Univention Bugzilla – Bug 17592
UCS vertraut Windows: winbind rpc only per UCR konfigurierbar machen
Last modified: 2013-12-18 13:47:00 CET
Windows Benutzer können sich nicht authentifizieren, und wbinfo zeigt keine Windows-Benutzer an. Dieses Problem lässt sich mit der Zeile winbind rpc only = yes in der /etc/samba/smb.conf beheben.
Der Test ist mit einer Win 2k3 Domäne durchgeführt worden, daher die Vermutung, dass winbind hier versucht hat ADS zu sprechen.
Für Ticket#: 2011011710013431 konnte das nochmal nachgestellt werden: A) Wenn in UCS zur DNS-Auflösung des Windows-PDCs eine DNS Forward-Zone mit Host-Record eingetragen wurde, dann scheint winbind zumindest bei W2k3 und W2k8R2 Servern irritiert zu sein, dass es keine AD-typischen DNS-Records (anscheinend SRV) in der Forward-Zone aufgelöst bekommt. In diesem Fall kann Winbind dann schon nicht die Windows-Benutzernamen nicht zu SIDs auflösen: root# wbinfo -n W2K3+Administrator Could not lookup name W2K3+Administrator Um Winbind davon abzubringen AD-typische Dinge zu versuchen, ist es in diesem Fall notwendig, die Option "winbind rpc only = yes" in smb.conf zu aktivieren und winbind neu zu starten. B) Alternativ kann man UCS DNS so konfigurieren, dass es DNS-Lookups für die Windows-Domäne an den Windows-PDC forwarded. Dafür muss natürlich auf dem Windows-PDC ein DNS-Dienst laufen, das war im Test nur bei W2K8R2 der Fall. In UCS kann man den Domänen-spezifischen Forward folgendermaßen einrichten. #---------------------------------------- echo > /etc/bind/local.conf.proxy <<%EOF # add local zones here zone "windows2008.domain." { type forward; forwarders { 10.200.8.82; }; }; %EOF /etc/init.d/univention-bind-proxy restart #---------------------------------------- In diesem Fall stört die Option "winbind rpc only = yes" aber auch nicht, daher ist wohl sinnvoll, diese Option konfigurierbar zu machen und per default zu aktivieren.
Will get fixed via Bug #33303 *** This bug has been marked as a duplicate of bug 33303 ***