Hallo Liste, hat jemand schon mal das gleiche Problem gehabt bzw. weis was zu tun ist? Wenn ich auf einem Rechner (PC1) die Windows Domänenauthentifizierung aktiviert habe und ich möchte mich von einem anderen Computer (PC2) auf den PC1 verbinden, dann klappt die Authentifizierung nicht. pc2 # ssh domain\user@pc1 pc1 /var/log/messages Invalid user domainuser from <ipaddresse> Failed none for invalid user domainuser from <ipadresse> port 51549 ssh2 pc2 # ssh domain\\user@pc1 pc1 /var/log/messages error: Could not get shadow information for domain\\user Failed password for domain\\user from <ipadresse> port 51550 ssh2 Eigentlich wollte ich ja den dolphin vom konqueror benutzen. fish://domain\user@pc1 aber es kommen die gleichen Fehlermeldungen. Kennt das zufällig schon jemand? Gruß Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Thu, Aug 19, 2010 at 03:41:34PM +0200, Mrvka Andreas wrote:
hat jemand schon mal das gleiche Problem gehabt bzw. weis was zu tun ist?
Wenn ich auf einem Rechner (PC1) die Windows Domänenauthentifizierung aktiviert habe und ich möchte mich von einem anderen Computer (PC2) auf den PC1 verbinden, dann klappt die Authentifizierung nicht.
pc2 # ssh domain\user@pc1 pc1 /var/log/messages Invalid user domainuser from <ipaddresse> Failed none for invalid user domainuser from <ipadresse> port 51549 ssh2
pc2 # ssh domain\\user@pc1 pc1 /var/log/messages error: Could not get shadow information for domain\\user Failed password for domain\\user from <ipadresse> port 51550 ssh2
Eigentlich wollte ich ja den dolphin vom konqueror benutzen. fish://domain\user@pc1 aber es kommen die gleichen Fehlermeldungen.
pc1 ist ein Domänenmitglied? Wenn ja, dann ohne @pc1 \\ ist die korrekte Variante. Folgende Informationen fehlen, damit man eine genauere Aussage treffen könnte: a) Welches Betriebssystem/ welche Samba-Version? openSUSE 11.{3,2,1}, Factory oder SUSE Linux Enterprise? Samba Version oder winbindd: /usr/sbin/winbindd -V b) Wie ist die Umgebung definiert? Microsoft Active Directory Umfeld in welcher Konfiguration? Ein oder mehrere unabhängige Domänen Kontroller oder Vertrausneverhältnisse? So sind das viel zu wenig Informationen, damit jemand dazu eine qualifizierte Aussage treffen kann. c) YaST -> Mitgliedschaft in einer Windows-Domäne Haken bei "Zusätzliche SMB-Informationen für Linux-Auth. verwenden" und Haken bei "Einmalanmeldung (Single Sign-On) für SSH" c) ist nichts als eine vage Vermutung, wie es am schnellsten gehen könnte. Und ja, es funktioniert bei mir mit SLE 11 und 10 den aktuellen Service Packs und openSUSE 11.3 und Factory. Wie den möglichen Fehler eingrenzen? a) /etc/smaba/smb.conf auf "winbind use default domain" testen. b) In Abhängigkeit davon id <domain_name>\\<login_name> oder id <login_name> Wenn das nichts liefert, dann /etc/nsswitch.conf prüfen, ob passwd und group winbind als Informationsquelle benutzen. c) nscd-cache-Effekte? service nscd restart Nicht abstellen! nscd ist sehr hilfreich dabei, die Last auf den DCs zu reduzieren. chkconfig ncsd sollte "nscd on" melden. d) winbind cache time Einstellungen Default ist 300 Sekunden. Zum Testen ist das ok. Produktiv ist das schlecht. Wir haben große Umgebungen mit langsamen Anbindungen (und zu restriktiven Einstellungen auf der DC-Seite, non default Microsoft) gesehen, da hat der winbindd sich die Information besorgt, ein paar Sekunden später verworfen und das Spiel begann von vorne. Wie geht es weiter? http://en.openSUSE.org/Samba -> Bereich "Samba bug reporting and advanced debugging information" mit Link zu http://en.openSUSE.org/openSUSE:Bugreport_Samba Und ohne Bug-Report gibt es Fehler nicht. ;) Lars -- Lars Müller [ˈlaː(r)z ˈmʏlɐ] Samba Team SUSE Linux, Maxfeldstraße 5, 90409 Nürnberg, Germany
Hallo Lars, On Thursday 19 August 2010 16:44:53 Lars Müller wrote:
On Thu, Aug 19, 2010 at 03:41:34PM +0200, Mrvka Andreas wrote:
hat jemand schon mal das gleiche Problem gehabt bzw. weis was zu tun ist?
Wenn ich auf einem Rechner (PC1) die Windows Domänenauthentifizierung aktiviert habe und ich möchte mich von einem anderen Computer (PC2) auf den PC1 verbinden, dann klappt die Authentifizierung nicht.
pc2 # ssh domain\user@pc1 pc1 /var/log/messages Invalid user domainuser from <ipaddresse> Failed none for invalid user domainuser from <ipadresse> port 51549 ssh2
pc2 # ssh domain\\user@pc1 pc1 /var/log/messages error: Could not get shadow information for domain\\user Failed password for domain\\user from <ipadresse> port 51550 ssh2
Eigentlich wollte ich ja den dolphin vom konqueror benutzen. fish://domain\user@pc1 aber es kommen die gleichen Fehlermeldungen.
pc1 ist ein Domänenmitglied?
Ja pc1 ist der Zielrechner und ist ein Domänenmitglied.
Wenn ja, dann ohne @pc1
Aber wie gebe ich dann im dolphin bzw. ssh den Zielrechner an?
\\ ist die korrekte Variante.
Danke, dachte ich mir auch, da wohl der erst "\" quotierend wirkt. Hat aber leider nichts gebracht wie man weiter oben erkennt. :-(
Folgende Informationen fehlen, damit man eine genauere Aussage treffen könnte:
gerne liefere ich die nach! wollte nur nich gleich beim Erstkontakt alle nicht- so-technisch-Versierten abschrecken :-)
a) Welches Betriebssystem/ welche Samba-Version?
openSUSE 11.{3,2,1}, Factory oder SUSE Linux Enterprise?
Aha! Das heisst, der SSH Server interagiert mit Samba/Winbindd? aha!? Server (pc1) sowie der Client (pc2) sind openSUSE 11.3 mit KDE 4.5 Repo. samba-client-3.5.4-4.1.x86_64 samba-3.5.4-4.1.x86_64
Samba Version oder winbindd:
Samba Server ist auf dem pc1 nicht installiert. Braucht man den für ein Shell- Login? Wenn winbindd mitspielt, dann wohl sicher, oder? Auch ein Installieren des Samba Servers hat nichts gebracht....
/usr/sbin/winbindd -V
Version 3.5.4-4.1-2382-SUSE-SL11.3
b) Wie ist die Umgebung definiert?
Microsoft Active Directory Umfeld in welcher Konfiguration?
AD 2003 mixed mode.
Ein oder mehrere unabhängige Domänen Kontroller oder Vertrausneverhältnisse?
Mehrere Domänen Kontroller mit einem großen Forest (= viele Subdomains) mit Vertrauensstellungen. Da würde es mich eh freuen, wenn mir jemand sagen könnte, wie man im KDM eine Domain fix einstellen könnte fürs Einloggen. Der NetworkManager beim Booten läuft immer etwa 10 Sekunden ab bis dann der Winbindd startet und mir dann die Domänenauswahl bringt. Den Usern nervt das Warten und das "Extra-Auswählen" der Domäne.
So sind das viel zu wenig Informationen, damit jemand dazu eine qualifizierte Aussage treffen kann.
c) YaST -> Mitgliedschaft in einer Windows-Domäne
Haken bei "Zusätzliche SMB-Informationen für Linux-Auth. verwenden" und
ja ist gesetzt.
Haken bei "Einmalanmeldung (Single Sign-On) für SSH"
NEIN ! da war kein Haken! Aber auch dieses hat keine Besserung herbeigeführt.
c) ist nichts als eine vage Vermutung, wie es am schnellsten gehen könnte.
Und ja, es funktioniert bei mir mit SLE 11 und 10 den aktuellen Service Packs und openSUSE 11.3 und Factory.
Wie den möglichen Fehler eingrenzen?
a) /etc/smaba/smb.conf auf "winbind use default domain" testen.
b) In Abhängigkeit davon
id <domain_name>\\<login_name>
id <domain>\\<loginname> zeigt meine zugehörigen Gruppenmitgliedschaften an.
oder
id <login_name>
Wenn das nichts liefert, dann /etc/nsswitch.conf prüfen, ob passwd und group winbind als Informationsquelle benutzen.
c) nscd-cache-Effekte?
service nscd restart
Der ganze Rechner wurde schon neu gestartet, etc, etc....
Nicht abstellen! nscd ist sehr hilfreich dabei, die Last auf den DCs zu reduzieren.
chkconfig ncsd
sollte "nscd on" melden.
nscd läuft...
d) winbind cache time Einstellungen
Default ist 300 Sekunden. Zum Testen ist das ok. Produktiv ist das schlecht. Wir haben große Umgebungen mit langsamen Anbindungen (und zu restriktiven Einstellungen auf der DC-Seite, non default Microsoft) gesehen, da hat der winbindd sich die Information besorgt, ein paar Sekunden später verworfen und das Spiel begann von vorne.
Toll ... also ein Laie greift sich da bestimmt auf den Kopf weshalb sich da nichts tut :-)
Wie geht es weiter?
http://en.openSUSE.org/Samba -> Bereich "Samba bug reporting and advanced debugging information" mit Link zu http://en.openSUSE.org/openSUSE:Bugreport_Samba
Und ohne Bug-Report gibt es Fehler nicht. ;)
Ich sag ja gar nicht dass es ein Bug ist - der erste Fehler ist eh selbst beim Benutzer zu suchen ;-)
Lars
Danke für deine sehr intensive Fehlerbehandlung! Gruß Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Fri, Aug 20, 2010 at 09:18:39AM +0200, Mrvka Andreas wrote:
On Thursday 19 August 2010 16:44:53 Lars Müller wrote:
On Thu, Aug 19, 2010 at 03:41:34PM +0200, Mrvka Andreas wrote:
hat jemand schon mal das gleiche Problem gehabt bzw. weis was zu tun ist?
Wenn ich auf einem Rechner (PC1) die Windows Domänenauthentifizierung aktiviert habe und ich möchte mich von einem anderen Computer (PC2) auf den PC1 verbinden, dann klappt die Authentifizierung nicht.
pc2 # ssh domain\user@pc1 pc1 /var/log/messages Invalid user domainuser from <ipaddresse> Failed none for invalid user domainuser from <ipadresse> port 51549 ssh2
pc2 # ssh domain\\user@pc1 pc1 /var/log/messages error: Could not get shadow information for domain\\user Failed password for domain\\user from <ipadresse> port 51550 ssh2
Eigentlich wollte ich ja den dolphin vom konqueror benutzen. fish://domain\user@pc1 aber es kommen die gleichen Fehlermeldungen.
pc1 ist ein Domänenmitglied?
Ja pc1 ist der Zielrechner und ist ein Domänenmitglied.
Wenn ja, dann ohne @pc1
Aber wie gebe ich dann im dolphin bzw. ssh den Zielrechner an?
ssh -l <domain>\\<loginname> <destination_host> oder ssh <domain>\\<loginname>@<destination_host>
Folgende Informationen fehlen, damit man eine genauere Aussage treffen könnte:
gerne liefere ich die nach! wollte nur nich gleich beim Erstkontakt alle nicht- so-technisch-Versierten abschrecken :-)
Nee. Wie ist das bei wissenschaftlichen Papieren? Erst den Abstract für die Ahnungslosen und dann die Details für die, die es wirklich interessiert. Do trifft man beide Zielgruppen mit einem Schlag.
a) Welches Betriebssystem/ welche Samba-Version?
openSUSE 11.{3,2,1}, Factory oder SUSE Linux Enterprise?
Aha! Das heisst, der SSH Server interagiert mit Samba/Winbindd? aha!?
Der SSH Server interagiert mit pam und nss.
Server (pc1) sowie der Client (pc2) sind openSUSE 11.3 mit KDE 4.5 Repo. samba-client-3.5.4-4.1.x86_64 samba-3.5.4-4.1.x86_64
Samba Version oder winbindd:
Samba Server ist auf dem pc1 nicht installiert. Braucht man den für ein Shell- Login? Wenn winbindd mitspielt, dann wohl sicher, oder?
Korrekt.
b) Wie ist die Umgebung definiert?
Microsoft Active Directory Umfeld in welcher Konfiguration?
AD 2003 mixed mode.
Ein oder mehrere unabhängige Domänen Kontroller oder Vertrausneverhältnisse?
Mehrere Domänen Kontroller mit einem großen Forest (= viele Subdomains) mit Vertrauensstellungen. Da würde es mich eh freuen, wenn mir jemand sagen könnte, wie man im KDM eine Domain fix einstellen könnte fürs Einloggen.
Es geht. Wir haben das vor Jahren implementiert. Ob das den Weg nach KDE 4 gefunden hat, ist allerdings eine gute Frage. Zudem merkt sich der KDM den zuletzte benutzten Authentisierungskontext. Wir haben: ## Type: yesno # Display a combobox for Active Directory domains. /etc/sysconfig/displaymanager:DISPLAYMANAGER_AD_INTEGRATION
Der NetworkManager beim Booten läuft immer etwa 10 Sekunden ab bis dann der Winbindd startet und mir dann die Domänenauswahl bringt.
Zwei getrennte Probleme. a) NetworkManager bzw. konkret dhcp-client dhcp-client ist einfach langsamer als dhcpcd. Dazu gab es einen Bug und Upstream sagte: feature, kein bug. b) Sobald das Netzwerk verfügbar ist muss sich der winbindd mit seinem DC synchronisieren. Je nach Umgebung kann das dauern. Drecks Open Source Software Samba Müll? http://samba.org/~lmuelle/xp-login-wait.png oder in Worten: "Please wait while the domain list is created."
Den Usern nervt das Warten und das "Extra-Auswählen" der Domäne.
Der KDM _muss_ sich die zuletzt benutze Domäne merken. Wenn er das nicht macht, dann ist das ein Bug und ein Fall für bugzilla. Das mit dem Warten ist ein wenig schwieriger. Möglicherweise hilft "winbind offline logon = Yes" in /etc/samba/smb.conf als globale Option. Ausprobieren und berichten. Zu den möglichen Nebeneffekten mehr weiter unten.
c) ist nichts als eine vage Vermutung, wie es am schnellsten gehen könnte.
Und ja, es funktioniert bei mir mit SLE 11 und 10 den aktuellen Service Packs und openSUSE 11.3 und Factory.
Wie den möglichen Fehler eingrenzen?
a) /etc/smaba/smb.conf auf "winbind use default domain" testen.
b) In Abhängigkeit davon
id <domain_name>\\<login_name>
id <domain>\\<loginname>
zeigt meine zugehörigen Gruppenmitgliedschaften an.
Somit ist nss korrekt konfiguriert.
oder
id <login_name>
Wenn das nichts liefert, dann /etc/nsswitch.conf prüfen, ob passwd und group winbind als Informationsquelle benutzen.
c) nscd-cache-Effekte?
service nscd restart
Der ganze Rechner wurde schon neu gestartet, etc, etc....
Nicht abstellen! nscd ist sehr hilfreich dabei, die Last auf den DCs zu reduzieren.
chkconfig ncsd
sollte "nscd on" melden.
nscd läuft...
d) winbind cache time Einstellungen
Default ist 300 Sekunden. Zum Testen ist das ok. Produktiv ist das schlecht. Wir haben große Umgebungen mit langsamen Anbindungen (und zu restriktiven Einstellungen auf der DC-Seite, non default Microsoft) gesehen, da hat der winbindd sich die Information besorgt, ein paar Sekunden später verworfen und das Spiel begann von vorne.
Toll ... also ein Laie greift sich da bestimmt auf den Kopf weshalb sich da nichts tut :-)
Das sind aus meiner Sicht zwei Bugs. a) Einer für bugzilla.novell.com (bnc), da das YaST-Modul keinen "vernünftigen" Wert setzt. Aber nur, wenn das YaST-Modul das nicht bereits anfasst. Einem groben rpm -ql yast2-samba-client | grep ... nach wird da nichts gesetzt. :/ Was ist vernünftig? Ein Arbeitstag, also 12 Stunden, damit noch genug Luft zum Ende hin drin ist. b) Einer bei bugzilla.samba.org (bso), dass der default von 300 Sekunden zu wenig ist. Wenn man bso 6536 liest, dann kann das aber Seiteneffekte haben. Da dort aber seit einem Jahr die Rückmeldung des Reportes fehlt und sich zwischenzeitlich einiges geändert hat, würde ich es trotzdem testen. Lars -- Lars Müller [ˈlaː(r)z ˈmʏlɐ] Samba Team SUSE Linux, Maxfeldstraße 5, 90409 Nürnberg, Germany
Hi again, On Friday 20 August 2010 13:34:29 Lars Müller wrote:
On Fri, Aug 20, 2010 at 09:18:39AM +0200, Mrvka Andreas wrote: [...]
pc2 # ssh domain\\user@pc1 pc1 /var/log/messages error: Could not get shadow information for domain\\user Failed password for domain\\user from <ipadresse> port 51550 ssh2
Eigentlich wollte ich ja den dolphin vom konqueror benutzen. fish://domain\user@pc1 aber es kommen die gleichen Fehlermeldungen.
pc1 ist ein Domänenmitglied?
Ja pc1 ist der Zielrechner und ist ein Domänenmitglied.
Wenn ja, dann ohne @pc1
Aber wie gebe ich dann im dolphin bzw. ssh den Zielrechner an?
ssh -l <domain>\\<loginname> <destination_host>
oder
ssh <domain>\\<loginname>@<destination_host>
Gut und das ist das gleiche was ich in meinem Beispiel angegeben hatte. " ssh -l .... " funktioniert leider auch nicht. [...]
a) Welches Betriebssystem/ welche Samba-Version?
openSUSE 11.{3,2,1}, Factory oder SUSE Linux Enterprise?
Aha! Das heisst, der SSH Server interagiert mit Samba/Winbindd? aha!?
Der SSH Server interagiert mit pam und nss.
Unter /etc/pam.d habe ich nur pam_winbind.so Einträge gefunden und nichts von smb. (grep -iR smb /etc/pam.d) [...]
Samba Server ist auf dem pc1 nicht installiert. Braucht man den für ein Shell- Login? Wenn winbindd mitspielt, dann wohl sicher, oder?
Korrekt.
Da frage ich mich dann nur was der Haken bei Einmalanmeldung (Single Sign On) für SSH (im Yast und Windows-Domänenmitgliedschaft) nicht den Samba Server mitinstalliert. Wobei das Nachinstallieren leider ja auch noch nicht den Erfolg gebracht hat. [...]
Mehrere Domänen Kontroller mit einem großen Forest (= viele Subdomains) mit Vertrauensstellungen. Da würde es mich eh freuen, wenn mir jemand sagen könnte, wie man im KDM eine Domain fix einstellen könnte fürs Einloggen.
Es geht. Wir haben das vor Jahren implementiert. Ob das den Weg nach KDE 4 gefunden hat, ist allerdings eine gute Frage.
Zudem merkt sich der KDM den zuletzte benutzten Authentisierungskontext.
Im openSUSE 11.2 war das auch noch so! Oder vielleicht auch noch vor KDE 4.4 Aber seit dem Update auf 11.3 beschweren sich meine User.
Wir haben:
## Type: yesno # Display a combobox for Active Directory domains. /etc/sysconfig/displaymanager:DISPLAYMANAGER_AD_INTEGRATION
ja klar - das steht auf yes ... und die combobox die wird nach ~10sek mit den Domains befüllt.
Der NetworkManager beim Booten läuft immer etwa 10 Sekunden ab bis dann der Winbindd startet und mir dann die Domänenauswahl bringt.
Zwei getrennte Probleme.
a) NetworkManager bzw. konkret dhcp-client
dhcp-client ist einfach langsamer als dhcpcd. Dazu gab es einen Bug und Upstream sagte: feature, kein bug.
Soweit ich nun im messages-log lesen kann, sehe ich, dass der networkmanager für die LAN den dhclient verwendet (dhcp-client?) und WLAN den dhcpcd ("not running exiting").
b) Sobald das Netzwerk verfügbar ist muss sich der winbindd mit seinem DC synchronisieren. Je nach Umgebung kann das dauern.
ja klar.
Drecks Open Source Software Samba Müll?
http://samba.org/~lmuelle/xp-login-wait.png oder in Worten: "Please wait while the domain list is created."
Dieses Fenster habe ich selbst unter Windows 9x - 7 noch nie gesehen *ggg*
Den Usern nervt das Warten und das "Extra-Auswählen" der Domäne.
Der KDM _muss_ sich die zuletzt benutze Domäne merken. Wenn er das nicht macht, dann ist das ein Bug und ein Fall für bugzilla.
OK - klingt komisch ... is aber so. (also mind. bei KDE 4.4.x - KDE 4.5.x)
Das mit dem Warten ist ein wenig schwieriger. Möglicherweise hilft "winbind offline logon = Yes" in /etc/samba/smb.conf als globale Option.
das IST gesetzt. wahrscheinlich durch den Haken "Offline-Authentifizierung" in der Domainmitgliedschaft? Also kanns das mal nicht sein. .. next check .... Ja wenn ich mich auslogge, dann merkt er sich den letzten User und Domain ;-) Nach einem Neustart merkt er sich nur den User.
Ausprobieren und berichten. Zu den möglichen Nebeneffekten mehr weiter unten.
[...]
id <domain>\\<loginname>
zeigt meine zugehörigen Gruppenmitgliedschaften an.
Somit ist nss korrekt konfiguriert.
Es scheint ja sonst auch alles gut zu funktionieren :-)
oder
id <login_name>
Wenn das nichts liefert, dann /etc/nsswitch.conf prüfen, ob passwd und group winbind als Informationsquelle benutzen.
c) nscd-cache-Effekte?
service nscd restart
Der ganze Rechner wurde schon neu gestartet, etc, etc....
Nicht abstellen! nscd ist sehr hilfreich dabei, die Last auf den DCs zu reduzieren.
chkconfig ncsd
sollte "nscd on" melden.
nscd läuft...
d) winbind cache time Einstellungen
Default ist 300 Sekunden. Zum Testen ist das ok. Produktiv ist das schlecht. Wir haben große Umgebungen mit langsamen Anbindungen (und zu restriktiven Einstellungen auf der DC-Seite, non default Microsoft) gesehen, da hat der winbindd sich die Information besorgt, ein paar Sekunden später verworfen und das Spiel begann von vorne.
Toll ... also ein Laie greift sich da bestimmt auf den Kopf weshalb sich da nichts tut :-)
Das sind aus meiner Sicht zwei Bugs.
a) Einer für bugzilla.novell.com (bnc), da das YaST-Modul keinen "vernünftigen" Wert setzt. Aber nur, wenn das YaST-Modul das nicht bereits anfasst. Einem groben rpm -ql yast2-samba-client | grep ... nach wird da nichts gesetzt. :/
.... erm. Was heisst das jetzt? Soll ich was machen bzw. Welchen Bug soll ich melden mit welchem Inhalt bzw. Kategorie oder Produkt? *smile*
Was ist vernünftig?
Ein Arbeitstag, also 12 Stunden, damit noch genug Luft zum Ende hin drin ist.
ja klar... damit einem ja nicht langweilig wird. Aber ich will ja nicht motzen - sondern eher dass das allumfassende openSUSE _noch_ besser wird.
b) Einer bei bugzilla.samba.org (bso), dass der default von 300 Sekunden zu wenig ist.
Wenn man bso 6536 liest, dann kann das aber Seiteneffekte haben. Da dort aber seit einem Jahr die Rückmeldung des Reportes fehlt und sich zwischenzeitlich einiges geändert hat, würde ich es trotzdem testen.
cool - version 3.2 ... ja das waren noch Zeiten. Aber ganz habe ich jetzt noch nicht begriffen was ich jetzt noch testen könnte. Vor allem nicht bei meinen ursprünglichen Problem mit dem Einloggen per SSH auf einem Fremdrechner ;-)
Lars
Danke fürs Durchhalten-und-bis-zum-Ende-lesen. Gruß Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Lars & Community, gibt es noch eine Chance auf Antwort bzw. Hilfestellung zu meinem Problem? (siehe mein untenstehendes Mail). Danke Andreas -----Ursprüngliche Nachricht----- Von: Mrvka Andreas [mailto:mrv@tuv.at] Gesendet: Freitag, 20. August 2010 14:20 An: opensuse-de@opensuse.org Betreff: Re: Domain Authentifizierung Hi again, On Friday 20 August 2010 13:34:29 Lars Müller wrote:
On Fri, Aug 20, 2010 at 09:18:39AM +0200, Mrvka Andreas wrote: [...]
pc2 # ssh domain\\user@pc1 pc1 /var/log/messages error: Could not get shadow information for domain\\user Failed password for domain\\user from <ipadresse> port 51550 ssh2
Eigentlich wollte ich ja den dolphin vom konqueror benutzen. fish://domain\user@pc1 aber es kommen die gleichen Fehlermeldungen.
pc1 ist ein Domänenmitglied?
Ja pc1 ist der Zielrechner und ist ein Domänenmitglied.
Wenn ja, dann ohne @pc1
Aber wie gebe ich dann im dolphin bzw. ssh den Zielrechner an?
ssh -l <domain>\\<loginname> <destination_host>
oder
ssh <domain>\\<loginname>@<destination_host>
Gut und das ist das gleiche was ich in meinem Beispiel angegeben hatte. " ssh -l .... " funktioniert leider auch nicht. [...]
a) Welches Betriebssystem/ welche Samba-Version?
openSUSE 11.{3,2,1}, Factory oder SUSE Linux Enterprise?
Aha! Das heisst, der SSH Server interagiert mit Samba/Winbindd? aha!?
Der SSH Server interagiert mit pam und nss.
Unter /etc/pam.d habe ich nur pam_winbind.so Einträge gefunden und nichts von smb. (grep -iR smb /etc/pam.d) [...]
Samba Server ist auf dem pc1 nicht installiert. Braucht man den für ein Shell- Login? Wenn winbindd mitspielt, dann wohl sicher, oder?
Korrekt.
Da frage ich mich dann nur was der Haken bei Einmalanmeldung (Single Sign On) für SSH (im Yast und Windows-Domänenmitgliedschaft) nicht den Samba Server mitinstalliert. Wobei das Nachinstallieren leider ja auch noch nicht den Erfolg gebracht hat. [...]
Mehrere Domänen Kontroller mit einem großen Forest (= viele Subdomains) mit Vertrauensstellungen. Da würde es mich eh freuen, wenn mir jemand sagen könnte, wie man im KDM eine Domain fix einstellen könnte fürs Einloggen.
Es geht. Wir haben das vor Jahren implementiert. Ob das den Weg nach KDE 4 gefunden hat, ist allerdings eine gute Frage.
Zudem merkt sich der KDM den zuletzte benutzten Authentisierungskontext.
Im openSUSE 11.2 war das auch noch so! Oder vielleicht auch noch vor KDE 4.4 Aber seit dem Update auf 11.3 beschweren sich meine User.
Wir haben:
## Type: yesno # Display a combobox for Active Directory domains. /etc/sysconfig/displaymanager:DISPLAYMANAGER_AD_INTEGRATION
ja klar - das steht auf yes ... und die combobox die wird nach ~10sek mit den Domains befüllt.
Der NetworkManager beim Booten läuft immer etwa 10 Sekunden ab bis dann der Winbindd startet und mir dann die Domänenauswahl bringt.
Zwei getrennte Probleme.
a) NetworkManager bzw. konkret dhcp-client
dhcp-client ist einfach langsamer als dhcpcd. Dazu gab es einen Bug und Upstream sagte: feature, kein bug.
Soweit ich nun im messages-log lesen kann, sehe ich, dass der networkmanager für die LAN den dhclient verwendet (dhcp-client?) und WLAN den dhcpcd ("not running exiting").
b) Sobald das Netzwerk verfügbar ist muss sich der winbindd mit seinem DC synchronisieren. Je nach Umgebung kann das dauern.
ja klar.
Drecks Open Source Software Samba Müll?
http://samba.org/~lmuelle/xp-login-wait.png oder in Worten: "Please wait while the domain list is created."
Dieses Fenster habe ich selbst unter Windows 9x - 7 noch nie gesehen *ggg*
Den Usern nervt das Warten und das "Extra-Auswählen" der Domäne.
Der KDM _muss_ sich die zuletzt benutze Domäne merken. Wenn er das nicht macht, dann ist das ein Bug und ein Fall für bugzilla.
OK - klingt komisch ... is aber so. (also mind. bei KDE 4.4.x - KDE 4.5.x)
Das mit dem Warten ist ein wenig schwieriger. Möglicherweise hilft "winbind offline logon = Yes" in /etc/samba/smb.conf als globale Option.
das IST gesetzt. wahrscheinlich durch den Haken "Offline-Authentifizierung" in der Domainmitgliedschaft? Also kanns das mal nicht sein. .. next check .... Ja wenn ich mich auslogge, dann merkt er sich den letzten User und Domain ;-) Nach einem Neustart merkt er sich nur den User.
Ausprobieren und berichten. Zu den möglichen Nebeneffekten mehr weiter unten.
[...]
id <domain>\\<loginname>
zeigt meine zugehörigen Gruppenmitgliedschaften an.
Somit ist nss korrekt konfiguriert.
Es scheint ja sonst auch alles gut zu funktionieren :-)
oder
id <login_name>
Wenn das nichts liefert, dann /etc/nsswitch.conf prüfen, ob passwd und group winbind als Informationsquelle benutzen.
c) nscd-cache-Effekte?
service nscd restart
Der ganze Rechner wurde schon neu gestartet, etc, etc....
Nicht abstellen! nscd ist sehr hilfreich dabei, die Last auf den DCs zu reduzieren.
chkconfig ncsd
sollte "nscd on" melden.
nscd läuft...
d) winbind cache time Einstellungen
Default ist 300 Sekunden. Zum Testen ist das ok. Produktiv ist das schlecht. Wir haben große Umgebungen mit langsamen Anbindungen (und zu restriktiven Einstellungen auf der DC-Seite, non default Microsoft) gesehen, da hat der winbindd sich die Information besorgt, ein paar Sekunden später verworfen und das Spiel begann von vorne.
Toll ... also ein Laie greift sich da bestimmt auf den Kopf weshalb sich da nichts tut :-)
Das sind aus meiner Sicht zwei Bugs.
a) Einer für bugzilla.novell.com (bnc), da das YaST-Modul keinen "vernünftigen" Wert setzt. Aber nur, wenn das YaST-Modul das nicht bereits anfasst. Einem groben rpm -ql yast2-samba-client | grep ... nach wird da nichts gesetzt. :/
.... erm. Was heisst das jetzt? Soll ich was machen bzw. Welchen Bug soll ich melden mit welchem Inhalt bzw. Kategorie oder Produkt? *smile*
Was ist vernünftig?
Ein Arbeitstag, also 12 Stunden, damit noch genug Luft zum Ende hin drin ist.
ja klar... damit einem ja nicht langweilig wird. Aber ich will ja nicht motzen - sondern eher dass das allumfassende openSUSE _noch_ besser wird.
b) Einer bei bugzilla.samba.org (bso), dass der default von 300 Sekunden zu wenig ist.
Wenn man bso 6536 liest, dann kann das aber Seiteneffekte haben. Da dort aber seit einem Jahr die Rückmeldung des Reportes fehlt und sich zwischenzeitlich einiges geändert hat, würde ich es trotzdem testen.
cool - version 3.2 ... ja das waren noch Zeiten. Aber ganz habe ich jetzt noch nicht begriffen was ich jetzt noch testen könnte. Vor allem nicht bei meinen ursprünglichen Problem mit dem Einloggen per SSH auf einem Fremdrechner ;-)
Lars
Danke fürs Durchhalten-und-bis-zum-Ende-lesen. Gruß Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Andreas, Am Donnerstag, 19. August 2010, 15:41:34 schrieb Mrvka Andreas:
Hallo Liste,
hat jemand schon mal das gleiche Problem gehabt bzw. weis was zu tun ist?
Wenn ich auf einem Rechner (PC1) die Windows Domänenauthentifizierung aktiviert habe und ich möchte mich von einem anderen Computer (PC2) auf den PC1 verbinden, dann klappt die Authentifizierung nicht.
pc2 # ssh domain\user@pc1 pc1 /var/log/messages Invalid user domainuser from <ipaddresse> Failed none for invalid user domainuser from <ipadresse> port 51549 ssh2
pc2 # ssh domain\\user@pc1 pc1 /var/log/messages error: Could not get shadow information for domain\\user Failed password for domain\\user from <ipadresse> port 51550 ssh2
Eigentlich wollte ich ja den dolphin vom konqueror benutzen. fish://domain\user@pc1 aber es kommen die gleichen Fehlermeldungen.
Wenn Du von Linux auf einen Windows Rechner zugreifen willst, brauchst Du bei ssh auf der Windowsseite ein Programm, das ssh auch spricht. Soviel ich weiß, ist das z.B. winscp, keine Ahnung, was es da noch so gibt, evtl. noch Putty. Ob fish da geht, weiß ich nicht. Die Syntax von Dir ist auch falsch.Öffne dazu den Konqueror und gebe in die Adressleiste folgendes ein: fish://user@Zielrechner:22 oder IP:22 fish ist ein "SSH Programm", deshalb muss am Ende der port,dehalb :22 angegeben werden. Ansonsten würde ich auf Windows mit Samba zugreifen, ist wesentlich kompfortabeler
Kennt das zufällig schon jemand?
Gruß Andreas
Gruß, Thomas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Thomas, On Thursday 19 August 2010 20:54:05 Thomas Becker wrote:
Hallo Andreas,
Am Donnerstag, 19. August 2010, 15:41:34 schrieb Mrvka Andreas:
Hallo Liste,
hat jemand schon mal das gleiche Problem gehabt bzw. weis was zu tun ist?
Wenn ich auf einem Rechner (PC1) die Windows Domänenauthentifizierung aktiviert habe und ich möchte mich von einem anderen Computer (PC2) auf den PC1 verbinden, dann klappt die Authentifizierung nicht.
pc2 # ssh domain\user@pc1 pc1 /var/log/messages Invalid user domainuser from <ipaddresse> Failed none for invalid user domainuser from <ipadresse> port 51549 ssh2
pc2 # ssh domain\\user@pc1 pc1 /var/log/messages error: Could not get shadow information for domain\\user Failed password for domain\\user from <ipadresse> port 51550 ssh2
Eigentlich wollte ich ja den dolphin vom konqueror benutzen. fish://domain\user@pc1 aber es kommen die gleichen Fehlermeldungen.
[...]
Die Syntax von Dir ist auch falsch.
das stimmt nicht.
Öffne dazu den Konqueror und gebe in die Adressleiste folgendes ein: fish://user@Zielrechner:22 oder IP:22 fish ist ein "SSH Programm", deshalb muss am Ende der port,dehalb :22 angegeben werden.
Man kann das ":22" weglassen, dann probiert das Protokoll den Standardport. Da fish ein "SSH Programm" ist, und unter /etc/services für ssh der Port 22 steht, probiert fish automatisch diesen. Bei deinem Beispiel fehlt mir auch die Domäne. Es ist anscheinend nicht so einfach wie ich dachte.....
Ansonsten würde ich auf Windows mit Samba zugreifen, ist wesentlich kompfortabeler
sorry, dass ich das vergaß zum Dazuschreiben - aber eigentlich müsste es aus dem Text doch hervorgehen, dass der Zielrechner auch ein Linux-System ist. "pc1 /var/log/messages" und darin steht ja auch dass ein Authentifizierungsversuch stattfindet. Ich werde wohl noch tiefer in das fish-Protokoll eintauchen müssen :-| Danke dennoch.
Kennt das zufällig schon jemand?
Gruß Andreas
Gruß, Thomas
Danke Andreas -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Lars Müller -
Mrvka Andreas -
Thomas Becker