samba pdc Domänenbeitritt

[Harmless]

Nachdem der Samba nun läuft http://www.linux-club.de/viewtopic.php?f=6&t=108547#p673304 gelingt es mir nicht einen W2K Rechner der Domäne beitreten zu lassen.
Der Rechner erkennt den PDC, net view (Rechnername) zeigt die Domäne an.
Das log der WS sagt:

2010/03/19 16:05:13,  0] passdb/pdb_interface.c:pdb_default_create_user(336)
  _samr_create_user: Running the command `/usr/sbin/smbldap-useradd -w 'work-2$'' gave 9

Nicht weiter ungewöhnlich, er wurde ja schon per smbldap-useradd -w hinzugefügt.
Allerdings meckert winbindd-idmap

2010/03/19 16:05:11,  0] lib/smbldap.c:smb_ldap_setup_conn(622)
  ldap_initialize: Bad parameter to an ldap routine
[2010/03/19 16:05:11,  0] winbindd/idmap.c:idmap_alloc_init(823)
  ERROR: Initialization failed for alloc backend, deferred!

Ich komme nicht dahinter wo ich da schrauben muss.
wbinfo -t schreibt:

checking the trust secret via RPC calls failed
error code was NT_STATUS_CANT_ACCESS_DOMAIN_INFO (0xc00000da)
Could not check secret

getent passwd zeigt die shadow Einträge
getent group zeigt die Gruppen
net ads info zeigt

ads_connect: No logon server

ldapsearch -x zeigt die bestehenden Accounts
smbclient -L localhost -N zeigt

Anonymous login successful

	Sharename       Type      Comment
	---------       ----      -------
	tmp             Disk      temporary file
	homes           Disk      Home Directories
	sysvol          Disk      
	netlogon        Disk      Netzwerk Logon
	print$          Disk      Printer Drivers
	IPC$            IPC       IPC Service (Samba 3.2.7-11.4.1-2210-SUSE-CODE11)
Anonymous login successful

	Server               Comment
	---------            -------
	PDC                  Samba 3.2.7-11.4.1-2210-SUSE-CODE11

	Workgroup            Master
	---------            -------
	ITEGA                PDC
	TEST                 WORK-2

Zum einen wundert mich, warum er die lokale workgroup test aus dem client ausgelesen hat und warum da nicht wie im SuSe Beispiel ein Account mit Namen
ADMIN$ IPC IPC Service (Samba 3.xxxxx SUSE)
auftaucht. Wo soll der herkommen, das habe ich im Tutorial auch nicht gefunden.
Any Ideas?

 

[stka]

1. http://www.linux-club.de/viewtopic.php?f=6&t=105877
2. Wenn du einen PDC mit Samba aufgebaut hast, benötigst du keinen winbind.
3. Was du machen musst, ist das Vergeben von Privilegien für einen Admin. Dazu ist das hier die beste Dokumentation http://gertranssmb3.berlios.de/

 

[Harmless]

Ich habe eine Domänen Administrator angelegt:

dn: uid=Administrator,ou=People,ou=Users,dc=itega,dc=lan
cn: Administrator
sn: Administrator
objectClass: top,person,organizationalPerson,inetOrgPerson,sambaSamAccount,posixAccount,shadowAccount
gidNumber: 512
uid: Administrator
uidNumber: 0
homeDirectory: /home/Administrator
sambaLogonTime: 0
sambaLogoffTime: 2147483647
sambaKickoffTime: 2147483647
sambaPwdCanChange: 0
sambaPwdMustChange: 2147483647
sambaHomePath: \\PDC\Administrator
sambaHomeDrive: H:
sambaProfilePath: \\PDC\profiles\Administrator
sambaPrimaryGroupSID: S-1-5-21-2259100462-1842193361-3445892149-512
sambaAcctFlags: [U          ]
sambaSID: S-1-5-21-2259100462-1842193361-3445892149-500
loginShell: /bin/false
gecos: Netbios Domain Administrator
sambaLMPassword: D3B96812D7019C2EE72C57EF50F76A05
sambaNTPassword: 1D8FEFAA38B0EB766347EA3BEF9B060D
sambaPwdLastSet: 1268983299
userPassword: {MD5}XQ+cOxgcoNDLg+YuCX7tVw==
shadowLastChange: 14687

Der ist in der Gruppe Domain Admin (512) und hat die user id 0.

 

[Harmless]

Nachtrag:
Die smb.conf habe ich bereits in dem verlinkten Posting http://www.linux-club.de/viewtopic.php?f=6&t=108547#p673304 aufgeführt. Wenn das mehrfach gebraucht wird, kein Problem. ;-)

[global]
unix charset = LOCALE
workgroup = ITEGA
netbios name = pdc
passdb backend = ldapsam:"ldap://pdc.itega.lan"
username map = /etc/samba/smbusers
log level = 10
syslog = 0
log file = /var/log/samba/%m
MAX LOG SIZE = 0
name resolve order = wins bcast host
time server = Yes
printcap name = CUPS
add user script = /usr/sbin/smbldap-useradd -m '%u'
delete user script = /usr/sbin/smbldap-userdel '%u'
add group script = /usr/sbin/smbldap-groupadd -p '%g
delete group script = /usr/sbin/smbldap-groupdel '%g'
add user to group script = /usr/sbin/smbldap-groupmod -m '%u' '%g'
delete user from group script = /usr/sbin/smbldap-groupmod -x '%u' '%g'
set primary group script = /usr/sbin/smbldap-usermod -g '%g' '%u'
add machine script = /usr/sbin/smbldap-useradd -w '%u'
logon script = logon.cmd
logon path = \\pdc\profiles\%u
logon drive = H:
domain logons = Yes
domain master = Yes
wins support = Yes
ldapsam:trusted = Yes
ldap suffix = dc=itega,dc=lan
ldap machine suffix = ou=Computers,ou=Users
ldap user suffix = ou=People,ou=Users
ldap group suffix = ou=Groups
ldap idmap suffix = ou Idmap
ldap admin dn = cn=sambaadmin,dc=itega,dc=lan
idmap backend = ldap://127.0.0.1
idmap uid = 10000-20000
idmap gid = 10000-20000
printing = cups
[tmp]
comment = temporary file
path = /tmp
read only = yes

[homes]
comment = Home Directories
valid users = %S
browseable = yes
writable = yes
create mask = 0600
directory mask = 0700

[sysvol]
path = /home/samba/sysvol
read only = no

[netlogon]
comment = Netzwerk Logon
path = /home/samba/sysvol/itega.lan/scripts
writable = yes
browseable = yes
read only = No

[profiles]
comment = Profile
path = /home/samba/profiles
writable = Yes
browseable = No
read only = No
create mode = 0777
directory mode = 0777

 

[stka]

Ich suche doch nicht, ob ein Mitglied irgendwo schon mal eine smb.conf gepostet hat und ob die noch aktuell ist ;-)

hast du folgendes gemacht:

samba-ldap:~ # su - administrator

administrator@samba-ldap:~> net rpc rights grant TUXDOM\\administrator SeMachineAccountPrivilege -S localhost
Enter administrator's password:
Successfully granted rights.

Wenn nicht, dann dem Administrator so das Recht geben Maschinen in die Domäne aufnehmen zu können. Wenn du das bereits gemacht hast und es gibt Fehlermeldungen, dann den Benutzer noch mal löschen und noch mal versuchen. Wenn das immer noch nicht klappt mal die Fehlermeldung posten. Nach eins, die UIDNumber der Administrators muss nicht 500 sein, die kannst du so lassen wie das System die vergiebt ;-)

 

[Harmless]

Mit winbind ging net rpc rights grant nicht, da gab es ein could not bind to localhost. Nach Abschalten von winbind hat er den Befehl kommentarlos ausgeführt, allerdings ohne nennenswerten Effekt. Ich hatte den Administrator dann auch mal gelöscht, neu hinzugefügt, in die Gruppe 512 gesteckt und das PW neu gesetzt. Ohne Resultat.

[2010/03/24 19:10:59,  0] lib/smbldap.c:smb_ldap_setup_conn(622)
  ldap_initialize: Bad parameter to an ldap routine
[2010/03/24 19:10:59,  0] winbindd/idmap.c:idmap_alloc_init(823)
  ERROR: Initialization failed for alloc backend, deferred!

irgendwie habe ich auch ein problem mit der Rechtevergabe:

Mar 24 19:10:59 pdc slapd[3566]: conn=35 op=1 UNBIND
Mar 24 19:10:59 pdc slapd[3566]: conn=35 fd=23 closed
Mar 24 19:10:59 pdc slapd[3566]: conn=36 fd=23 ACCEPT from IP=127.0.0.1:52757 (IP=0.0.0.0:389)
Mar 24 19:10:59 pdc slapd[3566]: conn=36 op=0 BIND dn="cn=Manager,dc=itega,dc=lan" method=128
Mar 24 19:10:59 pdc nss_wins[3632]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Invalid credentials
Mar 24 19:10:59 pdc slapd[3566]: conn=36 op=0 RESULT tag=97 err=49 text=
Mar 24 19:10:59 pdc slapd[3566]: conn=37 fd=24 ACCEPT from IP=127.0.0.1:52758 (IP=0.0.0.0:389)
Mar 24 19:10:59 pdc slapd[3566]: conn=36 op=1 UNBIND
Mar 24 19:10:59 pdc slapd[3566]: conn=37 op=0 BIND dn="cn=Manager,dc=itega,dc=lan" method=128
Mar 24 19:10:59 pdc slapd[3566]: conn=36 fd=23 closed
Mar 24 19:10:59 pdc slapd[3566]: conn=37 op=0 RESULT tag=97 err=49 text=
Mar 24 19:10:59 pdc nss_wins[3632]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Invalid credentials
Mar 24 19:10:59 pdc nss_wins[3632]: nss_ldap: could not search LDAP server - Server is unavailable
Mar 24 19:10:59 pdc slapd[3566]: conn=37 op=1 UNBIND
Mar 24 19:11:00 pdc slapd[3566]: conn=37 fd=24 closed
Mar 24 19:11:01 pdc slapd[3566]: conn=38 fd=23 ACCEPT from IP=127.0.0.1:52759 (IP=0.0.0.0:389)
Mar 24 19:11:01 pdc checkproc: checkproc: Can not read /proc/3632/exe: Permission denied
Mar 24 19:11:01 pdc slapd[3566]: conn=38 op=0 SRCH base="dc=itega,dc=lan" scope=2 deref=2 filter="(&(objectClass=posixAccount)(uid=work-2$))"
Mar 24 19:11:01 pdc slapd[3566]: conn=38 op=0 SEARCH RESULT tag=101 err=0 nentries=1 text=
Mar 24 19:11:01 pdc slapd[3566]: conn=38 fd=23 closed (connection lost)
Mar 24 19:11:01 pdc slapd[3566]: conn=32 fd=12 closed (connection lost)
Mar 24 19:11:07 pdc named[4176]: too many timeouts resolving '2.16.172.in-addr.arpa/SOA' (in '.'?): disabling EDNS

ich werde nochmal named.conf durchsehen.

 

[stka]

Also "net rpc rights grant" sollte auf jeden Fall eine Erfolgsmeldung ausgeben. Wenn nicht, dann stimmt was nicht. Das Privileg musst du vergeben sonst wird es nix mit der Domäne. Wenn du winbind nutzt, muss der nscd ausgeschaltet sein, die beiden vertragen sich nicht.

 

[Harmless]

So richtig komme ich nicht weiter. Ich habe nun bind laufen, nscd und winbind abgeschaltet. Wenn ich winbind ausschalte, geht natürlich wbinfo nicht mehr.
Eine Rückmeldung zu rpc rights grant bekomme ich nicht. Es hängt immer am

Mar 27 15:15:01 pdc slapd[3591]: conn=82 fd=21 ACCEPT from IP=127.0.0.1:42735 (IP=0.0.0.0:389)
Mar 27 15:15:01 pdc slapd[3591]: conn=82 op=0 BIND dn="cn=Manager,dc=itega,dc=lan" method=128
Mar 27 15:15:01 pdc slapd[3591]: conn=82 op=0 RESULT tag=97 err=49 text=
Mar 27 15:15:01 pdc cron[6673]: nss_ldap: failed to bind to LDAP server ldap://127.0.0.1: Invalid credentials
Mar 27 15:15:01 pdc slapd[3591]: conn=82 op=1 UNBIND
Mar 27 15:15:01 pdc cron[6673]: nss_ldap: could not search LDAP server - Server is unavailable
Mar 27 15:15:01 pdc slapd[3591]: conn=82 fd=21 closed

Wie kann ich feststellen, ob rpc right grants funktioniert hat?
Wie kann ich feststellen warum nss_ldap failed to bind ausgibt?