[gelöst] Ubuntu 16.04 LDAP Authentifizierung für separaten Samba Server

Joe2017

User

Beiträge: 45

Registrierungsdatum: 01.08.2017

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

1

01.08.2017, 09:31

Ubuntu 16.04 LDAP Authentifizierung für separaten Samba Server

Hallo zusammen,

ich habe hierzu schon einige Artikel gefunden. Jedoch blieben diese alle unbeantwortet.
Ich habe zwei getrennte Server. Einen LDAP Server und einen Samba Server. Ich möchte jedoch nicht im Samba alle Benutzer anlegen. Dazu kommt noch, dass ich die Kennwörter von meinen Benutzern nicht kenne, da diese die Kennwörter nach der ersten Anmeldung ändern.
Ich möchte Somit durch Gruppen im LDAP die Authentifizierung für den LDAP konfigurieren. Ich komme jedoch seit zwei Wochen nicht weiter. Ich habe euch mal meine bisherige Vorgehensweise in einer Step-by-Step Anleitung zusammengestellt. Vielleicht hat irgend jemand einen Tipp für mich.

Ich habe folgendes Szenario:

LDAP Server (16.04) 192.168.1.195
Samba Server (16.04) 192.168.1.197
Client (16.04) 192.168.1.198
Ich möchte keinen Samba PDC
Ich benötige den Samba auf einem separaten Server

LDAP Server

nano /etc/hostname #change

	Quellcode
1	LDAP.local.net

reboot
apt-get install slapd ldap-utils
nano /etc/ldap/ldap.conf #change

	Quellcode
1 2	BASEdc=local,dc=net URI ldap://localhost:389

dpkg-reconfigure slapd

No
local.net
local.net
MDB
No
Yes
No

apt-get install phpldapadmin
nano /etc/phpldapadmin/config.php #change

Quellcode

$servers->setValue('server','name','LDAP Server');
$servers->setValue('server','host','192.168.1.195');
$servers->setValue('server','base',array('dc=local,dc=net'));
$servers->setValue('login','bind_id','cn=admin,dc=local,dc=net');
// $config->custom->appearance['hide_template_warning'] = true;

reboot

SAMBA & CLIENT

apt-get install ldap-auth-client nscd
dpkg-reconfigure ldap-auth-config
apt-get -y install libpam-pwquality
nano /etc/nsswitch.conf #change

	Quellcode
1 2 3	passwd: compat ldap group: compat ldap shadow: compat ldap

nano /etc/pam.d/common-password #change

Quellcode

1
2

passwordrequisite   pam_pwquality.so retry=3 minlen=12 minclass=4 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 maxsequence=3
password[success=2 default=ignore]  pam_unix.so obscure use_authtok try_first_pass sha512 remember=5

nano /etc/pam.d/common-account #add

	Quellcode
1	account requiredpam_access.so

nano /etc/pam.d/common-session #add

	Quellcode
1	session required pam_mkhomedir.so skel=/etc/skel umask=0077

SAMBA-Server

apt-get install samba
mkdir /files
chmod 770 /files
mkdir /files/data
chmod 770 /files/data
nano /etc/samba/smb.conf #add/change

Quellcode

[global]
workgroup = local.net

#   passdb backend = tdbsam

# LDAP Settings
   passdb backend = ldapsam:ldap://192.168.1.195
   # Der LDAP-Suffix
   ldap suffix = dc=local,dc=net
   # Admin-DN
   ldap admin dn = cn=admin,dc=local,dc=net
   # User-, Gruppen- und Maschinen-Suffix
   ldap user suffix = ou=Users
   ldap group suffix = ou=Groups
   ldap machine suffix = ou=Computers
   ldap idmap suffix = ou=Idmap
   ldap delete dn = no
   ldap passwd sync = yes
   unix password sync = yes
   # or off if TLS/SSL is not configured
   #ldap ssl = start tls
   #ldap ssl = <no/ssl/start_tls>
   ldap ssl = no

# Scripte zum Hinzufügen/Löschen von Usern, Gruppen und Maschinen
   add user script = /usr/sbin/smbldap-useradd -m -a %u
   delete user script = /usr/sbin/smbldap-userdel %u
   add group script = /usr/sbin/smbldap-groupadd -p %g
   delete group script = /usr/sbin/smbldap-groupdel %g
   add user to group script = /usr/sbin/smbldap-groupmod -m %g %u
   delete user from group script = /usr/sbin/smbldap-groupmod -x %g %u
   set primary group script = /usr/sbin/smbldap-usermod -g %g %u
   add machine script = /usr/sbin/smbldap-useradd -i -w %u

[data]
  comment = Data
  path = /files/data
  browseable = yes
  read only = no
  guest ok = no

smbpasswd -w "admin Password"
chown testuser:users /files/data/

Ich hoffe ich habe nichts vergessen.

Danke für die Unterstützung. Ich weiß nicht wie viele Seiten ich mittlerweile durchgelesen habe.
___________
Verschoben aus "Sonstige Probleme".
Bluegrass

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Joe2017« (01.09.2017, 09:26) aus folgendem Grund: Ubuntu 16.04 LDAP Authentifizierung für separaten Samba Server ist offen JEDOCH wurde das Thema NFS4 mit LDAP und Kerberos gelöst.

Zum Seitenanfang

Fredl

Ubuntu-Forum-Team

Beiträge: 11 331

2

02.08.2017, 11:18

Was steht in den Logdateien?
Welche Meldung kommt bei Login-Versuchen auf der Konsole?

Beim Erstellen dieser Nachricht kamen keine Tiere zu Schaden.

me is all sausage
but don't call me Ferdl

Zum Seitenanfang

Joe2017

User

Beiträge: 45

Registrierungsdatum: 01.08.2017

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

3

02.08.2017, 12:18

Hallo Fredl,

die Anmeldung meiner Clients an Ubunte ist mit den LDAP Usern erfolgreich. Lediglich das Mounten der Freigaben funktioniert nicht.
Jetzt ist die Frage ob ich alles richtig gemacht habe. Ich habe mittlerweile auch das Samba Schema im LDAP importiert. Jedoch bin ich mir nicht sicher ob das zwingend notwendig ist. Da ich in der Grundeinrichtung von LDAP bereits Samba Accounts anlegen kann.

Zum Seitenanfang

Fredl

Ubuntu-Forum-Team

Beiträge: 11 331

4

02.08.2017, 13:49

Die Server-Logs werden immer interessanter.

Beim Erstellen dieser Nachricht kamen keine Tiere zu Schaden.

me is all sausage
but don't call me Ferdl

Zum Seitenanfang

Joe2017

User

Beiträge: 45

Registrierungsdatum: 01.08.2017

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

5

02.08.2017, 14:47

Also ich habe jetzt im Samba das Log Level mal auf 5 eingestellt und folgenden Befehl ausgeführt:

pdbedit -L -b ldapsam:ldap://192.168.1.195

Hier das Ergebnis:

Quellcode

INFO: Current debug levels:
  all: 5
  tdb: 5
  printdrivers: 5
  lanman: 5
  smb: 5
  rpc_parse: 5
  rpc_srv: 5
  rpc_cli: 5
  passdb: 5
  sam: 5
  auth: 5
  winbind: 5
  vfs: 5
  idmap: 5
  quota: 5
  acls: 5
  locking: 5
  msdfs: 5
  dmapi: 5
  registry: 5
  scavenger: 5
  dns: 5
  ldb: 5
  tevent: 5
doing parameter max log size = 1000
doing parameter syslog = 0
WARNING: The "syslog" option is deprecated
doing parameter panic action = /usr/share/samba/panic-action %d
doing parameter server role = standalone server
doing parameter passdb backend = ldapsam:ldap://192.168.1.195
doing parameter ldap suffix = dc=local,dc=net
doing parameter ldap user suffix = ou=People
doing parameter ldap group suffix = ou=Groups
doing parameter ldap machine suffix = ou=Computers
doing parameter ldap idmap suffix = ou=Idmap
doing parameter ldap admin dn = cn=admin,dc=local,dc=net
doing parameter ldap ssl = no
doing parameter ldap passwd sync = yes
doing parameter obey pam restrictions = yes
doing parameter unix password sync = yes
doing parameter passwd program = /usr/bin/passwd %u
doing parameter passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\   ssuccessfully* .
doing parameter pam password change = yes
doing parameter map to guest = bad user
doing parameter usershare allow guests = yes
pm_process() returned Yes
Netbios name list:-
my_netbios_names[0]="UBSERVSAMBA"
Attempting to register passdb backend smbpasswd
Successfully added passdb backend 'smbpasswd'
Attempting to register passdb backend tdbsam
Successfully added passdb backend 'tdbsam'
Attempting to register passdb backend wbc_sam
Successfully added passdb backend 'wbc_sam'
Attempting to register passdb backend samba_dsdb
Successfully added passdb backend 'samba_dsdb'
Attempting to register passdb backend samba4
Successfully added passdb backend 'samba4'
Attempting to register passdb backend ldapsam
Successfully added passdb backend 'ldapsam'
Attempting to register passdb backend NDS_ldapsam
Successfully added passdb backend 'NDS_ldapsam'
Attempting to register passdb backend IPA_ldapsam
Successfully added passdb backend 'IPA_ldapsam'
Attempting to find a passdb backend to match ldapsam:ldap://192.168.1.195 (ldapsam)
Found pdb backend ldapsam
smbldap_search_domain_info: Searching for:[(&(objectClass=sambaDomain)(sambaDomainName=UBSERVSAMBA))]
smbldap_search_ext: base => [dc=local,dc=net], filter => [(&(objectClass=sambaDomain)(sambaDomainName=UB   SERVSAMBA2))], scope => [2]
The connection to the LDAP server was closed
smbldap_open_connection: connection opened
ldap_connect_system: successful connection to the LDAP server
The LDAP server is successfully connected
pdb backend ldapsam:ldap://192.168.1.195 has a valid init
smbldap_search_paged: base => [dc=local,dc=net], filter => [(&(uid=*)(objectclass=sambaSamAccount))],sco   pe => [2], pagesize => [1024]
smbldap_search_ext: base => [dc=local,dc=net], filter => [(&(uid=*)(objectclass=sambaSamAccount))], scop   e => [2]
smbldap_search_paged: search was successful
smbldap_search_ext: base => [dc=local,dc=net], filter => [(&(sambaSID=S-1-5-21-3994288342-257197043-2368   657205-500)(objectclass=sambaSamAccount))], scope => [2]
init_sam_from_ldap: Entry found for user: root
Home server: UBSERVSAMBA
Home server: UBSERVSAMBA
Opening cache file at /var/cache/samba/gencache.tdb
Opening cache file at /var/run/samba/gencache_notrans.tdb
smbldap_search_ext: base => [sambaDomainName=UBSERVSAMBA,dc=local,dc=net], filter => [(objectClass=samb   aDomain)], scope => [0]
Opening cache file at /var/cache/samba/login_cache.tdb
Finding user root
Trying _Get_Pwnam(), username as lowercase is root
Get_Pwnam_internals did find user [root]!
root:0:root
Finding user nobody
Trying _Get_Pwnam(), username as lowercase is nobody
Get_Pwnam_internals did find user [nobody]!
Finding user nobody
Trying _Get_Pwnam(), username as lowercase is nobody
Get_Pwnam_internals did find user [nobody]!
nobody:65534:nobody

Ich sehe auch, dass die sambaDomainName=UBSERVSAMBA,dc=local,dc=net nicht im LDAP existiert. Wo kommt das her?
In meinem LDAP steht unter sambaDomainName=local.net

Ich habe mich am Client mit dem im LDAP angelegten LDAP-Benutzer angemeldet und folgende Zeile ausgeführt:
sudo mount -t cifs //192.168.1.197/data /home/users/LDAP-Benutzer/mount/ -o user=LDAP-Benutzer
Hierbekomme ich folgende Fehlermeldung:
Unable to find suitable address

getent passwd & getent group liefert mir am Samba Server und am Client die entsprechenden Ldap Einträge.

Anbei noch das erstellte Logfile meines LDAP-Benutzers (/var/log/samba/log.clientIP)

Quellcode

[2017/08/02 13:33:40.811538,  3] ../source3/smbd/oplock.c:1310(init_oplocks)
  init_oplocks: initializing messages.
[2017/08/02 13:33:40.811647,  5] ../source3/lib/messages.c:446(messaging_register)
  Registering messaging pointer for type 774 - private_data=0x559ea76845c0
[2017/08/02 13:33:40.811709,  5] ../source3/lib/messages.c:446(messaging_register)
  Registering messaging pointer for type 778 - private_data=0x559ea76845c0
[2017/08/02 13:33:40.811764,  5] ../source3/lib/messages.c:446(messaging_register)
  Registering messaging pointer for type 770 - private_data=0x559ea76845c0
[2017/08/02 13:33:40.811827,  5] ../source3/lib/messages.c:446(messaging_register)
  Registering messaging pointer for type 787 - private_data=0x559ea76845c0
[2017/08/02 13:33:40.811883,  5] ../source3/lib/messages.c:446(messaging_register)
  Registering messaging pointer for type 779 - private_data=0x559ea76845c0
[2017/08/02 13:33:40.811937,  5] ../source3/lib/messages.c:446(messaging_register)
  Registering messaging pointer for type 15 - private_data=(nil)
[2017/08/02 13:33:40.811999,  5] ../source3/lib/messages.c:461(messaging_register)
  Overriding messaging pointer for type 15 - private_data=(nil)
[2017/08/02 13:33:40.812055,  5] ../source3/lib/messages.c:493(messaging_deregister)
  Deregistering messaging pointer for type 16 - private_data=(nil)
[2017/08/02 13:33:40.812112,  5] ../source3/lib/messages.c:446(messaging_register)
  Registering messaging pointer for type 16 - private_data=0x559ea76845c0
[2017/08/02 13:33:40.812167,  5] ../source3/lib/messages.c:493(messaging_deregister)
  Deregistering messaging pointer for type 33 - private_data=0x559ea766d960
[2017/08/02 13:33:40.812230,  5] ../source3/lib/messages.c:446(messaging_register)
  Registering messaging pointer for type 33 - private_data=0x559ea76845c0
[2017/08/02 13:33:40.812285,  5] ../source3/lib/messages.c:493(messaging_deregister)
  Deregistering messaging pointer for type 790 - private_data=(nil)
[2017/08/02 13:33:40.812339,  5] ../source3/lib/messages.c:446(messaging_register)
  Registering messaging pointer for type 790 - private_data=0x559ea76845c0
[2017/08/02 13:33:40.812403,  5] ../source3/lib/messages.c:493(messaging_deregister)
  Deregistering messaging pointer for type 791 - private_data=(nil)
[2017/08/02 13:33:40.812490,  5] ../source3/lib/messages.c:493(messaging_deregister)
  Deregistering messaging pointer for type 1 - private_data=(nil)
[2017/08/02 13:33:40.812554,  5] ../source3/lib/messages.c:446(messaging_register)
  Registering messaging pointer for type 1 - private_data=(nil)
[2017/08/02 13:33:40.812681,  3] ../source3/smbd/process.c:1880(process_smb)
  Transaction 0 of length 82 (0 toread)
[2017/08/02 13:33:40.812750,  5] ../source3/lib/util.c:169(show_msg)
[2017/08/02 13:33:40.812784,  5] ../source3/lib/util.c:179(show_msg)
  size=78
  smb_com=0x72
  smb_rcls=0
  smb_reh=0
  smb_err=0
  smb_flg=0
  smb_flg2=51201
  smb_tid=0
  smb_pid=2038
  smb_uid=0
  smb_mid=1
  smt_wct=0
  smb_bcc=43
[2017/08/02 13:33:40.813073,  3] ../source3/smbd/process.c:1490(switch_message)
  switch message SMBnegprot (pid 489) conn 0x0
[2017/08/02 13:33:40.813152,  4] ../source3/smbd/sec_ctx.c:321(set_sec_ctx_internal)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2017/08/02 13:33:40.813228,  5] ../libcli/security/security_token.c:53(security_token_debug)
  Security token: (NULL)
[2017/08/02 13:33:40.813330,  5] ../source3/auth/token_util.c:639(debug_unix_user_token)
  UNIX token of user 0
  Primary group is 0 and contains 0 supplementary groups
[2017/08/02 13:33:40.813447,  5] ../source3/smbd/uid.c:425(smbd_change_to_root_user)
  change_to_root_user: now uid=(0,0) gid=(0,0)
[2017/08/02 13:33:40.814909,  3] ../source3/smbd/negprot.c:576(reply_negprot)
  Requested protocol [LM1.2X002]
[2017/08/02 13:33:40.815005,  3] ../source3/smbd/negprot.c:576(reply_negprot)
  Requested protocol [LANMAN2.1]
[2017/08/02 13:33:40.815092,  3] ../source3/smbd/negprot.c:576(reply_negprot)
  Requested protocol [NT LM 0.12]
[2017/08/02 13:33:40.815153,  3] ../source3/smbd/negprot.c:576(reply_negprot)
  Requested protocol [POSIX 2]
[2017/08/02 13:33:40.815274,  5] ../lib/dbwrap/dbwrap.c:178(dbwrap_check_lock_order)
  check lock order 2 for /var/run/samba/serverid.tdb
[2017/08/02 13:33:40.815355,  5] ../lib/dbwrap/dbwrap.c:146(dbwrap_lock_order_state_destructor)
  release lock order 2 for /var/run/samba/serverid.tdb
[2017/08/02 13:33:40.815513,  5] ../source3/auth/auth.c:491(make_auth_context_subsystem)
  Making default auth method list for server role = 'standalone server', encrypt passwords = yes
[2017/08/02 13:33:40.815596,  5] ../source3/auth/auth.c:48(smb_register_auth)
  Attempting to register auth backend sam
[2017/08/02 13:33:40.815664,  5] ../source3/auth/auth.c:60(smb_register_auth)
  Successfully added auth method 'sam'
[2017/08/02 13:33:40.815720,  5] ../source3/auth/auth.c:48(smb_register_auth)
  Attempting to register auth backend sam_ignoredomain
[2017/08/02 13:33:40.815774,  5] ../source3/auth/auth.c:60(smb_register_auth)
  Successfully added auth method 'sam_ignoredomain'
[2017/08/02 13:33:40.815865,  5] ../source3/auth/auth.c:48(smb_register_auth)
  Attempting to register auth backend unix
[2017/08/02 13:33:40.815936,  5] ../source3/auth/auth.c:60(smb_register_auth)
  Successfully added auth method 'unix'
[2017/08/02 13:33:40.815997,  5] ../source3/auth/auth.c:48(smb_register_auth)
  Attempting to register auth backend winbind
[2017/08/02 13:33:40.816050,  5] ../source3/auth/auth.c:60(smb_register_auth)
  Successfully added auth method 'winbind'
[2017/08/02 13:33:40.816103,  5] ../source3/auth/auth.c:48(smb_register_auth)
  Attempting to register auth backend wbc
[2017/08/02 13:33:40.816165,  5] ../source3/auth/auth.c:60(smb_register_auth)
  Successfully added auth method 'wbc'
[2017/08/02 13:33:40.816220,  5] ../source3/auth/auth.c:48(smb_register_auth)
  Attempting to register auth backend trustdomain
[2017/08/02 13:33:40.816281,  5] ../source3/auth/auth.c:60(smb_register_auth)
  Successfully added auth method 'trustdomain'
[2017/08/02 13:33:40.816337,  5] ../source3/auth/auth.c:48(smb_register_auth)
  Attempting to register auth backend ntdomain
[2017/08/02 13:33:40.816401,  5] ../source3/auth/auth.c:60(smb_register_auth)
  Successfully added auth method 'ntdomain'
[2017/08/02 13:33:40.816455,  5] ../source3/auth/auth.c:48(smb_register_auth)
  Attempting to register auth backend guest
[2017/08/02 13:33:40.816508,  5] ../source3/auth/auth.c:60(smb_register_auth)
  Successfully added auth method 'guest'
[2017/08/02 13:33:40.816561,  5] ../source3/auth/auth.c:378(load_auth_module)
  load_auth_module: Attempting to find an auth method to match guest
[2017/08/02 13:33:40.816647,  5] ../source3/auth/auth.c:403(load_auth_module)
  load_auth_module: auth method guest has a valid init
[2017/08/02 13:33:40.816711,  5] ../source3/auth/auth.c:378(load_auth_module)
  load_auth_module: Attempting to find an auth method to match sam
[2017/08/02 13:33:40.816770,  5] ../source3/auth/auth.c:403(load_auth_module)
  load_auth_module: auth method sam has a valid init
[2017/08/02 13:33:40.817853,  3] ../lib/util/util_net.c:256(interpret_string_addr_internal)
  interpret_string_addr_internal: getaddrinfo failed for name UbServSAMBA (flags 34) [Name or service not known]
[2017/08/02 13:33:40.818262,  3] ../source3/lib/util_sock.c:1187(get_mydnsfullname)
  get_mydnsfullname: getaddrinfo failed for name UbServSAMBA [Unknown error]
[2017/08/02 13:33:40.818385,  3] ../lib/util/util_net.c:256(interpret_string_addr_internal)
  interpret_string_addr_internal: getaddrinfo failed for name UbServSAMBA (flags 34) [Name or service not known]
[2017/08/02 13:33:40.818473,  3] ../source3/lib/util_sock.c:1187(get_mydnsfullname)
  get_mydnsfullname: getaddrinfo failed for name UbServSAMBA [Unknown error]
[2017/08/02 13:33:40.821889,  3] ../auth/gensec/gensec_start.c:907(gensec_register)
  GENSEC backend 'gssapi_spnego' registered
[2017/08/02 13:33:40.821992,  3] ../auth/gensec/gensec_start.c:907(gensec_register)
  GENSEC backend 'gssapi_krb5' registered
[2017/08/02 13:33:40.822054,  3] ../auth/gensec/gensec_start.c:907(gensec_register)
  GENSEC backend 'gssapi_krb5_sasl' registered
[2017/08/02 13:33:40.822128,  3] ../auth/gensec/gensec_start.c:907(gensec_register)
  GENSEC backend 'spnego' registered
[2017/08/02 13:33:40.822189,  3] ../auth/gensec/gensec_start.c:907(gensec_register)
  GENSEC backend 'schannel' registered
[2017/08/02 13:33:40.822247,  3] ../auth/gensec/gensec_start.c:907(gensec_register)
  GENSEC backend 'naclrpc_as_system' registered
[2017/08/02 13:33:40.822305,  3] ../auth/gensec/gensec_start.c:907(gensec_register)
  GENSEC backend 'sasl-EXTERNAL' registered
[2017/08/02 13:33:40.822379,  3] ../auth/gensec/gensec_start.c:907(gensec_register)
  GENSEC backend 'ntlmssp' registered
[2017/08/02 13:33:40.822470,  3] ../auth/gensec/gensec_start.c:907(gensec_register)
  GENSEC backend 'ntlmssp_resume_ccache' registered
[2017/08/02 13:33:40.822534,  3] ../auth/gensec/gensec_start.c:907(gensec_register)
  GENSEC backend 'http_basic' registered
[2017/08/02 13:33:40.822592,  3] ../auth/gensec/gensec_start.c:907(gensec_register)
  GENSEC backend 'http_ntlm' registered
[2017/08/02 13:33:40.822662,  3] ../auth/gensec/gensec_start.c:907(gensec_register)
  GENSEC backend 'krb5' registered
[2017/08/02 13:33:40.822722,  3] ../auth/gensec/gensec_start.c:907(gensec_register)
  GENSEC backend 'fake_gssapi_krb5' registered
[2017/08/02 13:33:40.822826,  5] ../auth/gensec/gensec_start.c:680(gensec_start_mech)
  Starting GENSEC mechanism spnego
[2017/08/02 13:33:40.822908,  5] ../auth/gensec/gensec_start.c:680(gensec_start_mech)
  Starting GENSEC submechanism ntlmssp
[2017/08/02 13:33:40.823033,  3] ../source3/smbd/negprot.c:395(reply_nt1)
  using SPNEGO
[2017/08/02 13:33:40.823125,  3] ../source3/smbd/negprot.c:684(reply_negprot)
  Selected protocol NT LM 0.12
[2017/08/02 13:33:40.823188,  5] ../source3/smbd/negprot.c:691(reply_negprot)
  negprot index=2
[2017/08/02 13:33:40.823249,  5] ../source3/lib/util.c:169(show_msg)
[2017/08/02 13:33:40.823285,  5] ../source3/lib/util.c:179(show_msg)
  size=159
  smb_com=0x72
  smb_rcls=0
  smb_reh=0
  smb_err=0
  smb_flg=128
  smb_flg2=51201
  smb_tid=0
  smb_pid=2038
  smb_uid=0
  smb_mid=1
  smt_wct=17
  smb_vwv[ 0]=	2 (0x2)
  smb_vwv[ 1]=12803 (0x3203)
  smb_vwv[ 2]=  256 (0x100)
  smb_vwv[ 3]= 1024 (0x400)
  smb_vwv[ 4]=   65 (0x41)
  smb_vwv[ 5]=	0 (0x0)
  smb_vwv[ 6]=  256 (0x100)
  smb_vwv[ 7]=59648 (0xE900)
  smb_vwv[ 8]=	1 (0x1)
  smb_vwv[ 9]=64768 (0xFD00)
  smb_vwv[10]=33011 (0x80F3)
  smb_vwv[11]=59264 (0xE780)
  smb_vwv[12]= 9920 (0x26C0)
  smb_vwv[13]=37876 (0x93F4)
  smb_vwv[14]=54027 (0xD30B)
  smb_vwv[15]=	1 (0x1)
  smb_vwv[16]=	0 (0x0)
  smb_bcc=90
[2017/08/02 13:33:40.824616,  3] ../source3/smbd/process.c:1880(process_smb)
  Transaction 1 of length 212 (0 toread)
[2017/08/02 13:33:40.824741,  5] ../source3/lib/util.c:169(show_msg)
[2017/08/02 13:33:40.824783,  5] ../source3/lib/util.c:179(show_msg)
  size=208
  smb_com=0x73
  smb_rcls=0
  smb_reh=0
  smb_err=0
  smb_flg=0
  smb_flg2=55297
  smb_tid=0
  smb_pid=2038
  smb_uid=0
  smb_mid=2
  smt_wct=12
  smb_vwv[ 0]=  255 (0xFF)
  smb_vwv[ 1]=	0 (0x0)
  smb_vwv[ 2]=16468 (0x4054)
  smb_vwv[ 3]=   50 (0x32)
  smb_vwv[ 4]=	1 (0x1)
  smb_vwv[ 5]=	0 (0x0)
  smb_vwv[ 6]=	0 (0x0)
  smb_vwv[ 7]=   32 (0x20)
  smb_vwv[ 8]=	0 (0x0)
  smb_vwv[ 9]=	0 (0x0)
  smb_vwv[10]=53468 (0xD0DC)
  smb_vwv[11]=32896 (0x8080)
  smb_bcc=149
[2017/08/02 13:33:40.825385,  3] ../source3/smbd/process.c:1490(switch_message)
  switch message SMBsesssetupX (pid 489) conn 0x0
[2017/08/02 13:33:40.825452,  4] ../source3/smbd/sec_ctx.c:321(set_sec_ctx_internal)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2017/08/02 13:33:40.825578,  5] ../libcli/security/security_token.c:53(security_token_debug)
  Security token: (NULL)
[2017/08/02 13:33:40.825638,  5] ../source3/auth/token_util.c:639(debug_unix_user_token)
  UNIX token of user 0
  Primary group is 0 and contains 0 supplementary groups
[2017/08/02 13:33:40.825727,  5] ../source3/smbd/uid.c:425(smbd_change_to_root_user)
  change_to_root_user: now uid=(0,0) gid=(0,0)
[2017/08/02 13:33:40.825798,  3] ../source3/smbd/sesssetup.c:615(reply_sesssetup_and_X)
  wct=12 flg2=0xd801
[2017/08/02 13:33:40.825875,  3] ../source3/smbd/sesssetup.c:144(reply_sesssetup_and_X_spnego)
  Doing spnego session setup
[2017/08/02 13:33:40.825939,  3] ../source3/smbd/sesssetup.c:185(reply_sesssetup_and_X_spnego)
  NativeOS=[Linux version 4.10.0-28-generic] NativeLanMan=[CIFS VFS Client for Linux] PrimaryDomain=[]
[2017/08/02 13:33:40.826037,  5] ../lib/dbwrap/dbwrap.c:178(dbwrap_check_lock_order)
  check lock order 1 for /var/run/samba/smbXsrv_session_global.tdb
[2017/08/02 13:33:40.826378,  5] ../lib/dbwrap/dbwrap.c:146(dbwrap_lock_order_state_destructor)
  release lock order 1 for /var/run/samba/smbXsrv_session_global.tdb
[2017/08/02 13:33:40.826463,  5] ../source3/auth/auth.c:491(make_auth_context_subsystem)
  Making default auth method list for server role = 'standalone server', encrypt passwords = yes
[2017/08/02 13:33:40.826530,  5] ../source3/auth/auth.c:378(load_auth_module)
  load_auth_module: Attempting to find an auth method to match guest
[2017/08/02 13:33:40.826601,  5] ../source3/auth/auth.c:403(load_auth_module)
  load_auth_module: auth method guest has a valid init
[2017/08/02 13:33:40.826660,  5] ../source3/auth/auth.c:378(load_auth_module)
  load_auth_module: Attempting to find an auth method to match sam
[2017/08/02 13:33:40.826716,  5] ../source3/auth/auth.c:403(load_auth_module)
  load_auth_module: auth method sam has a valid init
[2017/08/02 13:33:40.826787,  3] ../lib/util/util_net.c:256(interpret_string_addr_internal)
  interpret_string_addr_internal: getaddrinfo failed for name UbServSAMBA (flags 34) [Name or service not known]
[2017/08/02 13:33:40.826868,  3] ../source3/lib/util_sock.c:1187(get_mydnsfullname)
  get_mydnsfullname: getaddrinfo failed for name UbServSAMBA [Unknown error]
[2017/08/02 13:33:40.826971,  3] ../lib/util/util_net.c:256(interpret_string_addr_internal)
  interpret_string_addr_internal: getaddrinfo failed for name UbServSAMBA (flags 34) [Name or service not known]
[2017/08/02 13:33:40.827040,  3] ../source3/lib/util_sock.c:1187(get_mydnsfullname)
  get_mydnsfullname: getaddrinfo failed for name UbServSAMBA [Unknown error]
[2017/08/02 13:33:40.827163,  5] ../auth/gensec/gensec_start.c:680(gensec_start_mech)
  Starting GENSEC mechanism spnego
[2017/08/02 13:33:40.827232,  4] ../source3/smbd/sec_ctx.c:217(push_sec_ctx)
  push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1
[2017/08/02 13:33:40.827291,  4] ../source3/smbd/uid.c:491(push_conn_ctx)
  push_conn_ctx(0) : conn_ctx_stack_ndx = 0
[2017/08/02 13:33:40.827361,  4] ../source3/smbd/sec_ctx.c:321(set_sec_ctx_internal)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2017/08/02 13:33:40.827420,  5] ../libcli/security/security_token.c:53(security_token_debug)
  Security token: (NULL)
[2017/08/02 13:33:40.827474,  5] ../source3/auth/token_util.c:639(debug_unix_user_token)
  UNIX token of user 0
  Primary group is 0 and contains 0 supplementary groups
[2017/08/02 13:33:40.827575,  5] ../auth/gensec/gensec_start.c:680(gensec_start_mech)
  Starting GENSEC submechanism ntlmssp
[2017/08/02 13:33:40.827704,  3] ../auth/ntlmssp/ntlmssp_util.c:69(debug_ntlmssp_flags)
  Got NTLMSSP neg_flags=0xe0080225
	NTLMSSP_NEGOTIATE_UNICODE
	NTLMSSP_REQUEST_TARGET
	NTLMSSP_NEGOTIATE_SEAL
	NTLMSSP_NEGOTIATE_NTLM
	NTLMSSP_NEGOTIATE_EXTENDED_SESSIONSECURITY
	NTLMSSP_NEGOTIATE_128
	NTLMSSP_NEGOTIATE_KEY_EXCH
	NTLMSSP_NEGOTIATE_56
[2017/08/02 13:33:40.828041,  4] ../source3/smbd/sec_ctx.c:439(pop_sec_ctx)
  pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2017/08/02 13:33:40.828137,  5] ../source3/lib/util.c:169(show_msg)
[2017/08/02 13:33:40.828175,  5] ../source3/lib/util.c:179(show_msg)
  size=304
  smb_com=0x73
  smb_rcls=22
  smb_reh=0
  smb_err=49152
  smb_flg=128
  smb_flg2=51203
  smb_tid=0
  smb_pid=2038
  smb_uid=39864
  smb_mid=2
  smt_wct=4
  smb_vwv[ 0]=  255 (0xFF)
  smb_vwv[ 1]=	0 (0x0)
  smb_vwv[ 2]=	0 (0x0)
  smb_vwv[ 3]=  164 (0xA4)
  smb_bcc=261
[2017/08/02 13:33:40.829153,  3] ../source3/smbd/process.c:1880(process_smb)
  Transaction 2 of length 416 (0 toread)
[2017/08/02 13:33:40.829289,  5] ../source3/lib/util.c:169(show_msg)
[2017/08/02 13:33:40.829361,  5] ../source3/lib/util.c:179(show_msg)
  size=412
  smb_com=0x73
  smb_rcls=0
  smb_reh=0
  smb_err=0
  smb_flg=0
  smb_flg2=55297
  smb_tid=0
  smb_pid=2038
  smb_uid=39864
  smb_mid=3
  smt_wct=12
  smb_vwv[ 0]=  255 (0xFF)
  smb_vwv[ 1]=	0 (0x0)
  smb_vwv[ 2]=16468 (0x4054)
  smb_vwv[ 3]=   50 (0x32)
  smb_vwv[ 4]=	1 (0x1)
  smb_vwv[ 5]=	0 (0x0)
  smb_vwv[ 6]=	0 (0x0)
  smb_vwv[ 7]=  236 (0xEC)
  smb_vwv[ 8]=	0 (0x0)
  smb_vwv[ 9]=	0 (0x0)
  smb_vwv[10]=53468 (0xD0DC)
  smb_vwv[11]=32896 (0x8080)
  smb_bcc=353
[2017/08/02 13:33:40.829971,  3] ../source3/smbd/process.c:1490(switch_message)
  switch message SMBsesssetupX (pid 489) conn 0x0
[2017/08/02 13:33:40.830037,  4] ../source3/smbd/sec_ctx.c:321(set_sec_ctx_internal)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2017/08/02 13:33:40.830093,  5] ../libcli/security/security_token.c:53(security_token_debug)
  Security token: (NULL)
[2017/08/02 13:33:40.830193,  5] ../source3/auth/token_util.c:639(debug_unix_user_token)
  UNIX token of user 0
  Primary group is 0 and contains 0 supplementary groups
[2017/08/02 13:33:40.830292,  5] ../source3/smbd/uid.c:425(smbd_change_to_root_user)
  change_to_root_user: now uid=(0,0) gid=(0,0)
[2017/08/02 13:33:40.830354,  3] ../source3/smbd/sesssetup.c:615(reply_sesssetup_and_X)
  wct=12 flg2=0xd801
[2017/08/02 13:33:40.830409,  3] ../source3/smbd/sesssetup.c:144(reply_sesssetup_and_X_spnego)
  Doing spnego session setup
[2017/08/02 13:33:40.830479,  3] ../source3/smbd/sesssetup.c:185(reply_sesssetup_and_X_spnego)
  NativeOS=[Linux version 4.10.0-28-generic] NativeLanMan=[CIFS VFS Client for Linux] PrimaryDomain=[]
[2017/08/02 13:33:40.830542,  4] ../source3/smbd/sec_ctx.c:217(push_sec_ctx)
  push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1
[2017/08/02 13:33:40.830599,  4] ../source3/smbd/uid.c:491(push_conn_ctx)
  push_conn_ctx(0) : conn_ctx_stack_ndx = 0
[2017/08/02 13:33:40.830652,  4] ../source3/smbd/sec_ctx.c:321(set_sec_ctx_internal)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2017/08/02 13:33:40.830717,  5] ../libcli/security/security_token.c:53(security_token_debug)
  Security token: (NULL)
[2017/08/02 13:33:40.830772,  5] ../source3/auth/token_util.c:639(debug_unix_user_token)
  UNIX token of user 0
  Primary group is 0 and contains 0 supplementary groups
[2017/08/02 13:33:40.830874,  3] ../auth/ntlmssp/ntlmssp_server.c:452(ntlmssp_server_preauth)
  Got user=[LDAP-Benutzer] domain=[] workstation=[] len1=0 len2=128
[2017/08/02 13:33:40.831017,  3] ../source3/param/loadparm.c:3754(lp_load_ex)
  lp_load_ex: refreshing parameters
[2017/08/02 13:33:40.831094,  5] ../source3/param/loadparm.c:1325(free_param_opts)
  Freeing parametrics:
[2017/08/02 13:33:40.831245,  3] ../source3/param/loadparm.c:548(init_globals)
  Initialising global parameters
[2017/08/02 13:33:40.831470,  3] ../source3/param/loadparm.c:2683(lp_do_section)
  Processing section "[global]"
  doing parameter workgroup = LOCAL
  doing parameter realm = LOCAL.NET
  doing parameter server string = %h server (Samba, Ubuntu)
  doing parameter dns proxy = no
  doing parameter log file = /var/log/samba/log.%m
  doing parameter log level = 5
[2017/08/02 13:33:40.831794,  5] ../lib/util/debug.c:638(debug_dump_status)
  INFO: Current debug levels:
	all: 5
	tdb: 5
	printdrivers: 5
	lanman: 5
	smb: 5
	rpc_parse: 5
	rpc_srv: 5
	rpc_cli: 5
	passdb: 5
	sam: 5
	auth: 5
	winbind: 5
	vfs: 5
	idmap: 5
	quota: 5
	acls: 5
	locking: 5
	msdfs: 5
	dmapi: 5
	registry: 5
	scavenger: 5
	dns: 5
	ldb: 5
	tevent: 5
  doing parameter max log size = 1000
  doing parameter syslog = 0
[2017/08/02 13:33:40.832404,  1] ../lib/param/loadparm.c:1629(lpcfg_do_global_parameter)
  WARNING: The "syslog" option is deprecated
  doing parameter panic action = /usr/share/samba/panic-action %d
  doing parameter server role = standalone server
  doing parameter passdb backend = ldapsam:ldap://192.168.1.195
  doing parameter ldap suffix = dc=LOCAL,dc=net
  doing parameter ldap user suffix = ou=People
  doing parameter ldap group suffix = ou=Groups
  doing parameter ldap machine suffix = ou=Computers
  doing parameter ldap idmap suffix = ou=Idmap
  doing parameter ldap admin dn = cn=admin,dc=LOCAL,dc=net
  doing parameter ldap ssl = no
  doing parameter ldap passwd sync = yes
  doing parameter obey pam restrictions = yes
  doing parameter unix password sync = yes
  doing parameter passwd program = /usr/bin/passwd %u
  doing parameter passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\$
  doing parameter pam password change = yes
  doing parameter map to guest = bad user
  doing parameter usershare allow guests = yes
[2017/08/02 13:33:40.833281,  2] ../source3/param/loadparm.c:2700(lp_do_section)
  Processing section "[printers]"
  doing parameter comment = All Printers
  doing parameter browseable = no
  doing parameter path = /var/spool/samba
  doing parameter printable = yes
  doing parameter guest ok = no
  doing parameter read only = yes
  doing parameter create mask = 0700
[2017/08/02 13:33:40.833658,  2] ../source3/param/loadparm.c:2700(lp_do_section)
  Processing section "[print$]"
  doing parameter comment = Printer Drivers
  doing parameter path = /var/lib/samba/printers
  doing parameter browseable = yes
  doing parameter read only = yes
  doing parameter guest ok = no
[2017/08/02 13:33:40.833889,  2] ../source3/param/loadparm.c:2700(lp_do_section)
  Processing section "[data]"
  doing parameter comment = Data
  doing parameter path = /files/data
  doing parameter browseable = yes
  doing parameter read only = no
  doing parameter guest ok = no
[2017/08/02 13:33:40.834145,  4] ../source3/param/loadparm.c:3795(lp_load_ex)
  pm_process() returned Yes
[2017/08/02 13:33:40.834258,  3] ../source3/param/loadparm.c:1600(lp_add_ipc)
  adding IPC service
[2017/08/02 13:33:40.834355,  5] ../source3/auth/auth_util.c:117(make_user_info_map)
  Mapping user []\[LDAP-Benutzer] from workstation []
[2017/08/02 13:33:40.834436,  5] ../source3/auth/auth_util.c:139(make_user_info_map)
  Mapped domain from [] to [UbServSAMBA] for user [LDAP-Benutzer] from workstation []
[2017/08/02 13:33:40.834497,  5] ../source3/auth/user_info.c:62(make_user_info)
  attempting to make a user_info for LDAP-Benutzer (LDAP-Benutzer)
[2017/08/02 13:33:40.834553,  5] ../source3/auth/user_info.c:70(make_user_info)
  making strings for LDAP-Benutzer's user_info struct
[2017/08/02 13:33:40.834620,  5] ../source3/auth/user_info.c:108(make_user_info)
  making blobs for LDAP-Benutzer's user_info struct
[2017/08/02 13:33:40.834679,  3] ../source3/auth/auth.c:178(auth_check_ntlm_password)
  check_ntlm_password:  Checking password for unmapped user []\[LDAP-Benutzer]@[] with the new password interface
[2017/08/02 13:33:40.834738,  3] ../source3/auth/auth.c:181(auth_check_ntlm_password)
  check_ntlm_password:  mapped user is: [UbServSAMBA]\[LDAP-Benutzer]@[]
[2017/08/02 13:33:40.834804,  5] ../lib/util/util.c:559(dump_data)
  [0000] 4A E1 2E D0 ED 7C 84 E4                         	J....|..
[2017/08/02 13:33:40.834895,  4] ../source3/smbd/sec_ctx.c:217(push_sec_ctx)

  push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 2
[2017/08/02 13:33:40.834985,  4] ../source3/smbd/uid.c:491(push_conn_ctx)
  push_conn_ctx(0) : conn_ctx_stack_ndx = 1
[2017/08/02 13:33:40.835045,  4] ../source3/smbd/sec_ctx.c:321(set_sec_ctx_internal)
  setting sec ctx (0, 0) - sec_ctx_stack_ndx = 2
[2017/08/02 13:33:40.835119,  5] ../libcli/security/security_token.c:53(security_token_debug)
  Security token: (NULL)
[2017/08/02 13:33:40.835175,  5] ../source3/auth/token_util.c:639(debug_unix_user_token)
  UNIX token of user 0
  Primary group is 0 and contains 0 supplementary groups
[2017/08/02 13:33:40.835314,  5] ../source3/lib/smbldap.c:1249(smbldap_search_ext)
  smbldap_search_ext: base => [dc=LOCAL,dc=net], filter => [(&(uid=LDAP-Benutzer)(objectclass=sambaSamAcco$
[2017/08/02 13:33:40.835419,  5] ../source3/lib/smbldap.c:1114(smbldap_close)
  The connection to the LDAP server was closed
[2017/08/02 13:33:40.835558,  2] ../source3/lib/smbldap.c:794(smbldap_open_connection)
  smbldap_open_connection: connection opened
[2017/08/02 13:33:40.836969,  3] ../source3/lib/smbldap.c:1013(smbldap_connect_system)
  ldap_connect_system: successful connection to the LDAP server
[2017/08/02 13:33:40.837092,  4] ../source3/lib/smbldap.c:1092(smbldap_open)
  The LDAP server is successfully connected
[2017/08/02 13:33:40.837787,  4] ../source3/passdb/pdb_ldap.c:1496(ldapsam_getsampwnam)
  ldapsam_getsampwnam: Unable to locate user [LDAP-Benutzer] count=0
[2017/08/02 13:33:40.837918,  4] ../source3/smbd/sec_ctx.c:439(pop_sec_ctx)
  pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 1
[2017/08/02 13:33:40.837985,  3] ../source3/auth/check_samsec.c:400(check_sam_security)
  check_sam_security: Couldn't find user 'LDAP-Benutzer' in passdb.
[2017/08/02 13:33:40.838044,  5] ../source3/auth/auth.c:252(auth_check_ntlm_password)
  check_ntlm_password: sam authentication for user [LDAP-Benutzer] FAILED with error NT_STATUS_NO_SUCH_USER
[2017/08/02 13:33:40.838140,  2] ../source3/auth/auth.c:315(auth_check_ntlm_password)
  check_ntlm_password:  Authentication for user [LDAP-Benutzer] -> [LDAP-Benutzer] FAILED with error NT_STATUS_NO_SU$
[2017/08/02 13:33:40.838203,  5] ../source3/auth/auth_ntlmssp.c:188(auth3_check_password)
  Checking NTLMSSP password for \LDAP-Benutzer failed: NT_STATUS_NO_SUCH_USER
[2017/08/02 13:33:40.838274,  3] ../source3/auth/auth_util.c:1602(do_map_to_guest_server_info)
  No such user LDAP-Benutzer [] - using guest account
[2017/08/02 13:33:40.838357,  5] ../auth/ntlmssp/ntlmssp_server.c:891(ntlmssp_server_postauth)
  server session key is invalid (len == 0), cannot do KEY_EXCH!
[2017/08/02 13:33:40.838436,  4] ../source3/smbd/sec_ctx.c:439(pop_sec_ctx)
  pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2017/08/02 13:33:40.838523,  5] ../lib/dbwrap/dbwrap.c:178(dbwrap_check_lock_order)
  check lock order 1 for /var/run/samba/smbXsrv_session_global.tdb
[2017/08/02 13:33:40.838679,  5] ../lib/dbwrap/dbwrap.c:146(dbwrap_lock_order_state_destructor)
  release lock order 1 for /var/run/samba/smbXsrv_session_global.tdb

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »Joe2017« (02.08.2017, 15:40)

Zum Seitenanfang

Fredl

Ubuntu-Forum-Team

Beiträge: 11 331

6

03.08.2017, 01:29

Zitat von »Joe2017«

Ich sehe auch, dass die sambaDomainName=UBSERVSAMBA,dc=local,dc=net nicht im LDAP existiert. Wo kommt das her?

Kann ich nicht sagen. Könnte der hostname von dem Rechner dazugemangelt sein?

Was sagen die Logs von dem LDAP bei den Zugriffen?

Beim Erstellen dieser Nachricht kamen keine Tiere zu Schaden.

me is all sausage
but don't call me Ferdl

Zum Seitenanfang

Joe2017

User

Beiträge: 45

Registrierungsdatum: 01.08.2017

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

7

03.08.2017, 09:22

Anbei das Log vom LDAP

Quellcode

Aug  3 07:15:40 UbServLDAP slapd[424]: conn=1003 fd=17 ACCEPT from IP=192.168.240.197:39166 (IP=0.0.0.0:389)
Aug  3 07:15:40 UbServLDAP slapd[424]: conn=1003 op=0 BIND dn="cn=admin,dc=local,dc=net" method=128
Aug  3 07:15:40 UbServLDAP slapd[424]: conn=1003 op=0 BIND dn="cn=admin,dc=local,dc=net" mech=SIMPLE ssf=0
Aug  3 07:15:40 UbServLDAP slapd[424]: conn=1003 op=0 RESULT tag=97 err=0 text=
Aug  3 07:15:40 UbServLDAP slapd[424]: conn=1003 op=1 SRCH base="" scope=0 deref=0 filter="(objectClass=*)"
Aug  3 07:15:40 UbServLDAP slapd[424]: conn=1003 op=1 SRCH attr=supportedControl
Aug  3 07:15:40 UbServLDAP slapd[424]: conn=1003 op=1 SEARCH RESULT tag=101 err=0 nentries=1 text=
Aug  3 07:15:40 UbServLDAP slapd[424]: conn=1003 op=2 SRCH base="dc=local,dc=net" scope=2 deref=0 filter="(&(uid=test)(objectClass=sambaSamAccount))"
Aug  3 07:15:40 UbServLDAP slapd[424]: conn=1003 op=2 SRCH attr=uid uidNumber gidNumber homeDirectory sambaPwdLastSet sambaPwdCanChange sambaPwdMustChange sambaLogonTime sambaLogoffTime sambaKickoffTime cn sn displayName sambaHomeDrive sambaHomePath sambaLogonScript sambaProfilePath description sambaUserWorkstations sambaSID sambaPrimaryGroupSID sambaLMPassword sambaNTPassword sambaDomainName objectClass sambaAcctFlags sambaMungedDial sambaBadPasswordCount sambaBadPasswordTime sambaPasswordHistory modifyTimestamp sambaLogonHours modifyTimestamp uidNumber gidNumber homeDirectory loginShell gecos
Aug  3 07:15:40 UbServLDAP slapd[424]: conn=1003 op=2 SEARCH RESULT tag=101 err=0 nentries=1 text=
Aug  3 07:15:40 UbServLDAP slapd[424]: conn=1003 op=3 SRCH base="sambaDomainName=UBSERVSAMBA,dc=local,dc=net" scope=0 deref=0 filter="(objectClass=sambaDomain)"
Aug  3 07:15:40 UbServLDAP slapd[424]: conn=1003 op=3 SRCH attr=sambaPwdHistoryLength
Aug  3 07:15:40 UbServLDAP slapd[424]: conn=1003 op=3 SEARCH RESULT tag=101 err=0 nentries=1 text=
Aug  3 07:15:40 UbServLDAP slapd[424]: conn=1003 op=4 SRCH base="dc=local,dc=net" scope=2 deref=0 filter="(&(sambaSID=s-1-5-21-3994288342-257197043-2368657205-10001)(objectClass=sambaSamAccount))"
Aug  3 07:15:40 UbServLDAP slapd[424]: conn=1003 op=4 SRCH attr=uid uidNumber gidNumber homeDirectory sambaPwdLastSet sambaPwdCanChange sambaPwdMustChange sambaLogonTime sambaLogoffTime sambaKickoffTime cn sn displayName sambaHomeDrive sambaHomePath sambaLogonScript sambaProfilePath description sambaUserWorkstations sambaSID sambaPrimaryGroupSID sambaLMPassword sambaNTPassword sambaDomainName objectClass sambaAcctFlags sambaMungedDial sambaBadPasswordCount sambaBadPasswordTime sambaPasswordHistory modifyTimestamp sambaLogonHours modifyTimestamp uidNumber gidNumber homeDirectory loginShell gecos
Aug  3 07:15:40 UbServLDAP slapd[424]: conn=1003 op=4 SEARCH RESULT tag=101 err=0 nentries=0 text=
Aug  3 07:15:40 UbServLDAP slapd[424]: conn=1003 op=5 SRCH base="dc=local,dc=net" scope=2 deref=0 filter="(&(objectClass=sambaGroupMapping)(sambaSID=s-1-5-21-3994288342-257197043-2368657205-10001))"
Aug  3 07:15:40 UbServLDAP slapd[424]: conn=1003 op=5 SRCH attr=gidNumber sambaSID sambaGroupType sambaSIDList description displayName cn objectClass
Aug  3 07:15:40 UbServLDAP slapd[424]: conn=1003 op=5 SEARCH RESULT tag=101 err=0 nentries=1 text=
Aug  3 07:15:40 UbServLDAP slapd[424]: conn=1003 fd=17 closed (connection lost)

Zum Seitenanfang

Fredl

Ubuntu-Forum-Team

Beiträge: 11 331

8

06.08.2017, 01:09

Mir scheint, daß die SambaSID nicht stimmen, speziell bei der UserID. Das müsste nach üblicher Konvention am Ende eine gerade Zahl sein.
Bei der GroupID dagegen ungerade, und da findet er ja auch einen Eintrag.
Schau mal in dieser Richtung.

Und wie ist der Linux-hostname des anfragenden Rechners?

Beim Erstellen dieser Nachricht kamen keine Tiere zu Schaden.

me is all sausage
but don't call me Ferdl

Zum Seitenanfang

Joe2017

User

Beiträge: 45

Registrierungsdatum: 01.08.2017

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

9

08.08.2017, 09:17

Die SID wurde automatisch angelegt. An dieser habe ich nichts verändert.

welchen Hostnamen meinst du?

LDAP.local.net
SAMBA.local.net
Client.local.net

So wurden alle hostnamen in die /etc/hostname eingetragen.

Zum Seitenanfang

Fredl

Ubuntu-Forum-Team

Beiträge: 11 331

10

08.08.2017, 13:46

Ich meine den, der bei hostname -A rauskommt. Irgendwo muss dieses UBSERV ja herkommen.

Zitat von »Joe2017«

Die SID wurde automatisch angelegt.

Womit?
Ändere die für uid mal. Muss im Normalfall um 1 niedriger sein als die von der gid.

Was spricht eigentlich dagegen, den LDAP auf der gleichen Maschine zu haben? Wenn du da einen vollständigen Samba-PDC ans laufen bekommst könntest du den LDAP ja immer noch mit seinen Daten und configs auslagern.

Beim Erstellen dieser Nachricht kamen keine Tiere zu Schaden.

me is all sausage
but don't call me Ferdl

Zum Seitenanfang

Joe2017

User

Beiträge: 45

Registrierungsdatum: 01.08.2017

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

11

08.08.2017, 14:58

Oh entschuldige. Das ist meine Schuld. Ich habe mit Copy und Paste die Namen geändert.
Der name passt somit.

was dagegen spricht? Ganz einfach... ich habe mehrere Server welche eine Freigebe bereitstellen müssen. Somit muss ich dies auf mehreren Servern konfigurieren können.
Und ich möchte keinen PDC einrichten. Dies habe ich zu beginn geschrieben. Ich habe später eine reine Ubuntu Umgebung und benötige keine Verbindung zu Windows Clients (maximal mit dem RDP Protokoll).

Zum Seitenanfang

Fredl

Ubuntu-Forum-Team

Beiträge: 11 331

12

08.08.2017, 15:11

Zitat von »Joe2017«

Ich habe mit Copy und Paste die Namen geändert.
Der name passt somit.

Was meinst du jetzt? Vor einigen Beiträgen kam die Frage auf, woher der sambaDomainName=UBSERVSAMBA kommen mag. Dem wollte ich nachgehen.

Zitat von »Joe2017«

ich möchte keinen PDC einrichten. Dies habe ich zu beginn geschrieben.

Daß du nicht möchtest weiß ich noch. Aber der Grund war offen.

Zitat von »Joe2017«

Ich habe später eine reine Ubuntu Umgebung und benötige keine Verbindung zu Windows Clients

An dieser Stelle frag ich mich jedoch, wozu überhaupt Samba?

Beim Erstellen dieser Nachricht kamen keine Tiere zu Schaden.

me is all sausage
but don't call me Ferdl

Zum Seitenanfang

Joe2017

User

Beiträge: 45

Registrierungsdatum: 01.08.2017

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

13

08.08.2017, 15:34

ich meinte das ich meine originale Namen in der Step-by-Step Anleitung angepasst habe. Ich habe mittlerweile herausgefunden weshalb dieser SambaDomainName im LDAP gelistet wurde.
Mit folgendem Befehl wird ein Eintrag im LDAP erstellt: pdbedit -L -b ldapsam:ldap://192.168.1.195

Ich benötige lediglich den Verzeichnisdienst LDAP und ein PDC ist somit nicht notwendig.

Was meinst du genau mit "Wozu überhaupt SAMBA?"
Ich benötige mehrere Fileserver im Netz bzw. Freigaben auf welche Clients zugreifen können. Hierzu möchte ich im LDAP Gruppen anlegen welche ich für die Berechtigungen der einzelnen Freigaben bzw. Ordner verwende.
Ich ging davon aus, dass hierfür der SAMBA ein Standard ist. An was dachtest du hierbei? Kann ich Freigaben und Berechtigungen ohne SAMBA Server einrichten?

Zum Seitenanfang

Fredl

Ubuntu-Forum-Team

Beiträge: 11 331

14

08.08.2017, 17:07

Samba als solches bringt das SMB- (heute CIFS-) Protokoll von Microsoft in ein Linux-Netzwerk. Ohne Windows-Clients ist das relativ sinnfrei. Mit ausschließlich Linux-Clients hat man nur die doppelten Verrenkungen um M$-kompatibel zu sein. Nur wozu?

Der Standard unter Linux ist NFS. Auch da kann man die Zugriffe auf Serverseite regeln. Bei mehreren Servern ist eine zentrale Verwaltung natürlich vorteilhaft, und die lässt sich auch mit LDAP realisieren. Das braucht dann auch weniger Anpassungen als für eine Windows-Domäne. Auch wenn das im Kleinen relativ wenig gefragt und auch etwas barock ist, gibts aber ganz gute Anleitungen dafür. Google einfach nach NFS+LDAP.

Beim Erstellen dieser Nachricht kamen keine Tiere zu Schaden.

me is all sausage
but don't call me Ferdl

Zum Seitenanfang

Joe2017

User

Beiträge: 45

Registrierungsdatum: 01.08.2017

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

15

10.08.2017, 09:00

Hallo Fredl,

vielen Dank für deine Antwort. Das hilft uns auf jeden Fall schon mal weiter. SUPER!
Den NFS hatten wir komplett außen vor gelassen weil aus Sicherheitsgründen sehr oft davon abgeraten wurde. Aber wir haben gesehen, das es seit der Version 4 Kerberos unterstützt. Somit können wir den NFS Server einsetzten.

Das habe ich bereits gestern mal versucht. Jedoch stellt sich die Kerberos Integration in LDAP als schwieriger raus als zuvor gedacht. Dafür habe ich noch nicht wirklich eine gute Anleitung gefunden. Bevor das nicht gelöst ist, werde ich den NFS Server auch nicht einrichten können.

Aber trotzdem vielen Dank schon mal für deine Hilfe.
Ich bin jetzt errst mal ein paar Tage im Urlaub und werde danach das Projekt weiter angehen. Ich gebe auf jeden Fall noch mal eine Rückmeldung.

Und falls jemand eine gute Anleitung für einen LDAP/Kerberos Server hat kann er diese gerne hier posten.

Vielen Dank

Zum Seitenanfang

Fredl

Ubuntu-Forum-Team

Beiträge: 11 331

16

10.08.2017, 13:09

Inwiefern ist die Sicherheit ein Problem? Besteht die Gefahr von Zugriffen von außen? NFS verschlüsselt halt nicht, genausowenig wie SMB/CIFS. Wenn Zugriffe nur von internen Clients erfolgen reicht im Grunde schon die serverseitige Beschränkung nach IPs/hostnamen. Übliche Maßnahmen der Netzwerksabsicherung setze ich voraus. Für Fernzugriffe wären VPNs oder SSH-Tunnel denkbar.

Beim Erstellen dieser Nachricht kamen keine Tiere zu Schaden.

me is all sausage
but don't call me Ferdl

Zum Seitenanfang

Joe2017

User

Beiträge: 45

Registrierungsdatum: 01.08.2017

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

17

25.08.2017, 10:32

NFS4 mit Kerberos und LDAP Server

Hallo Fredl,

ich habe jetzt meinen LDAP mit Kerberos am Laufen und kann mich auch an den Clients anmelden.

Ich habe meinen NFS Server installiert und folgendes konfiguriert.

############ SERVER ############
apt-get install nfs-kernel-server
nano /etc/idmapd.conf

	Quellcode
1	Domain = local.net

kadmin -p admin/admin
addprinc -randkey nfs/UbServNFS.local.net
addprinc -randkey nfs/UbClient.local.net

sudo kinit admin/admin
sudo kadmin -p admin/admin
ktadd nfs/UbServNFS.local.net

nano /etc/default/nfs-kernel-server

	Quellcode
1	NEED_SVCGSSD=yes

nano /etc/default/nfs-common

	Quellcode
1	NEED_IDMAPD=yes

############ CLIENT ############
nano /etc/default/nfs-common

	Quellcode
1 2	NEED_IDMAPD=yes NEED_GSSD=yes

sudo kinit admin/admin
sudo kadmin -p admin/admin
ktadd nfs/UbClient.local.net

Wenn ich in die /etc/exports folgendes eintrage funktioniert mein MOUNT am client

	Quellcode
1	/files/data 192.168.1.0/24(rw,sync,no_subtree_check)

Sobald ich versuche Kerberos zu verwenden erhalte ich eine Fehlermeldung.

Quellcode

/files/data gss/krb5(rw,sync,no_subtree_check)
/files/data gss/krb5i(rw,sync,no_subtree_check)
/files/data gss/krb5p(rw,sync,no_subtree_check)
/files/data 	192.168.240.0/24(sec=krb5p,rw,sync,no_subtree_check)

Fehlermeldung am Client:
mount.nfs: access denied by server while mounting ...

Am client habe ich folgende Eingaben getestet:

	Quellcode
1 2 3	sudo mount UbServNFS.local.net:/files/data /media/test sudo mount -t nfs4 UbServNFS.local.net:/files/data /media/test sudo mount -t nfs4 -o sec=krb5 UbServNFS.local.net:/files/data /media/test

Hat jemand ein Tip woran das liegen könnte?

Zum Seitenanfang

Fredl

Ubuntu-Forum-Team

Beiträge: 11 331

18

25.08.2017, 21:36

Bist du das hier schon durch, insbesondere den Abschnitt "Tips" am Ende? Was kommt bei den diversen Abfragen raus?
Du bist auf meine Frage nach der Gefährdung innerhalb deines Netzes nicht eingegangen. Ist krb5p wirklich nötig? Das bietet noch mehr Fehlermöglichkeiten, wenn nicht wirklich alles zusammenpasst.

Beim Erstellen dieser Nachricht kamen keine Tiere zu Schaden.

me is all sausage
but don't call me Ferdl

Zum Seitenanfang

Joe2017

User

Beiträge: 45

Registrierungsdatum: 01.08.2017

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

19

28.08.2017, 11:27

Hallo Fredl,

danke für die Info und Tipps. Die Tipps von der Website bin ich durchgegangen und diese waren alle korrekt.
Was meinst du mit Abfragen? Welche Abfragen soll ich durchführen?

Das "krb5p" hab ich nur testweise ausprobiert.

Ich erhalte immer noch die Fehlermeldung und habe keine Idee woran das liegen könnte.

Zum Seitenanfang

Joe2017

User

Beiträge: 45

Registrierungsdatum: 01.08.2017

Derivat: Ubuntu

Architektur: 64-Bit PC

Desktop: unbekannt

20

29.08.2017, 12:13

/etc/exports

	Quellcode
1	/files/data 192.168.240.0/24(rw,sync,no_subtree_check)

Wie gesagt, wenn ich folgedes eingebe ist mein Mount erfolgeich.

	Quellcode
1	sudo mount UbServNFS.local.net:/files/data /media/test

Jedoch wird dann anscheinend nicht NFS4 mit kerberos verwendet.

Das ist zwingend erforderlich.

Am Server und Client kann ich die LDAP und Kerberos Benutzer/Gruppen/Princs abfragen. Somit sollte hier ja schon mal alles passen

	Quellcode
1 2 3 4 5 6 7	LDAP Abfrage: getent passwd getent group Kerberos Abfrage: kadmin -p admin/admin listprinces

Bei folgender Schreibweise in der /etc/exports bekomme ich immer eine Fehlermeldung

	Quellcode
1 2	/files/data gss/krb5i(rw,sync,no_subtree_check) /files/data 192.168.240.0/24(sec=krb5,rw,no_subtree_check,async,no_all_squash)

Zum Seitenanfang

Ubuntu-Forum & Kubuntu-Forum | www.Ubuntu-Forum.de

Ubuntu 16.04 LDAP Authentifizierung für separaten Samba Server

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Zitat von »Joe2017«

Quellcode

Zitat von »Joe2017«

Zitat von »Joe2017«

Zitat von »Joe2017«

Zitat von »Joe2017«

NFS4 mit Kerberos und LDAP Server

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Quellcode

Zurzeit ist neben Ihnen 1 Benutzer in diesem Thema unterwegs:

Ähnliche Themen

Verwendete Tags