Univention Bugzilla – Bug 23999
Samba 3 auf UCS 3.0 Memberserver
Last modified: 2017-03-15 20:41:21 CET
Auf einem 3.0 Memberserver wird kein Samba 4 installiert, sondern Samba 3, da Samba 4 derzeit auf einem Memberserver nicht installiert werden soll. Das Samba 3 muss dann entweder in die Samba 4 oder in die Samba 3 Domäne joinen.
http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/domain-member.html#ads-member
Das ist jetzt soweit umgesetzt. Wird Samba 3 auf einem Memberserver in einer S4 Domäne installiert, so joint es in die AD Domäne. Wird es hingegen in eine S3 Domäne installiert, so joint es in die NT Domäne. Überschrieben werden kann die Einstellung mit: ucr set --force samba/domain/security=<ads|domain> ads ist S4/AD und domain ist S3/NT. Der Wert sollte vor dem Joinen gesetzt werden.
Hin und wieder kann der Memberserver nicht joinen: root@member65:~# net rpc join ADS -U Administrator%univention Unable to find a suitable server for domain DEADLOCK6 Unable to find a suitable server for domain DEADLOCK6 root@member65:~# ucr set windows/wins-server="10.201.6.1" Setting windows/wins-server Multifile: /etc/samba/smb.conf root@member65:~# net rpc join ADS -U Administrator%univention Joined domain DEADLOCK6. Aus der join.log: Setting stored password for "cn=member65,cn=memberserver,cn=computers,dc=deadlock6,dc=local" in secrets.tdb setting idmap secret for alloc from /etc/machine.secret Secret stored Stopping Samba daemons: nmbd smbd. Starting Samba daemons: nmbd smbd. Object modified: cn=member65,cn=memberserver,cn=computers,dc=deadlock6,dc=local [2011/11/07 22:18:16.017243, 0] libads/kerberos.c:333(ads_kinit_password) kerberos_kinit_password Administrator@DEADLOCK6.LOCAL failed: Client not found in Kerberos database Failed to join domain: failed to connect to AD: Client not found in Kerberos database DNS update failed! Using short domain name -- DEADLOCK6 Joined 'MEMBER65' to realm 'deadlock6.local' Setting stored password for "cn=member65,cn=memberserver,cn=computers,dc=deadlock6,dc=local" in secrets.tdb setting idmap secret for alloc from /etc/machine.secret Secret stored Stopping Samba daemons: nmbd smbd. Starting Samba daemons: nmbd smbd. Object modified: cn=member65,cn=memberserver,cn=computers,dc=deadlock6,dc=local [2011/11/08 06:28:28.308747, 0] libads/sasl.c:823(ads_sasl_spnego_bind) kinit succeeded but ads_sasl_spnego_krb5_bind failed: Key version is not available Failed to join domain: failed to connect to AD: Key version is not available [2011/11/08 06:28:29.959331, 0] libads/sasl.c:823(ads_sasl_spnego_bind) kinit succeeded but ads_sasl_spnego_krb5_bind failed: Decrypt integrity check failed Failed to join domain: failed to connect to AD: Decrypt integrity check failed ERROR: Failed to join via net rpc join. Please run "net rpc join" manually.
Es wird jetzt per net ads lookup ein Kerberos Server ermittelt und als kerberos/kdc gesetzt. Damit funktioniert der Join.
ldap/server/port wird jetzt auch ausgewertet.
* Samba3-Master (40) mit Domäne NSTX40 wurde installiert * Gegen Master konnten WinXP und W7 joinen * Memberserver (44) wurde installiert und nicht gejoined ** UCR-Variablen wurden nicht extra gesetzt ** univention-join läuft erfolgreich durch ** "net rpc testjoin" liefert root@mem44:~# net rpc testjoin Unable to find a suitable server for domain NSTX40 Join to domain 'NSTX40' is not valid: NT_STATUS_UNSUCCESSFUL root@mem44:~# ** join.log Configure 26univention-samba.inst Create samba/domain/security Multifile: /etc/samba/smb.conf Setting samba/autostart Multifile: /etc/samba/smb.conf Not updating samba/autostart Stopping NFS kernel daemon: mountd nfsd. Unexporting directories for NFS kernel daemon.... Stopping the Winbind daemon: winbind. Create samba/user Create samba/user/pwdfile Multifile: /etc/samba/smb.conf Setting stored password for "cn=mem44,cn=memberserver,cn=computers,dc=nstx,dc=de" in secrets.tdb setting idmap secret for alloc from /etc/machine.secret Secret stored Stopping Samba daemons: nmbd smbd. Starting Samba daemons: nmbd smbd. Object modified: cn=mem44,cn=memberserver,cn=computers,dc=nstx,dc=de Unable to find a suitable server for domain NSTX40 Unable to find a suitable server for domain NSTX40 Joined domain NSTX40. Receiving SMB: Server stopped responding Could not connect to server 127.0.0.1 Connection failed: NT_STATUS_IO_TIMEOUT Receiving SMB: Server stopped responding Could not connect to server 127.0.0.1 Connection failed: NT_STATUS_IO_TIMEOUT Object created: cn=mem44.nstx.de,cn=shares,dc=nstx,dc=de Object modified: cn=mem44.nstx.de,cn=shares,dc=nstx,dc=de Exporting directories for NFS kernel daemon.... Starting NFS kernel daemon: nfsd mountd. Object exists: cn=services,cn=univention,dc=nstx,dc=de Object exists: cn=Samba 3,cn=services,cn=univention,dc=nstx,dc=de Object modified: cn=mem44,cn=memberserver,cn=computers,dc=nstx,dc=de ** SNAPSHOT: Master: Bug23999-Member44-TestjoinFailed Memberserver: Bug23999-TestjoinMitNSTX40Failed
Memberserver (10.200.18.78) versucht gegen S4-Master (10.200.18.77) zu joinen. Es wurden keine speziellen UCR-Variablen gesetzt. root@mem78:~# net rpc testjoin Unable to find a suitable server for domain NSTX Join to domain 'NSTX' is not valid: NT_STATUS_UNSUCCESSFUL root@mem78:~# net ads testjoin [2011/11/19 17:38:05.625316, 0] libads/sasl.c:823(ads_sasl_spnego_bind) kinit succeeded but ads_sasl_spnego_krb5_bind failed: KDC has no support for encryption type [2011/11/19 17:38:05.757174, 0] libads/sasl.c:823(ads_sasl_spnego_bind) kinit succeeded but ads_sasl_spnego_krb5_bind failed: KDC has no support for encryption type Join to domain is not valid: Logon failure root@mem78:~# Configure 26univention-samba.inst Create samba/domain/security Multifile: /etc/samba/smb.conf Setting samba/autostart Multifile: /etc/samba/smb.conf Not updating samba/autostart Stopping NFS kernel daemon: mountd nfsd. Unexporting directories for NFS kernel daemon.... Stopping the Winbind daemon: winbind. Create samba/user Create samba/user/pwdfile Multifile: /etc/samba/smb.conf Setting stored password for "cn=mem78,cn=memberserver,cn=computers,dc=nstx,dc=de" in secrets.tdb setting idmap secret for alloc from /etc/machine.secret Secret stored Stopping Samba daemons: nmbd smbd. Starting Samba daemons: nmbd smbd. Create kerberos/defaults/dns_lookup_kdc Create kerberos/kdc File: /etc/krb5.conf Object modified: cn=mem78,cn=memberserver,cn=computers,dc=nstx,dc=de [2011/11/19 17:35:05.907651, 0] libads/sasl.c:823(ads_sasl_spnego_bind) kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials Failed to join domain: failed to connect to AD: Invalid credentials [2011/11/19 17:35:07.597689, 0] libads/sasl.c:823(ads_sasl_spnego_bind) kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials Failed to join domain: failed to connect to AD: Invalid credentials ERROR: Failed to join via net ads join. Please run "net ads join" manually. Receiving SMB: Server stopped responding Could not connect to server 127.0.0.1 Connection failed: NT_STATUS_IO_TIMEOUT Receiving SMB: Server stopped responding Could not connect to server 127.0.0.1 Connection failed: NT_STATUS_IO_TIMEOUT Object created: cn=mem78.nstx.de,cn=shares,dc=nstx,dc=de Object modified: cn=mem78.nstx.de,cn=shares,dc=nstx,dc=de Exporting directories for NFS kernel daemon.... Starting NFS kernel daemon: nfsd mountd. Object exists: cn=services,cn=univention,dc=nstx,dc=de Object created: cn=Samba 3,cn=services,cn=univention,dc=nstx,dc=de Object modified: cn=mem78,cn=memberserver,cn=computers,dc=nstx,dc=de Configure 30univention-nagios-client.inst In beiden Fällen (Member gegen S3/S4) zeigen die Joinskripte einen erfolgreichen Join an. Soll das so?
(In reply to comment #6) > * Samba3-Master (40) mit Domäne NSTX40 wurde installiert > * Gegen Master konnten WinXP und W7 joinen > * Memberserver (44) wurde installiert und nicht gejoined > ** UCR-Variablen wurden nicht extra gesetzt > ** univention-join läuft erfolgreich durch > ** "net rpc testjoin" liefert > root@mem44:~# net rpc testjoin > Unable to find a suitable server for domain NSTX40 > Join to domain 'NSTX40' is not valid: NT_STATUS_UNSUCCESSFUL > root@mem44:~# Hier müsstest du entweder für den Memberserver einen WINS Server setzen (ucr set windows/wins-server="") oder den Schalter -S <pdc> angeben. > ** join.log > Configure 26univention-samba.inst > Create samba/domain/security > Multifile: /etc/samba/smb.conf > Setting samba/autostart > Multifile: /etc/samba/smb.conf > Not updating samba/autostart > Stopping NFS kernel daemon: mountd nfsd. > Unexporting directories for NFS kernel daemon.... > Stopping the Winbind daemon: winbind. > Create samba/user > Create samba/user/pwdfile > Multifile: /etc/samba/smb.conf > Setting stored password for > "cn=mem44,cn=memberserver,cn=computers,dc=nstx,dc=de" in secrets.tdb > setting idmap secret for alloc from /etc/machine.secret > Secret stored > Stopping Samba daemons: nmbd smbd. > Starting Samba daemons: nmbd smbd. > Object modified: cn=mem44,cn=memberserver,cn=computers,dc=nstx,dc=de > Unable to find a suitable server for domain NSTX40 > Unable to find a suitable server for domain NSTX40 Das war der erste Join Versuch ohne den PDC direkt anzugeben. > Joined domain NSTX40. Hier wurde mit -S <pdc> versucht direkt gegen den Master zu joinen. Das hat funktioniert. Ich werde für diesen Fall jetzt zusätzlich windows/wins-server auf den PDC setzen, dann sollte es danach auch besser funktionieren. > Receiving SMB: Server stopped responding > Could not connect to server 127.0.0.1 > Connection failed: NT_STATUS_IO_TIMEOUT > Receiving SMB: Server stopped responding > Could not connect to server 127.0.0.1 > Connection failed: NT_STATUS_IO_TIMEOUT Da bin ich mir nicht ganz sicher wo das herkommt. Es scheint so zu sein, dass das von den beiden net rpc Befehlen kommt, die die Printer Berechtigungen setzen. Ich baue in das Join Skript einen Restart von Samba ein, bevor die Befehle ausgeführt werden. So steht es auch im Howto: http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/domain-member.html > Object created: cn=mem44.nstx.de,cn=shares,dc=nstx,dc=de > Object modified: cn=mem44.nstx.de,cn=shares,dc=nstx,dc=de > Exporting directories for NFS kernel daemon.... > Starting NFS kernel daemon: nfsd mountd. > Object exists: cn=services,cn=univention,dc=nstx,dc=de > Object exists: cn=Samba 3,cn=services,cn=univention,dc=nstx,dc=de > Object modified: cn=mem44,cn=memberserver,cn=computers,dc=nstx,dc=de > ** SNAPSHOT: > Master: Bug23999-Member44-TestjoinFailed > Memberserver: Bug23999-TestjoinMitNSTX40Failed
(In reply to comment #7) > Memberserver (10.200.18.78) versucht gegen S4-Master (10.200.18.77) zu joinen. > Es wurden keine speziellen UCR-Variablen gesetzt. > > root@mem78:~# net rpc testjoin > Unable to find a suitable server for domain NSTX > Join to domain 'NSTX' is not valid: NT_STATUS_UNSUCCESSFUL net rpc (join|testjoin) ist für eine AD / S4 Domäne nicht vorgesehen.. > root@mem78:~# net ads testjoin > [2011/11/19 17:38:05.625316, 0] libads/sasl.c:823(ads_sasl_spnego_bind) > kinit succeeded but ads_sasl_spnego_krb5_bind failed: KDC has no support for > encryption type > [2011/11/19 17:38:05.757174, 0] libads/sasl.c:823(ads_sasl_spnego_bind) > kinit succeeded but ads_sasl_spnego_krb5_bind failed: KDC has no support for > encryption type > Join to domain is not valid: Logon failure > root@mem78:~# > > Configure 26univention-samba.inst > Create samba/domain/security > Multifile: /etc/samba/smb.conf > Setting samba/autostart > Multifile: /etc/samba/smb.conf > Not updating samba/autostart > Stopping NFS kernel daemon: mountd nfsd. > Unexporting directories for NFS kernel daemon.... > Stopping the Winbind daemon: winbind. > Create samba/user > Create samba/user/pwdfile > Multifile: /etc/samba/smb.conf > Setting stored password for > "cn=mem78,cn=memberserver,cn=computers,dc=nstx,dc=de" in secrets.tdb > setting idmap secret for alloc from /etc/machine.secret > Secret stored > Stopping Samba daemons: nmbd smbd. > Starting Samba daemons: nmbd smbd. > Create kerberos/defaults/dns_lookup_kdc > Create kerberos/kdc > File: /etc/krb5.conf > Object modified: cn=mem78,cn=memberserver,cn=computers,dc=nstx,dc=de > [2011/11/19 17:35:05.907651, 0] libads/sasl.c:823(ads_sasl_spnego_bind) > kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials > Failed to join domain: failed to connect to AD: Invalid credentials > [2011/11/19 17:35:07.597689, 0] libads/sasl.c:823(ads_sasl_spnego_bind) > kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials > Failed to join domain: failed to connect to AD: Invalid credentials > ERROR: Failed to join via net ads join. Please run "net ads join" manually. Das kann ich reproduzieren. Da das vor einiger Zeit noch nicht aufgetreten ist, scheint das entweder an den letzten S4 / Heimdal Änderungen, an dem Entfernen des Kerberos-DES-Key zu liegen oder daran, dass wir im S4 Connector jetzt die Passwörter synchronisieren. Ich teste die Sachen als nächstes durch. > Receiving SMB: Server stopped responding > Could not connect to server 127.0.0.1 > Connection failed: NT_STATUS_IO_TIMEOUT > Receiving SMB: Server stopped responding > Could not connect to server 127.0.0.1 > Connection failed: NT_STATUS_IO_TIMEOUT > Object created: cn=mem78.nstx.de,cn=shares,dc=nstx,dc=de > Object modified: cn=mem78.nstx.de,cn=shares,dc=nstx,dc=de > Exporting directories for NFS kernel daemon.... > Starting NFS kernel daemon: nfsd mountd. > Object exists: cn=services,cn=univention,dc=nstx,dc=de > Object created: cn=Samba 3,cn=services,cn=univention,dc=nstx,dc=de > Object modified: cn=mem78,cn=memberserver,cn=computers,dc=nstx,dc=de > Configure 30univention-nagios-client.inst > > > In beiden Fällen (Member gegen S3/S4) zeigen die Joinskripte einen > erfolgreichen Join an. Soll das so? Nein, ich habe jetzt eingebaut, dass das Joinskript abbricht, wenn net rpc/ads join nicht erfolgreich war.
(In reply to comment #9) > > Object modified: cn=mem78,cn=memberserver,cn=computers,dc=nstx,dc=de > > [2011/11/19 17:35:05.907651, 0] libads/sasl.c:823(ads_sasl_spnego_bind) > > kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials > > Failed to join domain: failed to connect to AD: Invalid credentials > > [2011/11/19 17:35:07.597689, 0] libads/sasl.c:823(ads_sasl_spnego_bind) > > kinit succeeded but ads_sasl_spnego_krb5_bind failed: Invalid credentials > > Failed to join domain: failed to connect to AD: Invalid credentials > > ERROR: Failed to join via net ads join. Please run "net ads join" manually. > > Das kann ich reproduzieren. Da das vor einiger Zeit noch nicht aufgetreten ist, > scheint das entweder an den letzten S4 / Heimdal Änderungen, an dem Entfernen > des Kerberos-DES-Key zu liegen oder daran, dass wir im S4 Connector jetzt die > Passwörter synchronisieren. Ich teste die Sachen als nächstes durch. Wenn ich des-cbc-md5 in die default_tkt_enctypes in die krb5.conf an die zweite Stelle auf dem Memberserver schreibe, dann funktioniert der Join bei mir. Übrigens scheint dann auch der XP Join zu funktionieren.
Das ist jetzt behoben, Tests waren erfolgreich. Auch durch Bug #24437 und Bug #24753.
mem53 ist ein Memberserver, der gegen einen S4-Master gejoined hat: root@mem53:~# net ads testjoin Join is OK root@mem53:~# Configure 26univention-samba.inst Create samba/domain/security Multifile: /etc/samba/smb.conf Setting samba/autostart Multifile: /etc/samba/smb.conf Not updating samba/autostart Stopping NFS kernel daemon: mountd nfsd. Unexporting directories for NFS kernel daemon.... Stopping the Winbind daemon: winbind. Create samba/user Create samba/user/pwdfile Multifile: /etc/samba/smb.conf Setting stored password for "cn=mem53,cn=memberserver,cn=computers,dc=nstx,dc=de" in secrets.tdb setting idmap secret for alloc from /etc/machine.secret Secret stored Stopping Samba daemons: nmbd smbd. Starting Samba daemons: nmbd smbd. Create kerberos/defaults/dns_lookup_kdc Create kerberos/kdc File: /etc/krb5.conf Object modified: cn=mem53,cn=memberserver,cn=computers,dc=nstx,dc=de DNS update failed! Using short domain name -- NSTX50 Joined 'MEM53' to realm 'nstx.de' Stopping Samba daemons: nmbd smbd. Stopping the Winbind daemon: winbind. Starting Samba daemons: nmbd smbd. Starting the Winbind daemon: winbind. Could not connect to server 127.0.0.1 Connection failed: NT_STATUS_CONNECTION_REFUSED Could not connect to server 127.0.0.1 Connection failed: NT_STATUS_CONNECTION_REFUSED Object created: cn=mem53.nstx.de,cn=shares,dc=nstx,dc=de Object modified: cn=mem53.nstx.de,cn=shares,dc=nstx,dc=de Exporting directories for NFS kernel daemon.... Starting NFS kernel daemon: nfsd mountd. Object exists: cn=services,cn=univention,dc=nstx,dc=de Object created: cn=Samba 3,cn=services,cn=univention,dc=nstx,dc=de Object modified: cn=mem53,cn=memberserver,cn=computers,dc=nstx,dc=de Configure 30univention-nagios-client.inst
mem81 ist ein Memberserver, der gegen einen S3-Master gejoined hat: root@mem81:~# net rpc testjoin Join to 'NSTX80' is OK root@mem81:~# Configure 26univention-samba.inst Create samba/domain/security Multifile: /etc/samba/smb.conf Setting samba/autostart Multifile: /etc/samba/smb.conf Not updating samba/autostart Stopping NFS kernel daemon: mountd nfsd. Unexporting directories for NFS kernel daemon.... Stopping the Winbind daemon: winbind. Create samba/user Create samba/user/pwdfile Multifile: /etc/samba/smb.conf Setting stored password for "cn=mem81,cn=memberserver,cn=computers,dc=nstx,dc=de" in secrets.tdb setting idmap secret for alloc from /etc/machine.secret Secret stored Stopping Samba daemons: nmbd smbd. Starting Samba daemons: nmbd smbd. Object modified: cn=mem81,cn=memberserver,cn=computers,dc=nstx,dc=de Unable to find a suitable server for domain NSTX80 Unable to find a suitable server for domain NSTX80 Joined domain NSTX80. Create windows/wins-server Multifile: /etc/samba/smb.conf Stopping Samba daemons: nmbd smbd. Stopping the Winbind daemon: winbind. Starting Samba daemons: nmbd smbd. Starting the Winbind daemon: winbind. Successfully granted rights. Successfully granted rights. Object created: cn=mem81.nstx.de,cn=shares,dc=nstx,dc=de Object modified: cn=mem81.nstx.de,cn=shares,dc=nstx,dc=de Exporting directories for NFS kernel daemon.... Starting NFS kernel daemon: nfsd mountd. Object exists: cn=services,cn=univention,dc=nstx,dc=de Object exists: cn=Samba 3,cn=services,cn=univention,dc=nstx,dc=de Object modified: cn=mem81,cn=memberserver,cn=computers,dc=nstx,dc=de Configure 30univention-nagios-client.inst (In reply to comment #2) > Überschrieben werden kann die Einstellung mit: > ucr set --force samba/domain/security=<ads|domain> ACK Changelogeintrag ist vorhanden → VERIFIED
UCS 3.0-0 wurde veröffentlicht. Sollte der hier beschriebene Bug mit einer neueren Version von UCS erneut auftreten, so sollte dieser Bug dupliziert werden: "Clone This Bug"