Hallo Lars & Community, gibt es noch eine Chance auf Antwort bzw. Hilfestellung zu meinem Problem? (siehe mein untenstehendes Mail). Danke Andreas -----Ursprüngliche Nachricht----- Von: Mrvka Andreas [mailto:mrv@tuv.at] Gesendet: Freitag, 20. August 2010 14:20 An: opensuse-de@opensuse.org Betreff: Re: Domain Authentifizierung Hi again, On Friday 20 August 2010 13:34:29 Lars Müller wrote:
On Fri, Aug 20, 2010 at 09:18:39AM +0200, Mrvka Andreas wrote: [...]
pc2 # ssh domain\\user@pc1 pc1 /var/log/messages error: Could not get shadow information for domain\\user Failed password for domain\\user from <ipadresse> port 51550 ssh2
Eigentlich wollte ich ja den dolphin vom konqueror benutzen. fish://domain\user@pc1 aber es kommen die gleichen Fehlermeldungen.
pc1 ist ein Domänenmitglied?
Ja pc1 ist der Zielrechner und ist ein Domänenmitglied.
Wenn ja, dann ohne @pc1
Aber wie gebe ich dann im dolphin bzw. ssh den Zielrechner an?
ssh -l <domain>\\<loginname> <destination_host>
oder
ssh <domain>\\<loginname>@<destination_host>
Gut und das ist das gleiche was ich in meinem Beispiel angegeben hatte. " ssh -l .... " funktioniert leider auch nicht. [...]
a) Welches Betriebssystem/ welche Samba-Version?
openSUSE 11.{3,2,1}, Factory oder SUSE Linux Enterprise?
Aha! Das heisst, der SSH Server interagiert mit Samba/Winbindd? aha!?
Der SSH Server interagiert mit pam und nss.
Unter /etc/pam.d habe ich nur pam_winbind.so Einträge gefunden und nichts von smb. (grep -iR smb /etc/pam.d) [...]
Samba Server ist auf dem pc1 nicht installiert. Braucht man den für ein Shell- Login? Wenn winbindd mitspielt, dann wohl sicher, oder?
Korrekt.
Da frage ich mich dann nur was der Haken bei Einmalanmeldung (Single Sign On) für SSH (im Yast und Windows-Domänenmitgliedschaft) nicht den Samba Server mitinstalliert. Wobei das Nachinstallieren leider ja auch noch nicht den Erfolg gebracht hat. [...]
Mehrere Domänen Kontroller mit einem großen Forest (= viele Subdomains) mit Vertrauensstellungen. Da würde es mich eh freuen, wenn mir jemand sagen könnte, wie man im KDM eine Domain fix einstellen könnte fürs Einloggen.
Es geht. Wir haben das vor Jahren implementiert. Ob das den Weg nach KDE 4 gefunden hat, ist allerdings eine gute Frage.
Zudem merkt sich der KDM den zuletzte benutzten Authentisierungskontext.
Im openSUSE 11.2 war das auch noch so! Oder vielleicht auch noch vor KDE 4.4 Aber seit dem Update auf 11.3 beschweren sich meine User.
Wir haben:
## Type: yesno # Display a combobox for Active Directory domains. /etc/sysconfig/displaymanager:DISPLAYMANAGER_AD_INTEGRATION
ja klar - das steht auf yes ... und die combobox die wird nach ~10sek mit den Domains befüllt.
Der NetworkManager beim Booten läuft immer etwa 10 Sekunden ab bis dann der Winbindd startet und mir dann die Domänenauswahl bringt.
Zwei getrennte Probleme.
a) NetworkManager bzw. konkret dhcp-client
dhcp-client ist einfach langsamer als dhcpcd. Dazu gab es einen Bug und Upstream sagte: feature, kein bug.
Soweit ich nun im messages-log lesen kann, sehe ich, dass der networkmanager für die LAN den dhclient verwendet (dhcp-client?) und WLAN den dhcpcd ("not running exiting").
b) Sobald das Netzwerk verfügbar ist muss sich der winbindd mit seinem DC synchronisieren. Je nach Umgebung kann das dauern.
ja klar.
Drecks Open Source Software Samba Müll?
http://samba.org/~lmuelle/xp-login-wait.png oder in Worten: "Please wait while the domain list is created."
Dieses Fenster habe ich selbst unter Windows 9x - 7 noch nie gesehen *ggg*
Den Usern nervt das Warten und das "Extra-Auswählen" der Domäne.
Der KDM _muss_ sich die zuletzt benutze Domäne merken. Wenn er das nicht macht, dann ist das ein Bug und ein Fall für bugzilla.
OK - klingt komisch ... is aber so. (also mind. bei KDE 4.4.x - KDE 4.5.x)
Das mit dem Warten ist ein wenig schwieriger. Möglicherweise hilft "winbind offline logon = Yes" in /etc/samba/smb.conf als globale Option.
das IST gesetzt. wahrscheinlich durch den Haken "Offline-Authentifizierung" in der Domainmitgliedschaft? Also kanns das mal nicht sein. .. next check .... Ja wenn ich mich auslogge, dann merkt er sich den letzten User und Domain ;-) Nach einem Neustart merkt er sich nur den User.
Ausprobieren und berichten. Zu den möglichen Nebeneffekten mehr weiter unten.
[...]
id <domain>\\<loginname>
zeigt meine zugehörigen Gruppenmitgliedschaften an.
Somit ist nss korrekt konfiguriert.
Es scheint ja sonst auch alles gut zu funktionieren :-)
oder
id <login_name>
Wenn das nichts liefert, dann /etc/nsswitch.conf prüfen, ob passwd und group winbind als Informationsquelle benutzen.
c) nscd-cache-Effekte?
service nscd restart
Der ganze Rechner wurde schon neu gestartet, etc, etc....
Nicht abstellen! nscd ist sehr hilfreich dabei, die Last auf den DCs zu reduzieren.
chkconfig ncsd
sollte "nscd on" melden.
nscd läuft...
d) winbind cache time Einstellungen
Default ist 300 Sekunden. Zum Testen ist das ok. Produktiv ist das schlecht. Wir haben große Umgebungen mit langsamen Anbindungen (und zu restriktiven Einstellungen auf der DC-Seite, non default Microsoft) gesehen, da hat der winbindd sich die Information besorgt, ein paar Sekunden später verworfen und das Spiel begann von vorne.
Toll ... also ein Laie greift sich da bestimmt auf den Kopf weshalb sich da nichts tut :-)
Das sind aus meiner Sicht zwei Bugs.
a) Einer für bugzilla.novell.com (bnc), da das YaST-Modul keinen "vernünftigen" Wert setzt. Aber nur, wenn das YaST-Modul das nicht bereits anfasst. Einem groben rpm -ql yast2-samba-client | grep ... nach wird da nichts gesetzt. :/
.... erm. Was heisst das jetzt? Soll ich was machen bzw. Welchen Bug soll ich melden mit welchem Inhalt bzw. Kategorie oder Produkt? *smile*
Was ist vernünftig?
Ein Arbeitstag, also 12 Stunden, damit noch genug Luft zum Ende hin drin ist.
ja klar... damit einem ja nicht langweilig wird. Aber ich will ja nicht motzen - sondern eher dass das allumfassende openSUSE _noch_ besser wird.
b) Einer bei bugzilla.samba.org (bso), dass der default von 300 Sekunden zu wenig ist.
Wenn man bso 6536 liest, dann kann das aber Seiteneffekte haben. Da dort aber seit einem Jahr die Rückmeldung des Reportes fehlt und sich zwischenzeitlich einiges geändert hat, würde ich es trotzdem testen.
cool - version 3.2 ... ja das waren noch Zeiten. Aber ganz habe ich jetzt noch nicht begriffen was ich jetzt noch testen könnte. Vor allem nicht bei meinen ursprünglichen Problem mit dem Einloggen per SSH auf einem Fremdrechner ;-)
Lars
Danke fürs Durchhalten-und-bis-zum-Ende-lesen. Gruß Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org