Discussion:
Eisfair64 mit Samba 11.7.1 als PDC und Eisfair64 mit Samba 11.7.1als PDC Client
(zu alt für eine Antwort)
Volker Heimburger
2021-06-19 07:32:20 UTC
Permalink
Hallo zusammen

wir versuchen einen neuen virtuellen Server und ein share einzurichten
und haben schon alles mögliche versucht, leider können wir das share
nicht von Win10 sehen bzw mit dem share verbinden.

auf dem Client bringt

wbinfo -g die Gruppen des PDC
und
wbinfo -u die Benutzer der PDC

Wir haben versucht mit der öffentlichen Einstellung

SAMBA_SHARE_5_PUBLIC = YES

und mit

SAMBA_SHARE_5_USER = +"TESTDOM\domänen-benutzer"
SAMBA_SHARE_5_PUBLIC = NO

oder

SAMBA_SHARE_5_USER = +"TESTDOM\testuser"
SAMBA_SHARE_5_PUBLIC = NO


Alle Varianten funktionieren nicht.
Im gleichen Netzwerk haben wir einen zweiten PDC Client mit Samba 11.6.1
auf 4.9.261-eisfair-64-VIRT auf dem Samba mit den gleichen Einstellungen
läuft.

Was kann ich tun ?

Viele Grüße
Volker

Im Log steht
21/06/19 10:35:33.000461, 3]
../../source3/auth/auth_util.c:1903(check_account)
Failed to find authenticated user TESTDOM\testuser via getpwnam(),
denying access.
[2021/06/19 10:35:33.000506, 2]
../../source3/auth/auth.c:344(auth_check_ntlm_password)
check_ntlm_password: Authentication for user [heimburger] ->
[heimburger] FAILED with error NT_STATUS_NO_SUCH_USER, authoritative=1
[2021/06/19 10:35:33.000547, 2]
../../auth/auth_log.c:635(log_authentication_event_human_readable)
Auth: [SMB2,(null)] user [TESTDOM]\[testuser] at [Sat, 19 Jun 2021
10:35:33.000537 CEST] with [NTLMv2] status [NT_STATUS_NO_SUCH_USER]
workstation [E183] remote host [ipv4:192.168.0.183:4901] mapped to
[SMTLAHR]\[heimburger]. local host [ipv4:192.168.0.11:445]
[2021/06/19 10:35:33.000568, 3] ../../auth/auth_log.c:484(log_no_json)
log_no_json: JSON auth logs not available unless compiled with jansson
[2021/06/19 10:35:33.000594, 4]
../../source3/smbd/sec_ctx.c:437(pop_sec_ctx)
pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2021/06/19 10:35:33.000621, 3]
../../auth/gensec/spnego.c:1443(gensec_spnego_server_negTokenTarg_step)
gensec_spnego_server_negTokenTarg_step: SPNEGO(ntlmssp) login failed:
NT_STATUS_NO_SUCH_USER
[2021/06/19 10:35:33.000635, 4]
../../source3/smbd/sec_ctx.c:215(push_sec_ctx)
push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 1
[2021/06/19 10:35:33.000655, 4] ../../source3/smbd/uid.c:561(push_conn_ctx)
push_conn_ctx(0) : conn_ctx_stack_ndx = 0
[2021/06/19 10:35:33.000664, 4]
../../source3/smbd/sec_ctx.c:319(set_sec_ctx_internal)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 1
[2021/06/19 10:35:33.000681, 4]
../../source3/smbd/sec_ctx.c:437(pop_sec_ctx)
pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 0
[2021/06/19 10:35:33.000698, 3]
../../source3/smbd/smb2_server.c:3861(smbd_smb2_request_error_ex)
smbd_smb2_request_error_ex: smbd_smb2_request_error_ex: idx[1]
status[NT_STATUS_LOGON_FAILURE] || at
../../source3/smbd/smb2_sesssetup.c:146
[2021/06/19 10:35:33.000989, 4]
../../source3/smbd/sec_ctx.c:319(set_sec_ctx_internal)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2021/06/19 10:35:33.001037, 4]
../../source3/smbd/sec_ctx.c:319(set_sec_ctx_internal)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2021/06/19 10:35:33.001050, 4]
../../source3/smbd/sec_ctx.c:319(set_sec_ctx_internal)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2021/06/19 10:35:33.001062, 4]
../../source3/smbd/sec_ctx.c:319(set_sec_ctx_internal)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2021/06/19 10:35:33.001075, 4]
../../source3/smbd/sec_ctx.c:319(set_sec_ctx_internal)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 0
[2021/06/19 10:35:33.001279, 3]
../../source3/smbd/server_exit.c:220(exit_server_common)
Server exit (NT_STATUS_CONNECTION_RESET)
Marcus Röckrath
2021-06-19 07:54:43 UTC
Permalink
Hallo Volker,
Post by Volker Heimburger
wir versuchen einen neuen virtuellen Server und ein share einzurichten
und haben schon alles mögliche versucht, leider können wir das share
nicht von Win10 sehen bzw mit dem share verbinden.
Browsing war eine Eigenschaft von SMB1. Wird SMB2 oder höher benutzt,
brauchst du auf dem eis das Paket wsdd, damit Clients die Freigaben sehen.
Für eine Verbindung durch manuellen Eingabe der Shareadresse ist wsdd aber
nicht notwendig.
Post by Volker Heimburger
Wir haben versucht mit der öffentlichen Einstellung
SAMBA_SHARE_5_PUBLIC = YES
Also wird auch nicht mit der Share verbunden, wenn du deren Adresse direkt
im Browser angibst?
Post by Volker Heimburger
SAMBA_SHARE_5_USER = +"TESTDOM\domänen-benutzer"
SAMBA_SHARE_5_PUBLIC = NO
oder
SAMBA_SHARE_5_USER = +"TESTDOM\testuser"
SAMBA_SHARE_5_PUBLIC = NO
Zu Domänen kann ich wenig sagen, da ich das nicht benutze.
Post by Volker Heimburger
Im gleichen Netzwerk haben wir einen zweiten PDC Client mit Samba 11.6.1
auf 4.9.261-eisfair-64-VIRT auf dem Samba mit den gleichen Einstellungen
läuft.
Mit Kernel 5 ist nun IMHO SMB3 statt SMB1 Standard, mit der oben genannten
Einschränkung bzgl. Browsing.
--
Gruß Marcus
[eisfair-Team]
Volker Heimburger
2021-06-19 09:31:59 UTC
Permalink
Hallo Markus
Post by Marcus Röckrath
Browsing war eine Eigenschaft von SMB1. Wird SMB2 oder höher benutzt,
brauchst du auf dem eis das Paket wsdd, damit Clients die Freigaben sehen.
Für eine Verbindung durch manuellen Eingabe der Shareadresse ist wsdd aber
nicht notwendig.
Damit ist das Browsing wieder möglich, danke
Post by Marcus Röckrath
Post by Volker Heimburger
SAMBA_SHARE_5_PUBLIC = YES
Also wird auch nicht mit der Share verbunden, wenn du deren Adresse direkt
im Browser angibst?
Post by Volker Heimburger
SAMBA_SHARE_5_USER = +"TESTDOM\domänen-benutzer"
SAMBA_SHARE_5_PUBLIC = NO
oder
SAMBA_SHARE_5_USER = +"TESTDOM\testuser"
SAMBA_SHARE_5_PUBLIC = NO
Zu Domänen kann ich wenig sagen, da ich das nicht benutze.
Post by Volker Heimburger
Im gleichen Netzwerk haben wir einen zweiten PDC Client mit Samba 11.6.1
auf 4.9.261-eisfair-64-VIRT auf dem Samba mit den gleichen Einstellungen
läuft.
Ich habe noch weiteres versucht und die Einstellungen zum Test aus
etc/nsswitch.conf aus den funktionierenden Server übernommen

## aus funktionierenden Server Samba 11.6.1
passwd: compat winbind
group: compat winbind
shadow: combat
netgrouop: nis
networks:<----->files
protocols:<---->db files
services:<----->db files.
ethers:><------>db files
rpc:<--><------>db files.
## ende aus funktionierenden Server


In den neu aufgesetzten die rechte geändert mit

chown -R TESTDOM\\testuser:TESTDOM\\domänen-benutzer /share

in der Samba Config auf dies geändert

SAMBA_SHARE_5_USER = + "TESTDOM\testuser" + "TESTDOM\domänen-benutzer"

Nun klappt es, bei einer Neueinrichtung jedoch nicht
Holger Bruenjes
2021-06-19 09:50:28 UTC
Permalink
Hallo Volker
Post by Volker Heimburger
Ich habe noch weiteres versucht und die Einstellungen zum Test aus
etc/nsswitch.conf aus den funktionierenden Server übernommen
ohne jetzt den Sinn fuer diese Aenderung zu verstehen ist hier auf
alle Faelle ein typo
Post by Volker Heimburger
## aus funktionierenden Server Samba 11.6.1
passwd: compat winbind
group: compat winbind
shadow: combat
^^^^^

Holger
Volker Heimburger
2021-06-19 10:45:57 UTC
Permalink
Danke Holger
Post by Volker Heimburger
Ich habe noch weiteres versucht und die Einstellungen zum Test aus
etc/nsswitch.conf aus den funktionierenden Server übernommen
ohne jetzt den Sinn fuer diese Aenderung zu verstehen ist hier auf alle
Faelle ein typo
Post by Volker Heimburger
## aus funktionierenden Server Samba 11.6.1
passwd: compat winbind
group:  compat winbind
shadow: combat
           ^^^^^
Ist beim Übertrag passiert in der Datei war dies OK, dies war ein
Versuch, da die nsswitch.conf bei dem neuen Server sehr unterschiedlich
war und die Authentifizierung mit den vorhandenen Einträgen nicht
geklappt hat, mit diesen Einstellungen aus dem laufenden Server klappt
die Authentifizierung gegen den PDC nun.

Volker
Holger Bruenjes
2021-06-19 11:52:19 UTC
Permalink
Hallo Volker
Post by Volker Heimburger
Post by Volker Heimburger
passwd: compat winbind
group:  compat winbind
shadow: combat
           ^^^^^
Ist beim Übertrag passiert in der Datei war dies OK, dies war ein
Versuch, da die nsswitch.conf bei dem neuen Server sehr unterschiedlich
war und die Authentifizierung mit den vorhandenen Einträgen nicht
geklappt hat, mit diesen Einstellungen aus dem laufenden Server klappt
die Authentifizierung gegen den PDC nun.
ahh, OK, ich habe kein PDC

wie sieht die komplette Datei jetzt aus, wie vorher

Danke

Holger
Volker Heimburger
2021-06-19 12:06:02 UTC
Permalink
Hallo Holger
ahh, OK,  ich habe kein PDC
wie sieht die komplette Datei jetzt aus, wie vorher
## Wie aus funktionierenden alten Server Samba 11.6.1, nsswitch.conf
passwd: compat winbind
group: compat winbind
shadow: compat
netgrouop: nis
networks:<----->files
protocols:<---->db files
services:<----->db files.
ethers:><------>db files
rpc:<--><------>db files.
## ende aus funktionierenden Server

Damit klappt die Authentifizierung gegen den PDC, ich vermute mal dies
sollte beim Beitritt in die Domäne umgeschrieben werden. Das hat bei dem
vorigen vermutlich geklappt und die Authentifizierung wird
durchgereicht, nun mit dem neu aufgesetzten aktuellen Server nicht.
Marcus Röckrath
2021-06-19 12:36:41 UTC
Permalink
Hallo Volker,
Post by Volker Heimburger
## Wie aus funktionierenden alten Server Samba 11.6.1, nsswitch.conf
passwd: compat winbind
group: compat winbind
shadow: compat
netgrouop: nis
networks:<----->files
protocols:<---->db files
services:<----->db files.
ethers:><------>db files
rpc:<--><------>db files.
## ende aus funktionierenden Server
Damit klappt die Authentifizierung gegen den PDC, ich vermute mal dies
sollte beim Beitritt in die Domäne umgeschrieben werden. Das hat bei dem
vorigen vermutlich geklappt und die Authentifizierung wird
durchgereicht, nun mit dem neu aufgesetzten aktuellen Server nicht.
Sollte sie auch:

if [ -n "$SAMBA_PASSWORD_SERVER" ]
then
security='domain'
password_server="$SAMBA_PASSWORD_SERVER"
add_user_script="/var/install/bin/samba-add-domain-auto-user '%u'"

if ! grep -q 'winbind' /etc/nsswitch.conf
then
mecho --info "Adding winbind to /etc/nsswitch.conf ..."
{
echo "passwd: compat winbind"
echo "group: compat winbind"
} >/etc/nsswitch.conf.samba

chmod 0644 /etc/nsswitch.conf.samba
chown root:root /etc/nsswitch.conf.samba
/var/install/bin/update-nsswitch samba
fi

Gibt es die /etc/nsswitch.conf.samba?

Welchen Inhalt hat die?

Die nsswitch.conf wird allerdings nur modifiziert, wenn darin winbind noch
nicht gefunden wird.

Ein Test müsste darin bestehen, die nsswitch.conf wieder in den
Originalzustand zu versetzen und dann einmal die Samba-Konfiguration
aufzurufen.

Erscheint dabei die Meldung

Adding winbind to /etc/nsswitch.conf ...

und existiert dann auch nsswitch.conf.samba?

Vielleicht liegt ein Problem in /var/install/bin/update-nsswitch vor, die
Wünsche von samba zu erfüllen.

Bin gerade mal dabei, mir dieses nicht zu samba gehörende Skript anzusehen.
--
Gruß Marcus
[eisfair-Team]
Marcus Röckrath
2021-06-19 12:46:10 UTC
Permalink
Hallo Volker,
Post by Marcus Röckrath
if ! grep -q 'winbind' /etc/nsswitch.conf
Ich denke, hier ist das Poblem, weil die nsswitch (irgendwann?) eine
Kommentarzeile bekommen hat, in der winbind enthalten ist; dadurch wird das
folgende nicht mehr ausgeführt.
Post by Marcus Röckrath
then
mecho --info "Adding winbind to /etc/nsswitch.conf ..."
{
echo "passwd: compat winbind"
echo "group: compat winbind"
} >/etc/nsswitch.conf.samba
chmod 0644 /etc/nsswitch.conf.samba
chown root:root /etc/nsswitch.conf.samba
/var/install/bin/update-nsswitch samba
fi
Ich überlege an einer Lösung.
--
Gruß Marcus
[eisfair-Team]
Marcus Röckrath
2021-06-19 13:29:01 UTC
Permalink
Hallo Volker,
Post by Marcus Röckrath
Post by Marcus Röckrath
if ! grep -q 'winbind' /etc/nsswitch.conf
Ich denke, hier ist das Poblem, weil die nsswitch (irgendwann?) eine
Kommentarzeile bekommen hat, in der winbind enthalten ist; dadurch wird
das folgende nicht mehr ausgeführt.
Post by Marcus Röckrath
then
mecho --info "Adding winbind to /etc/nsswitch.conf ..."
{
echo "passwd: compat winbind"
echo "group: compat winbind"
} >/etc/nsswitch.conf.samba
chmod 0644 /etc/nsswitch.conf.samba
chown root:root /etc/nsswitch.conf.samba
/var/install/bin/update-nsswitch samba
fi
Ich überlege an einer Lösung.
Mit dem glibc-Update kam eine neue nsswitch.conf ins System, die dummerweise
eine Kommentarzeile mit dem Wort winbind enthält; darauf fällt nun der
Check im Samba-Paket rein.

Das neue Samba-Paket 11.8.4, ab 15:40 verfügbar, sollte das Problem beheben.

Bitte testen.
--
Gruß Marcus
[eisfair-Team]
Volker Heimburger
2021-06-19 12:50:33 UTC
Permalink
Hallo Marcus
Post by Marcus Röckrath
Gibt es die /etc/nsswitch.conf.samba?
Nein, bisher nicht
Post by Marcus Röckrath
Welchen Inhalt hat die?
Die nsswitch.conf wird allerdings nur modifiziert, wenn darin winbind noch
nicht gefunden wird.
Ein Test müsste darin bestehen, die nsswitch.conf wieder in den
Originalzustand zu versetzen und dann einmal die Samba-Konfiguration
aufzurufen.
Ich nehme an ich müsste nochmal der Domäne beitreten, richtig?
Post by Marcus Röckrath
Erscheint dabei die Meldung
Adding winbind to /etc/nsswitch.conf ...
und existiert dann auch nsswitch.conf.samba?
und dann prüfen ob nsswitch.conf.samba geschrieben wurde
Post by Marcus Röckrath
Vielleicht liegt ein Problem in /var/install/bin/update-nsswitch vor, die
Wünsche von samba zu erfüllen.
Bin gerade mal dabei, mir dieses nicht zu samba gehörende Skript anzusehen.
Gruß Volker
Marcus Röckrath
2021-06-19 13:30:11 UTC
Permalink
Hallo Volker,
Post by Volker Heimburger
Post by Marcus Röckrath
Gibt es die /etc/nsswitch.conf.samba?
Nein, bisher nicht
Problem gelöst; siehe anderen Beitrag.

Bitte führe gleich das Update des Samba-Paketes aus.

Danke für deinen Fehlerbericht.
--
Gruß Marcus
[eisfair-Team]
Volker Heimburger
2021-06-19 13:46:45 UTC
Permalink
Hallo Marcus

nun hat alles geklappt
Post by Marcus Röckrath
Bitte führe gleich das Update des Samba-Paketes aus.
Danke für deinen Fehlerbericht.
nun gibt es die:

/etc/nsswitch.conf.samba

und die shares verhalten sich wie erwartet, vielen Dank !

Viele Grüße
Volker
Marcus Röckrath
2021-06-19 14:16:34 UTC
Permalink
Hallo Volker,
Post by Volker Heimburger
nun hat alles geklappt
Post by Marcus Röckrath
Bitte führe gleich das Update des Samba-Paketes aus.
Danke für deinen Fehlerbericht.
/etc/nsswitch.conf.samba
So soll es sein. :-)
Post by Volker Heimburger
und die shares verhalten sich wie erwartet, vielen Dank !
Bitte und Dank für die Rückmeldung.
--
Gruß Marcus
[eisfair-Team]
Holger Bruenjes
2021-06-19 12:40:05 UTC
Permalink
Hallo Volker
Post by Volker Heimburger
Post by Holger Bruenjes
wie sieht die komplette Datei jetzt aus, wie vorher
## Wie aus funktionierenden alten Server Samba 11.6.1, nsswitch.conf
passwd: compat winbind
group: compat winbind
shadow: compat
netgrouop: nis
networks:<----->files
protocols:<---->db files
services:<----->db files.
ethers:><------>db files
rpc:<--><------>db files.
## ende aus funktionierenden Server
Ja, OK, wie sah sie aus als es nicht funktioniert hat

Holger
Volker Heimburger
2021-06-19 12:48:05 UTC
Permalink
Hallo Holger
Post by Holger Bruenjes
Ja, OK, wie sah sie aus als es nicht funktioniert hat
so:aus nsswitch.conf

passwd: db files
shadow: db files
group: db files
# Allow initgroups to default to the setting for group.
# initgroups:<->compat

hosts: <------>files dns
networks:<----->files dns

aliases:<------>files usrfiles
ethers:><------>db files usrfiles
gshadow:<------>files usrfiles
netgroup:<----->files nis
protocols:<---->db files usrfiles
publickey:<---->files
rpc:<--><------>db files usrfiles
services:<----->db files usrfiles

automount:<---->files nis
bootparams:<--->files
netmasks:<----->files


bisher gibt es keine nsswitch.conf.samba
Holger Bruenjes
2021-06-19 12:50:57 UTC
Permalink
Hallo Volker
Post by Volker Heimburger
so:aus nsswitch.conf
passwd: db files
shadow: db files
group: db files
# Allow initgroups to default to the setting for group.
# initgroups:<->compat
hosts: <------>files dns
networks:<----->files dns
aliases:<------>files usrfiles
ethers:><------>db files usrfiles
gshadow:<------>files usrfiles
netgroup:<----->files nis
protocols:<---->db files usrfiles
publickey:<---->files
rpc:<--><------>db files usrfiles
services:<----->db files usrfiles
automount:<---->files nis
bootparams:<--->files
netmasks:<----->files
bisher gibt es keine nsswitch.conf.samba
OK, Danke

Fehler wurde erkannt


Holger
Marcus Röckrath
2021-06-19 12:08:43 UTC
Permalink
Hallo Holger,
Post by Holger Bruenjes
ahh, OK, ich habe kein PDC
Ich auch nicht, aber vielleicht gibts hier ja jemanden, der das so einsetzt.
--
Gruß Marcus
[eisfair-Team]
Volker Heimburger
2021-06-19 09:32:45 UTC
Permalink
Hallo Markus
Post by Marcus Röckrath
Browsing war eine Eigenschaft von SMB1. Wird SMB2 oder höher benutzt,
brauchst du auf dem eis das Paket wsdd, damit Clients die Freigaben sehen.
Für eine Verbindung durch manuellen Eingabe der Shareadresse ist wsdd aber
nicht notwendig.
Damit ist das Browsing wieder möglich, danke
Post by Marcus Röckrath
Post by Volker Heimburger
SAMBA_SHARE_5_PUBLIC = YES
Also wird auch nicht mit der Share verbunden, wenn du deren Adresse direkt
im Browser angibst?
Post by Volker Heimburger
SAMBA_SHARE_5_USER = +"TESTDOM\domänen-benutzer"
SAMBA_SHARE_5_PUBLIC = NO
oder
SAMBA_SHARE_5_USER = +"TESTDOM\testuser"
SAMBA_SHARE_5_PUBLIC = NO
Zu Domänen kann ich wenig sagen, da ich das nicht benutze.
Post by Volker Heimburger
Im gleichen Netzwerk haben wir einen zweiten PDC Client mit Samba 11.6.1
auf 4.9.261-eisfair-64-VIRT auf dem Samba mit den gleichen Einstellungen
läuft.
Ich habe noch weiteres versucht und die Einstellungen zum Test aus
etc/nsswitch.conf aus den funktionierenden Server übernommen

## aus funktionierenden Server Samba 11.6.1
passwd: compat winbind
group: compat winbind
shadow: combat
netgrouop: nis
networks:<----->files
protocols:<---->db files
services:<----->db files.
ethers:><------>db files
rpc:<--><------>db files.
## ende aus funktionierenden Server


In den neu aufgesetzten die rechte geändert mit

chown -R TESTDOM\\testuser:TESTDOM\\domänen-benutzer /share

in der Samba Config auf dies geändert

SAMBA_SHARE_5_USER = + "TESTDOM\testuser" + "TESTDOM\domänen-benutzer"

Nun klappt es, bei einer Neueinrichtung jedoch nicht
Marcus Röckrath
2021-06-19 10:32:51 UTC
Permalink
Hallo Volker,
Post by Volker Heimburger
Post by Marcus Röckrath
Browsing war eine Eigenschaft von SMB1. Wird SMB2 oder höher benutzt,
brauchst du auf dem eis das Paket wsdd, damit Clients die Freigaben sehen.
Damit ist das Browsing wieder möglich, danke
Fein, damit wäre das geklärt.
Post by Volker Heimburger
chown -R TESTDOM\\testuser:TESTDOM\\domänen-benutzer /share
in der Samba Config auf dies geändert
SAMBA_SHARE_5_USER = + "TESTDOM\testuser" + "TESTDOM\domänen-benutzer"
Das +-Zeichen steht für Gruppen, die hier für eine Share erlaubt sind, die
zählst aber User dort auf. IMHO müsste das +-Zeichen auch direkt ohne
Leerzeichen vor dem Namen stehen.
--
Gruß Marcus
[eisfair-Team]
Volker Heimburger
2021-06-19 11:22:24 UTC
Permalink
Hallo Markus
Post by Marcus Röckrath
Post by Volker Heimburger
chown -R TESTDOM\\testuser:TESTDOM\\domänen-benutzer /share
in der Samba Config auf dies geändert
SAMBA_SHARE_5_USER = + "TESTDOM\testuser" + "TESTDOM\domänen-benutzer"
Das +-Zeichen steht für Gruppen, die hier für eine Share erlaubt sind, die
zählst aber User dort auf. IMHO müsste das +-Zeichen auch direkt ohne
Leerzeichen vor dem Namen stehen.
OK, die nsswitch.conf wieder auf den Originalzustand gesetzt und nur

SAMBA_SHARE_5_USER =+"TESTDOM\domänen-benutzer"

eingetragen. Danach war keine Share mehr auf diesem Server zu sehen



aus dem Log:
[2021/06/19 14:25:11.831624, 3]
../../source3/auth/auth.c:200(auth_check_ntlm_password)
check_ntlm_password: Checking password for unmapped user
[TESTDOM]\[testuser]@[E183] with the new password interface
[2021/06/19 14:25:11.831638, 3]
../../source3/auth/auth.c:203(auth_check_ntlm_password)
check_ntlm_password: mapped user is: [TESTDOM]\[testuser]@[E183]
[2021/06/19 14:25:11.831652, 4]
../../source3/smbd/sec_ctx.c:215(push_sec_ctx)
push_sec_ctx(0, 0) : sec_ctx_stack_ndx = 2
[2021/06/19 14:25:11.831664, 4] ../../source3/smbd/uid.c:561(push_conn_ctx)
push_conn_ctx(0) : conn_ctx_stack_ndx = 1
[2021/06/19 14:25:11.831675, 4]
../../source3/smbd/sec_ctx.c:319(set_sec_ctx_internal)
setting sec ctx (0, 0) - sec_ctx_stack_ndx = 2
[2021/06/19 14:25:11.834899, 4]
../../source3/smbd/sec_ctx.c:437(pop_sec_ctx)
pop_sec_ctx (0, 0) - sec_ctx_stack_ndx = 1
[2021/06/19 14:25:11.834983, 4]
../../source3/auth/user_util.c:378(map_username)
Scanning username map /etc/user.map
[2021/06/19 14:25:11.837024, 3]
../../source3/auth/auth_util.c:1903(check_account)
Failed to find authenticated user TESTDOM\testuser via getpwnam(),
denying access.
[2021/06/19 14:25:11.837066, 2]
../../source3/auth/auth.c:344(auth_check_ntlm_password)
check_ntlm_password: Authentication for user [testuser] ->
[testuser] FAILED with error NT_STATUS_NO_SUCH_USER, authoritative=1
[2021/06/19 14:25:11.837111, 2]
../../auth/auth_log.c:635(log_authentication_event_human_readable)
Marcus Röckrath
2021-06-19 11:55:04 UTC
Permalink
Hallo Volker,
Post by Volker Heimburger
SAMBA_SHARE_5_USER =+"TESTDOM\domänen-benutzer"
eingetragen. Danach war keine Share mehr auf diesem Server zu sehen
testuser gehört der Gruppe domänen-benutzer an?
--
Gruß Marcus
[eisfair-Team]
Volker Heimburger
2021-06-19 12:20:46 UTC
Permalink
Hallo Marcus
Post by Marcus Röckrath
testuser gehört der Gruppe domänen-benutzer an?
ja, er gehört dazu:

getent passwd TESTDOM\\testuser
TESTDOM\testuser:*:3000:3003:testuser:/home/testuser:/bin/bash

getent group 3003
TESTDOM\domänen-benutzer:x:3003:

auf dem PDC Client ausgeführt
Volker Heimburger
2021-06-19 13:21:49 UTC
Permalink
Hallo Marcus,
Post by Volker Heimburger
getent passwd TESTDOM\\testuser
TESTDOM\testuser:*:3000:3003:testuser:/home/testuser:/bin/bash
Ich habe am älteren Samba server

+"TESTDOM\testuser1" +"TESTDOM\testuser3" +"TESTDOM\testuser3"

versucht, auf dieses Share konnten die user dann nicht mehr zugreifen
nach Änderung :

+ "TESTDOM\testuser1" + "TESTDOM\testuser3" + "TESTDOM\testuser3"

klappte es wieder

Viele Grüße
Volker
Marcus Röckrath
2021-06-19 13:32:44 UTC
Permalink
Hallo Volker,
Post by Volker Heimburger
Post by Volker Heimburger
getent passwd TESTDOM\\testuser
TESTDOM\testuser:*:3000:3003:testuser:/home/testuser:/bin/bash
Ich habe am älteren Samba server
+"TESTDOM\testuser1" +"TESTDOM\testuser3" +"TESTDOM\testuser3"
versucht, auf dieses Share konnten die user dann nicht mehr zugreifen
+ "TESTDOM\testuser1" + "TESTDOM\testuser3" + "TESTDOM\testuser3"
klappte es wieder
Mich irritieren diese singulären +-Zeichen.

Wie sieht die Konfiguration dieser Share in /etc/smb.conf aus? Tauchen da
dann die + mit auf?

Geht es, wenn du die schlicht wegläßt?
--
Gruß Marcus
[eisfair-Team]
Volker Heimburger
2021-06-19 13:53:51 UTC
Permalink
Hallo Marcus
Post by Marcus Röckrath
Post by Volker Heimburger
+ "TESTDOM\testuser1" + "TESTDOM\testuser3" + "TESTDOM\testuser3"
klappte es wieder
Mich irritieren diese singulären +-Zeichen.
Wie sieht die Konfiguration dieser Share in /etc/smb.conf aus? Tauchen da
dann die + mit auf?
Ja, die + waren drin, die Info über die + kam mal mit Version 8.5.0
Post by Marcus Röckrath
Geht es, wenn du die schlicht wegläßt?
Mit Version 11.6.1 klappt es auch ohne + nur "TESTDOM\testuser1"
"TESTDOM\testuser2"

Viele Grüße und vielen Dank !
Volker
Marcus Röckrath
2021-06-19 14:19:36 UTC
Permalink
Hallo Volker,
Post by Volker Heimburger
Post by Marcus Röckrath
Post by Volker Heimburger
+ "TESTDOM\testuser1" + "TESTDOM\testuser3" + "TESTDOM\testuser3"
klappte es wieder
Mich irritieren diese singulären +-Zeichen.
Wie sieht die Konfiguration dieser Share in /etc/smb.conf aus? Tauchen da
dann die + mit auf?
Ja, die + waren drin, die Info über die + kam mal mit Version 8.5.0
Post by Marcus Röckrath
Geht es, wenn du die schlicht wegläßt?
Mit Version 11.6.1 klappt es auch ohne + nur "TESTDOM\testuser1"
"TESTDOM\testuser2"
Gut, so hatte ich es erwartet; genaueres könnte hierzu der frühere
Paketmaintainer sagen,
--
Gruß Marcus
[eisfair-Team]
Loading...