Re: Probleme nach cipux-Installation

[Hans-Dietrich Kirmse <hd.kirmse@gmx.de>]

Hallo Erik,

ich wollte nur helfen, indem ich dass, was du angegeben hast, für Alfred 
aufbereitet habe. - dabei können Fehler passieren. Trotzdem, wenn 
praktisch keiner versucht zu helfen, dann ist keinem geholfen.

Am 12.12.2010 18:41, schrieb Erik Auerswald:
> Hallo,
>
> On 12/12/2010 05:56 PM, Hans-Dietrich Kirmse wrote:
> > Hallo Alfred,
> >
> > wie ich schon geschrieben habe, habe ich kein Skolelinux. Ich war
> > einfach davon ausgegangen, dass die Antwort von Erik korrekt ist.
>
> So kann man jedenfalls das Problem falscher Credentials lösen.

schön wär's, wenn das Problem gelöst wäre.

ich war/bin davon ausgegangen, dass für Samba üblicherweise das 
LDAP-Adminpasswort verwendet wird. Dass man das hier nicht so macht - 
etwas bessere Doku von Skolelinux hätte das Missverständnis gar nicht 
erst aufkommen lassen. Das diese Variante etwas sicherer ist - okay.

Ich bedanke mich jedenfalls bei dir, dass ich Tjener besser durchschaue 
- nur hilft das Alfred nicht wirklich weiter.

> > Am 12.12.2010 16:03, schrieb Scheiber Alfred:
> >
> > > Während der Installation gibt es eine Zeile:
> > > smbpasswd -a -U cipadmin -w $cipadminpw
> > > das funktioniert problemlos, aber der gleiche Befehl nachher (nach der
> > > Installation von CatWeb abgesetzt bringt die bereits zitierte
> > > Fehlermeldung:
> > >
> > > failed to bind to server ldap://ldap with
> > > dn="cn=smbadmin,ou=People,dc=skole,dc=skolelinux,dc=no" Error: Invalid
> > > credentials
> > > (unknown)
> > > Connection to LDAP server failed for the 1 try!
> >
> > also kann smbadmin nicht connecten - es ist ein Problem mit den
> > Passwörtern(?) von 'smbadmin'.
>
> Oder vielleicht ein Problem mit LDAP an sich.

möglich, aber dann sollten die Experten ihre Beiträge bringen, möglichst 
so, dass die Nutzer das auch umsetzen können. Bis jetzt ist davon nicht 
viel zu sehen. (Sonst hätte ich mich auch als Nicht- Skolelinux-Nutzer 
ganz bestimmt nicht reingehangen)

> Bei der CipUX / CAT-Web
> Installation wird OpenLDAP neu gestartet. Zumindest für PAM muss auch
> der nslcd (nicht mit dem nscd verwechseln) neu gestartet werden, damit
> er eine neue Verbindung zum LDAP aufbaut. Vielleicht hilft das auch hier.

Ist (zumindest für mich) sehr interessant. Ich kannte den nslcd noch gar 
nicht, weil ich mich nur mit Debian Lenny ein klein wenig auskenne. Und 
da gibt es das Paket noch nicht. - Danke für die Info.

> > > Oder könnt ihr mir ein paar ldap/slap-Konsolenbefehle sagen mit denen
> > > ich was überprüfen könnte, oder wo kann ich zu suchen beginnen?
> > > ldapsearch funktioniert jedenfalls und zeigt mir zumindest, dass es
> > > neben all den anderen admins auch einen smbadmin gibt, allerdings weiss
> > > ich nicht, was die verschiedenen Objekteigenschaften aussagen oder nicht
> > > aussagen:
> > >
> > > # smbadmin, People, skole.skolelinux.no
> > > dn: cn=smbadmin,ou=People,dc=skole,dc=skolelinux,dc=no
> > > objectClass: top
> > > objectClass: organizationalRole
> > > objectClass: simpleSecurityObject
> > > cn: smbadmin
> > > description: Samba Administrator
> >
> > diese Ausgabe zeigt, das smbadmin nur ein simpleSecurityObject ist und
> > damit auch kein Sambapasswort hat. Der Schritt b) war somit falsch. Also
> > nicht
> >
> > smbpasswd -w geheim
>
> -w password
> This parameter is only available if Samba has been
> compiled with LDAP support. The -w switch is used to specify
> the password to be used with the ldap admin dn. Note that
> the password is stored in the secrets.tdb and is keyed off of
> the admin's DN. This means that if the value of ldap
> admin dn ever changes, the password will need to be manually
> updated as well.
>
> Wenn sich Samba nicht zum LDAP verbinden kann, weil das Passwort nicht
> stimmt, ist _genau dieser_ Befehl zu verwenden.

Wie oben schon gesagt - du wirst sicher recht haben. Aber dann sollte es 
erst recht einfach sein, einen Test anzugeben, der eben nicht auf Samba 
zurückgreift, dann wäre zumindest geklärt, ob es ein Samba-Problem oder 
ein LDAP-Problem ist.


> > sondern stattdessen sollte das (als root) mit
> >
> > passwd smbadmin
> >
> > erledigt werden. Denke ich zumindest. - Sorry.
>
> Nein. Der smbadmin LDAP Account ist kein normaler Systemaccount, sondern
> ein spezieller Samba LDAP Account.

So entstehen Missverständnisse - und dann diese Skolelinux-Doku ;)

Ein Samba-LDAP-Account würde bei mir so aussehen (kein Tjener!):

dn: uid=mustermannman58,ou=people,ou=accounts,dc=delixs-schule,dc=de
objectClass: top
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: shadowAccount
objectClass: sambaSamAccount
cn: mustermannman58
sn: mustermannman58
givenName: mustermannman58
uid: mustermannman58
uidNumber: 1394
gidNumber: 1002
homeDirectory: /home/students/mustermannman58
loginShell: /bin/bash
gecos: Manfred Mustermann,6a


dabei wäre mir für einen Samba-Account die objectClass 'sambaSamAccount' 
entscheidend. Aber ich will nicht streiten. Ihr macht das schon. (für 
mich EOT)

Mit freundlichen Grüßen
Hans-Dietrich