Win2k-Client läßt sich nicht an Samba3-PDC anmelden

[white_rabbit]

Hallo.
Ich verwende hier einen Samba-3-PDC, der zusammen mit OpenLDAP für die Benutzer-Accounts zuständig sein soll.
Nun ist es so: Wenn ich versuche, einen Rechner unter Win2k in die neue
Domäne zu übernehmen, erscheinen zwei Meldungen:

Zuerst:
Die angegebene Domäne ist nicht vorhanden oder es konnte keine Verbindung hergestellt werden.

Später dann:
Bei dem Versuch, der Domäne beizutreten, trat folgender Fehler auf:
Die angegebenen Anmeldeinformationen stehen mit vorhandenen
Anmeldeinformationen in Konflikt.

Seltsam ist auch das hier: Wenn ich die neue Domäne durchsuche (zum Bsp mit LinNeighborhood), wird zwar der Recher korrekt gezeigt, aber ich erhalte keine Fragaben (wenn ich als User eingeloggt bin), obwohl die in smb.conf eingestellt sind. Am besten ist es wohl, ich hänge meine smb.conf unten dran....

Besten Dank für jeden Tipp,
Michael

-------------------
#smb.conf
#2000-2004 slix's
#documentation www.slixs.at
# Global parameters

[global]
workgroup = schulnetz
netbios name = server1
server string = Samba-PDC
encrypt passwords = Yes
update encrypted = Yes
password level = 4
log level = 2
log file = /var/log/samba/log.%m
os level = 70
max log size = 50
deadtime = 255
unix charset = ISO8859-1

username map = /etc/samba/smbusers
admin users = root

deadtime = 225
admin users = root
add machine script = /daten/admin/config/includes/ldap_addmachine %u
#add machine script = /usr/sbin/useradd -s /bin/false %u
logon script = %G.bat
logon drive = S:
logon home = \\server1\%U

domain logons = Yes
os level = 65
domain master = Yes ldap

passdb backend = ldapsam:ldap://localhost
ldap suffix = dc=schulnetz,dc=local
ldap admin dn = cn=root,dc=schulnetz,dc=local
ldap filter = "(&(uid=%u))"
ldap machine suffix = ou=computers
ldap user suffix = sambaDomainName=schulnetz
ldap group suffix = ou=groups

ldap delete dn = no
ldap ssl = off

#folgende Zeile ermöglicht Passwortänderungen durch den
#Windows user per Strg+Alt+Entf
ldap passwd sync = yes

printing = CUPS
printcap name = CUPS
load printers = yes
socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY SO_SNDBUF=4096
SO_RCVBUF=4096
wins support = yes

public = no
browseable = no
read only = no


[homes]
comment = Freigabe des Home-Verzeichnisses
valid users = %U, root
write list = %U, root
preexec = /usr/sbin/quota-abfrage.sh %g %u %m

[netlogon]
comment = netlogon
path = /etc/samba/netlogon
write list = root

[profiles]
comment = Benutzerprofile
path = /daten/profiles
# read only = yes
force create mode = 0777
directory mask = 0777
# write list = %U, root

[apps]
comment = Applikationen
path = /daten/apps
# write list = root, i
# read only = yes
force create mode = 0777
directory mask = 0777


[gemeinsam]
comment = Gemeinsamer Ordner - Virus protected
path = /daten/gemeinsam
force create mode = 0777
directory mask = 0777


[kurse]
comment = Außerschulische Datenordner
path = /daten/kurse
force create mode = 0777
directory mask = 0777


[gr-user]
comment = Daten der Gruppe gr-user
path = /daten/home/gr-user
force create mode = 0777
directory mask = 0777
valid users = @gr-lehrer

[daten]
comment = Daten
path = /daten
valid users = root
force create mode = 0777
directory mask = 0777

[sys]
comment = root
path = /
valid users = root
force create mode = 0777
directory mask = 0777

#[cdrom]
# comment = Cdromserver
# path = /daten/cdrom
# force create mode = 0755
# force directory mode = 0777
# write list = root

[lehrer-gem]
comment = Lehrer Daten
path = /daten/lehrer-gem
create mask = 0770
directory mask = 0770
valid users = @gr-lehrer

[vorlagen]
comment = orlagen
path = /daten/vorlagen
create mask = 0774
directory mask = 0775

[backup]
comment = backup
path = /backup
valid users = root
force create mode = 0777
directory mask = 0777

[printers]
comment = Alle Drucker
path = /var/spool/samba
browseable = yes
public = yes
guest ok = yes
writable = no
printable = yes
printer admin = root

[print$]
comment = Druckertreiber
path = /etc/samba/drivers
browseable = yes
guest ok = no
read only = yes
write list = root, @gr-lehrer

 

[mik1]

Es wäre ganz praktisch wenn du noch deine ldap konfiguration posten könntest. Außerdem wäre es gut zu wissen ob ldap denn auch wirklich funktioniert. (ldapsearch usw.). Was steht denn zu dem ganzen in deiner samba log? die Infos bräuchte man noch

 

[white_rabbit]

Hi.
Also ldapsearch funktioniert - zumindest wirft mir ldapsearch -x die vollständige Datenbank heraus. Zudem läuft hier phpldapadmin 0.93. Daher kann es daran schon mal nicht liegen.

Hier erstmal ldap.conf
# See ldap.conf(5) for details
# This file should be world readable but not world writable.

#BASE dc=example, dc=com
#URI ldap://ldap.example.com ldap://ldap-master.example.com:666

#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never
host server1
BASE dc=schulnetz, dc=local
URI ldap://localhost/


und hier sladpd.conf

# OpenLDAP: pkg/ldap/servers/slapd/slapd.conf,v 1.8.8.6 2001/04/20 23:32:43 kurt
Exp
include /etc/ldap/schema/core.schema
include /etc/ldap/schema/cosine.schema
include /etc/ldap/schema/nis.schema
include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/samba.schema
include /etc/ldap/schema/slixs.schema
include /etc/ldap/schema/pykota.schema
include /etc/ldap/schema/quota.schema

schemacheck on

# Do not enable referrals until AFTER you have a working directory
# service AND an understanding of referrals.
#referral ldap://root.openldap.org

pidfile /var/run/slapd.pid
argsfile /var/run/slapd.args
replogfile /var/lib/replog
loglevel 0
# Load dynamic backend modules:
modulepath /usr/lib/ldap
moduleload back_ldbm.so
moduleload back_passwd.so
moduleload back_shell.so

allow bind_v2

#######################################################################
# ldbm database definitions
#######################################################################
database ldbm
suffix "dc=schulnetz,dc=local"
rootdn "cn=root,dc=schulnetz,dc=local"
# Cleartext passwords, especially for the rootdn, should
# be avoid. See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
rootpw wird-nicht-verraten
# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd/tools. Mode 700 recommended.
directory /var/lib/ldap/
#directory /etc/ldap/db
# Indices to maintain
index objectClass eq

access to attr=userPassword
by self read
by anonymous auth
by dn="cn=root,dc=schulnetz,dc=local" write
by * none
access to *
by dn="cn=root,dc=schulnetz,dc=local" write
by * read
access to attr=description
by self read
by anonymous auth
by dn="cn=root,dc=schulnetz,dc=local" write
by * none


#{START:Samba - Erweiterung der ACLs:
# [allow the 'ldap admin dn' access, but deny everyone else]
access to attrs=sambaLMPassword,sambaNTPassword
by dn="cn=root,dc=schulnetz,dc=local" write
by * none
#}ENDE:Samba - Erweiterung der ACLs:
#access to * by * write
access to dn.children="dc=schulnetz,dc=local"
by dn="cn=root,dc=schulnetz,dc=local" write
by * none


In den Samba Logs steht z.B.:
nmbd.log -->
Initiating sync with domain master browser SERVER1<20> at IP 192.168.0.101 for workgroup SCHULNETZ
[2006/04/05 19:28:28, 2] nmbd/nmbd_synclists.c:sync_browse_lists(169)
Initiating browse sync for SCHULNETZ to SERVER1(192.168.0.101)
[2006/04/05 19:28:28, 2] nmbd/nmbd_synclists.c:complete_sync(283)
sync with SERVER1(192.168.0.101) for workgroup SCHULNETZ completed (2 records)

oder aber unter /var/log/syslog
Apr 5 17:15:10 localhost nmbd[3294]: [2006/04/05 17:15:10, 0] nmbd/nmbd_logonnames.c:add_logon_names(163)
Apr 5 17:15:10 localhost nmbd[3294]: add_domain_logon_names:
Apr 5 17:15:10 localhost nmbd[3294]: Attempting to become logon server for workgroup SCHULNETZ on subnet 192.168.178.23
Apr 5 17:15:14 localhost nmbd[3294]: [2006/04/05 17:15:14, 0] nmbd/nmbd_logonnames.c:become_logon_server_success(124)
Apr 5 17:15:14 localhost nmbd[3294]: become_logon_server_success: Samba is now a logon server for workgroup SCHULNETZ on subnet 192.168.178.23


Beim Server läuft also sowohl slapd als auch nmbd/smbd.
Was nun?

 

[mik1]

also das sieht soweit ja richtig aus. ändere mal in der smb.conf den parameter log file von "/var/log/samba/log.%m" in "/var/log/samba/wholesmblog" um. dann startest du samba versuchst dich nochmal zu der domäne zu verbinden und schaust danach da rein. mir ist aufgefallen, das man dann mehr informationen über samba selbst bekommt (die fehlermeldung das mein samba sich nicht zum ldap server verbinden kann, sah ich auch erst als ich die log dateien nicht mehr auf die user bezogen aufnehmen ließ (%u.log). Wenn da keine Fehlermeldung kommt, bin ich mit meinem sowieso stark beschränkten kenntnissen am ende :/