Probleme mit Samba als PDC

[zinion]

Hallo!

Ich will mir meinen Linux-Server mit Samba als Primären Domänen Controller einrichten. Samba läuft momentan ganz normal, auf Arbeitsgruppenbasis.

Ich habe mir hier das Tutorial dazu angeschaut und bin eigentlich der Meinung alles korrekt gemacht zu haben.

Wenn ich jetzt den XP-Rechner an die Domäne anmelden will und root als Benutzernamen angebe wie es ja sein soll kommt immer die Meldung "Zugriff verweigert".

Kennt das Problem hier jemand?

 

[Daniel Wittberger]

Hi

Ich kenne ein ähnliches Problem. Das liegt an XP glaub ich. Ich musste bei meinem PDC ein paar Keys in die Regestry unter Windows eintragen, damit es funkioniert hat.

Dies sah folgendermaßen aus:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
"DisablePasswordChange"=dword:00000000
"maximumpasswordage"=dword:0000001e
"requiresignorseal"=dword:00000000
"requirestrongkey"=dword:00000000
"sealsecurechannel"=dword:00000001
"signsecurechannel"=dword:00000001
"Update"="no"

Ich hoffe ich konnte dir helfen.
Gr33ts
Stauffenberg

 

[Johannes Postler]

Ja, das stimmt. Wir haben in der Schule dasselbe Problem. Ich glaube aber, dass es noch mehr Einträge sein müssten (3?)

cu tirolausserfern

 

[Daniel Wittberger]

Hi

Ich hab mal zum Test dieses Tutorial auch gemacht. Und zwar unter Red Hat 9. Hatte das selbe Problem. Ich habe es aber dann in den Griff bekommen. Ich habe ein bisschen was in der smb.conf geändert.

Ich poste mal hier meine smb.conf meines Test-Servers:

############################
Written by Daniel Wittberger
############################
#smb.conf 2003/2004
#let's move!

[global]
#Identifikation 
	workgroup = WITTBERGER
	netbiosname = SERVER2
	server string = Samba %v (PDC) @ WITTBERGER
#Grundliegende Sicherheits Einstellungen fuer die Shares
	browseable = no
	writeable = no
	public = no
	guest ok = no
#Was waere ein Server ohne LOG-Files ;-D
	log file = /var/log.%m
#Dies ist ein Config-File fuer einen Samba-PDC oder? ;-)
	domain master = yes 
	preferred master = yes
	domain logons = yes
	os level = yes
	security = user
#Und hier loggen wir uns mal ein!
	logon drive = X:
	logon path = \\SERVER2\profiles\%U.pds
	logon home = \\SERVER2\%U
	logon script = logon.bat
#Und nun wieder was fuer unsere Sicherheit. Die Passwoerter ;-P
	encrypt passwords = yes
	update encrypted = yes
	password level = 4
#Hier kommt was fuer die Admins
	domain admin group = root
#Und nun ein bisschen Tuning :-D
	short preserve case = yes
	max log size = 5000
	case sensitive = no
	default case = lower
	mangle case = no
	dead time = 15
	read raw = yes
	write raw = yes
	socket options = TCP_NODELAY
	oplocks = yes
	fake oplocks = no
	debug level = 2
	preserve case = yes
	getwd cache = yes
	username map = /etc/samba/smbusers

#Hier kommen dann die Papierausgabegeraete
#	printing = cups
#	load printers = yes

#Und nun die Shares
[homes]
	path = /home/%u
	comment = Verzeichniss fuer die User
	browseable = yes
	writeable = yes
	
[netlogon]
	path = /home/netlogon
	browseable = no
	writeable = no
	comment = NetLogON

[profiles]
	path = /home/profiles
	browseable = no
	writeable = yes
	comment = Speicherort fuer die Profile der User

[public]
	path = /home/public
	browseable = yes
	writeable = yes
	guest ok = yes
	public = yes
	comment = Hier kommen auch s rein!

#ENDE :-D

So ich habe 2 Sachen ein bisschen verändert:

Den Eintrag: "prefered domain = yes" durch "preferred master = yes" ersetzt
und
den Eintrag: "domain admin users = root" durch "domain admin group = root" ersetzt.

Nach diesen beiden veränderungen hab ich noch den root-User mit smbpasswd hinzugefügt und schon hat es funktioniert.

Vielleicht ist dies das Problem!

Ich hoffe ich konnte helfen.

Gr33ts
Stauffenberg

PS: Kommentare in der smb.conf bitte ignorieren

 

[zinion]

Jo danke Leute, ich habe es mittlerweile hinbekommen.

Es lag am XP, da gibt es einen Registry-Patch, der macht alle Einträge )

Jetzt habe ich nur noch Probleme mit den Profilen...bin aber mitten dran. Wenn ich nicht weiterkomme frag ich nochmal nach Hilfe. Danke erstmal soweit.

 

[thomas_berlin]

wie wäre es wenn ihr auch postet wie es dann
geklappt hat?

das würde mir jetzt echt super helfen

thomas

 

[Cain]

Dann wollen wir diese ganzen "tollen Registryhacks" mal ein wenig entmystifizieren.
Die Einstellungen aus den oben gezeigten Registryeinträgen können nämlich ganz einfach auch über die "normale" Windowsoberfläche eingestellt werden.

Start -> Systemsteuerung -> Verwaltung -> Lokale Sicherheitsrichtlinie

Ich habe die in dem Registryauszug beschriebenen Optionen herausgesucht und zuerst den Namen aus den Sicherheitsrichtlinien hingeschrieben, anschließend den zugehörigen Registryeintrag und schließlich die Einstellungen, wie sie auf meinem Rechner sind (vor dem "/") und wie sie in dem Auszug stehen (nach dem "/").

------

Domänenmitglied: Änderungen von Computerkontenkennwörtern deaktivieren
"DisablePasswordchange"
Deaktiviert/Deaktiviert

Domänenmitglied: Daten des sicheren Kanals signieren (wenn möglich)
"signsecurechannel"
Aktiviert/Aktiviert

Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln (wenn möglich)
"sealsecurechannel"
Aktiviert/Aktiviert

Domänenmitglied: Daten des sicheren Kanals digital verschlüsseln oder signieren (immer)
"requiresignorseal"
Aktiviert/Deaktiviert

Domänenmitglied: Maximalalter von Computerkennwörtern
"maximumpasswordage"
30 Tage/30 Tage

Domänenmitglied: Starker Sitzungsschlüssel erforderlich
"requirestrongkey"
Deaktiviert/Deaktiviert

Den Update Eintrag konnte ich nicht finden, er ist in meiner Registry allerdings auch auf "no" eingestellt.
Ich würde daraus schließen, dass dies der Standart für XP Professional ist.

-------

Ich möchte noch darauf hinweisen, dass es bei meiner aktuellen Konfiguration klappt mich auf meinem Samba PDC zu anzumelden. Ich habe meine Einstellungen nur zur illustration angegeben und gehe davon aus, dass es bei euch auch so aussieht, wenn ihr noch keine Einstellungen geändert habt.

Ein kleiner Hinweis:
Es geht hierbei nicht darum einen "Bug" in Windows XP/2000 zu beheben, sondern einfach die Arbeitsweise des PDC und des Windows Clients zu synchronisieren.
Wenn der Client die sicheren Kanäle z.B. standardmäßig verschlüsselt, der PDC jedoch nicht, dann kann das ja nur schief gehen.

Ich bin nicht sicher, ob es sinnvoll ist die Einstellungen auf dem Windows Client zu verändern, da sie (wenn ich es richtig verstanden habe) die Sicherheitseinstellungen lockern. Und das auf allen Clients gemacht werden müsste.
Vielleicht sollte man die Sicherheitseinstellungen im PDC erhöhen.
(falls das möglich ist.)

Welche anderen Einstellungen noch relevant zur Verbindung mit dem PDC sind kann ich euch jetzt leider noch nicht sagen, da ich mich erst seid gestern mit der Materie beschäftigt habe.

Hoffentlich konnten meine geringen Kenntnisse euch ein wenig zur Einsicht verhelfen, was ihr dort überaupt macht.

DG, Cain