Servercommunity Foren-Übersicht Servercommunity
Das informative Forum für Fragen rund um Server
 
 FAQFAQ   SuchenSuchen   MitgliederlisteMitgliederliste   BenutzergruppenBenutzergruppen   RegistrierenRegistrieren 
 ProfilProfil   Einloggen, um private Nachrichten zu lesenEinloggen, um private Nachrichten zu lesen   LoginLogin 

Diskussion: HowTo Samba 3 und ADS
Gehe zu Seite 1, 2, 3  Weiter
 
Neues Thema eröffnen   Neue Antwort erstellen    Servercommunity Foren-Übersicht -> Alles andere
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
SkyHigh



Anmeldedatum: 29.03.2005
Beiträge: 22
Wohnort: München

BeitragVerfasst am: Di März 29, 2005 12:51    Titel: Was brauch ich noch ? Antworten mit Zitat

Hi, bei mir funkt des leider net so wie´s soll. Sad

Ich bekomm beim anlegen des Computeraccounts (net ads join -U administrator) die folgende Fehlermeldung:

root@localhost init.d]# net ads join -U administrator
administrator's password:
[2005/03/29 13:16:30, 0] utils/net_ads.c:ads_startup(183)
ads_connect: Datei oder Verzeichnis nicht gefunden

----------------------------------------------------------------------------------------------------------

meine Dateien schauen so aus:

krb5.conf

Zitat:
logging]
default = SYSLOG:NOTICE:DEAMON
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = ISYS-GROUP.DE
dns_lookup_realm = false
dns_lookup_kdc = false
clockskew = 300

[realms]
ISYS-GROUP.DE = {
kdc = dcserver.isys-software.de:88
admin_server = dcserver.isys-software.de:749
default_domain = ISYS-GROUP.DE
}

[domain_realm]
.isys-group.de = ISYS-GROUP.DE

[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf

[appdefaults]
pam = {
debug = false
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
krb4_convert = false
}



smb.conf

Zitat:
[global]
workgroup = isys-group
server string = dcserver
wins server = dcserver.isys-software.de
log file = /var/log/samba/log.%m
max log size = 1000
syslog = 0
security = ads
encrypt passwords = true
obey pam restrictions = yes
invalid users = root
socket options = TCP_NODELAY
domain master = no
idmap uid = 10000-40000
idmap gid = 10000-30000
template shell = /bin/bash
dos charset = 850
unix charset = ISO-8859-15
display charset = ISO-8859-15
realm = ISYS-GROUP.DE
password server = dcserver.isys-software.de
update encrypted = yes
map to guest = Bad User
local master = no
winbind separator = #
winbind cache time = 10
winbind use default domain = Yes
netbios name = dcserver.isys-software.de
winbind enum users = yes
winbind enum groups = yes
admin users = ISYS-GROUP#DomainAdmins


pam.d/samba

Zitat:
#%PAM-1.0
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_nologin.so
auth sufficient /lib/security/pam_winbind.so
account required /lib/security/pam_winbind.so
session required /lib/security/pam_unix.so
password required /lib/security/pam_unix.so


nsswitch

Zitat:
passwd: files winbind
shadow: files
group: files winbind

#hosts: db files nisplus nis dns
hosts: files dns

# Example - obey only what nisplus tells us...
#services: nisplus [NOTFOUND=return] files
#networks: nisplus [NOTFOUND=return] files
#protocols: nisplus [NOTFOUND=return] files
#rpc: nisplus [NOTFOUND=return] files
#ethers: nisplus [NOTFOUND=return] files
#netmasks: nisplus [NOTFOUND=return] files

bootparams: nisplus [NOTFOUND=return] files

ethers: files
netmasks: files
networks: files
protocols: files
rpc: files
services: files

netgroup: files

publickey: nisplus

automount: files
aliases: files nisplus


Wenn ich "net ads lookup" ausführ gibt er mir die Meldung : Didn't find the cldap server!

Naja könnt ihr mir helfen ?

mfg Sky
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Dennis
Junior-Chef


Anmeldedatum: 21.06.2003
Beiträge: 2344
Wohnort: Schömberg (zw. Stuttgart u . Karlsruhe)

BeitragVerfasst am: Di März 29, 2005 13:41    Titel: Antworten mit Zitat

Was für eine Distri ? Was für eine Samba Version ? Alle Pakete sind drauf ? Hast du das Samba selbst gebaut ?

Die Fehlermeldung sieht strange aus.

PS: Ich hab den Thread mal geteilt, HowTo soll ja Diskussionsfrei bleiben
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
SkyHigh



Anmeldedatum: 29.03.2005
Beiträge: 22
Wohnort: München

BeitragVerfasst am: Di März 29, 2005 13:51    Titel: Antworten mit Zitat

fett das du so schnell antwortest Smile

Des ganze is mein Abschlussprojekt als Fachinformatiker und ich komm mir irgendwie beschissen vor weil ich von dem zeugs net so viel peil hab.
Was is des heimdal und wie kann ichs fehlerfrei instllieren ? ^^

Distri: Fedora Core 1 (Redhat)

Samba: Version 3.0.7-2.FC1

Packete: Naja hab so meine probleme mit heimdal. Ich weiß net wirklich ob des richtig gebaut is.

Samba hab ich über apt installiert.

PS: sry habs übersehn, dass das Forum Diskussionsfrei sein soll Smile
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Dennis
Junior-Chef


Anmeldedatum: 21.06.2003
Beiträge: 2344
Wohnort: Schömberg (zw. Stuttgart u . Karlsruhe)

BeitragVerfasst am: Di März 29, 2005 15:15    Titel: Antworten mit Zitat

SkyHigh das selbe ist auch mein Abschlussprojekt als FiSi, da gibts im internen schon ganz heiße Diskussionen Wink Gehts in deinem Projekt nur um Samba ?

1. Warum FC1 ?
2. Warum selbstgebautes heimdal ?
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
SkyHigh



Anmeldedatum: 29.03.2005
Beiträge: 22
Wohnort: München

BeitragVerfasst am: Di März 29, 2005 15:32    Titel: Antworten mit Zitat

Mein Projekt ist, die vorhanden Linux und Solaris Kisten in unsere bestehende Domäne einzubinden. Naja auf den meisten Linux-Kisten bei uns is FC 1 drauf, ein paar sind noch FC 2 und FC 3 und 1 oder 2 laufen mit Suse, deshalb FC 1

Naja ich werd nun mal nach nem heimdal binarie suchen ^^

Besteht ne Möglichkeit das ich auch ins interne komm ?
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Dennis
Junior-Chef


Anmeldedatum: 21.06.2003
Beiträge: 2344
Wohnort: Schömberg (zw. Stuttgart u . Karlsruhe)

BeitragVerfasst am: Di März 29, 2005 15:42    Titel: Antworten mit Zitat

Also mein Projekt sieht dann doch ein wenig anders aus: Linux als Bindeglied zwischen Mac OS und Windows. Da gehts um Fileserver für beide OS'e, das ganze mit Netatalk und Samba realisiert und per Kerberos/heimdal eben gegen die Windows Domäne authentifiziert.

Ins interne siehts schlecht aus Confused

Kuck ma bei rpmseek o.Ä. nach ner RPM für heimdal. Kerberos etc. ist ja alles drauf ?

Ich mach mal Feierabend, schau von daheim nochmal kurz rein.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
SkyHigh



Anmeldedatum: 29.03.2005
Beiträge: 22
Wohnort: München

BeitragVerfasst am: Do März 31, 2005 10:35    Titel: Antworten mit Zitat

Also hab Samba 3, kerberos 5, pam_krb5 drauf.

Und heimdal hab ich nu ein 6.0er gefunden das sich kompilieren lies. Ich find nu keine heimdal_lib für redhat. Ausserdem is des so lästig mit den Abhängigkeiten und apt und yum ham keine heimdal packete Sad

weist du auf was der fehler deutet ?

root@localhost init.d]# net ads join -U administrator
administrator's password:
[2005/03/29 13:16:30, 0] utils/net_ads.c:ads_startup(183)
ads_connect: Datei oder Verzeichnis nicht gefunden

Wie kommt man den ins interne ? Was muss man dafür tun ? ^^
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Dennis
Junior-Chef


Anmeldedatum: 21.06.2003
Beiträge: 2344
Wohnort: Schömberg (zw. Stuttgart u . Karlsruhe)

BeitragVerfasst am: Do März 31, 2005 10:44    Titel: Antworten mit Zitat

LOL darüber steht garantiert auch nix im internen...ich nehm mir gleich ma ne Stunde und kuck nach dem Fehler.

Zitat:
he way to read this is
from source file utils/net_ads.c
inside function ads_startup, line (183)
the error message returned by the call to the ads_connect function is
"No such file or directory"

Can't say I've seen this error at this place.
Without digging deeper, it's either looking for one of the krb5
configuration files or one of the samba parameters for ldap is pointing
to a non-existant file.

Couple things to check
Run testparm and look for errors in samba config.
Follow the writeup in the The Official Samba-3 HOWTO and Reference Guide
Samba ADS Domain Membership

Earlier versions of MIT kerberos prior to 3 something, [libdefaults] at
a minimum should look like this
[libdefaults]
default_realm = YOUR.KERBEROS.REALM
default_tgs_enctypes = des-cbc-crc des-cbc-md5
default_tkt_enctypes = des-cbc-crc des-cbc-md5
permitted_enctypes = des-cbc-crc des-cbc-md5

If you get a more current kerberos, add rc4-hmac as the first enctype


Das hab ich mal auf die schnelle gefunden...
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
Dennis
Junior-Chef


Anmeldedatum: 21.06.2003
Beiträge: 2344
Wohnort: Schömberg (zw. Stuttgart u . Karlsruhe)

BeitragVerfasst am: Do März 31, 2005 11:04    Titel: Antworten mit Zitat

Oder das:

Zitat:
Problem solved. The "password server" in smb.conf was wrong.
Too many typos this morning -- need to check the coffee strength.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
Dennis
Junior-Chef


Anmeldedatum: 21.06.2003
Beiträge: 2344
Wohnort: Schömberg (zw. Stuttgart u . Karlsruhe)

BeitragVerfasst am: Do März 31, 2005 11:13    Titel: Antworten mit Zitat

BTW passt der DNS ? kannst du den dcserver.isys-software.de vom Linux Rechner auflösen ? Firewall ist keine dazwischen ?

Edit und OT: geil, ne 3fache Ingrid, das muß mir erstmal einer nachmachen Smile
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
SkyHigh



Anmeldedatum: 29.03.2005
Beiträge: 22
Wohnort: München

BeitragVerfasst am: Do März 31, 2005 13:36    Titel: Antworten mit Zitat

Jup, DNS passt, kann ihn auch auflösen und firewall is auch keine dazwischen.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
SkyHigh



Anmeldedatum: 29.03.2005
Beiträge: 22
Wohnort: München

BeitragVerfasst am: Do März 31, 2005 13:45    Titel: Antworten mit Zitat

ah ok, es gab ein kleines Problem beim auflösen, irgendein rechner hat wahrscheinlich über dhcp ne subdomäne eingerichtet isys-software.de.isys-software.de, da stand der dcserver drin ^^

jetzt hab ich aber nen neuen fehler beim ads connect^^ :

[root@localhost samba]# net ads join -U administrator
administrator's password:
[2005/03/31 14:44:31, 0] libads/kerberos.c:ads_kinit_password(136)
kerberos_kinit_password administrator@ISYS-SOFTWARE.DE failed: Cannot find KDC for requested realm
[2005/03/31 14:44:31, 0] utils/net_ads.c:ads_startup(183)
ads_connect: Cannot find KDC for requested realm

Wie schauts eigentlich auf dem DC aus, muss da nix konfiguert werden (kerberos) ?
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Dennis
Junior-Chef


Anmeldedatum: 21.06.2003
Beiträge: 2344
Wohnort: Schömberg (zw. Stuttgart u . Karlsruhe)

BeitragVerfasst am: Do März 31, 2005 14:26    Titel: Antworten mit Zitat

Nein!

du kannst mal

kinit Administrator

versuchen und prüfen ob du ein Ticket bekommst.

Wobei das:

Zitat:
Cannot find KDC for requested realm


eher danach aussieht als würde er den DomainController nicht finden bzw. dass er in der krb5.conf falsch angegeben wurde...

Edit: Dein User benötigt DomainAdmin Rechte, aber da du es mit dem Admin versuchst gehe ich davon aus du hast die... Wink

Edit2: Mit klist gibts übrigens auch die Möglichkeit offene Tickets vom PDC anzusehen

Edit3: Um Ingrids zu vermeiden, hier noch was ich im Netz dazu gefunden hab:

Zitat:
> You must authenticate using kinit first, and then net ads join with no
> arguments.
> then start winbindd and smb.

The issue is exactly as jerry points out - the kerberos libs can't find the
KDC,
and without that, we can go nowhere.

> I've posted extensively about this - search the archives.
>
>
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Jonathan Villa wrote:
>
> > [global]
> > workgroup = OURDOMAIN
> > security = ADS
> > realm = OURDOMAIN.com
> > password server = OURSERVER
> ....
> >
> > When I try to join the domain I do the following:
> >
> > ./net ads join -w OURDOMAIN -U administrator
> >
> > and the response is this
> >
> > kerberos_kinit_password administrator at EKI-CONSULTING.COM failed: Cannot
> > find KDC for requested realm
>
> This is a krb5 lib thing. Either hardcode the KDCs in /etc/krb5.conf
> or enable DNS SRV lookups in the krb5 libs. Hope this helps.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
SkyHigh



Anmeldedatum: 29.03.2005
Beiträge: 22
Wohnort: München

BeitragVerfasst am: Do März 31, 2005 15:46    Titel: Antworten mit Zitat

ok, also momentan schauts so aus:

kinit Administrator:

[root@Jupo etc]# kinit Administrator
kinit(v5): KRB5 error code 68 while getting initial credentials


net ads join -U Administrator:

[2005/03/31 16:25:19, 0] utils/net_ads.c:ads_startup(183)
ads_connect: Der Socket ist nicht verbunden

Zu den Fehlermeldungen hab ich schon ein wenig gesucht aber nichts hilfreiches bis jetzt entdeckt.

Die config-Dateien sollten alle stimmen, hab sie nun merhmals überprüft.

Wie schaut des ganze eigentlich mit ldap und samba aus, kann sich da irgendwas beißen ?
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Dennis
Junior-Chef


Anmeldedatum: 21.06.2003
Beiträge: 2344
Wohnort: Schömberg (zw. Stuttgart u . Karlsruhe)

BeitragVerfasst am: Do März 31, 2005 16:53    Titel: Antworten mit Zitat

Warum was hast mit LDAP am schaffen ? Für mich siehts immer noch nach Configfehler aus, kann grad leider nicht weiter darauf eingehen weil ich kaum Zeit hab. Übersetz die Fehlermeldung mal in Englisch da wirste garantiert mehr finden....
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen    Servercommunity Foren-Übersicht -> Alles andere Alle Zeiten sind GMT + 1 Stunde
Gehe zu Seite 1, 2, 3  Weiter
Seite 1 von 3

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.



Powered by phpBB © 2001, 2005 phpBB Group
Deutsche Übersetzung von phpBB.de