Samba findet Ldap-Gruppen nicht mehr
Hallo, ich vermute einen Folgefehler meiner letzten Störung. Hat dazu jemand einen Tip? [2009/01/12 08:50:19, 0] passdb/pdb_ldap.c:ldapsam_search_one_group(2039) ldapsam_search_one_group: Problem during the LDAP search: LDAP error: (No such object) [2009/01/12 09:17:56, 0] auth/pampass.c:smb_pam_passcheck(810) smb_pam_passcheck: PAM: smb_pam_auth failed - Rejecting User abc ! Die Ldap-Gruppen sind da und ok da Linuxsysteme per nfs und pam_mount ohne Probleme arbeiten können, Alles was mit windows und samba zu tun hat läuft dagegen vor die Wand. Ich bin ab ca. 14:00 beim Kunden vor Ort und hoffe bis dahin noch den einen oder anderen Tip zu bekommen. Ich hatte mit samba mal Probleme das Druckaufträge in der Tib-Datei völlig durcheinander geraten waren. Könnte ich da in diesem Fall ein ähnliches Problem haben? -- i.A. Ralf Prengel Customer Care Manager Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49231 97575- 904 Fax +49231 97575- 905 EMail ralf.prengel@comline.de -- www.comline.de Vorstand Stephan Schilling, Erwin Leonhardi Aufsichtsrat Dr. Franz Schoser (Vorsitzender) HR Dortmund B 14570 USt.-ID-Nr. DE 124727422 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hi Ralf, Am Dienstag 13 Januar 2009 07:16:15 schrieb Ralf Prengel:
ich vermute einen Folgefehler meiner letzten Störung. Hat dazu jemand einen Tip?
ich hab deine letzte Störung nicht mitbekommen ...
[2009/01/12 08:50:19, 0] passdb/pdb_ldap.c:ldapsam_search_one_group(2039) ldapsam_search_one_group: Problem during the LDAP search: LDAP error: (No such object)
[2009/01/12 09:17:56, 0] auth/pampass.c:smb_pam_passcheck(810) smb_pam_passcheck: PAM: smb_pam_auth failed - Rejecting User abc !
Die Ldap-Gruppen sind da und ok da Linuxsysteme per nfs und pam_mount ohne Probleme arbeiten können, Alles was mit windows und samba zu tun hat läuft dagegen vor die Wand.
Ich bin ab ca. 14:00 beim Kunden vor Ort und hoffe bis dahin noch den einen oder anderen Tip zu bekommen. Ich hatte mit samba mal Probleme das Druckaufträge in der Tib-Datei völlig durcheinander geraten waren. Könnte ich da in diesem Fall ein ähnliches Problem haben?
hört sich eher danach an das entweder das PW, mit dem der smb auf das ldap zugreift, defekt ist oder aber das automagische updates irgendwas in der Ecke zerstört haben. Mglw. hat aber auch nur jemand an dem samba-trust account auf dem ldap rum gefummelt (sofern samba-->ldap nach den diversen Empfehlungen im Netz konfiguriert ist und samba nicht mit dem ldap root account zugreift). Ldap lässt sich sehr gesprächig machen, so gesprächig das man Mühe hat die relevanten Infos zu finden, setz mal in der slapd.conf den debuglevel hoch, dann hast du den Vergleich zwischen den unix abrufen die funktionieren und den smb abrufen die es nicht tun. ps: was auch gerne mal passiert (obwohl ich die obige Fehlermeldung nicht so deuten würde) das die smb-ldap-tools beim smb user account anlegen die samba-pw-gültigkeit nicht auf den maximalen wert stellen sondern einen deutlich geringeren Wert (halbes jahr oder so) nehmen. Ich hab dann ein paar Änderungen an der Ecke vorgenommen. Gruss Falk -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Falk Sauer schrieb:
Hi Ralf,
Am Dienstag 13 Januar 2009 07:16:15 schrieb Ralf Prengel:
ich vermute einen Folgefehler meiner letzten Störung. Hat dazu jemand einen Tip?
ich hab deine letzte Störung nicht mitbekommen ...
Ldap zerschossenkernel oomph-Killer hatte am 24.12.08 das System hart gestoppt und dabei . Das haben wir aber gefixt nachdem wir wussten wonach wir zu suchen hatten.
[2009/01/12 08:50:19, 0] passdb/pdb_ldap.c:ldapsam_search_one_group(2039) ldapsam_search_one_group: Problem during the LDAP search: LDAP error: (No such object)
[2009/01/12 09:17:56, 0] auth/pampass.c:smb_pam_passcheck(810) smb_pam_passcheck: PAM: smb_pam_auth failed - Rejecting User abc !
Die Ldap-Gruppen sind da und ok da Linuxsysteme per nfs und pam_mount ohne Probleme arbeiten können, Alles was mit windows und samba zu tun hat läuft dagegen vor die Wand.
Ich bin ab ca. 14:00 beim Kunden vor Ort und hoffe bis dahin noch den einen oder anderen Tip zu bekommen. Ich hatte mit samba mal Probleme das Druckaufträge in der Tib-Datei völlig durcheinander geraten waren. Könnte ich da in diesem Fall ein ähnliches Problem haben?
hört sich eher danach an das entweder das PW, mit dem der smb auf das ldap zugreift, defekt ist oder aber das automagische updates irgendwas in der Ecke zerstört haben. Mglw. hat aber auch nur jemand an dem samba-trust account auf dem ldap rum gefummelt (sofern samba-->ldap nach den diversen Empfehlungen im Netz konfiguriert ist und samba nicht mit dem ldap root account zugreift). Ldap lässt sich sehr gesprächig machen, so gesprächig das man Mühe hat die relevanten Infos zu finden, setz mal in der slapd.conf den debuglevel hoch, dann hast du den Vergleich zwischen den unix abrufen die funktionieren und den smb abrufen die es nicht tun.
In die Richtung geht mein Verdacht auch. In welcher Datei steht das Kennwort. Ich würde diese dann einfach nachher mal weg schieben und das Kennwort neu anlegen. Ich habe hier im Moment kein samba-system greifbar um das nachzusehen
ps: was auch gerne mal passiert (obwohl ich die obige Fehlermeldung nicht so deuten würde) das die smb-ldap-tools beim smb user account anlegen die samba-pw-gültigkeit nicht auf den maximalen wert stellen sondern einen deutlich geringeren Wert (halbes jahr oder so) nehmen. Ich hab dann ein paar Änderungen an der Ecke vorgenommen.
Yeap, den hatten wir auch schon mal. Prüfe ich auch mit nach -- i.A. Ralf Prengel Customer Care Manager Comline AG Hauert 8 D-44227 Dortmund/Germany Fon +49231 97575- 904 Fax +49231 97575- 905 EMail ralf.prengel@comline.de -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hi Ralf, Am Dienstag 13 Januar 2009 08:57:10 schrieb Ralf Prengel:
Falk Sauer schrieb:
Hi Ralf,
Am Dienstag 13 Januar 2009 07:16:15 schrieb Ralf Prengel:
ich vermute einen Folgefehler meiner letzten Störung. Hat dazu jemand einen Tip?
ich hab deine letzte Störung nicht mitbekommen ...
Ldap zerschossenkernel oomph-Killer hatte am 24.12.08 das System hart gestoppt und dabei . Das haben wir aber gefixt nachdem wir wussten wonach wir zu suchen hatten.
hm, hört sich nicht so gut an.
In die Richtung geht mein Verdacht auch. In welcher Datei steht das Kennwort. Ich würde diese dann einfach nachher mal weg schieben und das Kennwort neu anlegen.
afair unter /etc/samba/secrets.tdb, das steht aber in allen möglichen dokus, am schnellsten geht wahrscheinlich das ding weg zu kopieren und mal ein smbpasswd -w zu probieren. In der secrets.tdb steht beim ldap betrieb imho außer dem ldap pw kaum relevantes drin, im lokalen betrieb (ohne ldap) sind dort alle user accounts versammelt. Es könnte allerdings sein das dort auch noch eine Kopie der SID gehalten wird, die steht eigentlich im Win-Domain Eintrag im LDAP unter sambaSID,sambaDomainName=DOMAIN,dc=example,dc=org. Das file kann man sich auch mal mit einem hex editor oder einfach mit less anschauen, es ist einigermaßen lesbar. Gruss Falk -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Das Problem wird nicht kleiner. es sieht so aus als ob samba nicht mehr an ldap heran kommt. der ldapuser in der smb.conf ist definitiv richtig und pdbedit zeigt mir alle User an. Irgendwas geht bei der Abfrage dann aber schief. Die smb.conf hat jahrelang funktioniert. Ich habe schin fast den Verdacht das durch den harten Crash systemdateien beschädigt sind. Jemand noch Tips? Jan 13 18:25:14 kenobi smbd[25860]: pam_ldap: error trying to bind (Protocol error) Jan 13 18:25:26 kenobi smbd[25864]: pam_ldap: error trying to bind (Protocol error) Jan 13 18:25:39 kenobi smbd[25864]: pam_ldap: error trying to bind (Protocol error) Jan 13 18:28:45 kenobi slapd[25435]: conn=452 fd=18 ACCEPT from IP=192.168.13.160:44115 (IP=0.0.0.0:389) Jan 13 18:28:45 kenobi slapd[25435]: conn=452 op=0 BIND dn="" method=128 Jan 13 18:28:45 kenobi slapd[25435]: conn=452 op=0 RESULT tag=97 err=2 text=historical protocol version requested, use LDAPv3 instead Jan 13 18:28:45 kenobi slapd[25435]: conn=452 op=1 UNBIND Jan 13 18:28:45 kenobi slapd[25435]: conn=452 fd=18 closed Jan 13 18:28:45 kenobi slapd[25435]: conn=453 fd=18 ACCEPT from IP=192.168.13.160:44116 (IP=0.0.0.0:389) Jan 13 18:28:45 kenobi slapd[25435]: conn=453 op=0 BIND dn="" method=128 Jan 13 18:28:45 kenobi slapd[25435]: conn=453 op=0 RESULT tag=97 err=2 text=historical protocol version requested, use LDAPv3 instead Jan 13 18:28:45 kenobi slapd[25435]: conn=453 op=1 UNBIND Jan 13 18:28:45 kenobi slapd[25435]: conn=453 fd=18 closed Jan 13 18:28:45 kenobi slapd[25435]: conn=454 fd=18 ACCEPT from IP=192.168.13.160:44117 (IP=0.0.0.0:389) Jan 13 18:28:45 kenobi slapd[25435]: conn=454 op=0 BIND dn="" method=128 Jan 13 18:28:45 kenobi slapd[25435]: conn=454 op=0 RESULT tag=97 err=2 text=historical protocol version requested, use LDAPv3 instead Jan 13 18:28:45 kenobi slapd[25435]: conn=454 op=1 UNBIND Jan 13 18:28:45 kenobi slapd[25435]: conn=454 fd=18 closed # Samba config file created using SWAT # from 192.168.3.150 (192.168.3.150) # Date: 2007/02/26 16:56:16 [global] unix charset = LOCALE workgroup = abc server string = %h server (Samba %v) encrypt passwords = no map to guest = Bad User passdb backend = ldapsam:ldap://name.abc.com enable privileges = Yes username map = /etc/samba/smbusers log level = 1 syslog = 0 log file = /var/log/samba/%m max log size = 50 smb ports = 139 name resolve order = wins bcast hosts time server = Yes printcap name = CUPS add user script = /usr/sbin/smbldap-useradd -m "%u" delete user script = /usr/sbin/smbldap-userdel "%u" add group script = /usr/sbin/smbldap-groupadd -p "%g" delete group script = /usr/sbin/smbldap-groupdel "%g" add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g" delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g" set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u" add machine script = /usr/sbin/smbldap-useradd -w "%u" logon script = scripts\logon.bat logon path = \\%L\profiles\%U logon drive = Z: logon home = \\%L\%U\.9xprofile domain logons = Yes preferred master = Yes wins support = Yes ldap admin dn = cn=ldapadmin,dc=abc,dc=com ldap group suffix = ou=groups ldap idmap suffix = ou=idmap ldap machine suffix = ou=machines ldap passwd sync = Yes ldap suffix = dc=top-lamp,dc=com ldap ssl = no ldap user suffix = ou=people panic action = /usr/share/samba/panic-action %d idmap backend = ldap:ldap://name.abc.com idmap uid = 1000-20000 idmap gid = 1000-20000 printer admin = root hosts allow = 192.168.13. map acl inherit = Yes cups options = raw include = /etc/samba/dhcp.conf ~ -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Ralf Prengel schrieb:
Das Problem wird nicht kleiner. es sieht so aus als ob samba nicht mehr an ldap heran kommt. der ldapuser in der smb.conf ist definitiv richtig und pdbedit zeigt mir alle User an. Irgendwas geht bei der Abfrage dann aber schief. Die smb.conf hat jahrelang funktioniert. Ich habe schin fast den Verdacht das durch den harten Crash systemdateien beschädigt sind.
Jemand noch Tips?
Jan 13 18:25:14 kenobi smbd[25860]: pam_ldap: error trying to bind (Protocol error) Jan 13 18:25:26 kenobi smbd[25864]: pam_ldap: error trying to bind (Protocol error) Jan 13 18:25:39 kenobi smbd[25864]: pam_ldap: error trying to bind (Protocol error)
gerade gelöst pam_ldap führt mich zu /usr/share/doc/packages/pam_ldap der vergleich der darei ldap.conf förderte einen Fehler in der Ldap-Versions-Angabe auf dem Server zutage. Warum auch immer stand bei Version 2 2 statt 2 bzw. 3 drin. Gruß -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hi Ralf, Am Dienstag 13 Januar 2009 18:34:43 schrieb Ralf Prengel:
Das Problem wird nicht kleiner. es sieht so aus als ob samba nicht mehr an ldap heran kommt. der ldapuser in der smb.conf ist definitiv richtig und pdbedit zeigt mir alle User an. Irgendwas geht bei der Abfrage dann aber schief. Die smb.conf hat jahrelang funktioniert.
die schaut auf den ersten blick auch nicht wirklich schlecht aus. Allerdings ist sie durch die anonymisierung die nicht ganz geklappt hat etwas inkonsistent. ;-)
Ich habe schin fast den Verdacht das durch den harten Crash systemdateien beschädigt sind.
Jemand noch Tips?
Jan 13 18:25:14 kenobi smbd[25860]: pam_ldap: error trying to bind (Protocol error) Jan 13 18:25:26 kenobi smbd[25864]: pam_ldap: error trying to bind (Protocol error) Jan 13 18:25:39 kenobi smbd[25864]: pam_ldap: error trying to bind (Protocol error)
Jan 13 18:28:45 kenobi slapd[25435]: conn=452 fd=18 ACCEPT from IP=192.168.13.160:44115 (IP=0.0.0.0:389) Jan 13 18:28:45 kenobi slapd[25435]: conn=452 op=0 BIND dn="" method=128
hast du den BIND dn hier aus dem logfile raus genommen oder fehlt der wirklich? Imho sollte der da im log stehen.
Jan 13 18:28:45 kenobi slapd[25435]: conn=452 op=0 RESULT tag=97 err=2
hier gehts dann vor den baum, wenn du mal aufschreibst welchen loglevel du da gesetzt hast könnte man mal prüfen was da im Erfolgsfall geloggt wird.
ldap admin dn = cn=ldapadmin,dc=abc,dc=com
bei mir steht das in Anführungszeichen, ich glaub das muß so! ldap admin dn = "cn=samba,ou=Adm,dc=example,dc=com" Die Integrität der Files aus den RPM Paketen hast du ja sicher schon gecheckt? die /etc/ldap.conf (nicht zu verwechseln mit der slapd.conf) also die ldap-client Seite ist afair die stelle wo der bind_dn für die unix authentifizierung definiert wird, das pam_ldap zeugs da oben könnte darauf hin deuten das es evtl. schon dort hapert. Samba braucht ja beide user, unix- und samba-user um zu funktionieren, daher werden auch immer beide gesucht ... leider kann man mit dem Logauszug nur vermuten wo er grade ist. die /etc/nsswitch.conf hast du überprüft? Gruss Falk -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Falk Sauer schrieb: e Integrita"t der Files aus den RPM Paketen hast du ja sicher schon gecheckt?
die /etc/ldap.conf (nicht zu verwechseln mit der slapd.conf) also die ldap-client Seite ist afair die stelle wo der bind_dn fu"r die unix
die Datei war es. Warum auch immer stand 2 2 hinter Version. Gro?es Kino aber der Kunde ist jetzt glu"cklich. Gru? -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (3)
-
Falk Sauer
-
Ralf Prengel
-
Ralf Prengel