Samba als PDC [Short-HOWTO]

Hallo Leute,

ich hoffe, Ihr könnt mir helfen. Ich komme einfach nicht weiter...
Ich habe nun Samba 2.2.8a als PDC konfiguriert, konnte mich mit den root-Angaben in die Domain eintragen (bekam die Meldung: Willkommen in der Domäne KOCH). Ich kann mich aber nicht über die Dmäne anmelden, weil sie laut Fehlermeldung nicht erreichbar wäre.
Die Accounts sind alle angelegt, die Passwörter stimmen überein. Die ordner und Dateien, die ich hier angegeben hab, gibt es für meinen Testbenutzer und auch die Rechte wurden auf ihn vergeben.

Ich hoffe innig, Ihr könnt mir weiter helfen.

Vielen Dank
Sel

Code:
[global]
        printer admin = @adm
        printing = cups
        server string = Samba Server %v
        socket options = TCP_NODELAY
        map to guest = bad user
        max log size = 5000
        netbios name = KochServer
        workgroup = KOCH
        printcap name = cups
        smb passwd file = /etc/samba/smbpasswd
        encrypt passwords = yes
        update encrypted = yes
        os level = 65
        log file = /var/log/samba/log.%m
        load printers = yes
        security = user
        dns proxy = no
        password level = 4
        domain logons = yes
        logon path = \\Kochserver\profile\%U.pds
        logon home = \\Kochserver\profile\%U
        logon script = \\Kochserver\netlogon\%U.bat
        wins support = yes
        domain master = yes
        prefered domain = yes
        domain admin users = root
        domain admin group = root
        short preserve case = yes
        case sensitive = no
        default case = lower
        mangle case = no
        dead time = 15
        read raw = yes
        write raw = yes
        oplocks = yes
        fake oplocks = yes
        debug level = 2
        preserve case = yes
        getwd case = yes
 
Da ich so erst einmal keinen Fehler in deiner smb.conf finden kann poste ich einmal meine aktuelle die es jetzt tut.
Das Verzeichnis logonpath und profiles muss natürlich auch als Samba-Freigabe existieren. Meine Samba-Version ist allerdings 3.0.2a und da sind ein paar Parameter in der smb.conf dazugekommen.
Du kannst ja mal schauen ob du sie angepasst bekommst.

[global]
workgroup = myDomain
server string = Samba Domain Controller %v @Trillian
hosts allow = 192.168.0. 192.168.1. 127.
printcap name = /etc/printcap
load printers = yes
printing = cups
log file = /var/log/samba/%m.log
max log size = 500
security = user
admin users = root
encrypt passwords = yes
update encrypted = yes
lanman auth = no
restrict anonymous = yes
strict sync = yes
password level = 4
smb passwd file = /etc/samba/smbpasswd
username map = /etc/samba/smbusers
unix password sync = yes
passwd program = /usr/bin/passwd %u
passwd chat = *New*password* %n\n *Retype*new*password* %n\n *passwd:*all*aut
hentication*tokens*updated*successfully*
add user script = /usr/sbin/useradd -d /dev/null -g maschines -c "Maschinen A
ccount" -s /bin/false -M %u
passdb backend = smbpasswd
socket options = SO_KEEPALIVE IPTOS_LOWDELAY TCP_NODELAY
interfaces = 192.168.0.22/24 192.168.1.1/24
local master = yes
os level = 65
domain master = yes
preferred master = yes
domain logons = yes
time server = yes
logon script = logon.bat
logon path = \\%L\profiles\%U
logon home = \\%L\%U\.profile
wins support = yes
wins proxy = yes

[netlogon]

comment = Network Logon Service
path = /etc/netlogon
guest ok = yes
write list = @root
share modes = no
browseable = no
force create mode = 0700


[profiles]

comment = Benutzerprofile
path = /var/lib/samba/profiles
browseable = no
guest ok = yes
writable = yes
# rights of new created files
force create mode = 0700
#unix rights again
directory mode = 0700


[printers]
comment = All Printers
path = /var/spool/samba
browseable = no
guest ok = no
writeable = no
printable = yes


[homes]

path = /home/%u
comment = Benutzer-Verzeichnisse
writeable = yes
browseable = no

[public]

path = /home/public
browseable = yes
writeable = yes
guest ok = yes
public = yes
comment = Öffentlicher Ordner

Nach Samba kurz und gut von O`Reilly reicht folgende smb.conf aus:

[global]
netbios name = name
workgroup = workgroup
wins support = yes
domain master = yes
local master = yes
preferred master = yes
os level = 255
security = user
encrypt passwords = yes
domain logons = yes
logon path = \\%L\profiles\%u\%m
logon drive = G:
logon home = \\name\%u\.win_profiles\%m
domain admin group = root
add user script = /usr/sbin/useradd –d \ /dev/null –g 100 –s /bin/false –M %u

[netlogon]
path = /usr/local/samba/lib/netlogon
writable = no
browsable = no

[profiles]
path = /home/samba-ntprof
writable = yes
create mask = 0600
direktory mask = 0700
browsable = no

[homes]
comment = Home-Verzeichnis
browsable = no
readonly = no
map archive = yes

[d]
comment = %u’s Home-Verzeichnis
path = /d
create mask = 0700
read only = no

Was sagt bei dir “testparm” und wie sieht die komplette smb.conf aus ?

Vielleicht solltest du erst einmal eine einfache wie die von O’Reilly schreiben und dann erweitern so hab ich es jedenfalls hinbekommen.

Bei einer nicht von mir geschriebenen .conf Datei fällt es mir immer wirklich schwer Fehler zu finden weil – nichts gegen dich – sie für mich immer chaotisch aussehen. Jeder hat halt seine eigene Art die anzuordnen – ist halt wie beim kochen auch da hat auch jeder seinen eigenen Geschmack ;-).
 
Hallo codc,

zunächst einmal vielen Dank dafür, dass Du Dich meinem Problem widmest.

Ich habe nun die abgespeckte Version von O`Reilly genommen, kann den Client wieder so konfigurieren, dass er in der Domäne eingetragen ist, aber mich wieder nicht einloggen.

Mein komplette smb.conf sieht wiefolgt aus:

Code:
[global]
netbios name = kochserver
workgroup = KOCH
wins support = yes
domain master = yes
local master = yes
preferred master = yes
os level = 255
security = user
encrypt passwords = yes
domain logons = yes
logon path = \\kochserver\profiles\%u\%m
logon drive = G:
logon home = \\kochserver\%u\.win_profiles\%m
domain admin group = root
add user script = /usr/sbin/useradd -d \ /dev/null -g 100 -s /bin/false -M %u

[netlogon]
path = /home/netlogon
writable = no
browsable = no

[profiles]
path = /home/profiles
writable = yes
create mask = 0600
directory mask = 0700
browsable = no

[homes]
comment = Home-Verzeichnis
browsable = no
readonly = no
map archive = yes
path = /home/%u

[d]
comment = %u's Home-Verzeichnis
path = /d
create mask = 0700
read only = no


[PUBLIC_HTML]
	path = /home/koch/public_html
	write list = @koch
	allow hosts = 192.168.0.2 192.168.0.5 192.168.0.4
	force user = koch
	force group = koch
	delete readonly = yes
	create mask = 0755
	comment = /home/koch/public_html

[mldonkey]
	force group = root
	delete readonly = yes
	path = /home/koch/mldonkey/downs
	allow hosts = 192.168.0.2 192.168.0.5 192.168.0.4 192.168.0.255
	writeable = yes
	comment = /home/koch/mldonkey/downs
	force user = root

[shares]
	public = yes
	path = /tmp/shares/
	comment = /tmp/shares/
	read only = no
	create mask = 0777
	force create mode = 0777
	directory mask = 0777
	force directory mode = 0777

Ich sehe auch alle meine Ordner plus den ordner d in der Netzwerkumgebung, aber profiles und netlogon nicht...

Noch ein paar Fragen:

1. Welchen Rechte-Modus müssen diese bieden Ordner haben?

2. Muss ich nur diese Ordner (profiles und netlogon) erstelle und dann kann ich mich einloggen oder fehlen noch irgendwelche Dateien für den Login?

3. Kann den lokalen User, der den gleichen Namen hat, wie der, unter dem ich mich einloggen will, aeingerichtet lassen?

4. Ich habe einen Registry-Patch installiert, da ich XP als Client nutze. Muss ich sonst noch etwas beachten?

Viele Grüße
Sel
 
Zuletzt bearbeitet:
Ich sehe auch alle meine Ordner plus den ordner d in der Netzwerkumgebung, aber profiles und netlogon nicht...[/qoute]

Weil browsable=no gesetzt ist sind aber freigegeben. Windows sieht sie eben nur nicht. Mit „net use \\rechnername\profiles“ ist es aber möglich sich zu verbinden.

Noch ein paar Fragen:

1. Welchen Rechte-Modus müssen diese bieden Ordner haben?
Bei mir ist es /etc/netlogon und hat :

drwxr-xr-x 2 root root 4096 Apr 13 12:23 netlogon


/etc/netlogon/logon.bat

-rwxr-xr-x 1 root root 93 Apr 13 12:23 logon.bat

und

/var/lib/samba/profiles

drwxrwxrwx 4 root root 4096 Apr 13 12:17 profiles
und die User darin

drwx------ 15 user wheel 4096 Apr 20 09:12 user

2. Muss ich nur diese Ordner (profiles und netlogon) erstelle und dann kann ich mich einloggen oder fehlen noch irgendwelche Dateien für den Login?

Ich habe sie manuell erstellt und die Rechte per Hand vergeben.

3. Kann den lokalen User, der den gleichen Namen hat, wie der, unter dem ich mich einloggen will, aeingerichtet lassen?

Es zählt bei security = user immer das Unix-Passwort wenn die Kiste an der Domain angemeldet ist. Wenn nicht die Windows SAM.

4. Ich habe einen Registry-Patch installiert, da ich XP als Client nutze. Muss ich sonst noch etwas beachten?

Mit XP führt Microsoft eine geänderte Verschlüsselung für Domain-Logins ein, die Samba nicht beherrscht. Aber das MS-System muss natürlich auch rückwärtskompatibel bleiben. Über den Editor für Sicherheitsrichtlinien lässt sich die neue Verschlüsselung abschalten, so dass sich XP kompatibel zu NT4 und W2K in die Domäne einbindet.

Siehe
http://www.networkcomputing.de/index.php?p=workshop/workshop_03/ws_080903.html
 
Zuletzt bearbeitet:
Hallo codc,

Du bist ein Held. Es funktioniert. Wahnsinn! :respekt: Ich halt's nicht aus! 3 age hat's gedauert... Leider habe ich noch zwei Schwierigkeiten, bei denen Du mir vielleicht auch noch helfen könntest.

Gibt es eine Konfigurationsmöglichkeit, die es erlaubt, dass die kompletten Dokumente und Einstellungen auf dem Server gespeichert werden, sodass ich an einem anderen Rechner exakt die Einstellungen (HIntergrund-Bilder, Eigene Dateien) runter geladen bekomme wie auf meinem eigenen.

Ich habe ja als normaler User keine Adminrechte, um z.B. Programme zu installieren. Dies funktioniert auch nicht und er meckert auch wunderbar, dass ich das nicht kann. Wenn ich nun aber in der Systemsteuerung in die Benutzerkonten will, werde ich aufgefordert, meinen Admin-Account zu benutzen. gebe ich nun aber genau die exakten Daten ein, die ich auch bei der Win-Anmeldung angebe, komme ich trotzdem in die lokale Benutzerverwaltung und kann alle einstellen, was mit genehm ist.
Ebenso kann ich in die Dokumente und Einstellungen von jedem User gehen, der sich hier mal eingeloggt hat und da alles munter raus löschen.

Das finde ich dochs ehr suspekt.

Viele Gruße und vielen vielen Dank noch mal!
Sel
 
Brauch Hilfe mit meinem Samba-PDC

Hallo, ich habe ein Problem mit meinem Samba-PDC und ich hoffe, dass mir hier vielleicht jemand helfen kann!?

Ich habe einen Samba-Server eingerichtet und der Rechner wird auch im Netzwerk unter Windows 2K Prof angezeigt.
Wenn ich ihn über die IP suche kann ich mich auch einloggen und die freigegebenen Verzeichnisse sehen.
Wenn ich allerdings in der Netzwerkumgebung direkt den Rechner auswähle kommt eine Fehlermeldung: „Auf T1 kann nicht zugegriffen werden. Das Gerät ist nicht verbunden.“
Das ist sicherlich auch der Grund warum ich mich mit der workstation nicht an der Domäne anmelden kann...

Liegt es an meinen Samba-Einstellungen, oder kann das auch noch einen anderen Grund haben?? Hier meine smb.conf
Code:
[global]
   workgroup = T1
   interfaces = 127.0.0.1 eth0
   netbios name = sambaserver
   server string = SambaPDC @ T1
   encrypt passwords = yes
   security = user
   domain master = yes
   domain logons = yes
   local master = yes
   preferred master = yes
   os level = 65
   wins support = Yes
   domain admin users = root,admin,administrator,Administrator,ADMINISTRATOR
   browseable = no
   public = no
   writeable = no
   guest ok = no
 
[homes]
   comment = Benutzer-Verzeichnisse
   path = /home/%u
   valid users = %S
   browseable = yes
   writeable = yes

Würde mich sehr über Hilfe freuen!!

Keety
 
Zuletzt bearbeitet:
Kannst du diese Fragen beantworten, dann könnte dir auch vielleicht jemand weiterhelfen?

1. Welche Sambaversion verwendest du?
2. Bekommst Fehlermeldungen im Sambalog wenn du über die Netzwerkumgebung zugreifen versuchst?
3. Was hast du schon alles gemacht damit du dich in der Domäne anmelden kannst?
 
1. Samba Version 3.0.2

2. Fehlermeldung: unknown parameter encountered: „domain admin group“
Die gleiche Fehlermeldung kommt allerdings auch wenn ich "domain admin users“ und “username map“ angebe an Stelle von „domain admin group“...

3. Ich habe zuerst das Tutorial gemacht – hat soweit auch alles funktioniert, aber sobald ich den Win2K Rechner an die Domäne anmelden wollte sagte der Windows Rechner, dass die Domäne nicht existiert. (die genaue Fehlermeldung kann ich jetzt leider nicht liefern, weil ich gerade nicht an den Windows Rechner kann.... poste ich aber sobald ichs nochmal ausprobieren kann! ;))
Dannach hab ich den Rat eines anderen Tutorials für W2K und Win XP Prof. befolgt und einen root-account in Samba angelegt.
In der Datei /etc/passwd hab ich
Code:
bellinda$:x:5000:5000::/dev/null:/bin/false
gesetzt (bellinda heißt die workstation)
in /etc/group habe ich
Code:
smbpc::5000
gesetzt

dann wurden Registryänderungen verlangt die ich aber noch nicht gemacht habe, da der windows rechner nicht meiner ist... werde aber heute noch mit jemandem sprechen, ob es möglich ist das noch zu machen.
zur info: in der windows registry soll folgendes geändert werden:
Code:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"requiresignorseal"=dword:00000000
"signsecurechannel"=dword:00000000

testparm gibt die fehlermeldung bei domain admin users aus, sagt aber, dass der Rechner als ROLE_DOMAIN_PDC läuft...
 
zu 1 und 2
Bei der Version 3.x von Samba gibts es den Parameter "domain Admin group" nicht mehr. Hier mußt du den Befehl "net groupmap" verwenden um deine Gruppen zu definieren.

Die Änderung der Regestrie mußte ich noch nie machen, und ich habe inzwischen schon einige Win2k und XP Clients an meinen SambaServer angebunden.
 
mit den Befehl smbstatus kannst dir in einer Konsole den Status deines Servers genau ausgeben lassen. Auch Fehler in der smb.conf sollten hier angezeigt werden.
 
hm... wie genau gebe ich die user bei 'net groupmap' ein?
ich habs jetzt so eingetragen:
Code:
net groupmap = root, admin, administrator
und testparm sagt mir, dass net groupmap ein unbekannter parameter ist....
 
net groupmap ist kein Parameter für die smb.conf sondern ein Befehl für die shell. Du mußt den Befehl in einer Konsole deines Linuxrechners ausführen.
 
also ich habs jetzt alles soweit geändert (mit net groupmap eine administratorengruppe gemapt).
testparm sagt mir auch, dass der rechner als ROLE_DOMAIN_PDC läuft und bringt keine Fehlermeldungen mehr, aber wenn ich die workstation anmelden möchte, sagt windows, dass die Domäne nicht vorhanden ist oder keine Verbindung hergestellt werden konnte...
 
Melde dich mal lokal an deiner Windowsmaschine an und versuche dann die Domäne über die netzwerkumgebung zu finden, gegenfalls mußt du deine Workstation erneut der Domäne hinzufügen.
 
ok, also ich bin bei win lokal angemeldet und sehe auch die Domäne (T1) in der Netzwerkumgebung. kann allerdings nicht drauf zugreifen, da sagt er mir, dass er auf T1 nicht zugreifen kann, weil das Gerät angeblich nicht verbunden ist.
Wenn ich den Rechner per IP oder rechnername suche, findet windows ihn und ich kann drauf zugreifen, ich kann mich einloggen und alles scheint prima... :(
 
Deaktivier auf deinen Sambaserver mal den wins-Support vielleicht hilft dir das weiter, andere Ideen hab ich derzeit auch nicht.
 
hab ich gemacht, hilft aber leider nichts....
habe die firewall ausgeschaltet und bin dadurch auch ein stückchen weiter gekommen. wenn ich den winrechner zur domäne hinzufügen will, fragt windows jetzt nach einem autorisierten user (root) und passwort... wenn ich das eingebe, kommt aber trotzdem noch die fehlermeldung, dass die angegebene domäne nicht vorhanden ist oder keine verbindung hergestellt werden konnte
 
es funktioniert jetzt.... ich hatte unter "netbios name" einen falschen namen für den rechner angegeben. nachdem ich das geändert hatte funktionierte alles! ;)

aber danke für die hilfe! :)
 

Ähnliche Themen

Mit Windows auf Ubuntu Ordner erstellen

Samba 3.6.25 - OpenLDAP Setup

Dovecot: Geteilte Postfächer (Shared Mailboxes) funktionieren nicht

Samba 4.9.5-Debian - Kennwort von unix übernehmen

SMB Zugriff auf Homeshare

Zurück
Oben