap/slap.conf angepasst(kopiert)

nun bekomme ich in der log.smbd folgende fehlermeldung:

[2006/11/06 05:55:16, 0] lib/smbldap.c:smbldap_connect_system(977)
failed to bind to server ldaps://axisbdc.axnet.lan with dn="cn=ldapAdmin,dc=axnet,dc=lan" Error: Can't contact LDAP server
error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed
[2006/11/06 05:58:02, 0] services/services_db.c:svcctl_init_keys(420)
init_services_keys: key lookup failed! (WERR_ACCESS_DENIED)

die Auflösung geht allerdings auf dem Server:

nslookup axisbdc.axnet.lan
Server: 10.210.64.201
Address: 10.210.64.201#53

Name: axisbdc.axnet.lan
Address: 10.210.64.203

nslookup 10.210.64.203
Server: 10.210.64.201
Address: 10.210.64.201#53

203.64.210.10.in-addr.arpa name = axisbdc.axnet.lan.
203.64.210.10.in-addr.arpa name = axisbdc.lan.

Habe ich etwas übersehen? Scheinbar klappt das Zertifikat ja nicht.

Sinn ist das Samba die Nutzer aus der neuen LDAP DB liest, später soll das ganze dann repliziert werden um Problemen vorzubeugen.

Gruss

Steffen

 

[AndreasMeyer]

1.) Das neue LDAP-Admin-Passwort Samba bekannt gemacht?
=> http://wiki.bsdforen.de/index.php/Samba_PDC#LDAP-Admin-Passwort_Samba_bekanntmachen

2.) Die Zertifikate und ldap.conf korrekt angepasst, funktioniert:
# ldapsearch

Halte Dich bitte ans Wiki. Im Wiki werden genug Fehlersuchhinweise gegeben!

 

[onegroup]

ja das Passwort hatte ich bekanntgegeben, damit war dann ein weiterer Fehler verschwunden.

die ldap.conf kann eigentlich so bleiben:

#
# LDAP Defaults
#

# See ldap.conf(5) for details
# This file should be world readable but not world writable.

BASE dc=axnet, dc=lan
URI ldaps://axisbdc.axnet.lan
TLS_CACERT /usr/local/etc/openldap/ssl/CA.cer
TLS hard

Was muss ich denn beim Zertifikat beachten? Ich habe festgestellt das LDAP wirklich ein Thema für sich ist. Heute früh ging nach einem Reboot nichts mehr obwohl es die ganze Zeit lief :/

 

[AndreasMeyer]

Heute früh ging nach einem Reboot nichts mehr obwohl es die ganze Zeit lief

=> http://wiki.bsdforen.de/index.php/Samba_PDC#NSS

 

[onegroup]

Das Problem lag eher daran das sich der Openldap überhaupt nichtmehr starten lies und ich die nss beim ersten einrichten angepasst hatte wie im Script angegeben. Das ganze lief auch super (nach etlichen Reboots), bis auf gestern.

Ich musste Openldap deinstallieren und wieder installieren danach lief es wieder.

Die Verlinkungen helfen nicht so richtig weiter z.b Fragen Abfrage des LDAP über einen anderen Server, Replizierung usw. Ich weiss lesen hilft
Wenn ich was dazu finden würde..

Gruss

Steffen

 

[onegroup]

Hallo,

heute früh das selbe Problem, der LDAP lief noch aber Samba konnte sich nicht mehr anmelden, ein Neustart von Samba hat nichts geholfen.

Also Serverneustart:
Ergebniss LDAP lief wieder nicht er hing beim Start das rc.debug sagt nichts, also hab ich die nsswitch korrigiert ohne ergebnis, Dann habe ich auf Openldap 2.3.30 geupdatet. Lustigerweise startet er jetzt nur openldap startet nicht ein manuelles starten geht aber er kopiert dann auch die jeweilige nsswitch wie vorgesehen.

ich habe in der rc.conf:

slapd_enable="YES"
slapd_flags='-h "ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://10.210.64.203/ ldaps://10.210.64.203/"'
slapd_sockets="/var/run/openldap/ldapi"
slurpd_enable="YES"

in messages steht

Nov 21 09:26:00 axisbdc root: /usr/local/etc/rc.d/slapd: INFO: checkyesno: slapd_enable is set to YES.
Nov 21 09:26:00 axisbdc root: /usr/local/etc/rc.d/slapd: INFO: pid file (/var/run/openldap/slapd.pid): not readable.
Nov 21 09:26:03 axisbdc root: /usr/local/etc/rc.d/slapd: INFO: checkyesno: slapd_enable is set to YES.
Nov 21 09:26:03 axisbdc root: /usr/local/etc/rc.d/slapd: INFO: pid file (/var/run/openldap/slapd.pid): not readable.
Nov 21 09:26:03 axisbdc root: /usr/local/etc/rc.d/slapd: INFO: run_rc_command: evaluating start_precmd().
Nov 21 09:26:03 axisbdc root: /usr/local/etc/rc.d/slapd: INFO: run_rc_command: _doit: /usr/local/libexec/slapd -h "ldapi://%2fvar%2frun%2fopenldap%2fldapi/ ldap://10.210.64.203/ ldaps://10.210.64.203
Nov 21 09:26:04 axisbdc root: /usr/local/etc/rc.d/slapd: INFO: run_rc_command: evaluating start_postcmd().

irgendwie sieht es für mich so aus das das rc startsystem nicht richtig funktioniert. Kann man das irgendwie fixen?