samba - NT_STATUS_NO_SUCH_USER

gadean

Depp vom Dienst!
Hallo zusammen,
ich hab ein sehr merkwürdiges Problem mit samba und bräuchte eure Hilfe.
Gegen Anfang November habe ich samba41 in einer Jail installiert/konfiguriert und seit dem lief es ohne Probleme. Die Konfiguration sah 3 öffentliche (RO) und 1 privat (RW) Share vor, auf das Private habe ich schon seit einiger Zeit nicht mehr zugegriffen, bis ich es anfang des Monats brauchte und siehe da: Es funktioniert nicht mehr :(

In dem Zeitraum zwischen der Installation/letzten Nutzung und jetzt hatte ich samba upgedated, also schätze ich das ich dabei irgendeine Änderung übersehen habe aber wo genau das Problem liegt kann ich nicht feststellen.
Aber nun zu dem Fehler:
Ich kann mich mit meinem erstellten User nicht mehr am Share anmelden (NT_STATUS_NO_SUCH_USER)
Code:
> /var/log/samba4/debug.log
[...]
[2015/02/01 21:14:20.959508,  3] ../source3/auth/auth.c:177(auth_check_ntlm_password)
  check_ntlm_password:  Checking password for unmapped user [WORKGROUP]\[gadean]@[SAMBA.HOST.0X59.DE] with the new password interface
[2015/02/01 21:14:20.959557,  3] ../source3/auth/auth.c:180(auth_check_ntlm_password)
  check_ntlm_password:  mapped user is: [SAMBA.HOST.0X59.DE]\[gadean]@[SAMBA.HOST.0X59.DE]
[2015/02/01 21:14:20.959586,  2] ../source3/auth/auth.c:288(auth_check_ntlm_password)
  check_ntlm_password:  Authentication for user [gadean] -> [gadean] FAILED with error NT_STATUS_NO_SUCH_USER
[...]

Nach vielen hin und her Testen habe ich den Hammer rausgeholt, samba deinstalliert, den User entfernt (smbpasswd -x), den Ordner "/samba/var/db/samba4/" gelöscht, den User auf dem System ebenfalls gelöscht (rmuser), danach samba41 neu aus den Ports gebaut, kleine Simple config angelegt, den User auf dem System und in samba wieder erstellt.
Ergebnis: das Problem besteht immernoch - testweise einen anderen User erstellt, gleiches Ergebnis

Nun google, manuals und diverse Mailinglists später bin ich hier und hoffe ihr könnt mir helfen.
Einen etwas merkwürdiger Punkt würde ich noch gerne anmerken, obwohl ich den User im System gelöscht und danach wieder erstellt hab, steht unter "Logoff time" (pdbedit -Lv) das Datum vom letzten Erfolgreichen Login/Logout (01.12.2014) - wie kann das sein? Werden die Daten noch woanders gespeichert?

Zum erstellen des Users für samba hab ich sowohl pdbedit als auch smbpasswd probiert.

Anbei noch einige Infos:
Code:
> finger gadean
Login: gadean                           Name: gadean
Directory: /home/gadean                 Shell: /bin/sh
Last login Sat Jan 24 23:42 (CET) on pts/0
No Mail.
No Plan.

> pdbedit -Lv
---------------
Unix username:        gadean
NT username:
Account Flags:        [U          ]
User SID:             S-1-5-21-3974770851-1961507205-4259532255-1000
Primary Group SID:    S-1-5-21-3974770851-1961507205-4259532255-513
Full Name:            gadean
Home Directory:       \\samba.host.0x59.de\gadean
HomeDir Drive:
Logon Script:
Profile Path:         \\samba.host.0x59.de\gadean\profile
Domain:               SAMBA.HOST.0X59.DE
Account desc:
Workstations:
Munged dial:
Logon time:           0
Logoff time:          Sun, 04 Dec 219250468 16:30:07 CET
Kickoff time:         Sun, 04 Dec 219250468 16:30:07 CET
Password last set:    Sun, 01 Feb 2015 21:12:22 CET
Password can change:  Sun, 01 Feb 2015 21:12:22 CET
Password must change: never
Last bad password   : 0
Bad password count  : 0
Logon hours         : FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF

> cat smb4.conf.test
[GLOBAL]
server string = samba.host.0x59.de
netbios name = samba.host.0x59.de
bind interfaces only = true
interfaces = jail0 10.0.0.5
encrypt passwords = yes
map to guest = Bad User
guest account = nobody
workgroup = WORKGROUP
security = user
log level = 3
log file = /var/log/samba4/debug.log
;passdb backend = smbpasswd
;map untrusted to domain = Yes

[public]
comment = "Public"
path = /samba/public
writeable = no
browseable = yes
user = gadean
write list = gadean
locking = no
guest ok = yes
create mode = 0644
directory mode = 0777
public = yes

[private]
comment = "private"
path = /samba/private
valid users = gadean
writeable = no
browseable = no
create mode = 0600
directory mode = 0700
locking = no
guest ok = no
public = no

> testparm
Load smb config files from /usr/local/etc/smb4.conf
Processing section "[public]"
Processing section "[private]"
Loaded services file OK.
Server role: ROLE_STANDALONE
Press enter to see a dump of your service definitions

[global]
        netbios name = SAMBA.HOST.0X59.DE
        server string = samba.host.0x59.de
        interfaces = jail0, 10.0.0.5
        bind interfaces only = Yes
        map to guest = Bad User
        log file = /var/log/samba4/debug.log
        idmap config * : backend = tdb

[public]
        comment = "Public"
        path = /samba/public
        username = gadean
        write list = gadean
        read only = No
        create mask = 0644
        directory mask = 0777
        guest ok = Yes
        locking = No

[private]
        comment = "private"
        path = /samba/private
        valid users = gadean
        create mask = 0600
        directory mask = 0700
        browseable = No
        locking = No

Code:
> smbclient //localhost/private -U gadean
Enter gadean's password:
Domain=[WORKGROUP] OS=[Unix] Server=[Samba 4.1.16]
tree connect failed: NT_STATUS_ACCESS_DENIED
 
Sollte NT Username nicht irgend einen Wert haben oder defaultet das auf den UNIX Username??
 
Darüber war ich auch erst verwundert, gerade weil auf samba.org, in den Beispielen zum erstellen des Users, der Wert gesetzt war und bei mir nicht (obwohl ich die gleichen Parameter nutzte). Jedoch soll das wohl bei einigen so sein und das Feld soll fürs mapping von Benutzernamen gut sein, als Beispiel der NT-User "Administrator" auf den Unix-User "root".
 
Für euch erfahrene Menschen ist das kein Tip, aber ich selbst fand für samba immer wieder die Konfiguration mittels swat als extrem hilfreich.
Die zugehörigen Seiten sind ziemlich klar und übersichtlich aufgebaut und enthalten auch bislang ungesetzte Optionen/Konfigurationen. Mir sind dann schon einige Male Dinge aufgefallen, die mir beim Lesen der Dateien auf Konsole entgangen waren.
 
@pit234a Ich mag diese GUIs nicht sonderlich, zumindest auf dem Server sollte man schon selbst Hand anlegen und sein wir mal ehrlich:
Wie oft ändert man die Konfiguration im laufenden Betrieb?
Nebenbei angemerkt: SWAT soll m.W.n. doch eingestellt werden?

B2T: Entferne ich den "netbios name" Eintrag aus der Konfig und nutze den Default, funktioniert die Authentifizierung.
 
Hi,

im netbios name sollte nur der Host Teil des Servernamens stehen, nicht der komplette FQDN. In deinem Beispiel also nur samba.
Ausserdem ist die Länge von Netbios Namen auf 15 beschränkt. Steht auch in der smb.conf (5), komischerweise bei "dns proxy" und nicht beim Netbios name.
Blöd, das nichtmal testparm da meckert....

Mich interessiert, ob die Authentifizierung mit "netbios name = SAMBA" bei dir klappt?
 
Ja das klappt, hatte mir den Default angeschaut und hatte ihn dann in der conf eingetragen -> funktioniert (alles andere wäre sehr strange)
Merkwürdig ist nur, das es zuvor ohne Probleme funktionierte und wie du schon sagtest, das testparm da nicht meckert
 
Zurück
Oben