SuSE Samba Probleme mit AD

robotto7831a · 5 Apr. 2008

Hallo zusammen,

ich habe einen OpenSuSE 10.3 Server mit enhaltenen Samba installiert. Danach Samba erfolgreich in die W2K Domäne aufgenommen.

Aber wbinfo -g, wbinfo -u kommen mit einem Fehler zurück.

Der Fehler lautet: Error looking up domain users

Jetzt kommt das komische. Ein Zugriff auf die Samba Shares mit Domänenuser klappt mal und dann wieder nicht. Ich konnte bis jetzt keine Regel feststellen.

Hat schon mal jemand das Problem gehabt?

Frank

stka · 5 Apr. 2008

Ist deine smb.conf geheim?

robotto7831a · 7 Apr. 2008

Hallo,

hier ist meine smb.conf

Code:

[global]
        workgroup = ABC
        printing = LPRNG
        printcap name = /etc/printcap
        netbios name = server
        map to guest = Bad User
        usershare allow guests = No
        encrypt passwords = Yes
        server string = "Backupserver"
        time server = No
        unix extensions = Yes
        security = ADS
        wins server = 192.168.1.5
        message command = /bin/mail -s message from %f on %m root < %s; rm %s
        log level = 1
        socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY
        os level = 2
        veto files = /*.eml/*.nws/riched20.dll/*.(*)/
        bind interfaces only = yes
        interfaces = 192.168.1.3
        idmap gid = 10000-20000
        idmap uid = 10000-20000
        realm = ABC.COM
        template homedir = /home/%D/%U
        template shell = /bin/bash
        winbind refresh tickets = yes

[backuphtml]
        browseable = No
        writeable = yes
        path = /pfad_zu_irgendwas/verzeichnis_x
        force group = www
        create mask = 0755
        force user = wwwrun
        directory mask = 0755
        valid users = ABC\meinuser

Frank

stka · 7 Apr. 2008

Das sieht gut aus, hast du mal geschaut, ob du Fehlermeldungen in der /var/log/samba/log.smbd hast wenn der Zugriff nicht klappt?

robotto7831a · 9 Apr. 2008

Nicht wirklich.

Server:

[2008/04/08 21:01:24, 1] smbd/service.c:make_connection_snum(1033)
192.168.1.10 (192.168.1.10) connect to service tomcat initially as user tomcat (uid=104, gid=106) (pid 5914)
[2008/04/08 21:01:24, 1] smbd/service.c:close_cnum(1230)
192.168.1.10 (192.168.1.10) closed connection to service tomcat
[2008/04/08 21:01:24, 1] smbd/service.c:make_connection_snum(1033)
192.168.1.10 (192.168.1.10) connect to service backuphtml initially as user wwwrun (uid=30, gid=8) (pid 5913)
[2008/04/08 21:01:24, 1] smbd/service.c:close_cnum(1230)
192.168.1.10 (192.168.1.10) closed connection to service backuphtml

Client:

Apr 8 21:00:27 client kernel: CIFS VFS: server not responding
Apr 8 21:00:27 client kernel: CIFS VFS: No response for cmd 117 mid 3
Apr 8 21:00:27 client kernel: CIFS VFS: cifs_mount failed w/return code = -11
Apr 8 21:00:57 client kernel: CIFS VFS: server not responding
Apr 8 21:00:57 client kernel: CIFS VFS: No response for cmd 117 mid 3
Apr 8 21:00:57 client kernel: CIFS VFS: cifs_mount failed w/return code = -11

Was auffällt ist der Zeitunterschied. Beide Rechner haben einen Zeitunterschied von wenigen Sekunden.

Ich stelle die Verbindung über ein Skript her mit folgendem Befehl.

mount -o username=mein_user,password=mein_passwort,workgroup=unsere_domäne //IP_vom_server/backuphtml /home/html

Ich habe das Skript gerade noch mal gestartet mit dem gleichen Fehler. Dann habe ich mich über Windows mit dem Server und einem anderen Share connectet. Das ging sofort. Danach habe ich das Skript wieder gestartet und dann ging das auch.

Um noch einen drauf zu setzen. Ein Kollege hat veruscht sich mit einem Share zu connecten und nach einer Weile kam das Loginfenster. Danach Abbruch und neuer Versuch mit einem anderen Share auf dem Server. Die Verbindung klappte sofort. Danach wieder versucht mit dem ursprünglichen Share zu connecten und der ging dann auch sofort.

Frank

stka · 9 Apr. 2008

Da die Verbindung zum AD über Kerberos gesichert wird, kann es schon an der Zeitabweichung liegen. Richte doch mal den ntpd ein um eine genau Zeit zu bekommen.

robotto7831a · 9 Apr. 2008

stka schrieb:
Da die Verbindung zum AD über Kerberos gesichert wird, kann es schon an der Zeitabweichung liegen. Richte doch mal den ntpd ein um eine genau Zeit zu bekommen.

Kann der sich auch über einen Proxy hinweg die Zeit holen?

Frank

stka · 10 Apr. 2008

Das geht so mit ntp nicht, dann sollte auf dem proxy ein Timeserver laufen den du dann abfragen kannst oder du verwendest htp das http-time-protokoll
http://www.clevervest.com/twiki/bin/view/HTP/WebHome

robotto7831a · 11 Apr. 2008

Also beide Rechner haben jetzt die gleiche Zeit. Und das Skript ist wieder nicht gelaufen.

Ich habe das Skript dann nochmal gestartet und wieder Fehler.

Dann habe ich mich mit meinem User auf den Server mit einem anderen Share connectet. Der Connectversuch hat ziemlich lange gedauert und dann war ich drauf. Danach habe ich das Skritp gestartet und es lief wieder.

Frank