Probleme mit Samba3 in einer ADS Umgebung mit Authentifizierung
Hallo Leute, wir haben hier eine reine Win2000 Netzwerkumgebung mit 3 ADS-Domänencontrollern (Win2000AS) mit einer einzigen Domäne. Dazu sollen nun zwei Linux-Clients hinzukommen. Basis-Installation (SuSE 9.1 und 8.2) Nun es wurde Samba3 (3.0.4) genutzt und als Member im ADS integriert. Maschinenaccount wurde erzeugt (net ads join) und Kerberos-Authentifizierung funktioniert auch. Die Benutzeraccounts sind auf der Linux-Seite gleich wie auf der Windows-Seite. Dies wird nicht durch Winbind sondern durch eine AD-Schemaerweiterung erreicht (SFU 3.0). Der Zugriff auf das AD geht hier über LDAP mittels der nss_ldap und pam_ldap Module von padl.com. So nun zu dem eigentlichen Problem. Wenn ich von einen Win2000-Client der in der Domäne ist auf den Linux-Client mit dem NetBios-Namen zugreife funktioniert dies auch. (Netzlaufwerk verbinden etc..). Ist der Rechner allerdings nicht in der Domäne, kommt folgende Meldung im Log des Samba-Servers auf dem Linux-Client(Auszug): domain_client_validate: Domain password server not available. NT_STATUS_TRUSTED_RELATIONSHIP_FAILURE Entsprechend erscheint dann auf der Windows-Seite: DIE VERTRAUENSSTELLUNG ZWISCHEN DIESER ARBEITSSTATION UND DER PRIMÄREN DOMÄNE KONNTE NICHT HERGESTELLT WERDEN Seltsamerweise kommt exakt die selbe Meldung von dem Win2000 der auch in der Domäne ist dann, wenn ich statt des NetBios-Namen die IP angebe (also Start -> Befehl ausführen -> \\192.168.101.1 z.B) Versuch ich nun von einem Linux-Client mittels smbclient -U testuser //meinnetbiosname/myshare einen Connect zu erzeugen kommen ebenfalls NT_STATUS_TRUSTED_RELATIONSHIP_FAILURE Lasse ich mir allerdings vorher von meinem Domänencontroller ein Kerberos-Ticket geben (kinit testuser) funktioniert das einloggen ohne Probleme mittels smbclient -k //meinnetbiosname/myshare Nun die Frage, wo liegt der Fehler das man sich nicht einloggen kann ausserhalb der Domäne, bzw dass man sich nur mittels Kerberos-Ticket einloggen kann. Ich hab da ein Verständnisproblem und weiss nicht wo ich suchen kann. Hier meine smb.conf : [global] security = ADS workgroup = MYWORKGROUP netbios name = meinnetbiosname realm = MYWORKGROUP.MYDOMAIN.DE encrypt passwords = yes interfaces = 127.0.0.1 eth0 eth0:1 bind interfaces only = yes server string = Samba Server log level = 2 [myshare] comment = Home Directories path = /home/chroot/home/ read only = No create mask = 0640 directory mask = 0750 browseable = yes guest ok = no printable = no Der Eintrag eines Password-Server mittels: password server = Mydomaincontroller bringt auch nix. Danke schonmal für alle Antworten. Gruss Patrick
Patrick Klaus schrieb:
Nun die Frage, wo liegt der Fehler das man sich nicht einloggen kann ausserhalb der Domäne, bzw dass man sich nur mittels Kerberos-Ticket einloggen kann. Ich hab da ein Verständnisproblem und weiss nicht wo ich suchen kann.
Hmmm, hört sich für mich an, wie ein ganz normales Verhalten. Eine Kerberos Infrastructure dient ja nun mal zur Authentifizierung (Maschinen, User ggf. sogar Software). Und wenn eine Maschine kein Kerberos spricht, kann es mit der Authentifizierung (weder User noch Maschine) nicht klappen. Kann aber auch sein, das ich Dein Posting nicht so ganz verstanden habe. Es liest sich so, als wenn Du immer Zugriff haben möchtest, egal ob als Mitglied der ADS oder nicht, egal ob Kerberos oder auch nicht. Wenn das so ist, verstehe ich den ganzen Aufwand mit Kerberos und ADS nicht. Gruss Kai
Kai Schmidt schrieb:
Patrick Klaus schrieb:
Nun die Frage, wo liegt der Fehler das man sich nicht einloggen kann ausserhalb der Domäne, bzw dass man sich nur mittels Kerberos-Ticket einloggen kann. Ich hab da ein Verständnisproblem und weiss nicht wo ich suchen kann.
Hmmm, hört sich für mich an, wie ein ganz normales Verhalten. Eine Kerberos Infrastructure dient ja nun mal zur Authentifizierung (Maschinen, User ggf. sogar Software). Und wenn eine Maschine kein Kerberos spricht, kann es mit der Authentifizierung (weder User noch Maschine) nicht klappen.
Kann aber auch sein, das ich Dein Posting nicht so ganz verstanden habe. Es liest sich so, als wenn Du immer Zugriff haben möchtest, egal ob als Mitglied der ADS oder nicht, egal ob Kerberos oder auch nicht. Wenn das so ist, verstehe ich den ganzen Aufwand mit Kerberos und ADS nicht.
Ich logge mich per VPN in meine Domäne ein und will auf die Resource meines Linux-Rechners. Funktioniert nicht. Suche ich einen Win-Rechner im Netz aus, werde ich nach Benutzername und Passwort meines Domänenaccounts gefragt. Sowas wäre auf der Linux-Seite auch wünschenswert. Normalerweise sollte man auch von einer anderen Domäne mittels dem richtigen Domänennutzername und Benutzerpasswort auf die Shares kommen, z.B. um Netzlaufwerke zu verbinden. Will das gleiche Verhalten wie bei einem Windows-Client haben. Gruss Patrick
Ah, jetzt verstehe ich das schon eher ;-) Hmmm, eben gerade probiert. Per VPN zu einem Netz verbunden, und dort ein Share gemappt und siehe da, es kommt eine Aufforderung mich mit User und Password zu authentifizieren. Allerdings eine Standalone Sambadomäne (2.2.5) und dementsprechend ohne Kerberos. OK, das hilft Dir jetzt auch nicht so richtig weiter ;-) Hast Du es mal versucht, was passiert, wenn Du gleich beim verbinden Dein Username und Passwort übergibst und nicht auf die Aufforderung zur Eingabe wartest. Gruss Kai Patrick Klaus schrieb:
Ich logge mich per VPN in meine Domäne ein und will auf die Resource meines Linux-Rechners. Funktioniert nicht. Suche ich einen Win-Rechner im Netz aus, werde ich nach Benutzername und Passwort meines Domänenaccounts gefragt. Sowas wäre auf der Linux-Seite auch wünschenswert. Normalerweise sollte man auch von einer anderen Domäne mittels dem richtigen Domänennutzername und Benutzerpasswort auf die Shares kommen, z.B. um Netzlaufwerke zu verbinden.
Will das gleiche Verhalten wie bei einem Windows-Client haben.
Gruss
Patrick
Kai Schmidt schrieb:
Ah, jetzt verstehe ich das schon eher ;-)
Hmmm, eben gerade probiert. Per VPN zu einem Netz verbunden, und dort ein Share gemappt und siehe da, es kommt eine Aufforderung mich mit User und Password zu authentifizieren. Allerdings eine Standalone Sambadomäne (2.2.5) und dementsprechend ohne Kerberos.
OK, das hilft Dir jetzt auch nicht so richtig weiter ;-) Hast Du es mal versucht, was passiert, wenn Du gleich beim verbinden Dein Username und Passwort übergibst und nicht auf die Aufforderung zur Eingabe wartest.
Hab ich auch probiert, geht leider auch nicht. Hab jetzt auch ne bessere Bezeichung gefunden. Kerberos funktioniert aber keine NTLM-Authentifizierung. (Das ist Benutzername Passwort) Damit spuckt Google schon etwas mehr aus, bin grad am suchen. Danke trotzdem. Gruss Patrick
Patrick Klaus <patrick.klaus@nexgo.de> writes:
Kai Schmidt schrieb:
Patrick Klaus schrieb:
Nun die Frage, wo liegt der Fehler das man sich nicht einloggen kann ausserhalb der Domäne, bzw dass man sich nur mittels Kerberos-Ticket einloggen kann. Ich hab da ein Verständnisproblem und weiss nicht wo ich suchen kann.
Ich logge mich per VPN in meine Domäne ein und will auf die Resource meines Linux-Rechners. Funktioniert nicht. Suche ich einen Win-Rechner im Netz aus, werde ich nach Benutzername und Passwort meines Domänenaccounts gefragt. Sowas wäre auf der Linux-Seite auch wünschenswert. Normalerweise sollte man auch von einer anderen Domäne mittels dem richtigen Domänennutzername und Benutzerpasswort auf die Shares kommen, z.B. um Netzlaufwerke zu verbinden.
Will das gleiche Verhalten wie bei einem Windows-Client haben. Darauf sagte meine Grußmutter immer 'Dä Will steit in de Holzeck', mit anderen Worten: Kleine Kinder werden mit Eckenstehen bestraft,wenn sie mit ihrem Fuß aufstampfen.
Welchen Kerberos Client nutzt du denn auf deinem Linux-Rechner? Du weißt, daß das kastrierte MIT Krb5-1.0 von Microsoft keine Host Principals erstellt, Unix Clients aber einen Host Pricipal benötigen? Lies dazu http://www.microsoft.com/windows2000/techinfo/planning/security/kerbsteps.as... -Dieter -- Dieter Klünter | Systemberatung Tel: +49.40.64861967 Fax: +49.40.64891521 Key ID: 9B13A25650EF4335
Dieter Kluenter schrieb:
Darauf sagte meine Grußmutter immer 'Dä Will steit in de Holzeck', mit anderen Worten: Kleine Kinder werden mit Eckenstehen bestraft,wenn sie mit ihrem Fuß aufstampfen.
Welchen Kerberos Client nutzt du denn auf deinem Linux-Rechner? Du weißt, daß das kastrierte MIT Krb5-1.0 von Microsoft keine Host Principals erstellt, Unix Clients aber einen Host Pricipal benötigen?
Lies dazu http://www.microsoft.com/windows2000/techinfo/planning/security/kerbsteps.as...
Hallo Dieter, das Problem hat sich von selber erledigt, winbind braucht nun auch nicht mehr zu laufen. Ich denke das da ein Patch von Microsoft das Problem behoben hat. Was nicht funktioniert hatte war ntlm_authentifizierung. Was Kerberos angeht hab ich mich an die Samba-Doku gehalten. Als Kerberos nutze ich die Heimdal-Pakete von SuSE, was IMHO ja eine andere Implementierung von Kerberos als MIT ist oder? Trotzdem vielen Dank für deine Antwort. Falls wieder Probleme auftreten werde ich mal nach der Anleitung nachgehen. Gruss Patrick
participants (3)
-
Dieter Kluenter -
Kai Schmidt -
Patrick Klaus