[sage-ka] seltsame ADS <-> Samba/Kerberos Probleme nach update
Sven Geggus
sven at geggus.eu
Mit Mai 23 18:34:47 CEST 2007
Hallo Admins,
normalerweise würde ich solche Fragen nicht auf dieser Liste Fragen stellen,
aber ich bin mit meinem latein am Ende und eiss mir keinen anderen Rat mehr.
Auf dieser üblicherweise sehr kompetenten Liste kann mir aber vielleicht
jemand helfen.
Weil ich im changelog von samba 3.0.25 gelesen habe, dass eine Reihe von
updates bzgl. der kompatibilität zu Vista reingekommen sind habe ich
versucht einen update zu machen und seitdem tut leider gar nichts mehr.
Beim 3.0.25 startet der winbind gar nicht erst (was aber auch am Debianpaket
liegen kann und daher nichts zur Sache tut). Zuruck bei <= Version 3.0.24
spinnt seit dem updateversuch die Kerberos Authentifizierung.
Folgendes funktioniert:
* wbinfo -u
* net ads testjoin
Folgendes funktioniert nicht:
Dateizugriff von Windows, wenn Kerberos benutzt wird also \\name!
\\ip scheint halbwegs zu klappen.
Das sieht im logfile (debuglevel 4) dann so aus:
[2007/05/23 18:20:23, 3]
libads/kerberos_verify.c:ads_secrets_verify_ticket(261)
ads_secrets_verify_ticket: enc type [23] failed to decrypt with error
Decrypt integrity check failed
[2007/05/23 18:20:23, 3] libads/kerberos_verify.c:ads_verify_ticket(399)
ads_verify_ticket: krb5_rd_req with auth failed (Erfolg)
[2007/05/23 18:20:23, 1] smbd/sesssetup.c:reply_spnego_kerberos(202)
Failed to verify incoming ticket!
Ach ja, libkrb53 ist 1.3.6 aus Debian sarge. der samba ist ein selbst nach
sarge zurückportierter 3.0.24
Das Rechnerkonto hab ich im AD schon mehrfach gelöscht und neu angelegt.
Als Hintergrundinformation vielleicht noch folgendes. Die zugreifenden
Benutzer haben ganz normale Benutzeraccounts, die per ldap verwaltet werden,
was auch problemlos funktioniert.
Wer weiss Rat?
Gruss
Sven
P.S.: smb.conf hab ich mal angehängt
--
"We don't know the OS that God uses, but the Vatican uses Linux"
(Sister Judith Zoebelein, Vatican Webmaster)
/me is giggls at ircnet, http://sven.gegg.us/ on the Web
-------------- nächster Teil --------------
[global]
log level = 4
workgroup = PC
netbios name = jupiter
server string = jupiter (Samba %v)
null passwords = true
name resolve order = lmhosts host wins bcast
wins server = 10.1.1.10 10.1.2.10
max log size = 1000
syslog = 0
panic action = /usr/share/samba/panic-action %d
security = ads
realm = pc.iitb.fhg.de
password server = 10.1.1.10 10.1.2.10
encrypt passwords = true
guest account = nobody
invalid users = root
load printers = no
socket options = SO_RCVBUF=8192 SO_SNDBUF=8192 TCP_NODELAY
follow symlinks = false
hosts allow = 10.1. 153.96.9.
domain master = no
local master = no
bind interfaces only = yes
interfaces = 10.1.7.19
nt acl support = yes
winbind trusted domains only = yes
winbind use default domain = yes
idmap uid = 50000-60000
idmap gid = 50000-60000
browseable = yes
read only = no
unix charset = latin1
[homes]
browseable = no
[ablagen-iad]
path = /storage1/ablagen-iad
admin users = iad-pc
valid users = +abt-iad +abt-iad-stud
[projekte-iad]
path = /storage1/projekte-iad
admin users = iad-pc
valid users = +abt-iad +abt-iad-stud +abt-ias
[abul]
path = /storage2/abul
browseable = no
valid users = +abul
create mode = 660
force create mode = 660
directory mode = 770
force directory mode = 770
[asm]
path = /storage2/asm
browseable = no
valid users = +abt-asm
create mode = 660
force create mode = 660
directory mode = 770
force directory mode = 770
[endoskopie]
path = /storage2/endoskopie
valid users = +endoskopie
browseable = no
[OnBoardScreening]
path = /storage2/OnBoardScreening
valid users = +screening
browseable = no
[mt]
path = /storage2/mt
browseable = no
valid users = +mt
create mode = 660
force create mode = 660
directory mode = 770
force directory mode = 770
[pj-aprosys]
path = /storage2/pj-aprosys
browseable = no
valid users = +aprosys
create mode = 660
force create mode = 660
directory mode = 770
force directory mode = 770
[siteanalyst]
path = /storage1/siteanalyst
browseable = yes
valid users = +siteanalyst
[repos-lau]
path = /storage2/repos-lau
browseable = no
valid users = +cvslau
create mode = 660
force create mode = 660
directory mode = 770
force directory mode = 770
[irsar3]
browseable = no
path = /storage2/irsar3
[transfer]
path = /storage3/transfer