SAMBA als NT-PDC
 

hi forum,
folgendes problem. ich hab samba auf meinen rechner laufen und möchte einen NT-PDC simulieren. in der smb.conf hab ich bei globals:
workgroup = TEST-DOM
domain logons = yes
domain master = yes
gesetzt. danach hab ich meine unix user als samba user konvertiert (webmin). Nun sitz ich for meinen 2k client und möchte in die domain TEST-DOM wechseln. doch das funktioniert nicht. der samba reagiert zwar als domainserver verweigert mir aber das beitreten zur domain.
wählt man den sambaserver jedoch über die netzwerkumgebung an, kann man sich authentisieren und kommt auch in sein home verzeichnis.

was mach ich blos falsch??
muss ich erst samba-clientrechner defnieren??

--weev

Stimmt, einen Maschinenaccount musst du im Gegensatz zu einer Win9x-Arbeitsgruppe auf jeden Fall definieren und zwar mit "smbpasswd -a -m [Rechnername]". Mehr kann ich im Moment auch nicht sagen. Schick bitte immer die genaue Fehlermeldung und wenn möglich einen Auszug aus dem samba-logfile.

hi,
hab ich versucht:
-----------------------------------------------------------
dns:/usr/bin # ./smbpasswd -a -m [client01]

User [client01]$ does not exist in system password file (usually /etc/passwd). Cannot add account without a valid local system user.
Failed to modify password entry for user [client01]$
-----------------------------------------------------------
muss der rechnername ein smaba user sein? kann ich mir ned vorstellen.

--weev

ps:
ok den ersten fehler hab ich gefunden (sollte nicht als root den befehl ausführen) aber nun kommt folgende fehlermeldung:

Failed to open /etc/secrets.tdb
./smbpasswd: invalid option -- a
smbpasswd [options] [password]
options:
-s use stdin for password prompt
-D LEVEL debug level
-U USER remote username
-r MACHINE remote machine

damit das ganze mit windows 2000 funktioniert, brauchst du samba 2.2.1a (oder höher), sonst kannst du keinen windows 2000-rechner nicht in die domäne integrieren.

ausserdem benötigst du ein bisserl mehr in deiner smb.conf, als nur deine paar zeilen ;)

ich vermisse einerseits den os-level, passwort encrypted, netlogon, profilspeicherung, ....

und bezüglich deines versuches, ein maschinenkonto anzulegen...

zuerst muss ein benutzer (in dem fall ein maschinenkonto) im unix angelegt werden, und dieser muss mit <name>$ im eingetragen werden, bei smbpasswd wird dann mit -a -m <name> (ohne $) dann aus der /etc/passwd (/etc/shadow) der sambabenutzer generiert... da du das mit unix nicht gemachthast, kommt auch logischerweise die

fehlermeldung...

btw: <name> ist der computernamen (aber ich denk, das weisst du).

wenn du obiges befolgst, dann ist die einbindung von windows 2000 kein problem.

anmerkung am rande: ich kenne zwar webmin nur vom hörensagen, würde dir aber raten, direkt in der shell zu arbeiten...

(tipp am rande: deine "vermutung", nicht als root den befehl auszuführen sei die ursache des fehlers, ist nicht logisch -> der administrator darf auf seiner maschine alles!) :D

ich hoffe die hinweise helfen dir weiter :)

hi tja selbstverständlich ist das nicht alles hier mal meine smb.conf:[global]
domain master = yes
printing = bsd
share modes = yes
encrypt passwords = yes
socket options = TCP_NODELAY
kernel oplocks = false
wins support = yes
printcap name = /etc/printcap
interfaces = 192.168.0.3/24
password level = 2
keep alive = 30
map to guest = Bad User
security = user
domain logons = yes
workgroup = WEEV-DOM
log file = /var/log/samba.log%m
netbios name = Webserver
load printers = yes
guest account = nobody
os level = 2
[profile]
comment = profile
browseable = yes
public = yes
path = /export/profile
create mask = 0600
directory mask = 0700
nt acl support = no
read only = no
writable = yes
create mode = 0755

hier ein auszug aus meiner smbpasswd:
user:500:C8D99074B83CCA4DAAD3B435B51404EE:37AA8781 6C1D57CC97DB9A4E09169321:[UX ]:LCT-3C9DE032:
test-testrechner$:503:F2682CC0615CE9B2BDA426DEDA55CE61: DF2117DE66DB5A17E5788AC4BC6D8D80:[W ]:LCT-3C9DE0$


tja und so schaut mein logfile aus (samba.log.testrechner):
[2002/03/24 17:45:25, 0] rpc_server/srv_samr.c:api_samr_set_userinfo(670)
api_samr_set_userinfo: Unable to unmarshall SAMR_Q_SET_USERINFO.
[2002/03/24 17:45:25, 0] passdb/pdb_smbpasswd.c:pdb_getsampwrid(1416)
unable to open passdb database.

das problem bleibt immer das selbe, ich kann nicht in die domain wechseln (win2k) immer "unbekanter beutzername oder Passwort falsch".
ich denke das liegt daran das er die passdb nicht öffnen kann, muss ich die passdb erzeugen oder wie oder was?

auf den ersten blick fällt mir gleich der os level auf, der ist zu niedrig!

das ist so wie ein kampf, und der, der den höheren os level hat, gewinnt...

windows 2000 hat einen os level von 32 (allgemeine empfehlungen sind ein os level von 65 (hab das selber so probiert).

weiters wichtig ist, das der computer-netzwerkname (z.b. mars) als unix-maschinenkonto angelegt wird (mars$), shell kann /bin/false sein (anzulegen mit useradd). dann mittels smbpasswd das unix-maschinenkonto in ein smb-maschinenkonto (mars (ohne $) umwandeln (smbpasswd -a -m mars).

in irgendeiner datenbank (wie du vermutest) brauchst nicht herumfummeln!

das allerwichtigste ist die samba version (wie oben schon erwähnt: es muss samba 2.2.1a oder höher sein, sonst kannst du keinen 2000-rechner in die domäne integrieren).

solltest du eine niedrigere version haben, dann kommen die tollsten fehlermeldungen (angefangen, das der benutzer nicht existiert, das der benutzer zuwenig rechte hat, usw.)

schau dir mal http://www.sambahq.de/hilfe.php3/pntdomain.html an (teil 3 und 4 sind sehr interessant).

mit obiger methode hab ich neben windows 2000 pro-clients auch einen windows 2000 advanced server integriert (ohne probleme!!!) :D

tipp am rande: kommentier alles "unnötige" mal aus (wie socket options, password level, ...) und gib diese dann schritt-für-schritt frei (eventuell sind diese gar nicht notwendig (password level beispielsweise hab ich nicht definiert) ;)

thx :) , es funktioniert. (os level = 65)
--WEEV