Aus der Tiefe

Mehr als fuenf Stunden am RRZE damit verbracht, rauszufinden,
dass Authentisieren gegen die dortigen ActiveDirectory Server
so richtig gar nicht funktioniert. Hab mit Herrn Michel vom
Windowsteam ewig danach gesucht, warum das auf cip-54-81
funktioniert hat, und sonst nirgendwo. Die "computer" Objekte
tauchen nach "join"s im LDAP Tree unter "/Computer" auf, nicht etwa unter
"/FAU/FAK/MPMA/MPMA_Computers". Nachdem wir die geloescht, neu
angelegt etc. hatten, schien es einleuchtend, das Problem
auf der Client Seite zu suchen, und ich bin weiter zu Frau Loehlein
vom Linux-Team. Wir habe zusammen mehrere Stunden lang versucht,
rauszukriegen, warum cip-54-81 erfolgreich user authentisieren kann,
und der Rest (exemplarisch cip-54-79) nicht. Ergebnisse:

- Die Clients koennen immer die Liste aller User zugreifen.
(wbinfo -u)
- Die Clients koennen aber keine uid/gids daraus erzeugen
(wbinfo -i username schlaegt fehl). In den winbindd logs
sieht man da NT_STATUS_NONE_MAPPED
- Wenn man die Konfig von dem E-Techniker CIP Pool nimmt,
wo angeblich alles so toll geht (im wesentlichen idmap_ad statt idmap_rid),
dann funktionierts auch nicht.
- samba/winbind legen Cache-Files (*.tdb) in folgenden Verzeichnissen
an :
- /var/lib/samba
- /var/cache/samba
- /var/run/samba
Gefundene username->SID->uid mappings liegen nicht in /var/cache/samba,
sondern /var/run/samba, und das /var/run/samba wird nach reboots nicht
gesaeubert. Kwalitaet, wohin man blickt.

Paketinhalt unter ubuntu anzeigen:
dpkg-query -L $packetname
Nochn Samba Trick :
net ads search '(&(uidNumber=*)(sAMAccountName=$uid))' \
objectCategory sAMAccountName uidNumber gidNumber -P
liefert auch dann uidNumber, wenn 'wbinfo -i $uid' nicht geht.
Eine Quelle zu einem smb.conf gefunden, dass aus unerklaerlichen Gruenden
(erstmal auf cip-54-80) funktioniert:
http://us.generation-nt.com/answer/samba-samba-3-5-5-id-map-issues-active-directory-help-200502771.html
Das smb.conf liegt sicherheitshalber gespiegelt hier:
http://pestilenz.org/~bauerm/smb.conf

[/bauerm] permanent link

Aus der Tiefe

	About Aus der Tiefe, Meldungen des Rechenzentrums in der Cauerstrasse 11 Matthias Bauer und Martin Bayer problems@math.fau.de Subscribe Subscribe to a syndicated feed of my weblog, brought to you by the wonders of RSS. Flavours There's more than one way to view this weblog; try these flavours on for size. index circa 1993 RSS Links Shoestring FoundationMiscellaneous byproducts	Wed, 26 Oct 2011 Mehr als fuenf Stunden am RRZE damit verbracht, rauszufinden, dass Authentisieren gegen die dortigen ActiveDirectory Server so richtig gar nicht funktioniert. Hab mit Herrn Michel vom Windowsteam ewig danach gesucht, warum das auf cip-54-81 funktioniert hat, und sonst nirgendwo. Die "computer" Objekte tauchen nach "join"s im LDAP Tree unter "/Computer" auf, nicht etwa unter "/FAU/FAK/MPMA/MPMA_Computers". Nachdem wir die geloescht, neu angelegt etc. hatten, schien es einleuchtend, das Problem auf der Client Seite zu suchen, und ich bin weiter zu Frau Loehlein vom Linux-Team. Wir habe zusammen mehrere Stunden lang versucht, rauszukriegen, warum cip-54-81 erfolgreich user authentisieren kann, und der Rest (exemplarisch cip-54-79) nicht. Ergebnisse: - Die Clients koennen immer die Liste aller User zugreifen. (wbinfo -u) - Die Clients koennen aber keine uid/gids daraus erzeugen (wbinfo -i username schlaegt fehl). In den winbindd logs sieht man da NT_STATUS_NONE_MAPPED - Wenn man die Konfig von dem E-Techniker CIP Pool nimmt, wo angeblich alles so toll geht (im wesentlichen idmap_ad statt idmap_rid), dann funktionierts auch nicht. - samba/winbind legen Cache-Files (.tdb) in folgenden Verzeichnissen an : - /var/lib/samba - /var/cache/samba - /var/run/samba Gefundene username->SID->uid mappings liegen nicht in /var/cache/samba, sondern /var/run/samba, und das /var/run/samba wird nach reboots nicht gesaeubert. Kwalitaet, wohin man blickt. Paketinhalt unter ubuntu anzeigen: dpkg-query -L $packetname Nochn Samba Trick : net ads search '(&(uidNumber=)(sAMAccountName=$uid))' \ objectCategory sAMAccountName uidNumber gidNumber -P liefert auch dann uidNumber, wenn 'wbinfo -i $uid' nicht geht. Eine Quelle zu einem smb.conf gefunden, dass aus unerklaerlichen Gruenden (erstmal auf cip-54-80) funktioniert: http://us.generation-nt.com/answer/samba-samba-3-5-5-id-map-issues-active-directory-help-200502771.html Das smb.conf liegt sicherheitshalber gespiegelt hier: http://pestilenz.org/~bauerm/smb.conf [/bauerm] permanent link