Samba: "begrenztes" Domainlogin

[karme]

Auf was man so alles achten muß ?!?

Habe hier jetzt den samba am laufen, mit Domainlogin und auf samba liegenden userprofilen.

Die Anmeldung geht erstmal ganz wunderbar.
Aber sobald ich mich an einem Rechner angemeldet habe kann ich mich von einem anderen Rechner nicht mehr anmelden, da kommt dann:

"Ein an das System angeschlossenes Gerät funktioniert nicht."

Dieselbe Meldung bekomme ich, wenn ich mich von einem PC auf einen anderen verbinden will.

Wobei das wahrscheinlich Zugriffsprobleme sind.

Was wird an Daten gebraucht, um den Fehler zu finden?

 

[karme]

Heute habe ich mal einen neuen w2k installiert.
Die Probs sind die gleichen wie bisher.
Nun habe ich den loglevel auf 4 angehoben, (ich hoffe das reicht) und mir das log-file angeschaut.
Hier in Auszügen der wie ich denke relevante Teil:

check_ntlm_password: sam authentication for user [dieter] succeeded
[2004/03/13 10:58:08, 3] smbd/sec_ctx.cush_sec_ctx(256)
push_sec_ctx(65534, 65534) : sec_ctx_stack_ndx = 1
[2004/03/13 10:58:08, 3] smbd/uid.cush_conn_ctx(287)
push_conn_ctx(100) : conn_ctx_stack_ndx = 0
[2004/03/13 10:58:08, 3] smbd/sec_ctx.c:set_sec_ctx(288)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2004/03/13 10:58:08, 3] smbd/sec_ctx.cop_sec_ctx(386)
pop_sec_ctx (65534, 65534) - sec_ctx_stack_ndx = 0
[2004/03/13 10:58:08, 2] auth/auth.c:check_ntlm_password(305)
check_ntlm_password: authentication for user [dieter] -> [dieter] -> [dieter] succeeded
[2004/03/13 10:58:08, 1] rpc_server/srv_netlog_nt.c:_net_sam_logon(705)
_net_sam_logon: user VINE-NK\dieter has user sid S-1-5-21-2952756455-3436655150-1556059353-3008
but group sid S-1-5-32-545.
The conflicting domain portions are not supported for NETLOGON calls
[2004/03/13 10:58:08, 3] rpc_server/srv_pipe_hnd.c:free_pipe_context(544)
free_pipe_context: destroying talloc pool of size 642
[2004/03/13 10:58:08, 3] smbd/pipes.c:reply_pipe_write_and_X(199)
writeX-IPC pnum=73b2 nwritten=336
[2004/03/13 10:58:08, 3] smbd/process.crocess_smb(890)
Transaction 33 of length 63
[2004/03/13 10:58:08, 3] smbd/process.c:switch_message(685)
switch message SMBreadX (pid 10399)
[2004/03/13 10:58:08, 4] smbd/uid.c:change_to_user(122)
change_to_user: Skipping user change - already user
[2004/03/13 10:58:08, 4] rpc_server/srv_pipe_hnd.c:get_rpc_pipe(1153)
search for pipe pnum=73b2
[2004/03/13 10:58:08, 3] smbd/pipes.c:reply_pipe_read_and_X(242)
readX-IPC pnum=73b2 min=1024 max=1024 nread=96


Kann damit jemand was anfangen mit:
The conflicting domain portions are not supported for NETLOGON calls.

Ich verstehe nicht was das Problem hier sein soll.
Z.Z habe ich hier 3 Rechner mit w2k in die Domain eingefügt.

Wie oben beschrieben kann ich mich mit dem user nur auf einem Rechner anmelden, wenn ich mich dann auf einem anderen anmelden will geht nix mehr

Ah, vielleicht noch zur Info:
Hier hat jemand irgendwelche policies eingetragen.
Vielleicht lieggt es ja auch daran.
Wo finde ich die und kann sie wieder rausschmeißen???

 

[karme]

kein sambaspezialist da??

 

[codephreaker]

na ja so wie es aussieht ist die primary (domain) group von dieter eine builtin gruppe und keine wirkliche domain gruppe ...

das is auch das was er anschimpft ... "conflicting domain portion"

denn
S-1-5-32 !== S-1-5-21-2952756455-3436655150-1556059353

aber ich glaube nicht, dass es etwas damit zu tun hat ...

was ich nicht ganz verstehe: is es egal an welchem rechner du dich zuerst anmeldest oder kannst du dich wirklich nur an EIN und DEM SELBEN rechner anmelden?

was steht bei den nicht funktionierenden rechnern in der ereignisanzeige???

und kannste mal deine smb.conf posten ...

(und dann noch das und dann das und dann das )

 

[karme]

hi codephreaker,

erstmal danke für deine Antwort.

Wenn ich dieter an Rechner A anmelde kann er sich nicht mehr an Rechner B oder C anmelden.
Wenn ich zB. paula an Rechner B anmelde kann ich sie nicht mehr an Rechner A oder C anmelden ????
In dem Sinne kann ich mich immer nur an ein und demselben Rechner anmelden.

Das mit der Ereignisanzeige ist eine Superidee. Dort steht nähmlich:

Für die Domäne VINE-NK ist kein Windows
NT- oder Windows 2000 Domänencontroller verfügbar.
Folgender Fehler ist aufgetreten:
Es sind momentan keine Anmeldeserver zum Verarbeiten
der Anmeldeanforderung verfügbar.

Jetzt ist wohl nur noch die Frage welcher Eintrag falsch ist.
Hier dann die vollständige smb.conf

# Global parameters
[global]
workgroup = VINE-NK
server string = Samba Server %v
security = DOMAIN
min passwd length = 4
log level = 4
log file = /var/log/samba/log.%m
max log size = 50
logon script = scripts\%U.bat
logon path = \\%L\nt-profiles\%U
logon drive = m:
logon home = \\%L\%U
domain logons = Yes
os level = 99
preferred master = Yes
local master = No
domain master = Yes
dns proxy = No
wins support = Yes
ldap ssl = no
path = /var/spool/samba
admin users = @smb-admin
guest ok = Yes
printer name = OfficeJet-635

[homes]
comment = Homeverzeichnis von %U
path = /home/%U
read only = No
create mask = 0700
security mask = 0700
directory mask = 0700
directory security mask = 0700
guest ok = No
only user = Yes
veto files = /.*/
browseable = No

[finanzen]
comment = Freigabe fuer die Finanzgruppe
path = /smb-share/finanzen
valid users = @finance
write list = @finance
force group = finance
read only = No
create mask = 0770
directory mask = 0770
browseable = No

[buero]
comment = Freigabe fuer die Buerogruppe
path = /smb-share/buero
username = @office
read only = No
create mask = 0777
directory mask = 0777
browseable = No

[netlogon]
comment = Anmeldefreigabe
path = /smb-share/netlogon
read list = @smb-admin
create mask = 0777
directory mask = 0777
guest ok = No
browseable = No

[cliparts]
comment = Clipartverzeichnis
path = /smb-share/cliparts
write list = mario, winadmin

[printers]
printable = Yes
browseable = No

[nt-profiles]
path = /smb-share/nt-profiles
read only = No
create mask = 0600
security mask = 0600
directory mask = 0700
directory security mask = 0700
guest ok = No
browseable = No

[datenaustausch]
comment = Datenaustausch
path = /smb-share/datenaustausch
read only = No
create mask = 0777
directory mask = 0777

So und was'n noch und noch und noch

 

[karme]

Hab hier gerad noch ein paar Sachen gefunden, die eventl relevant sein könnten:
Das ist der letzte Teil der Ausgabe von smbclient -L XXX:

Workgroup Master
--------- -------
VINE-NK INGRID-PC
VINEYARD-NK OFFICE-PC

Das ist der erste Teil von testparm:

vinesmb# testparm
Load smb config files from /usr/local/etc/smb.conf
Processing section "[homes]"
Processing section "[finanzen]"
Processing section "[buero]"
Processing section "[netlogon]"
Processing section "[cliparts]"
Processing section "[printers]"
Processing section "[nt-profiles]"
Processing section "[datenaustausch]"
Server's Role (logon server) NOT ADVISED with domain-level security
Loaded services file OK.
WARNING: You have some share names that are longer than 12 characters.
These may not be accessible to some older clients.
(Eg. Windows9x, WindowsMe, and smbclient prior to Samba 3.0.)
Server role: ROLE_DOMAIN_BDC

Wobei die Rolle als PDC ja gegeben ist mit:

security = DOMAIN
domain logons = Yes
domain master = Yes
preferred master = yes

 

[codephreaker]

na ja ....

security = DOMAIN heisst, dass dieser rechner als CLIENT in einer vorhandenen domäne arbeiten soll!!! wenn ich das aber richtig lese, soll das ein PDC (Primary Domain Controller) sein, testparm sagt aber, dass die ein BDC (Backup DC) ist.

security = user is glaub ich das was du willst!

desweiteren würd ich local master auf yes stellen, sonst kannst du dir os level auch sparen ...
da das ding immer an is, is es mehr als sinnvoll den als browse list maintainer zu nutzen.

desweiteren bin ich etwas irritiert, dass du anscheinend 2 verschiedene arbeitsgruppen/domänen hast.
und bei keiner davon ist der server als master eingetragen!
oder heisst der server ingrid-pc???

 

[codephreaker]

man smb.conf: security = domain

"This mode will only work correctly if net(8) has been used to add this machine into a Windows NT Domain. It expects the encrypted passwords parameter to be set to yes. In this mode Samba will try to validate the username/password by passing it to a Windows NT Primary or Backup Domain Controller, in exactly the same way that a Windows NT Server would do."

hoffe das hilft

 

[codephreaker]

mal ne kleiner frage:

du konntest die w2k gurken der domäne hinzufügen?

 

[karme]

Danke codephreaker,

bin heute erst wieder online. Brauchte mal ne Auszeit.
Ich fang mal von hinten an:

Ja, ich konnte die w2k-Gurken problemlos der Dömane hinzufügen.

Als ich das Ganze im Dez. schon mal gebaut hatte ging das alles auch sehr gut - mit security = domain.
Da konnte ich mich von verschiedenen Rechern anmelden...

Jetzt hab ich auf user umgestellt und habe PDC.
Hab ich wohl doch die ganze Zeit falsch verstanden.

Den local master hatte ich die ganze Zeit drin (jetzt wieder), hatte verschiedene Tests gemacht und da war er gerade draußen.

desweiteren bin ich etwas irritiert, dass du anscheinend 2 verschiedene arbeitsgruppen/domänen hast.

Das war ein weiterer Test mit einem anderen Domainnamen. Die Domain ist vine-nk, der sambaserver vinesmb.
Jetzt kommt das auch raus:

Server Comment
--------- -------
OFFICE-PC
VINESMB Samba Server 3.0.2a

Workgroup Master
--------- -------
VINEYARD-NK OFFICE-PC

Warum der office-pc unter Server steht ist mir nicht klar.

Jedenfalls kann ich mich immer noch nicht auf einem anderen PC einloggen.
Die Ereignisanzeige hat auch keinen Eintrag mehr.

Die log-Datei zeigen:

[2004/03/15 11:03:34, 2] auth/auth.c:check_ntlm_password(305)
check_ntlm_password: authentication for user [ingrid] -> [ingrid] -> [ingrid] succeeded
[2004/03/15 11:03:34, 1] rpc_server/srv_netlog_nt.c:_net_sam_logon(705)
_net_sam_logon: user VINE-NK\ingrid has user sid S-1-5-21-2952756455-3436655150-1556059353-3004
but group sid S-1-5-32-545.
The conflicting domain portions are not supported for NETLOGON calls

Das Problem scheinen wohl die netlogons zu sein???

 

[karme]

So, vielleicht wird ja doch noch ein Spezialist aus mir.
Habs jetzt endlich raus:
Es war die primäre Gruppe irgendwie "kaputt", keine Ahnung wie und warum.
Jedenfalls mußte ich die Gruppe neu mit einer anderen GID erstellen - jetzt läufts.

Nun muß ich "nur" noch den Drucker zum laufen kriegen, da stell ich aber schon woanders dumme Fragen:

http://www.bsdforen.de/forums/showthread.php?s=&threadid=2421&pagenumber=2

Falls ihr mir folgen wollt und helfen könnt

Nochmal ein dickes DANKE an codephreaker.
Er hat mich immer weiter auf die richtige Fährte gebracht.

 

[codephreaker]

is ja super das es funktioniert ... aber die sache mit security = domain irritiert mich schon etwas; hast du einen W2k Domain Server/NT4 im Netz am start??