Re: Probleme nach cipux-Installation

[Hans-Dietrich Kirmse <hd.kirmse@gmx.de>]

Hallo Erik,

Am 12.12.2010 21:06, schrieb Erik Auerswald:

> Der verwendete Account steht in der smb.conf. Samba merkt sich das
> zugehörige Passwort in der Datei secrets.tdb. Der Inhalt davon wird mit
> smbpasswd -w gesetzt. Das hat erstmal nichts mit Skolelinux zu tun,
> sondern nur mit Samba und LDAP.

ist schon richtig - nur habe ich jetzt nicht nach der smb.conf gesucht, 
die mir Alfred vor geraumer Zeit mal geschickt hatte.

> > > > Am 12.12.2010 16:03, schrieb Scheiber Alfred:
> > > >
> > > > > Während der Installation gibt es eine Zeile:
> > > > > smbpasswd -a -U cipadmin -w $cipadminpw
> ^^^
> Aha! Hier wird das Samba LDAP Account Passwort auf das von cipadmin
> gesetzt. Dieser Teil der CipUX Anleitung sollte eher wie folgt aussehen:
>
> *** ACHTUNG! UNGETESTET! VERWENDUNG AUF EIGENE GEFAHR! ***
> # printf "$cipadminpw\n$cipadminpw\n" | smbpasswd -s -a cipadmin
>
> Jedenfalls dann, wenn der cipadmin einen Samba Account bekommen soll.

das ist nachvollziehbar.

> > > > > das funktioniert problemlos, aber der gleiche Befehl nachher (nach der
> > > > > Installation von CatWeb abgesetzt bringt die bereits zitierte
> > > > > Fehlermeldung:
> > > > >
> > > > > failed to bind to server ldap://ldap with
> > > > > dn="cn=smbadmin,ou=People,dc=skole,dc=skolelinux,dc=no" Error: Invalid
> > > > > credentials
> > > > > (unknown)
> > > > > Connection to LDAP server failed for the 1 try!
>
> So, durch den Aufruf von "smbpasswd -w $cipadminpw" hat man Samba ein
> falsches Passwort zum Zugriff auf
> "cn=smbadmin,ou=People,dc=skole,dc=skolelinux,dc=no" genannt.

wenn in der smb.conf für den Zugriff von Samba auf den LDAP der Account 
smbadmin eingetragen ist, dann ist natürlich "smbpasswd -w $cipadminpw" 
falsch.

> Das hört sich für mich danach an, als ob genau da das Problem zu suchen
> wäre. Um dies zu bestätigen oder zu widerlegen kann man Skolelinux neu
> aufsetzen, die CipUX Installation OHNE die smbpasswd Zeile durchführen
> und schauen, ob Samba verwendet werden kann (mit neuen Accounts).

Also wegen dem Bestätigen oder Widerlegen führe ich folgende Tests 
durch. Es wird ein Account im LDAP mit 'ldapadd ...' und einem 
entsprechenden LDIF-File angelegt. Dabei wird das verschlüsselte 
Passwort z.B. so erzeugt: slappasswd -h "{MD5}" -s geheim . Notfalls 
noch Homeverzeichnis händisch anlegen.

die üblichen Tests bei mir sind (für einen User mmustermann):
- getent passwd  (muss *alle* Accounts auflisten)
- getent passwd mmustermann
- id mmustermann
- passwd mmustermann
- als mmustermann auf einer anderen Konsolen anmelden
wenn das geht, dann funktioniert doch LDAP (die Userverwaltung).

Dann käme der Test, ob der Account zum Aufnehmen eines Clients in die 
Domäne funktioniert. (bei Windows üblicherweise 'Administrator', bei den 
smbldap-Tools der root-Account im LDAP und bei Skolelinux offensichtlich 
smbadmin).

Wenn man das hat, also einen Client in die Domäne hieven kann, dann 
sollte mit einem User-Account getestet werden, ob er sich an der Domäne 
anmelden kann. Und wenn das klappt, dann ist noch zu überprüfen, ob man 
über die windows-eigenen Mittel das Passwort ändern kann. (also Test, ob 
"passwd chat = ..." stimmig ist.

Zumindestens weiss man nach diesen Tests, ob es läuft oder andernfalls, 
an welcher Stelle es klemmt.

> [Achtung! In diesem Fall ist cipadmin kein Account, mit dem ein Rechner
> in die Domäne aufgenommen werden kann!]

Das verstehe ich nicht wirklich. So wie ich das kenne gibt es 2 
Möglichkeiten, einen Account die Berechtigung für das Aufnehmen eines 
Rechners in die Domäne zu geben:
1) man arbeitet mit Privilegien, hier konkret mit dem Privileg, also
   net rpc rights grant root SeMachineAccountPrivilege
2) man nimmt den Account in die Gruppe der Domänenadministratoren auf
   (jedenfalls gehts über das Groupmapping)

Aber egal welche Variante Skolelinux nutzt, warum soll das bei cipadmin 
nicht möglich sein, wenn das doch offensichtlich ein SambaSamAccount 
ist? Oder habe ich da wieder was falsch verstanden?

> > > > also kann smbadmin nicht connecten - es ist ein Problem mit den
> > > > Passwörtern(?) von 'smbadmin'.
> > >
> > > Oder vielleicht ein Problem mit LDAP an sich.
> >
> > möglich, aber dann sollten die Experten ihre Beiträge bringen, möglichst
> > so, dass die Nutzer das auch umsetzen können. Bis jetzt ist davon nicht
> > viel zu sehen. (Sonst hätte ich mich auch als Nicht- Skolelinux-Nutzer
> > ganz bestimmt nicht reingehangen)
> >
> > > Bei der CipUX / CAT-Web
> > > Installation wird OpenLDAP neu gestartet. Zumindest für PAM muss auch
> > > der nslcd (nicht mit dem nscd verwechseln) neu gestartet werden, damit
> > > er eine neue Verbindung zum LDAP aufbaut. Vielleicht hilft das auch
> > > hier.
> >
> > Ist (zumindest für mich) sehr interessant. Ich kannte den nslcd noch gar
> > nicht, weil ich mich nur mit Debian Lenny ein klein wenig auskenne. Und
> > da gibt es das Paket noch nicht. - Danke für die Info.
>
> Bei Debian/Lenny gibt es den nslcd, er ist im Paket libnss-ldapd
> enthalten.

ich habe einfach über Google gesucht. Für squeeze findet man
http://packages.debian.org/de/squeeze/nslcd, wenn man squeeze durch 
lenny ersetzt, dann kommt: "Paket in dieser Suite nicht verfügbar". 
Deswegen habe ich geschrieben, das das paket nicht vorhanden ist. 
Allerdings habe ich fälschlicherweise auch angenommen, dass es den nslcd 
auch nicht gibt.

> Skolelinux ist Debian/Lenny mit bestimmter Paketauswahl und
> spezieller Konfiguration.

Ich verfolge Skolelinux schon seit 2003 und hatte mich hier mal sehr 
engagiert.

 :

> Das Problem hängt doch offensichtlich mit der Interaktion von Samba und
> LDAP zusammen. Die LDAP Utilities greifen direkt auf den LDAP Server zu
> und umgehen die Caches (nscd) und Konnektoren (nslcd), die von PAM via
> NSS verwendet werden.

ich denke, du hast das Problem schon voll auf den Punkt gebracht (siehe 
oben!). Es ist m.E. sehr unwahrscheinlich, dass noch weitere Fehler 
hinzukommen.

> Wie genau Samba auf LDAP zugreift, weiß ich nicht. Ich würde annehmen,
> dass es dies direkt macht, trotzdem ist es sinnvoll zu testen, ob die
> Zwischenschichten einen Einfluss haben, d.h. doch verwendet werden.
>
> Zum Verständnis:
> Samba speichert seine Accounts (also die Benutzer, die unter Windows
> angegeben werden, um sich an die Domäne anzumelden oder um ein Share
> einzubinden) selbst, prinzipiell unabhängig von den Unix
> Benutzeraccounts. Das kann auch in einer via LDAP angebundenen Datenbank
> erfolgen. Um auf diese Datenbank zuzugreifen, verwendet Samba einen
> bestimmten LDAP Account (in der smb.conf angegeben). Das Passwort, mit
> dem sich Samba zu diesem Account verbindet, steht in der secrets.tdb und
> wird mit smbpasswd -w gesetzt.
>
> Wenn dieser Account (bei Skolelinux eben smbadmin) richtig eingerichtet
> ist, kann Samba Benutzeraccounts im LDAP anlegen. Neue Accounts legt man
> mit smbpasswd -a BENUTZER an.

Ja, dass habe ich schon mitbekommen, dass man das bei Skolelinux so 
macht. (bei unserem Server ist das nicht so ;) )

 :

> Ich sehe das größere Problem in den vielen verschiedenen Aufgaben, die
> mit smbpasswd erledigt werden...

ja, da bin ich auch schonmal völlig daneben getappt.

> > dabei wäre mir für einen Samba-Account die objectClass 'sambaSamAccount'
> > entscheidend. Aber ich will nicht streiten. Ihr macht das schon. (für
> > mich EOT)
>
> Na, nicht gleich eingeschnappt sein. ;-)

bin ich doch nicht. Ich hatte nur befürchtet, dass es zu sinnlosen und 
"unfruchtbaren" Streitereien kommt. Deswegen meine Reaktion.

Aber ich sehe das so, dass du mit dieser Mail eine sehr gute Arbeit 
geleistet hast. - Meine Anerkennung! Wenn das nicht bei Alfred das 
Problem endlich klärt, würde mich das schon wundern.

Viele Grüße
Hans-Dietrich