ich habe einen Samba PDC kofiguriert mit einem remote LDAP Server. Nach abgeschlossenen konfigurations arbeiten sollte nun eine Windows Maschine in die Domain gehoben werden. Leider ohne Erfolg. Nach einschlägiger suche hier im Forum und im Welt Weiten Warten konnte ich nichts finden was mir weiterhelfen. Auch diverse How To's gelesen und durchsucht. Ich hoffe ihr könnt helfen, nachfolgend die Konfigs und Logs. Die Server sind Debian Lenny, der PDC hat die Pakete samba, samba-common, ldap-utils, pam-ldap, libnssldap und nscd. Der LDAP nur slapd und ldap-utils.
Der folgende Fehlerbericht erscheint unter Windows XP
Code: Alles auswählen
Der Domänenname "DOMAIN" ist mglicherweise ein NetBIOS-Domnenname. Sollte dies der Fall sein, stellen Sie sicher, dass der Name bei WINS registriert ist.
Wenn Sie sicher sind, dass es sich nicht um einen NetBIOS-Domnennamen handelt, knnen folgende Information bei der Fehlersuche in der DNS-Konfiguration behilflich sein:
Der folgende Fehler ist beim Abfragen von DNS ber den Ressourceneintrag der Dienstidentifizierung (SRV) aufgetreten, der zur Suche eines Domnencontrollers fr die Domne "DOMAIN" verwendet wird:
Fehler: "Der DNS-Name ist nicht vorhanden."
(Fehlercode 0x0000232B RCODE_NAME_ERROR)
Die Abfrage war fr den SRV-Eintrag fr _ldap._tcp.dc._msdcs.DOMAIN
Die hufigsten Ursachen dieses Fehlers sind:
- Der DNS-SRV-Eintrag wurde nicht in DNS registriert.
- Mindestens eine der folgenden Zonen enthalten keine Delegierung zu dieser untergeordneten Zone:
DOMAIN
. (die Stammzone)
Klicken Sie auf "Hilfe", um weitere Informationen ber die Fehlerbehebung zu erhalten.smb.conf des PDC
Code: Alles auswählen
[global]
##### Globale Einstellungen #####
server string = PDC %h Samba %v
workgroup = DOMAIN
load printers = no
passdb backend = ldapsam:ldap://ldap.domain.de
bind interfaces only = yes
interfaces = 192.168.100.4/16
# Verbindungseinstellungen
deadtime = 15
##### Netbios Einstellungen #####
netbios name = pdc
netbios aliases = pdc.domain.de
#### Zeichensaetze und Dateisystem #####
dos charset = 850
display charset = ISO-8859-15
unix charset = UTF8
map acl inherit = yes
# Dos-Attribute
map hidden = No
map system = No
map archive = No
map read only = No
store dos attributes = Yes
##### Debugging ####
log file = /var/log/samba/log.%m
max log size = 1000
log level = 3 passdb:5 auth:10 winbind:5
panic action = /usr/share/samba/panic-action %d
##### Server-Einstellungen #####
wins support = yes
domain master = yes
local master = yes
preferred master = yes
time server = yes
host msdfs = no
os level = 65
# Anmeldung
security = user
encrypt passwords = yes
domain logons = yes
# NTLMv2 aktivieren fuer Windows
ntlm auth = no
lanman auth = no
client ntlmv2 auth = yes
##### LDAP-Konfiguration #####
ldap ssl = no
ldap passwd sync = Yes
ldap suffix = dc=domain,dc=de
ldap machine suffix = ou=machine
ldap user suffix = ou=user
ldap group suffix = ou=group
ldap idmap suffix = ou=idmap
ldap admin dn = cn=admin,dc=domain,dc=de
idmap backend = ldap:ldap://ldap.domain.de
idmap uid = 10000-20000
idmap gid = 10000-20000
##### SMB-TOOL Scripte #####
# add user script = /usr/local/sbin/smbldap-useradd -a -m %u
# delete user script = /usr/local/sbin/smbldap-userdel -r %u
# add group script = /usr/local/sbin/smbldap-groupadd -p %g
# delete group script = /usr/local/sbin/smbldap-groupdel %g
# add user to group script = /usr/local/sbin/smbldap-groupmod -m %u %g
# delete user from group script = /usr/local/sbin/smbldap-groupmod -x %u %g
# set primary group script = /usr/local/sbin/smbldap-usermod -g %g %u
# add machine script = /usr/local/sbin/smbldap-useradd -w %m
add machine script = /usr/sbin/smbldap-useradd -w -i "%u"
add user script = /usr/sbin/smbldap-useradd -m "%u"
add group script = /usr/sbin/smbldap-groupadd -p "%g"
add user to group script = /usr/sbin/smbldap-groupmod -m "%u" "%g"
delete user from group script = /usr/sbin/smbldap-groupmod -x "%u" "%g"
set primary group script = /usr/sbin/smbldap-usermod -g "%g" "%u"
##### Tuning für Samba #####
socket options = SO_KEEPALIVE IPTOS_LOWDELAY SO_SNDBUF=8192 SO_RCVBUF=8192
##### Freigabe #####
# Heimverzeichnis des Benutzers
logon drive = H:
logon home = \\%L\%u
# Standort der Benutzerprofile
logon path = \\%L\profiles\%u
#Anmeldeskript fuer Windows NT/2000/XP
logon script = scripts\logon.bat
#Anmelde-Netzwerkfreigabe
[netlogon]
path = /home/samba/netlogon
writeable = Yes
browseable = Yes
guest ok = Yes
# Windows NT/2000/XP-Benutzerprofile
[profiles]
path = /home/samba/profiles
writable = yes
browsable = yes
csc policy = disable
create mask = 0600
directory mask = 0700
preserve case = no
case sensitive = no
write list = "@Domain Users" "@Domain Admins"
# Heimverzeichnis
[homes]
comment = Home Directories
path = /home/%U
writable = yes
browseable = yes
csc policy = documents
inherit permissions = yes
read only = no
create mask = 0700
directory mask = 0700
valid users = %S
Konfiguration der smbldap-tools.conf:
Code: Alles auswählen
# /etc/smbldap-tools/smbldap.conf
### Gerneral Configuration ###
SID="S-1-5-21-3849500197-106871983-1925970935"
sambaDomain="DOMAIN"
### LDAP Configuration ###
slaveLDAP="192.168.100.4"
slavePort="389"
masterLDAP="192168.100.4"
masterPort="389"
ldapTLS="0"
verify="optional"
### CA Certificate ###
# cafile="/etc/ssl/certs/cacert.pem"
# clientcert="/etc/smbldap-tools/cert.pem"
# clientkey="/etc/smbldap-tools/key.pem"
### LDAP Suffix ###
suffix="dc=domain,dc=de"
usersdn="ou=user,${suffix}"
computersdn="ou=machine,${suffix}"
groupsdn="ou=group,${suffix}"
idmapdn="ou=idmap,${suffix}"
sambaUnixIdPooldn="sambaDomainName=${sambaDomain},${suffix}"
scope="sub"
hash_encrypt="MD5"
crypt_salt_format="%s"
### Unix Account Configuration ###
userLoginShell="/bin/bash"
userHome="/home/%U"
userHomeDirectoryMode="700"
userGecos="System User"
defaultUserGid="513"
defaultComputerGid="515"
skeletonDir="/etc/skel"
# Achtung, neu angelegte Benutzer in der Domäne, müssen nach 45 Tagen Ihr
# Kennwort ändern. Wenn Sie einmalig ein sicheres Kennwort verwenden, was nicht
# geändert werden soll, beginnen Sie die nächste Zeile mit einem #
# defaultMaxPasswordAge="45"
### SAMBA Configuration ###
userSmbHome="\\pdc\%U"
userProfile="\\pdc\profiles\%U"
userHomeDrive="H:"
userScript="logon.bat"
mailDomain="domain.de"
with_smbpasswd="0"
smbpasswd="/usr/bin/smbpasswd"
with_slappasswd="0"
slappasswd="/usr/sbin/slappasswd
Code: Alles auswählen
############################
# Credential Configuration #
############################
# Notes: you can specify two differents configuration if you use a
# master ldap for writing access and a slave ldap server for reading access
# By default, we will use the same DN (so it will work for standard Samba
# release)
slaveDN="cn=admin,dc=domain,dc=de"
slavePw="secret"
masterDN="cn=admin,dc=domain,dc=de"
masterPw="secret"
common-account
Code: Alles auswählen
account sufficient pam_unix.so
account required pam_ldap.so
Code: Alles auswählen
auth sufficient pam_ldap.so
auth sufficient pam_unix.so nullok_secure
auth required pam_deny.so
Code: Alles auswählen
password sufficient pam_unix.so nullok obscure min=4 max=8 md5
password sufficient pam_ldap.so use_first_pass use_authtok
password required pam_deny.so
Code: Alles auswählen
session required pam_unix.so
session optional pam_ldap.so
Code: Alles auswählen
passwd: files ldap
group: files ldap
shadow: files ldap
hosts files dns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
libnss_ldap.conf
Code: Alles auswählen
host 192.168.100.6
base dc=domain,dc=de
uri ldap://ldap.domain.de
ldap_version 3
rootbinddn cn=admin,dc=domain,dc=de
port 389
# RFC2307bis naming contexts
# Syntax:
# nss_base_XXX base?scope?filter
# where scope is {base,one,sub}
# and filter is a filter to be &'d with the
# default filter.
# You can omit the suffix eg:
# nss_base_passwd ou=People,
# to append the default base DN but this
# may incur a small performance impact.
nss_base_passwd ou=user,dc=domain,dc=de?one
nss_base_shadow ou=user,dc=domain,dc=de?one
nss_base_group ou=group,dc=domain,dc=de?one
nss_base_hosts ou=machine,dc=domain,dc=de?one
Code: Alles auswählen
host 192.168.100.6
base dc=domain,dc=de
uri ldap://ldap.domain.de
ldap_version 3
binddn cn=admin,dc=domain,dc=de
bindpw {MD5}+FJGd74IgoSQdqQhIkjhTUPw==
port 389
# Do not hash the password at all; presume
# the directory server will do it, if
# necessary. This is the default.
pam_password md5
# RFC2307bis naming contexts
# Syntax:
# nss_base_XXX base?scope?filter
# where scope is {base,one,sub}
# and filter is a filter to be &'d with the
# default filter.
# You can omit the suffix eg:
# nss_base_passwd ou=People,
# to append the default base DN but this
# may incur a small performance impact.
nss_base_passwd ou=user,dc=domain,dc=de?one
nss_base_shadow ou=user,dc=domain,dc=de?one
nss_base_group ou=group,dc=domain,dc=de?one
nss_base_hosts ou=machine,dc=domain,dc=de?one
Code: Alles auswählen
#OpenLDAP: pkg/ldap/libraries/libldap/ldap.conf,v 1.9 2000/09/04 19:57:01 kurt Exp $
#
# LDAP Defaults
#
# See ldap.conf(5) for details
# This file should be world readable but not world writable.
HOST 192.168.100.6
BASE dc=domain,dc=de
URI ldap://ldap.domain.de/
bind_policy soft
#SIZELIMIT 12
#TIMELIMIT 15
#DEREF never
. Ich werde das gleich mal einbauen und Berichten.