Hi @all, kann mit jemand eine Tip bezüglich folgender Fehlermeldung geben? [2005/08/11 13:08:36, 1] libads/kerberos_verify.c:ads_secrets_verify_ticket(189) ads_secrets_verify_ticket: failed to fetch machine password [2005/08/11 13:08:36, 1] smbd/sesssetup.c:reply_spnego_kerberos(173) Failed to verify incoming ticket! Soweit scheint Kerberos zu funktionieren. Ich kann von Linux aus auf W2k3 Shares zugreifen ohne Passwort eingabe und Tickets kriege ich auch. Die Fehlermeldung kommt immer wenn ich versuche von W2k3 aus auf einen Samba Share zuzugreifen. Google spuckt zwar ein paar Treffer aus aber eine Lösung ist nicht dabei... Gruß Daniel -- Daniel Hanke Linux/Unix Systemadministrator, RHCE windream GmbH - Wasserstrasse 219 - 44799 Bochum Telefon +49 234 9734 0 - Telefax +49 234 9734 520 http://www.windream.com
On Thu, Aug 11, 2005 at 01:15:47PM +0200, Daniel Hanke wrote:
Hi @all,
kann mit jemand eine Tip bezüglich folgender Fehlermeldung geben?
[2005/08/11 13:08:36, 1] libads/kerberos_verify.c:ads_secrets_verify_ticket(189) ads_secrets_verify_ticket: failed to fetch machine password [2005/08/11 13:08:36, 1] smbd/sesssetup.c:reply_spnego_kerberos(173) Failed to verify incoming ticket!
Kommt mir sehr bekannt vor.
Soweit scheint Kerberos zu funktionieren. Ich kann von Linux aus auf W2k3 Shares zugreifen ohne Passwort eingabe und Tickets kriege ich auch. Die Fehlermeldung kommt immer wenn ich versuche von W2k3 aus auf einen Samba Share zuzugreifen. Google spuckt zwar ein paar Treffer aus aber eine Lösung ist nicht dabei...
Zeig doch mal deine smb.conf. Die Datei /etc/nsswitch.conf hast Du geändert? Gibt es irgendwelche interessanten Einträge in log.winbindd? Jürgen
Am Freitag 12 August 2005 08:37 schrieb Jürgen Knelangen:
Zeig doch mal deine smb.conf. Die Datei /etc/nsswitch.conf hast Du geändert? Gibt es irgendwelche interessanten Einträge in log.winbindd?
Guten Morgen Jürgen, meine smb.conf(gekürzt): # Global parameters [global] workgroup = XXXXXXXX netbios name = XXXXXXXXX realm = XXXXXXXXXXX client use spnego = yes security = ADS encrypt passwords = Yes obey pam restrictions = Yes password server = pwsrv.domain.com client signing = yes server signing = yes pam password change = Yes *snip* socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192 *snip* preferred master = No local master = No domain master = No dns proxy = No winbind uid = 10000-20000 winbind gid = 10000-20000 winbind separator = + winbind use default domain = Yes In winbindd.log taucht folgendes beim starten von Samba+Winbind auf: [2005/08/12 09:19:00, 1] nsswitch/winbindd_util.c:add_trusted_domain(180) Added domain XXXXXXXXXXX XXXXXXXXX S-0-0 [2005/08/12 09:19:00, 0] libsmb/cliconnect.c:cli_session_setup_spnego(756) Kinit failed: Preauthentication failed [2005/08/12 09:19:00, 1] libsmb/clikrb5.c:ads_krb5_mk_req(306) krb5_cc_get_principal failed (No credentials cache found) [2005/08/12 09:19:00, 0] libads/kerberos.c:ads_kinit_password(136) kerberos_kinit_password HOST/xxxxxx@XXXXXXX failed: Preauthentication failed [2005/08/12 09:19:00, 1] nsswitch/winbindd_ads.c:ads_cached_connection(81) ads_connect for domain XXXXXXXX failed: Preauthentication failed [2005/08/12 09:19:00, 0] libsmb/cliconnect.c:cli_session_setup_spnego(756) Kinit failed: Preauthentication failed *snip* [2005/08/12 09:19:00, 1] nsswitch/winbindd_util.c:add_trusted_domain(180) Added domain "HOSTNAME" S-1-5-21-4211163790-2833019282-1404879275 [2005/08/12 09:19:00, 0] libsmb/cliconnect.c:cli_session_setup_spnego(756) Kinit failed: Preauthentication failed [2005/08/12 09:24:00, 0] libsmb/cliconnect.c:cli_session_setup_spnego(756) Kinit failed: Preauthentication failed Hab ich da irgendwas vergessen? nsswitch.conf ist geändert. Habe mich streng am Howto orientiert.
Jürgen
Gruß Daniel -- Daniel Hanke Linux/Unix Systemadministrator, RHCE windream GmbH - Wasserstrasse 219 - 44799 Bochum Telefon +49 234 9734 0 - Telefax +49 234 9734 520 http://www.windream.com
socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192
Ich kann zwar nichts zu dem kerberos Problem sagen, aber TCP_NODELAY ist eh der Default Wert und SO_RCBUF=8192 (ebenso SND) macht den Buffer kleiner als den Default Wert (87728). Das ist vielleicht nicht das was erreicht werden sollte.
On Fri, Aug 12, 2005 at 09:34:33AM +0200, Daniel Hanke wrote:
Am Freitag 12 August 2005 08:37 schrieb Jürgen Knelangen:
Zeig doch mal deine smb.conf. Die Datei /etc/nsswitch.conf hast Du geändert? Gibt es irgendwelche interessanten Einträge in log.winbindd?
meine smb.conf(gekürzt):
Sah soweit gut aus.
In winbindd.log taucht folgendes beim starten von Samba+Winbind auf:
[2005/08/12 09:19:00, 1] nsswitch/winbindd_util.c:add_trusted_domain(180) Added domain XXXXXXXXXXX XXXXXXXXX S-0-0 [2005/08/12 09:19:00, 0] libsmb/cliconnect.c:cli_session_setup_spnego(756) Kinit failed: Preauthentication failed [2005/08/12 09:19:00, 1] libsmb/clikrb5.c:ads_krb5_mk_req(306) krb5_cc_get_principal failed (No credentials cache found) [2005/08/12 09:19:00, 0] libads/kerberos.c:ads_kinit_password(136) kerberos_kinit_password HOST/xxxxxx@XXXXXXX failed: Preauthentication failed [2005/08/12 09:19:00, 1] nsswitch/winbindd_ads.c:ads_cached_connection(81) ads_connect for domain XXXXXXXX failed: Preauthentication failed [2005/08/12 09:19:00, 0] libsmb/cliconnect.c:cli_session_setup_spnego(756) Kinit failed: Preauthentication failed *snip* [2005/08/12 09:19:00, 1] nsswitch/winbindd_util.c:add_trusted_domain(180) Added domain "HOSTNAME" S-1-5-21-4211163790-2833019282-1404879275 [2005/08/12 09:19:00, 0] libsmb/cliconnect.c:cli_session_setup_spnego(756) Kinit failed: Preauthentication failed [2005/08/12 09:24:00, 0] libsmb/cliconnect.c:cli_session_setup_spnego(756) Kinit failed: Preauthentication failed
Hab ich völlig vergessen, die /etc/krb5.conf. Wie sieht die denn aus? Bin mal auf ein Howto gestossen, in dem die Rede davon war, daß diese Datei nicht editiert werden sollte, was natürlich Blödsinn ist. Mir hat übrigens http://www.pro-linux.de/work/server/print/samba3-domaene.html sehr geholfen. Gruß, Jürgen
Am Freitag 12 August 2005 10:37 schrieb Jürgen Knelangen:
Hab ich völlig vergessen, die /etc/krb5.conf. Wie sieht die denn aus? Bin mal auf ein Howto gestossen, in dem die Rede davon war, daß diese Datei nicht editiert werden sollte, was natürlich Blödsinn ist.
Also die krb5.conf habe ich entsprechend dem HowTo angepasst. Bei net join -S c3po.WINDREAM.COM -UAdministrator%passwort -d8 bekomme ich immer die Meldung: krb5_get_credentials for host/xxxxxx@XXXXXXXXXX enctype 2 failed: KDC has no support for encryption type Die Nummer des Enctypes veriert mehrfach zwischen 2, 18, 17 und 16. Der Join verläuft aber angeblich korrekt. Nur funktionieren will es nicht. Im Eventlog des W2K3 Servers tauchen auch massenhaft Meldungen des KDC auf, die sagen das der Host über keinen passenden Schlüssel zum generieren eines Kerberos Tickets verfügt.
Mir hat übrigens http://www.pro-linux.de/work/server/print/samba3-domaene.html sehr geholfen.
Mir leider nicht :-(
Gruß, Jürgen
Gruß Daniel -- Daniel Hanke Linux/Unix Systemadministrator, RHCE windream GmbH - Wasserstrasse 219 - 44799 Bochum Telefon +49 234 9734 0 - Telefax +49 234 9734 520 http://www.windream.com
On Fri, Aug 12, 2005 at 11:42:02AM +0200, Daniel Hanke wrote:
Am Freitag 12 August 2005 10:37 schrieb Jürgen Knelangen:
Hab ich völlig vergessen, die /etc/krb5.conf. Wie sieht die denn aus? Bin mal auf ein Howto gestossen, in dem die Rede davon war, daß diese Datei nicht editiert werden sollte, was natürlich Blödsinn ist.
Also die krb5.conf habe ich entsprechend dem HowTo angepasst. Bei net join -S c3po.WINDREAM.COM -UAdministrator%passwort -d8
Hier habe ich $ net ads join -U Administrator%Passwort verwendet. Ich wollte ja ins ADS.
bekomme ich immer die Meldung:
krb5_get_credentials for host/xxxxxx@XXXXXXXXXX enctype 2 failed: KDC has no support for encryption type
Ich nehme an $ kinit Administrator@WOAUCHIM.MER verläuft bei Dir auch nicht erfolgreich?
Die Nummer des Enctypes veriert mehrfach zwischen 2, 18, 17 und 16. Der Join verläuft aber angeblich korrekt. Nur funktionieren will es nicht.
Im Eventlog des W2K3 Servers tauchen auch massenhaft Meldungen des KDC auf, die sagen das der Host über keinen passenden Schlüssel zum generieren eines Kerberos Tickets verfügt.
Mir hat übrigens http://www.pro-linux.de/work/server/print/samba3-domaene.html sehr geholfen.
Mir leider nicht :-(
Naja, meine Freude war auch nur von kurzer Dauer. Hab mittlerweile andere Fehler. ;) Gruß, Jürgen
Am Freitag 12 August 2005 12:04 schrieb Jürgen Knelangen:
Hier habe ich $ net ads join -U Administrator%Passwort verwendet. Ich wollte ja ins ADS.
Hab ich auch gemacht. Ging aber nicht also hab ichs so probiert wie in dem HowTo stand mit dem selben Resultat.
Ich nehme an $ kinit Administrator@WOAUCHIM.MER verläuft bei Dir auch nicht erfolgreich?
Doch. Das geht ohne Probleme. Der Zugriff von Linux auf Windows mit Kerberos geht auch. Nur andersrum nicht...
Naja, meine Freude war auch nur von kurzer Dauer. Hab mittlerweile andere Fehler. ;)
Hat das überhaupt jemand wirklich am rennen?
Gruß, Jürgen
Gruß Daniel -- Daniel Hanke Linux/Unix Systemadministrator, RHCE windream GmbH - Wasserstrasse 219 - 44799 Bochum Telefon +49 234 9734 0 - Telefax +49 234 9734 520 http://www.windream.com
On Fri, Aug 12, 2005 at 12:58:44PM +0200, Daniel Hanke wrote:
[siehe Subject] Hat das überhaupt jemand wirklich am rennen?
Habe heute die Samba 3.0.20 Pakete installiert, und siehe da: Es geht wieder! ftp://ftp.suse.com/pub/projects/samba/3.0 Gruß, Jürgen
Am Montag 22 August 2005 14:28 schrieb Jürgen Knelangen:
On Fri, Aug 12, 2005 at 12:58:44PM +0200, Daniel Hanke wrote:
[siehe Subject] Hat das überhaupt jemand wirklich am rennen?
Habe heute die Samba 3.0.20 Pakete installiert, und siehe da: Es geht wieder! ftp://ftp.suse.com/pub/projects/samba/3.0
Gruß, Jürgen
Guten Morgen, ich kam gestern leider nicht mehr dazu zu schreiben, aber ich habs mir gestern auch neu kompiliert und siehe da: Es läuft! Weiss denn jemand ob das nen Bug der Vorgängerversion ist oder lag das an unsere Unfähigkeit? Gefunden habe ich darüber bis dato nix. sonnige Grüße Daniel -- Daniel Hanke Linux/Unix Systemadministrator, RHCE windream GmbH - Wasserstrasse 219 - 44799 Bochum Telefon +49 234 9734 0 - Telefax +49 234 9734 520 http://www.windream.com
On Tue, Aug 23, 2005 at 09:18:12AM +0200, Daniel Hanke wrote:
auch neu kompiliert und siehe da: Es läuft! Weiss denn jemand ob das nen Bug der Vorgängerversion ist oder lag das an unsere Unfähigkeit? Gefunden habe ich darüber bis dato nix.
Auf der Samba Mailingliste wurde desöfteren von Kerberos Inkompatibilitäten mit 2003 DC's gesprochen. Somit sind wir wohl fein raus. ;) Gruß, Jürgen
participants (3)
-
Daniel Hanke
-
Holger Krull
-
Jürgen Knelangen