Samba3 als PDC mit LDAP-User

[pixel]

Hi@all,

nachdem ich mit Euerer Hilfe es geschafft habe einen SuSE-9.1-Rechner so zu konfigurieren das ich die LDAP- Benutzer und Gruppen mit Yast anlegen und verwalten kann möchte ich nun den Samba-Server, ebenfalls mit Yast so einrichten das dieser die LDAP-Benutzer benutzt.

Die Samba-Server-Konfiguration mit Yast und Anbindung an den LDAP-Server klappt auch und die in diesem Dialog vorhanden Funktion zum testen der LDAP-Verbindung sagt auch 'ok'

Nun brauche ich beim Samba-PDC einen User welcher über das Recht verfügt andere Benutzer in die Domäne einzufügen.

Wie muß ich zum Anlegen dieses LDAP-Benutzer vorgehen?

Desweiteren scheint es bei der Komunikation zwischen Samba und LDAP noch ein paar Schwierigkeiten zu geben. Im Logfile finde ich folgende Fehlermeldungen:


slapd[2215]: conn=45 fd=13 ACCEPT from IP=127.0.0.1:32884 (IP=0.0.0.0:389)
slapd[2215]: conn=45 fd=13 closed
slapd[2215]: conn=46 fd=13 ACCEPT from IP=127.0.0.1:32885 (IP=0.0.0.0:389)
slapd[2215]: conn=46 fd=13 closed
smbd[3512]: [2004/05/17 10:22:07, 0] lib/smbldap.c:fetch_ldap_pw(259)
smbd[3512]: fetch_ldap_pw: neither ldap secret retrieved!
smbd[3512]: [2004/05/17 10:22:07, 0] lib/smbldap.c:smbldap_connect_system(759)
smbd[3512]: ldap_connect_system: Failed to retrieve password from secrets.tdb
smbd[3512]: [2004/05/17 10:22:07, 0] passdb/pdb_ldap.c:ldapsam_search_one_group(1786)
smbd[3512]: ldapsam_search_one_group: Problem during the LDAP search: LDAP error: (unknown) (Invalid credentials)
smbd[3512]: [2004/05/17 10:22:07, 0] lib/smbldap.c:fetch_ldap_pw(259)
smbd[3512]: fetch_ldap_pw: neither ldap secret retrieved!
smbd[3512]: [2004/05/17 10:22:07, 0] lib/smbldap.c:smbldap_connect_system(759)
smbd[3512]: ldap_connect_system: Failed to retrieve password from secrets.tdb
smbd[3512]: [2004/05/17 10:22:07, 0] passdb/pdb_ldap.c:ldapsam_search_one_group(1786)
smbd[3512]: ldapsam_search_one_group: Problem during the LDAP search: LDAP error:

Kann mir jemand sagen wo ich einen Fehler gemacht habe?

Gruß Pixel

 

[pixel]

Hi@all,

wenn ich den Testrechner starte finde ich im Logfile folgende EInträge:

slapd[2207]: conn=1 fd=10 ACCEPT from IP=127.0.0.1:32805 (IP=0.0.0.0:389) 
slapd[2207]: conn=1 fd=10 closed 
login[2778]: pam_ldap: ldap_starttls_s: Connect error
login[2778]: pam_ldap: ldap_result Can't contact LDAP server

Hoffentlich bringt das jemand auf eine Idee :roll:

Gruß Pixel

 

[pixel]

... das ich mit dem Windows-Client nicht in die Domäne komme. Ich habe nach der LDAP-Grundkonfiguration ja lediglich die beiden Objekte:

dn: dc=kundennetz
objectClass: top
objectClass: organization
objectClass: dcObject
dc: kundennetz
o: kundennetz

dn: cn=root,dc=kundennetz
objectClass: top
objectClass: organizationRole
cn: root

hinzugefügt. Ich denke mal dass das LDAP-Admin-Objekt, also in meinem Falle root nicht alle benötigten Eigenschaften besitzt um als Samba-Admin funktionieren zu können. Oder sehe ich das falsch?

Gruß Pixel

 

[Olaf64]

Hallo pixel,

sehe da zwei Möglichkeiten:

1. Das root-passwort fuer ldap ist noch nicht in
/etc/samba/secrets.tdb
eingetragen.
Dies erfolgt per:

smbpasswd -w password
This parameter is only available if Samba has been
configured to use the experimental --with-ldapsam
option. The -w switch is used to specify the pass
word to be used with the ldap admin dn. Note that
the password is stored in the secrets.tdb and is
keyed off of the admin's DN. This means that if the
value of ldap admin dn ever changes, the password
will need to be manually updated as well.


2. (und/oder) Du hast
ssl = start tls
in ldap.conf eingetragen und der
samba- und ldap-server verwenden nicht beide Zertifikate,
die mit einer gemeinsamen CA (certificate authority) signiert wurden.
Dies ist unbedingt erforderlich, sonst wird der ssl/tls Verbindungsaufbau
sofort abgebrochen.

Gruss
Olaf

 

[pixel]

Hi@all,

Das Passwort war gesetzt. Deine 2. Möglichkeit war die richtige. Ich habe im Samba-Buch nachgelesen das wenn ich SSL/TLS verwenden will zuerst die CA installiert werden muß und anschließend Zertifikate erzeugt werden müssen. Ich hoffe ich habe das so richtig interreteirt.

Ich habe mittels Yast einfach mal die Verschlüsselung deaktiviert und siehe da ich komme weiter.

Ich bekomme beim Versuch vom Windows-2000-Client aus der Domäne beizutreten folgende Fehlermeldung:

slapd[2214]: conn=2 fd=14 ACCEPT from IP=127.0.0.1:32806 (IP=0.0.0.0:389) 
slapd[2214]: conn=2 op=0 BIND dn="cn=root,dc=kundennetz" method=128 
slapd[2214]: conn=2 op=0 BIND dn="cn=root,dc=kundennetz" mech=SIMPLE ssf=0 
slapd[2214]: conn=2 op=0 RESULT tag=97 err=0 text= 
slapd[2214]: conn=2 op=1 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=sambaDomain)(sambaDomainName=kundenne  tz))" 
slapd[2214]: conn=2 op=1 SRCH attr=sambaDomainName sambaNextRid sambaNextUserRid sambaNextGroupRid sambaSID sambaAlgorithmicRidBase objectClass 
slapd[2214]: conn=2 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text= 
May 17 16:35:15 testserver slapd[2214]: conn=2 op=2 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(sambaSID=s-1-5-21-3006739380-2085081912-1024443319-501)(objectClass=sambaSamAccount))" 
slapd[2214]: conn=2 op=2 SRCH attr=uid uidNumber gidNumber
homeDirectory sambaPwdLastSet sambaPwdCanChange sambaPwdMustChange
sambaLogonTime sambaLogoffTime sambaKickoffTime cn displayName
sambaHomeDrive sambaHomePath sambaLogonScript sambaProfilePath
description sambaUserWorkstations sambaSID sambaPrimaryGroupSID
sambaLMPassword sambaNTPassword sambaDomainName objectClass
sambaAcctFlags sambaMungedDial sambaBadPasswordCount
sambaBadPasswordTime modifyTimestamp
slapd[2214]: conn=2 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2214]: conn=3 fd=17 ACCEPT from IP=127.0.0.1:32807 (IP=0.0.0.0:389) 
slapd[2214]: conn=3 op=0 BIND dn="" method=128 
slapd[2214]: conn=3 op=0 RESULT tag=97 err=0 text= 
slapd[2214]: conn=3 op=1 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=nobody))" 
slapd[2214]: conn=3 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass 
slapd[2214]: conn=3 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2214]: conn=3 op=2 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixGroup)(memberUid=nobody))" 
slapd[2214]: conn=3 op=2 SRCH attr=cn userPassword memberUid uniqueMember gidNumber 
slapd[2214]: <= bdb_equality_candidates: (memberUid) index_param failed (18) 
slapd[2214]: conn=3 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2214]: conn=2 op=3 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=sambaGroupMapping)(gidNumber=65533))" 
slapd[2214]: conn=2 op=3 SRCH attr=gidNumber sambaSID sambaGroupType description displayName cn objectClass 
slapd[2214]: conn=2 op=3 SEARCH RESULT tag=101 err=0 nentries=0 text=
slapd[2214]: conn=2 op=4 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=sambaGroupMapping)(gidNumber=65534))" 
slapd[2214]: conn=2 op=4 SRCH attr=gidNumber sambaSID sambaGroupType description displayName cn objectClass 
slapd[2214]: conn=2 op=4 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2214]: conn=2 op=5 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(uid=root)(objectClass=sambaSamAccount))" 
slapd[2214]: conn=2 op=5 SRCH attr=uid uidNumber gidNumber
homeDirectory sambaPwdLastSet sambaPwdCanChange sambaPwdMustChange
sambaLogonTime sambaLogoffTime sambaKickoffTime cn displayName
sambaHomeDrive sambaHomePath sambaLogonScript sambaProfilePath
description sambaUserWorkstations sambaSID sambaPrimaryGroupSID
sambaLMPassword sambaNTPassword sambaDomainName objectClass
sambaAcctFlags sambaMungedDial sambaBadPasswordCount
sambaBadPasswordTime modifyTimestamp
slapd[2214]: conn=2 op=5 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2214]: conn=2 op=6 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(sambaSID=s-1-5-21-3006739380-2085081912-1024443319-501)(objectClass=sambaSamAccount))" 
slapd[2214]: conn=2 op=6 SRCH attr=uid uidNumber gidNumber
homeDirectory sambaPwdLastSet sambaPwdCanChange sambaPwdMustChange
sambaLogonTime sambaLogoffTime sambaKickoffTime cn displayName
sambaHomeDrive sambaHomePath sambaLogonScript sambaProfilePath
description sambaUserWorkstations sambaSID sambaPrimaryGroupSID
sambaLMPassword sambaNTPassword sambaDomainName objectClass
sambaAcctFlags sambaMungedDial sambaBadPasswordCount
sambaBadPasswordTime modifyTimestamp
slapd[2214]: conn=2 op=6 SEARCH RESULT tag=101 err=0 nentries=0 text=
slapd[2214]: conn=3 op=3 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=nobody))" 
slapd[2214]: conn=3 op=3 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass 
slapd[2214]: conn=3 op=3 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2214]: conn=3 op=4 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixGroup)(memberUid=nobody))" 
slapd[2214]: conn=3 op=4 SRCH attr=cn userPassword memberUid uniqueMember gidNumber 
slapd[2214]: <= bdb_equality_candidates: (memberUid) index_param failed (18) 
slapd[2214]: conn=3 op=4 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2214]: conn=2 op=7 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(uid=root)(objectClass=sambaSamAccount))" 
slapd[2214]: conn=2 op=7 SRCH attr=uid uidNumber gidNumber
homeDirectory sambaPwdLastSet sambaPwdCanChange sambaPwdMustChange
sambaLogonTime sambaLogoffTime sambaKickoffTime cn displayName
sambaHomeDrive sambaHomePath sambaLogonScript sambaProfilePath
description sambaUserWorkstations sambaSID sambaPrimaryGroupSID
sambaLMPassword sambaNTPassword sambaDomainName objectClass
sambaAcctFlags sambaMungedDial sambaBadPasswordCount
sambaBadPasswordTime modifyTimestamp
slapd[2214]: conn=2 op=7 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2214]: conn=2 op=8 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(sambaSID=s-1-5-21-3006739380-2085081912-1024443319-501)(objectClass=sambaSamAccount))" 
slapd[2214]: conn=2 op=8 SRCH attr=uid uidNumber gidNumber
homeDirectory sambaPwdLastSet sambaPwdCanChange sambaPwdMustChange
sambaLogonTime sambaLogoffTime sambaKickoffTime cn displayName
sambaHomeDrive sambaHomePath sambaLogonScript sambaProfilePath
description sambaUserWorkstations sambaSID sambaPrimaryGroupSID
sambaLMPassword sambaNTPassword sambaDomainName objectClass
sambaAcctFlags sambaMungedDial sambaBadPasswordCount 
sambaBadPasswordTime modifyTimestamp
slapd[2214]: conn=2 op=8 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2214]: conn=3 op=5 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=nobody))" 
slapd[2214]: conn=3 op=5 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass 
slapd[2214]: conn=3 op=5 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2214]: conn=3 op=6 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixGroup)(memberUid=nobody))" 
slapd[2214]: conn=3 op=6 SRCH attr=cn userPassword memberUid uniqueMember gidNumber 
slapd[2214]: <= bdb_equality_candidates: (memberUid) index_param failed (18)
slapd[2214]: conn=3 op=6 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2214]: conn=2 fd=14 closed
slapd[2214]: conn=2 fd=17 closed

Ich denke mal das Problem liegt an meinem Objekt für den LDAP-Admin. Ich habe wie ja oben beschrieben nur zwei Objekte im Verzeichnis angelegt.

a) Das Haubtobjekt 'kundennetz'
b) Das Objekt für den Admin 'root'

Wie oben zu sehen ist verfügt das Objekt 'root' nur über die minimal notwendigen Attribute.
Nun lege ich mit Yast eine LDAP-Gruppe (kugrp) sowie einen LDAP-User (sven), welcher Mitglied dieser Gruppe ist an. Das klappt auch problemlos.

Im nächsten Schritt versuche ich vom Win2000-Client aus diesen User (sven) in die Domäne zu nehmen. Dazu werde ich von Windows nach einem User-Account gefragt welcher über das Recht verfügt Benutzer in die Domäne zu nehmen. Hier gebe ich meinen LDAP-Admin, also root mit dem entsprechenden Passwort an worauf ich am Windows-Client die Meldung bekomme das der Benutzername oder das Passwort nicht stimmt.

Ich denke mal das dass Object welches ich für root angelegt habe nicht die notwendigen Attribute besitzt um als Samba-root verwendet zu werden.

Oder habe ich jetzt einen Denkfehler?

Gruß Pixel
[/code]

 

[Bonsai]

Welche GID hat denn Dein Administrator? 512 sollte es sein.

Ist der LDAP suffix ok? Hast Du die LDAP indexe angelegt?

 

[pixel]

Hi@all,

Welche GID hat denn Dein Administrator? 512 sollte es sein.

Das ist Teil meiner Frage. Mein root (im LDAP) hat keine GID.

Gebe ich dem root Objekt:

dn: cn=root,dc=kundennetz 
objectClass: top 
objectClass: organizationRole 
cn: root

einfach noch eine GID? Wie würde der Eintrag dann aussehen? Brauche ich noch weitere Attribute?

Ist der LDAP suffix ok? Hast Du die LDAP indexe angelegt?

Bei den indexen habe ich auch noch ein Problem. Im Moment habe ich in der slapd.conf folgende Indexe gesetzt:

]index   uid,cn,sn,displayname   pres,eq,sub
index   sambaSID,sambaPrimaryGroupSID,sambaDomainNam  e eq
index   default sub

laut Samba-Buch soll ich jedoch noch:

index   rid,uidNumber
index   mail,surname,givenname  eq,subinitial

setzen nur wenn ich das tue erhalte ich beim Versuch den LDAP zu starten die Fehlermeldung:

Starting ldap-server/etc/openldap/slapd.conf: line 89: 
index attribute "rid" undefined ...

Kommentiere ich die erste Zeile aus erhalte ich die Fehlermeldung:

Starting ldap-server/etc/openldap/slapd.conf: line 90: 
duplicate index definition for attr "surname" (ignored)

Also habe ich beide Zeilen raus gelassen. Ein 'slapindex -f /etc/openldap/slapd.conf
hatte ich aber gemacht.

Der vollständigkeit halbe nochmal die gesamte slapd.conf:

include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/rfc2307bis.schema
include         /etc/openldap/schema/yast2userconfig.schema
include         /etc/openldap/schema/samba3.schema
include         /etc/openldap/schema/openldap.schema

pidfile         /var/run/slapd/run/slapd.pid
argsfile        /var/run/slapd/run/slapd.args

schemacheck     on

modulepath      /usr/lib/openldap/modules

access to dn.base="" by * read
access to dn.base="cn=Subschema" by * read
access to *
        by self write
        by users read
        by anonymous auth

database        bdb
checkpoint      1024    5
cachesize       10000
suffix          "dc=kundennetz"
rootdn          "cn=root,dc=kundennetz"

rootpw          {MD5}K2yw4b8r4T4Hsba9HbdhGw==

directory       /var/lib/ldap

index   objectClass     eq

lastmod on

Gruß Pixel

 

[Bonsai]

Ist der LDAP suffix ok? Hast Du die LDAP indexe angelegt?

Bei den indexen habe ich auch noch ein Problem. Im Moment habe ich in der slapd.conf folgende Indexe gesetzt:

]index   uid,cn,sn,displayname   pres,eq,sub
index   sambaSID,sambaPrimaryGroupSID,sambaDomainNam  e eq
index   default sub

laut Samba-Buch soll ich jedoch noch:

index   rid,uidNumber
index   mail,surname,givenname  eq,subinitial

setzen nur wenn ich das tue erhalte ich beim Versuch den LDAP zu starten die Fehlermeldung:

Starting ldap-server/etc/openldap/slapd.conf: line 89: 
index attribute "rid" undefined ...

hmmm rid fehlt? Hast Du die Scemen eingebunden die Samba3 mitbringt, oder sind das andere?

Kommentiere ich die erste Zeile aus erhalte ich die Fehlermeldung:

Starting ldap-server/etc/openldap/slapd.conf: line 90: 
duplicate index definition for attr "surname" (ignored)

taucht der Fehler auch dann auf, wenn Du die beiden Zeilen Kommentierst?

include         /etc/openldap/schema/rfc2307bis.schema
include         /etc/openldap/schema/yast2userconfig.schema

 

[pixel]

Hi@all,

Hast Du die Schemen eingebunden die Samba3 mitbringt, oder sind das andere?

Ich habe die Schemen genommen die SuSE mitbringt.

taucht der Fehler auch dann auf, wenn Du die beiden Zeilen Kommentierst?

Ich denke mal du meinst wenn ich beide 'einkommentiere' also aktiviere? Ja dann kommt der Fehler genauso wie ich unten geschrieben habe d.h. der erste Fehler kommt:

tarting ldap-server/etc/openldap/slapd.conf: line 89: 
index attribute "rid" undefined ...

ab da wird abgebrochen sodas die 2. Fehlermeldung gar nicht mehr kommt.

Gruß Pixel

 

[Bonsai]

in einem Ordner von Samba3 liegen die richtigen Schemen. 2.x inkompatibel.

Samba3 braucht Samba3 Schemen

 

[pixel]

Hi@all,

in einem Ordner von Samba3 liegen die richtigen Schemen. 2.x inkompatibel.
Samba3 braucht Samba3 Schemen

Ich benutze SuSE-9.1 welche Samba3 mitbringt. Das Schema unter:
/etc/openldap/schema
trägt den Namen samba3.schema
Warum soll dies nicht für Samba3 sein? bzw. welches soll ich nun nehmen?

Gruß Pixel

 

[pixel]

Hi@all,

ich denke ich weiß warum der Fehler kommt sobald ich die beiden Zeilen:

index   rid,uidNumber 
 index   mail,surname,givenname

in die slapd.conf aufnimmt. Wenn ich mir die Datei samba3.schema anschaue finde ich dort z.B. das Attribut 'rid' unter der Überschrift 'HISTORICAL' und auskommentiert ist es obendrein auch noch.

Das nächste, also uidNumber ist in nis.schema deklariert, mail im inetorgperson.schema, surname in core.schema und givenname ist ebenfalls im core.schema.

Damit habe ich zwar den Fehler lokalisiert jedoch wirklich schlauer bin ich dadurch nicht. Ich habe die Indezierung jetzt einfach mal so gelassen wie ich sie oben schon beschrieben habe.

Ebenfalls geklärt ist das Problem das ich mit dem User 'root' nicht der Domäne beitreten kann. Wie Eingangs beschrieben habe ich in meiner Grundstruktur lediglich den "Hauptcontainer" (dc=kundennetz) sowie den LDAP-Admin (root).

Dieser root kann jedoch nicht vom Samba für den Domänen-Beitritt benutzt werden, hierzu verfügt er über viel zu wenig Attribute.

Ich habe den User mit dem Befehl:

pdbedit -a -u root

angelegt. Hierdurch wurde im LDAP-Verzeichnis folgender Eintrag erzeugt:

# root, kundennetz
dn: uid=root,dc=kundennetz
uid: root
sambaSID: S-1-5-21-3006739380-2085081912-1024443319-1000
sambaPrimaryGroupSID: S-1-5-21-3006739380-2085081912-1024443319-1001
displayName: root
sambaPwdCanChange: 1084874609
sambaPwdMustChange: 2147483647
sambaLMPassword: F3C64209BC574A271D71060D896B7A46
sambaNTPassword: 5CFABF6A3ABB0DC0DC7BB3CB3E9C1D5E
sambaPwdLastSet: 1084874609
sambaAcctFlags: [U          ]
objectClass: sambaSamAccount
objectClass: account

Hierbei stellt sich für mich gleich die Frage wo das Template für dieses Objekt liegt ?

Nun habe ich folgendes probiert. Einen User in Yast anlegen, mit pdbedit -a -u eben diesen User ind LDAP/Samba eingefügt. Danach konnte ich mit dem User 'root' diesen neu angelegten Benutzer in die Domäne aufnehmen. Bei dieser Aktion wurde auch der Maschienenaccount für die benutzte Windows-Maschiene autom. im LDAP-Verzeichnis angelegt:

# sws-alice-nb$, kundennetz
dn: uid=sws-alice-nb$,dc=kundennetz
uid: sws-alice-nb$
sambaSID: S-1-5-21-3006739380-2085081912-1024443319-3000
sambaPrimaryGroupSID: S-1-5-21-3006739380-2085081912-1024443319-1201
objectClass: sambaSamAccount
objectClass: account
displayName: SWS-ALICE-NB$
sambaPwdCanChange: 1084874682
sambaPwdMustChange: 2147483647
sambaNTPassword: 6E02F2E3700B05091C327D79D74CC773
sambaPwdLastSet: 1084874682
sambaAcctFlags: [W          ]

Soweit ist das Ganze ja schonmal ein Teilerfolg. Was mich jetzt an der Sache noch stört ist die Tatsache das ich den User zunächst im Yast anlegen muß und den selben User später noch in den LDAP/Samba aufnehmen muß.

Ziel is es einen User für's gesamte Netzwerk nur einmal anlegen zu müssen und zwar im LDAP. Diese Benutzer sollen dann von allen geplanten Diensten:

- Linux/Unix - User
- ssh
- Samba
- Proxy
- Groupware
- Hylafax
- evtl. weiter

Wie muß ich hierzu weiter verfahren?

Nun habe ich einfach mal das Logfile (/var/log/messages) gelöscht und wieder leer angelegt. anschließend habe ich den Testrechner (LDAP-Server) neu gestartet und habe anschießend die Windows-Kiste hochgefahren un mich als User 'root' in der Domäne angemeldet.
Nachdem das alles vorbei war habe ich mir das Logfile angesehen. Das Logaufkommen von LDAP & Samba ist gigantisch. Ich habe lediglich die Auszüge herauskopiert die ich nicht verstehe bzw. auf einen Fehler hindeuten. Das gesamte Logfile befindet sich in der Anlage.

slapd[2223]: conn=2 fd=12 ACCEPT from IP=127.0.0.1:32775 (IP=0.0.0.0:389) 
slapd[2223]: conn=0 op=1 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=wwwrun))" 
slapd[2223]: conn=0 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass

Wieso uid=wwwrun ?

slapd[2223]: conn=1 op=2 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixGroup)(memberUid=wwwrun))" 
slapd[2223]: conn=1 op=2 SRCH attr=cn userPassword memberUid uniqueMember gidNumber 
slapd[2223]: <= bdb_equality_candidates: (memberUid) index_param failed (18)

Scheint noch ein Problem mit den Indexen zu sein aber was bedeutet der Fehler?

slapd[2223]: conn=9 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text= 
smbd[2861]: [2004/05/18 12:59:22, 0] lib/util_sock.c:get_peer_addr(975) 
smbd[2861]:   getpeername failed. Error was Transport endpoint is not connected 
smbd[2861]: [2004/05/18 12:59:22, 0] lib/util_sock.c:write_socket_data(411) 
smbd[2861]:   write_socket_data: write failure. Error = Connection reset by peer 
smbd[2861]: [2004/05/18 12:59:22, 0] lib/util_sock.c:write_socket(436) 
smbd[2861]:   write_socket: Error writing 4 bytes to socket 24: ERRNO = Connection reset by peer 
smbd[2861]: [2004/05/18 12:59:22, 0] lib/util_sock.c:send_smb(628) 
smbd[2861]:   Error writing 4 bytes to client. -1. (Connection reset by peer)

Hier scheint es noch einige Probleme mit dem Samba zu geben.

smbd[2862]:   sws-alice-nb (192.168.1.200) couldn't find service netlogon

Der Fehler ist eigentlich klar. Ich habe noch keinen Logon-Pfad definiert. Das ignoriere ich erst mal.

smbd[2862]: [2004/05/18 13:01:50, 0] rpc_server/srv_util.c:get_domain_user_groups(372) 
smbd[2862]:   get_domain_user_groups: primary gid of user [root] is not a Domain group ! 
smbd[2862]:   get_domain_user_groups: You should fix it, NT doesn't like that

Problem mit den Domain-Gruppen?

Ich hoffe jemand von euch kann mir weiter helfen.

Gruß Pixel


Da ich nix gefunden habe eine Datei als Anhang hochzuladen habe ich es einfach hier unten eingefügt. Man möge mir für die Länge des Beitrages vergeben

slapd[2223]: conn=0 fd=10 ACCEPT from IP=127.0.0.1:32773 (IP=0.0.0.0:389) 
slapd[2223]: conn=1 fd=11 ACCEPT from IP=127.0.0.1:32774 (IP=0.0.0.0:389) 
slapd[2223]: conn=0 op=0 BIND dn="" method=128 
slapd[2223]: conn=0 op=0 RESULT tag=97 err=0 text= 
slapd[2223]: conn=2 fd=12 ACCEPT from IP=127.0.0.1:32775 (IP=0.0.0.0:389) 
slapd[2223]: conn=0 op=1 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=wwwrun))" 
slapd[2223]: conn=0 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass 
slapd[2223]: conn=3 fd=14 ACCEPT from IP=127.0.0.1:32776 (IP=0.0.0.0:389) 
slapd[2223]: conn=1 op=0 BIND dn="" method=128 
slapd[2223]: conn=1 op=0 RESULT tag=97 err=0 text= 
slapd[2223]: conn=4 fd=15 ACCEPT from IP=127.0.0.1:32777 (IP=0.0.0.0:389) 
slapd[2223]: conn=2 op=0 BIND dn="" method=128 
slapd[2223]: conn=2 op=0 RESULT tag=97 err=0 text= 
slapd[2223]: conn=1 op=1 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=wwwrun))" 
slapd[2223]: conn=1 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass 
slapd[2223]: conn=1 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2223]: conn=0 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2223]: conn=3 op=0 BIND dn="" method=128 
slapd[2223]: conn=3 op=0 RESULT tag=97 err=0 text= 
slapd[2223]: conn=2 op=1 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=wwwrun))"
slapd[2223]: conn=2 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass 
slapd[2223]: conn=2 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2223]: conn=4 op=0 BIND dn="" method=128 
slapd[2223]: conn=4 op=0 RESULT tag=97 err=0 text= 
slapd[2223]: conn=1 op=2 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixGroup)(memberUid=wwwrun))" 
slapd[2223]: conn=1 op=2 SRCH attr=cn userPassword memberUid uniqueMember gidNumber 
slapd[2223]: <= bdb_equality_candidates: (memberUid) index_param failed (18) 
slapd[2223]: conn=0 op=2 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixGroup)(memberUid=wwwrun))" 
slapd[2223]: conn=0 op=2 SRCH attr=cn userPassword memberUid uniqueMember gidNumber 
slapd[2223]: <= bdb_equality_candidates: (memberUid) index_param failed (18) 
slapd[2223]: conn=2 op=2 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixGroup)(memberUid=wwwrun))" 
slapd[2223]: conn=2 op=2 SRCH attr=cn userPassword memberUid uniqueMember gidNumber 
slapd[2223]: <= bdb_equality_candidates: (memberUid) index_param failed (18) 
slapd[2223]: conn=1 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2223]: conn=0 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2223]: conn=3 op=1 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=wwwrun))" 
slapd[2223]: conn=3 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass 
slapd[2223]: conn=3 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2223]: conn=2 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2223]: conn=4 op=1 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=wwwrun))" 
slapd[2223]: conn=4 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass 
slapd[2223]: conn=4 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2223]: conn=3 op=2 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixGroup)(memberUid=wwwrun))"
slapd[2223]: conn=3 op=2 SRCH attr=cn userPassword memberUid uniqueMember gidNumber 
slapd[2223]: <= bdb_equality_candidates: (memberUid) index_param failed (18) 
slapd[2223]: conn=4 op=2 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixGroup)(memberUid=wwwrun))" 
slapd[2223]: conn=4 op=2 SRCH attr=cn userPassword memberUid uniqueMember gidNumber 
slapd[2223]: <= bdb_equality_candidates: (memberUid) index_param failed (18) 
slapd[2223]: conn=3 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2223]: conn=4 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2223]: conn=5 fd=16 ACCEPT from IP=127.0.0.1:32778 (IP=0.0.0.0:389) 
slapd[2223]: conn=5 op=0 BIND dn="" method=128 
slapd[2223]: conn=5 op=0 RESULT tag=97 err=0 text= 
slapd[2223]: conn=5 op=1 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=rot))" 
slapd[2223]: conn=5 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2223]: conn=6 fd=17 ACCEPT from IP=127.0.0.1:32779 (IP=0.0.0.0:389) 
slapd[2223]: conn=6 op=0 BIND dn="" method=128 
slapd[2223]: conn=6 op=0 RESULT tag=97 err=0 text= 
slapd[2223]: conn=6 op=1 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=rot))" 
slapd[2223]: conn=6 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass 
slapd[2223]: conn=6 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2223]: conn=6 op=2 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=rot))" 
slapd[2223]: conn=6 op=2 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass 
slapd[2223]: conn=6 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text= 
login[2820]: FAILED LOGIN 1 FROM /dev/tty6 FOR UNKNOWN, User not known to the underlying authentication module
slapd[2223]: conn=5 op=2 BIND dn="" method=128 
slapd[2223]: conn=5 op=2 RESULT tag=97 err=0 text= 
slapd[2223]: conn=5 op=3 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=root))" 
slapd[2223]: conn=5 op=3 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2223]: conn=5 op=4 BIND dn="" method=128 
slapd[2223]: conn=5 op=4 RESULT tag=97 err=0 text= 
slapd[2223]: conn=5 op=5 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=root))"
slapd[2223]: conn=5 op=5 SEARCH RESULT tag=101 err=0 nentries=0 text= 
kernel: e100: eth0: e100_watchdog: link up, 100Mbps, half-duplex
/USR/SBIN/CRON[2859]: (root) CMD ( rm -f /var/spool/cron/lastrun/cron.hourly) 
slapd[2223]: conn=7 fd=18 ACCEPT from IP=127.0.0.1:32780 (IP=0.0.0.0:389) 
testserver slapd[2223]: conn=7 op=0 BIND dn="" method=128 
slapd[2223]: conn=7 op=0 RESULT tag=97 err=0 text= 
slapd[2223]: conn=7 op=1 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=root))" 
slapd[2223]: conn=7 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass 
slapd[2223]: conn=7 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2223]: conn=7 op=2 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixGroup)(memberUid=root))" 
slapd[2223]: conn=7 op=2 SRCH attr=cn userPassword memberUid uniqueMember gidNumber 
slapd[2223]: <= bdb_equality_candidates: (memberUid) index_param failed (18) 
slapd[2223]: conn=7 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2223]: conn=7 fd=18 closed 
dhcpd: DHCPREQUEST for 192.168.1.200 from 00:80:c7:84:7b:74 (SWS-ALICE-NB) via eth0
dhcpd: DHCPACK on 192.168.1.200 to 00:80:c7:84:7b:74 (SWS-ALICE-NB) via eth0
slapd[2223]: conn=8 fd=18 ACCEPT from IP=127.0.0.1:32781 (IP=0.0.0.0:389) 
slapd[2223]: conn=8 op=0 BIND dn="cn=root,dc=kundennetz" method=128 
slapd[2223]: conn=8 op=0 BIND dn="cn=root,dc=kundennetz" mech=SIMPLE ssf=0 
slapd[2223]: conn=8 op=0 RESULT tag=97 err=0 text= 
slapd[2223]: conn=8 op=1 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=sambaDomain)(sambaDomainName=kundennetz))" 
slapd[2223]: conn=8 op=1 SRCH attr=sambaDomainName sambaNextRid sambaNextUserRid sambaNextGroupRid sambaSID sambaAlgorithmicRidBase objectClass 
slapd[2223]: conn=8 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text= 
slapd[2223]: conn=9 fd=20 ACCEPT from IP=127.0.0.1:32782 (IP=0.0.0.0:389) 
slapd[2223]: conn=9 op=0 BIND dn="cn=root,dc=kundennetz" method=128 
slapd[2223]: conn=9 op=0 BIND dn="cn=root,dc=kundennetz" mech=SIMPLE ssf=0 
slapd[2223]: conn=9 op=0 RESULT tag=97 err=0 text= 
slapd[2223]: conn=9 op=1 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=sambaDomain)(sambaDomainName=kundennetz))"
slapd[2223]: conn=9 op=1 SRCH attr=sambaDomainName sambaNextRid sambaNextUserRid sambaNextGroupRid sambaSID sambaAlgorithmicRidBase objectClass 
slapd[2223]: conn=9 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text= 
smbd[2861]: [2004/05/18 12:59:22, 0] lib/util_sock.c:get_peer_addr(975) 
smbd[2861]:   getpeername failed. Error was Transport endpoint is not connected 
smbd[2861]: [2004/05/18 12:59:22, 0] lib/util_sock.c:write_socket_data(411) 
smbd[2861]:   write_socket_data: write failure. Error = Connection reset by peer 
smbd[2861]: [2004/05/18 12:59:22, 0] lib/util_sock.c:write_socket(436) 
smbd[2861]:   write_socket: Error writing 4 bytes to socket 24: ERRNO = Connection reset by peer 
smbd[2861]: [2004/05/18 12:59:22, 0] lib/util_sock.c:send_smb(628) 
smbd[2861]:   Error writing 4 bytes to client. -1. (Connection reset by peer) 
slapd[2223]: conn=8 fd=18 closed 
slapd[2223]: conn=9 op=2 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(sambaSID=s-1-5-21-3006739380-2085081912-1024443319-501)(objectClass=sambaSamAccount))" 
slapd[2223]: conn=9 op=2 SRCH attr=uid uidNumber gidNumber homeDirectory sambaPwdLastSet sambaPwdCanChange sambaPwdMustChange sambaLogonTime sambaLogoffTime sambaKickoffTime cn displayName sambaHomeDrive sambaHomePath sambaLogonScript sambaProfilePath description sambaUserWorkstations sambaSID sambaPrimaryGroupSID sambaLMPassword sambaNTPassword sambaDomainName objectClass sambaAcctFlags sambaMungedDial sambaBadPasswordCount sambaBadPasswordTime modifyTimestamp 
slapd[2223]: conn=9 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2223]: conn=10 fd=21 ACCEPT from IP=127.0.0.1:32784 (IP=0.0.0.0:389) 
slapd[2223]: conn=10 op=0 BIND dn="" method=128 
slapd[2223]: conn=10 op=0 RESULT tag=97 err=0 text= 
slapd[2223]: conn=10 op=1 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixAccount)(uid=nobody))" 
slapd[2223]: conn=10 op=1 SRCH attr=uid userPassword uidNumber gidNumber cn homeDirectory loginShell gecos description objectClass 
slapd[2223]: conn=10 op=1 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2223]: conn=10 op=2 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=posixGroup)(memberUid=nobody))" 
slapd[2223]: conn=10 op=2 SRCH attr=cn userPassword memberUid uniqueMember gidNumber 
slapd[2223]: <= bdb_equality_candidates: (memberUid) index_param failed (18) 
slapd[2223]: conn=10 op=2 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2223]: conn=9 op=3 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=sambaGroupMapping)(gidNumber=65533))"
slapd[2223]: conn=9 op=3 SRCH attr=gidNumber sambaSID sambaGroupType description displayName cn objectClass 
slapd[2223]: conn=9 op=3 SEARCH RESULT tag=101 err=0 nentries=0 text= 
slapd[2223]: conn=9 op=4 SRCH base="dc=kundennetz" scope=2 deref=0 filter="(&(objectClass=sambaGroupMapping)(gidNumber=65534))" 
slapd[2223]: conn=9 op=4 SRCH attr=gidNumber sambaSID sambaGroupType description displa