• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Win2k3 DC ->Suse103 DC Mitglied + Fileserver

S

Sisco

Hallo zusammen,
ich lese schon eine Weile hier in diesem Forum, bin auch ein Neuling was Linux angeht, trotzdem habe ich eine Frage auf die ich einfach keine Antwort finde (habe bereits 2 Tage gegoogelt).

Ich habe einen Win2k3 Server der als Domain Controller fungiert, mein Linux 103 soll sich da nun anmelden um die Berechtigungen von Active Directory auf die eigenen Freigaben zu regeln.

Mein Problem kann ich selbst nicht genau definieren, ich zeig euch einfach mal wie es bis jetzt aussieht.

Zum beitreten der Domain:

net join -S testserver -UAdministrator%Passwort

Ausgabe:

Host is not configured as a member server.
Invalid configuration. Exiting....
Failed to join domain: Invalid domain role
ADS join did not work, falling back to RPC...
Joined domain TEST.

Hier meine smb.conf
Code: 
[global]
        workgroup = TEST
        comment = Fileserver
        hosts allow = 192.
        realm = TEST.LOCAL
        idmap uid = 10000-25000
        idmap gid = 10000-25000
        winbind separator = /
        winbind use default domain = Yes
        security = ADS
        client use spnego = yes
        public = yes
        add machine script = /usr/sbin/useradd  -c Machine -d /var/lib/nobody -s /bin/false %m$
        guest ok = yes
        domain logons = Yes
        domain master = No
        usershare max shares = 100

[homes]
        comment = Home Directories
        valid users = @TEST/test
        browseable = Yes
        read only = No
        inherit acls = Yes
[users]
        comment = All users
        path = /home
        read only = No
        inherit acls = Yes
        veto files = /aquota.user/groups/shares/
[groups]
        comment = All groups
        path = /home/groups
        read only = No
        inherit acls = Yes
[backup]
        comment = Backup
        path = /srv/samba
        browseable = yes
        read only = no
        guest ok = no
        valid users = @TEST/test
        create mask = 0770




Hier meine krb5.conf

Code: 
[libdefaults]
        default_realm = TEST.LOCAL
        clockskew = 300

[realms]
        TEST = {
                kdc = 192.168.0.28
                default_domain = TEST.LOCAL
                admin_server = 192.168.0.28
                kpasswd_server = 192.168.0.28
        }
[domain_realm]
        .test.local = TEST.LOCAL
        .TEST.LOCAL = TEST.LOCAL

[logging]
        default = FILE:/var/log/krb5libs.log
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmind.log

[appdefaults]
        pam = {
                debug = false
                ticket_lifetime = 36000
                renew_lifetime = 36000
                forwardable = true
                krb4_convert = false
                proxiable = false
                retain_after_close = false
                minimum_uid = 1
                use_shmem = sshd
        }



Hier die nsswitch.conf

Code: 
passwd: files winbind
group:  files winbind

hosts:  files mdns4_minimal [NOTFOUND=return] dns
networks:       files dns

services:       files ldap
protocols:      files
rpc:    files
ethers: files
netmasks:       files
netgroup:       files ldap
publickey:      files

bootparams:     files
automount:      files ldap
aliases:        files ldap
passwd_compat:  ldap


Mein Win2k3 Server läuft auf der IP 192.168.0.28, die Usergruppe "test" ist im Share angegeben und sollte eigentlich funktionieren.
Jedesmal wenn ich aber auf den Linux Rechner zugreifen möchte verlangt er nach Zugangsdaten (die weder root noch vo, DC sind) oder gibt mir eine Fehlermeldung.

Ich bin wirklich am Ende und weiss nichtmehr was ich machen soll, ich habe wie gesagt wie ein Weltmeister rumgegoogelt.

Vielleicht kann mir ja einer von Euch helfen :)

Gruss
 
L

Lammi

der linux-rechner braucht in der win-domäne ein maschinenkonto, er muss im ads also existieren.
der benutzer "test" und die gruppe müssen als samba-user existieren. ausserdem muss er natürlich als domänenuser existieren.

mit wbinfo -t kannst du prüfen, ob der rechner überhaupt mit der domäne reden kann (Security OK oder sowas kommt dann als antwort). mit wbinfo -g und wbinfo -u holst du dir die domänenbenutzer auf den linuxrechner.

ist lange her, dass ich damit zu tun hatte...
 
OP
S

Sisco

Danke für die Info, habe jetzt die User erstellt, kann der Domäne auch beitreten und mit "wbinfo -u -g" die User und Gruppen holen.
Mit kinit -t gibt er mir auch dieses hier : checking the trust secret via RPC calls succeeded

Allerdings funktioniert "kinit" nicht, da gibt er mir : kinit(v5): Cannot resolve network address for KDC in realm TEST.LOCAL while getting initial credentials

Dann hab ich noch diesen Befehl getestet "klist" und bin verwundert das der Realmname 2 mal hintereinander benutzt wird.

Ticket cache: FILE:/tmp/krb5cc_0
Default principal: linux@TEST.LOCAL

Valid starting Expires Service principal
11/22/07 16:04:15 11/22/07 22:44:15 krbtgt/TEST.LOCAL@TEST.LOCAL


Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached


Agesehen davon kann ich immer noch nicht auf den Linux-share zugreifen (von Windows aus)

Gruß
Sisco
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben