Samba und der PDC... Profilprobleme! HELP!!!

[micologe]

Hallo

Habe foglendes Problem mit dem Sch....önen Samba 3.0.20b-3.3-SUSE (auf SUSE 10.0) auf dem noch (be)sch.........öneren Windows XP-Prof......:-)))
Ich hoffe mir kann da jemand mit ein wenig mehr Ahnung als ich helfen..... (es hat ja schon mal funktioniert, bis ich es noch ein wenig verbessern wollte......;-))
Leider weiß ich nicht mehr so genau, was ich danach alles umgeschrieben hab, sonst wäre es ja kein Problem nicht.............................("NEVER CHANGE A RUNNING (SAMBA) SYSTEM!!!)

Also folgendens: Ich kann mich mit der Domäne verbinden, und es werden auch die Logon-Skripte gestartet,aber das mit dem Profilen funktioniert nicht wirklich. Hab auch schon mit Win die Profile in den Ordner /var/lib/samba/profiles/"Username(hier Andi) kopiert, aber irgendwie lädt er das Profil nicht direkt beim einloggen.....?????? Es wird immer von einem Standarprofil auf Win xp gestartet aber meine Freigaben sind alle auch dem eingeloggten Benutzer vorhanden.


Hier mal ein Logon-Skript (im Ordner /var/lib/samba/netlogon)
(hab ich da evtl was vergessen???)

@echo: off
NET USE Z: \\mic-samba\netlogon\andi.bat
NET USE Y: \\mic-samba\profiles\andi
NET USE P: \\mic-samba\privat
NET TIME \\mic-samba /set /yes
:END



Dann mal meine Freigaben ~/profile und ~/netlogon aus der smb.conf:

[profiles]
comment = Network Profiles Service
path = /var/lib/samba/profiles
writeable = yes
profile acls = yes
#nur zur bisherigen Erstellung browseable, wird danach dann wieder gelöscht!
browseable = yes


[netlogon]
comment = Network Logon Service
path = /var/lib/samba/netlogon
write list = root
read only = yes
read list = @privat @betrieb root
#nur zur bisherigen Erstellung browseable, wird danach dann wieder gelöscht!
browseable = yes


Ach ja und die global-Sektion

[global]
workgroup = m-net.local
security = user
unix charset = LOCALE
server string = mic-samba
log level = 3
syslog = 1
debug timestamp = no
max log size = 1000
printcap name = cups
cups options = raw
guest account = nobody
logon script = %U.bat
logon path = \\%L\profiles\%U
logon home = \\%L\homes\%U
logon drive = M:
domain logons = Yes
os level = 65
preferred master = Yes
domain master = Yes
username map = /etc/samba/smbusers
nt acl support = no
wins support = yes
time server = yes
admin users = root
unix password sync = yes
encrypt passwords = yes
update encrypted =yes
passwd program = /usr/bin/passwd%u
passwd chat = new*password* %n/n reenter*new*password* %n/n *successfully*updated*all*tokens*
pam password change = yes
passdb backend = smbpasswd
local master = Yes
# server signing = Auto
browseable = no
public = no
writeable = no
socket options = TCP_NODELAY
log file = /var/log/samba/log.smbd


Ja, das dürfte hoffentlich ausreichen??? falls irgendjemand noch einen Auszug aus der log-file benötigt, den kann ich auch noch nachreichen....

Ich hoffe es kennt sich jemand hier aus, der mir hilft, den Samba endlich wieder zu laufen zu bringen.
Derzeit funktioniert er ja als Fileserver einwandfrei.....aber es soll ja ein PDC werden...:-(((

Schon mal vielen Dank für die zahlreiche Hilfe.....

Ciao mfg MIC


PS: Kann ich den Server dann später auch mal auf eine Knoppix -Version "umpflanzen"? Dürfte doch mit der vorhanden und natürlich auch funktionierenden smb.conf dann kein Problem mehr sein, bis auf das ich die Pfade; User, Groups usw. neu anlegen bzw. ändern muss, oder???

 

[theton]

Ich wuerde den netuse-Befehlen ja noch das Login-Passwort und den Benutzer uebergeben um Authentifizierungsprobleme auszuschliessen, also

NET USE <laufwerk>: \\<server>\<freigabe> <passwort> /USER:<username>

Gibt es sonst irgendwelche Unregelmaessigkeiten in den Logs, die darauf hinweisen, dass es Zugriffsprobleme auf das Profil gibt o.ae.?

 

[micologe]

Samba Log Datei

[2006/05/06 14:22:03, 2] param/loadparm.c:do_section(3684)
  Processing section "[netlogon]"
[2006/05/06 14:22:03, 2] param/loadparm.c:do_section(3684)
  Processing section "[printers]"
[2006/05/06 14:22:03, 2] param/loadparm.c:do_section(3684)
  Processing section "[print$]"
added interface ip=192.168.100.33 bcast=192.168.100.255 nmask=255.255.255.0
Registered MSG_REQ_POOL_USAGE
Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED
waiting for a connection
setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
setup_new_vc_session: New VC == 0, if NT4.x compatible we would close all old resources.
Attempt to bind using schannel without successful serverauth2
check_ntlm_password:  authentication for user [andi] -> [andi] -> [andi] succeeded
Returning domain sid for domain M-NET.LOCAL -> S-1-5-21-1167306390-3380132565-721316632
check_ntlm_password:  authentication for user [andi] -> [andi] -> [andi] succeeded
mic (192.168.100.32) connect to service profiles initially as user andi (uid=1002, gid=1001) (pid 6421)
mic (192.168.100.32) connect to service netlogon initially as user andi (uid=1002, gid=1001) (pid 6421)
mic (192.168.100.32) connect to service andi initially as user andi (uid=1002, gid=1001) (pid 6421)
mic (192.168.100.32) closed connection to service profiles
mic (192.168.100.32) closed connection to service netlogon
mic (192.168.100.32) closed connection to service andi
check_ntlm_password:  authentication for user [andi] -> [andi] -> [andi] succeeded
mic (192.168.100.32) connect to service andi initially as user andi (uid=1002, gid=1001) (pid 6421)
mic (192.168.100.32) connect to service netlogon initially as user andi (uid=1002, gid=1001) (pid 6421)
andi opened file andi.bat read=Yes write=No (numopen=1)
andi opened file andi.bat read=Yes write=No (numopen=2)
andi closed file andi.bat (numopen=1) 
andi closed file andi.bat (numopen=0) 
andi opened file andi.bat read=No write=No (numopen=1)
andi closed file andi.bat (numopen=0) 
andi opened file andi.bat read=Yes write=No (numopen=1)
andi closed file andi.bat (numopen=0) 
andi opened file andi.bat read=Yes write=No (numopen=1)
andi closed file andi.bat (numopen=0) 
andi opened file andi.bat read=Yes write=No (numopen=1)
andi closed file andi.bat (numopen=0) 
andi opened file andi.bat read=Yes write=No (numopen=1)
andi closed file andi.bat (numopen=0) 
andi opened file andi.bat read=Yes write=No (numopen=1)
mic (192.168.100.32) connect to service profiles initially as user andi (uid=1002, gid=1001) (pid 6421)
mic (192.168.100.32) connect to service privat initially as user andi (uid=1002, gid=1001) (pid 6421)
andi closed file andi.bat (numopen=0) 
Returning domain sid for domain M-NET.LOCAL -> S-1-5-21-1167306390-3380132565-721316632
mic (192.168.100.32) connect to service profiles initially as user andi (uid=1002, gid=1001) (pid 6421)
mic (192.168.100.32) closed connection to service netlogon
mic (192.168.100.32) closed connection to service andi
mic (192.168.100.32) closed connection to service profiles
mic (192.168.100.32) closed connection to service privat
mic (192.168.100.32) closed connection to service profiles
Closing connections

Das ist meine Log bei Log-Level 2. Habe mich mal ein und wieder ausgeloggt.

Ja das mit dem Passwort und Benutzername, gute Sache, aber wie sieht es denn aus, wenn einer der Benutzer sein Passwort ändert??? Dann muss ich doch die *.bat für den Nutzer wieder neu schreiben, oder nicht???

aber ich werde es mal probieren, wie es damit läuft...

THX mfg MIC

 

[theton]

Ansonsten mal hier schauen: http://freshmeat.net/projects/easysambaserver/

 

[micologe]

Lösung???

Hallo

Jetzt hab ich das Problem schon mal kurz gelöst gehabt.....es lag an dem Netlogon skript.... :-) ein \%Username% war zuviel dabei

ABER:

Als ich den Pc dann heruntergefahren hab, ging es wieder von vorne los......"Es wurde kein servergespeichertes Profil gefunden.......bla bla bla"

Ich hoffe mir kann das jemand erklären???

Hier der Auszug aus meiner share-Sektion der smb.conf:

Das Profile ist in dem Verzeichnis /var/lib/samba/profiles/mich-a(also der User)/* abgespeichert. Ich habs von dem Win Rechner aus
herüberkopiert und dann so gelassen.
Muss ich evtl. ein Default Profile irgendwo anlegen???
Oder gehören alle Profile der Nutzer (8 verschiede Nutzerprofile) direkt auf die Freigabe Profiles??? Was aber schlecht ist, da ja
eines das andere überschreibt, oder nicht???

[profiles]
	comment = Network Profiles Service
	path = /var/lib/samba/profiles
	writeable = yes
	browseable = yes
	profile acls = yes

Hier noch ein kurzer Auszug aus der global meiner smb.conf:

logon script = %U.bat
	logon path = \\%L\profiles\%U
	logon home = \\%L\homes\%U
	logon drive = M:

Und das ist das netlogon-skript des Users:

@echo: off
NET USE Z: \\mic-samba\netlogon\mich-a.bat
NET USE Y: \\mic-samba\profiles
NET USE P: \\mic-samba\privat
NET USE Q: \\mic-samba\betrieb
NET TIME \\mic-samba /set /yes
:END

Hab bei allen Verzeichnissen samt Unterverzeichnisse mal volle Rechte also 777 vergeben. Aber ich hab echt keine Ahnung mehr, warum das schon wieder nicht mehr geht....

Ich hoffe das mir da jemand hier weiterhelfen kann!!! Das wäre echt nicht schlecht.............

Ciao mfg MIC

 

[allos]

Windows kann das nicht richtig gut...

Das war jedenfalls unsere Erfahrung mit den Profilverzeichnissen auf Samba-Server. Windows überprüft standardmäßig, ob der User Eigentümer des Profilverzeichnisses ist. Das scheint aber auf Linuxkisten gegen die Wand zu laufen. Abhilfe: im Group-Policy-Editor auf den Workstations (gpedit.msc) den Schalter "Eigentümer von Servergespeicherten Benutzerprofilen nicht prüfen" aktivieren (findest Du unter Computerkonfiguration - Administrative Vorlagen - System - Anmeldung). Oder wenn Du den Ärger ganz weghaben willst, nimmst Du den darunterliegenden Schalter "Nur lokale Benutzerprofile zulassen" ;-)

Dem Tip von theton, Username und Passwort in die Login-Datei zu schreiben, kann ich nicht folgen. Das Eintragen von Passworten im Klartext in Batchdateien ist sicherheitstechnisch nicht gerade optimal, vorsichtig gesprochen. Ausserdem ist doch zu dem Zeitpunkt, wo das Loginskript läuft, der User bereits authentifiziert. Oder bin ich im falschen Film?

 

[theton]

Das Eintragen von Passworten im Klartext in Batchdateien ist sicherheitstechnisch nicht gerade optimal, vorsichtig gesprochen.

Dass MCert pro Woche etwa 3-5 neue Sicherheitsluecken fuer Windows meldet ist auch nicht gerade optimal. Ich denke, dass da ein paar Klartext-Passwoerter keine Probleme machen. Windows ist ansich unsicher, vorsichtig gesprochen. Da kann man sich noch so sehr anstrengen. Kaum denkt man, dass man das System endlich einigermassen sicher hat, wird schon die naechste Luecke gemeldet. Ich habe es daher mittlerweise aufgegeben Windows-Rechner sicher machen zu wollen, funktioniert eh nicht. Als sch... auf Klartext-Passwoerter unter Windows. Irgendwie kommt man an die ja doch ran, man muss nur lange genug warten bis eine passende Luecke gemeldet wird.

 

[micologe]

tja, da hast du ja vollkommen Recht, das diese MS-Betriebssysteme einfach nicht sicher genug sind.....
Da ich aber leider der einzige bei uns bin, der allein nur mit dem Wort Linux überhaupt was anfangen kann ("HÄÄÄ?!?!?! Was ist den Linux?!?!?!?" Ach ja das hat ja den coolen Pinguin mit dabei, oder nicht???)
Wird es wahrscheinlich etwas schwer, alle Rechner mit Linux laufen zu lassen...... :-)

Das mit den Passwörtern:
Ich denke mir wenn sie jemand haben will, der bekommt sie auch so......
Aber ich will sie ihm echt nicht in Klartext zur Verfügung stellen!!! Wenn dann soll er schon ein wenig arbeiten dafür!!!

Und es geht eingentlich auch so, ohne die Passwörter....
Es ist ja bisher, soweit ich das feststellen konnte nur an den sch..... Profiles gescheitert.
Nun ich werde mal den Tipp mit dem msc probieren, dann schauen wir mal, ob es geht oder nicht...

THX ciao mfg MIC

 

[micologe]

THX @allos

Das war genau das, woran es gelegen hat!!! hab das mal mit gpedit.msc umgestellt, seitdem läuft der Samba und will auch garnicht mehr aufhören...... :-)

Ciao mfg MIC