Zuordnungen von Kontennamen und Sicherheitskennungen wurden nicht durchgeführt.
Das ist die Fehlermeldung, die ich bekomme, wenn ich versuche mich mit meinem XP-SP1-Rechner am neu aufgesetzten Samba-Server anzumelden.
Es handelt sich um Suse-Eval 10.0, absolut up to date mit Samba 3.020-4
Was geht bis jetzt?
- DNS
- LDAP (verschlüsselt)
- phpldapadmin (über apache2 verschlüsselt =https)
- swat (über stunnel verschlüsselt)
- samba (immerhin: man sieht schon die Domäne im Netzwerk... ;-) ...)
- samba-Domäne in LDAP eingetragen
- smbldap-tools mit configure.pl installiert
- mit smbldap-populate alle Objekte ohne Fehler angelegt
Das heißt, man kann von jedem remote-Browser aus Linux-Benutzer im LDAP anlegen und sich dann auch als solche am System anmelden. Auch die remote-Verwaltung von Samba über swat läuft. Das Home-Verzeichnis der User wird beim Anlegen automatisch angelegt. Die ganze Kommunikation läuft ausschließlich verschlüsselt über das Netz.
Soweit so gut.
ABER: Ich bekomme um's Verrecken meine XP-SP1-Kiste nicht in die Samba-Domäne. Fehlermeldung siehe oben.
Was offensichtlich während des Anmeldeversuchs funktioniert, das ist die Überprüfung des Admin-Passworts, das während der Anmeldeprozedur abgefragt wird, wie auch die Abfrage des Maschinenkontos. Denn fehlt das Maschinenkonto oder gebe ich mutwillig ein falsches Passwort und/oder einen falschen User ein, dann kommt auch eine dementsprechende Fehlermeldung. Nur wenn ich das Maschinenkonto vorher im LDAP angelegt habe und der User/das Passwort stimmt, dann kommt auch die obige Fehlermeldung.
Habe natürlich schon wieder etliches gegoogelt. Aber zu dieser Fehlermeldung kommt leider nicht viel nahrhaftes rüber.
Ich würde ja vermuten, der Fehler liegt auf der Windoof-Seite. Nur befindet sich die Kiste tatsächlich in einer ASX-Domäne auf einer Unix-Kiste und macht da auch gar keine Probleme.
Hoffe, da hat wieder jemand eine gute Idee.
Wenn alles so tut, wie es soll, werde ich mich hier mit einem Mega-Howto (oh Gott, noch eins....) zum Aufsetzen eines PDC's unter Suse 10.0 für Amfenger (solche wie ich) revanchieren. Das hat schon 78 Seiten - und Samba läuft noch gar nicht....
=========================================
Update 1:
=========================================
Die smbldap-tools legen standardmäßig zwei Gruppen für Maschinen an.
- Domain Computers
- NT-Machines
Beim Anlegen des Maschinen-Accounts habe ich nicht bis zum Schluß der Gruppenliste geblättert und "Domain-Computers" gewählt. Diese Gruppe hat die GID 515.
Damit aber das Gruppen-Mapping zwischen Windoof und Samba funktioniert, muß zwingend eine Gruppe NT-Machines (Name ist eigentlich egal) mit der GID 553 (die ist gar nicht egal) genommen werden.
Diese Erkenntnis allein war's aber auch noch nicht!
Denn der mit smbldap-populate automatisch generierten Gruppe "NT-Machines" fehlte das Attribut "SambaGroupMapping". Ohne diesem geht aber nichts mit der Windoof-Welt. Daher wird sie bei einem
net groupmap list
übrigens auch nicht angezeigt. Und folglich beim Versuch mit einer Windoof-Kiste zu joinen auch nicht gefunden.
Ich benutze phpldapdamin. Das macht die Änderei erträglich.
Habe damit das Attribut "SambaGroupMapping" der Gruppe "NT-Machines" manuell hinzugefügt, den Wert "SambaGroupType" auf 2 gesetzt und die Samba-SID plus "-553" eingetragen.
WICHTIG! Ein automatischer Eintrag des Maschinenkontos bei der ersten Anmeldung erfolgt leider auch nicht. D.h. die Maschine muß erst von Hand angelegt werden UND es muß die vorgegebene SID mit der Gruppennummer (553) ergänzt werden.
Erst dann gilt : Und es joint doch!
Diese Probleme müßte doch eigentlich jeder haben, der die smbldap-tools verwendet!?
Das ist die Fehlermeldung, die ich bekomme, wenn ich versuche mich mit meinem XP-SP1-Rechner am neu aufgesetzten Samba-Server anzumelden.
Es handelt sich um Suse-Eval 10.0, absolut up to date mit Samba 3.020-4
Was geht bis jetzt?
- DNS
- LDAP (verschlüsselt)
- phpldapadmin (über apache2 verschlüsselt =https)
- swat (über stunnel verschlüsselt)
- samba (immerhin: man sieht schon die Domäne im Netzwerk... ;-) ...)
- samba-Domäne in LDAP eingetragen
- smbldap-tools mit configure.pl installiert
- mit smbldap-populate alle Objekte ohne Fehler angelegt
Das heißt, man kann von jedem remote-Browser aus Linux-Benutzer im LDAP anlegen und sich dann auch als solche am System anmelden. Auch die remote-Verwaltung von Samba über swat läuft. Das Home-Verzeichnis der User wird beim Anlegen automatisch angelegt. Die ganze Kommunikation läuft ausschließlich verschlüsselt über das Netz.
Soweit so gut.
ABER: Ich bekomme um's Verrecken meine XP-SP1-Kiste nicht in die Samba-Domäne. Fehlermeldung siehe oben.
Was offensichtlich während des Anmeldeversuchs funktioniert, das ist die Überprüfung des Admin-Passworts, das während der Anmeldeprozedur abgefragt wird, wie auch die Abfrage des Maschinenkontos. Denn fehlt das Maschinenkonto oder gebe ich mutwillig ein falsches Passwort und/oder einen falschen User ein, dann kommt auch eine dementsprechende Fehlermeldung. Nur wenn ich das Maschinenkonto vorher im LDAP angelegt habe und der User/das Passwort stimmt, dann kommt auch die obige Fehlermeldung.
Habe natürlich schon wieder etliches gegoogelt. Aber zu dieser Fehlermeldung kommt leider nicht viel nahrhaftes rüber.
Ich würde ja vermuten, der Fehler liegt auf der Windoof-Seite. Nur befindet sich die Kiste tatsächlich in einer ASX-Domäne auf einer Unix-Kiste und macht da auch gar keine Probleme.
Hoffe, da hat wieder jemand eine gute Idee.
Wenn alles so tut, wie es soll, werde ich mich hier mit einem Mega-Howto (oh Gott, noch eins....) zum Aufsetzen eines PDC's unter Suse 10.0 für Amfenger (solche wie ich) revanchieren. Das hat schon 78 Seiten - und Samba läuft noch gar nicht....
=========================================
Update 1:
=========================================
Die smbldap-tools legen standardmäßig zwei Gruppen für Maschinen an.
- Domain Computers
- NT-Machines
Beim Anlegen des Maschinen-Accounts habe ich nicht bis zum Schluß der Gruppenliste geblättert und "Domain-Computers" gewählt. Diese Gruppe hat die GID 515.
Damit aber das Gruppen-Mapping zwischen Windoof und Samba funktioniert, muß zwingend eine Gruppe NT-Machines (Name ist eigentlich egal) mit der GID 553 (die ist gar nicht egal) genommen werden.
Diese Erkenntnis allein war's aber auch noch nicht!
Denn der mit smbldap-populate automatisch generierten Gruppe "NT-Machines" fehlte das Attribut "SambaGroupMapping". Ohne diesem geht aber nichts mit der Windoof-Welt. Daher wird sie bei einem
net groupmap list
übrigens auch nicht angezeigt. Und folglich beim Versuch mit einer Windoof-Kiste zu joinen auch nicht gefunden.
Ich benutze phpldapdamin. Das macht die Änderei erträglich.
Habe damit das Attribut "SambaGroupMapping" der Gruppe "NT-Machines" manuell hinzugefügt, den Wert "SambaGroupType" auf 2 gesetzt und die Samba-SID plus "-553" eingetragen.
WICHTIG! Ein automatischer Eintrag des Maschinenkontos bei der ersten Anmeldung erfolgt leider auch nicht. D.h. die Maschine muß erst von Hand angelegt werden UND es muß die vorgegebene SID mit der Gruppennummer (553) ergänzt werden.
Erst dann gilt : Und es joint doch!
Diese Probleme müßte doch eigentlich jeder haben, der die smbldap-tools verwendet!?