joe2017
Goto Top

Debian Samba (AD Member) mit share für Windows und Debain

Hallo zusammen,

ich möchte einen Debian Samba Server in mein Windows AD als Member hizufügen und die shares für Windows und Debian bereitstellen.
Hierzu habe ich den Samba mittels sssd und realm zur AD hinzugefügt.

Ich habe meinen Server soweit konfiguriert, dass ich mittels getent group/passwd meine AD Gruppen/User angezeigt bekomme.
Ich bekomme auch für folgende Befehle erfolgreiche Rückmeldungen

realm list
id domainuser
getent passwd
getent group
kinit domainuser


Jedoch komme ich mit meinem Samba Share nicht ganz klar. Hier werde ich an meinem Windows Client immer wieder nach der Anmeldeinformationen gefragt.
Anbei meine smb.conf

[global]
  workgroup = my-local.net
  realm = MY-LOCAL.NET
  idmap config * : backend = tdb
  idmap config * : range = 10000-99999

[test1]
  comment = test1
  path = /my/path/test1
  read only = no
  public = no
  writable = yes
  guest ok = no
  browsable = yes
  valid users = @"domainuser@my-local.net"  

Folgende Befehle funktionieren in der smb.conf nicht
security = domain
security = ads
Wenn einer von diesen Befehlen eingetragen ist, startet mein Service nicht mehr.

Im Log finde ich folgende Meldung:
check_sam_security: Couldn't find user 'my-domain-user' in passdb  

Hat jemand eine Idee was ich vergessen habe?

Anbei ein neuer Log Auszug
[2020/03/31 17:22:33.776393,  3] ../auth/ntlmssp/ntlmssp_server.c:552(ntlmssp_server_preauth)
  Got user=[domain-user] domain=[my-local] workstation=[Windows-Client] len1=24 len2=362
[2020/03/31 17:22:33.776476,  3] ../source3/param/loadparm.c:3872(lp_load_ex)
  lp_load_ex: refreshing parameters
[2020/03/31 17:22:33.776587,  3] ../source3/param/loadparm.c:548(init_globals)
  Initialising global parameters
[2020/03/31 17:22:33.776745,  3] ../source3/param/loadparm.c:2786(lp_do_section)
  Processing section "[global]"  
[2020/03/31 17:22:33.776963,  2] ../source3/param/loadparm.c:2803(lp_do_section)
  Processing section "[test1]"  
[2020/03/31 17:22:33.777121,  3] ../source3/param/loadparm.c:1621(lp_add_ipc)
  adding IPC service
[2020/03/31 17:22:33.777176,  3] ../source3/auth/auth.c:189(auth_check_ntlm_password)
  check_ntlm_password:  Checking password for unmapped user [my-local]\[domain-user]@[Windows-Client] with the new password interface
[2020/03/31 17:22:33.777204,  3] ../source3/auth/auth.c:192(auth_check_ntlm_password)
  check_ntlm_password:  mapped user is: [my-local]\[domain-user]@[Windows-Client]
[2020/03/31 17:22:33.779368,  2] ../source3/auth/auth.c:334(auth_check_ntlm_password)
  check_ntlm_password:  Authentication for user [domain-user] -> [domain-user] FAILED with error NT_STATUS_LOGON_FAILURE, authoritative=1
[2020/03/31 17:22:33.779465,  2] ../auth/auth_log.c:610(log_authentication_event_human_readable)
  Auth: [SMB2,(null)] user [my-local]\[domain-user] at [Di, 31 Mär 2020 17:2233.7794372 CEST] with [NTLMv2] status [NT_STATUS_LOGON_FAILURE] $ {"timestamp": "2020-03-31T17:22:33.779580+0200", "type": "Authentication", "Authentication": {"version": {"major": 1, "minor": 0}, "status": "NT_STA$  
[2020/03/31 17:22:33.779716,  3] ../auth/gensec/spnego.c:1414(gensec_spnego_server_negTokenTarg_step)
  gensec_spnego_server_negTokenTarg_step: SPNEGO(ntlmssp) login failed: NT_STATUS_LOGON_FAILURE
[2020/03/31 17:22:33.779799,  3] ../source3/smbd/smb2_server.c:3195(smbd_smb2_request_error_ex)
  smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx[1] status[NT_STATUS_LOGON_FAILURE] || at ../source3/smbd/smb2_sesssetup.c:137
[2020/03/31 17:22:33.781945,  3] ../source3/smbd/server_exit.c:237(exit_server_common)
  Server exit (NT_STATUS_CONNECTION_RESET)

Content-Key: 562023

Url: https://administrator.de/contentid/562023

Ausgedruckt am: 28.03.2024 um 11:03 Uhr

Mitglied: Alchimedes
Alchimedes 31.03.2020 um 23:48:14 Uhr
Goto Top
Hallo Joe,

lese mal die verdammte Fehlermeldung !

Gruss
Mitglied: joe2017
joe2017 01.04.2020 aktualisiert um 11:23:38 Uhr
Goto Top
Hi Alchimedes,

Also die erste Fehlermeldung habe ich beseitigen können.
check_sam_security: Couldn't find user 'my-domain-user' in passdb  

Die zweite Meldung erhalte ich immer noch.
FAILED with error NT_STATUS_LOGON_FAILURE

Ich finde jedoch nicht heraus weshalb ich die Meldung erhalte.

Ich könnte mir noch vorstellen warum es evtl. nicht funktioniert.
In der smb.conf wurde das Flag für den Active Directory Support nicht aktiviert.
security = ads
Wenn ich die das Flag setze, startet mein Samba Service jedoch nicht mehr.
Laut testparm ist alles OK.

Ich habe mein Log level mal auf 6 gestellt und folgendes gefunden.
[2020/04/01 11:17:51.624735,  1] ../source3/librpc/crypto/gse_krb5.c:180(fill_mem_keytab_from_secrets)
  fill_mem_keytab_from_secrets: secrets_fetch_or_upgrade_domain_info(MY-LOCAL) - NT_STATUS_CANT_ACCESS_DOMAIN_INFO
[2020/04/01 11:17:51.624797,  3] ../source3/librpc/crypto/gse_krb5.c:571(gse_krb5_get_server_keytab)
  ../source3/librpc/crypto/gse_krb5.c:571: Warning! Unable to set mem keytab from secrets!
Mitglied: Alchimedes
Alchimedes 08.04.2020 um 15:55:23 Uhr
Goto Top
Hallo Joe,

FAILED with error NT_STATUS_LOGON_FAILURE

hast Du fuer den user auch das smbpassword gesetzt ?

smbpasswd -a user

Gruss