Berechtigung für Gruppe auf Memberserver

Hallo,

habe hier zwei UCS4 Installationen laufen, eine als Master DC, eine als Member Server.

Auf Samba Freigaben auf dem Memberserver sind Schreibrechte per Gruppenzugehörigkeit vergeben. Obwohl die entsprechenden User jedoch Mitglieder der Gruppe sind, darf nur der jeweilige Verzeichnis Owner schreiben.
Beim Wechsel des Servers, auf dem die Freigabe konfiguriert wird auf den Master DC ist schreiben ohne Probleme möglich.

Scheint, als würde der Memberserver die Gruppenzugehörigkeit nicht richtig validieren.

Jemand eine Idee, woran das scheitern könnte?

Solemn

Hallo,

wie wurden denn die “Schreibrechte per Gruppenzugehörigkeit” vergeben?

[ul]
[li] als “Besitzergruppe” in den “Grundeinstellungen”[/li]
[li] mit dem Einstellungsfeld “Samba-Rechte” -> “Schreibberechtigung auf diese Benutzer/Gruppen beschränken”[/li]
[li] auf dem Memberserver mit ACLs (setfacl)[/li]
[li] mit Hilfe eines Eigenschaftsfeldes vom Windows-Client aus[/li][/ul]

Wenn (1) zutrifft, könnte es z.B. sein, daß die Unix-Berechtigungen (Grundeinstellungen) das Schreibrecht für Gruppen gar nicht beinhalten; beim Neu-Anlegen einer Freigabe ist dieses Kreuz standardmäßig nicht gesetzt.

Ob ein Server die Gruppenzugehörigkeit richtig kennt, kann man an der Kommandozeile mit

id 'nutzername'

überprüfen; diese Ausgabe sollte auf Master und Member gleich sein. Gleiche Prüfung für Gruppen und ihre Mitglieder macht man mit

getent group 'name der gruppe'

auch hier müssen Master und Member der gleichen Meinung sein.

viele Grüße
Frank Greif.

Hallo,

die Berechtigungen wurden in erster Linie gesetzt über “Grundeinstellungen - Verzeichnisfreigabe” als Besitzer (root) und Besitzergruppe (data).
Die Haken für Lese/Schreib/Ausführrechte wurden auch dort entsprechend gesetzt, das wir auch beim Einrichten der Freigabe so auf dem betreffenden Memberserver umgetzt. (Rechte auf FS Ebene sind rwxrwsr-x, Owner root:data)
Unter den Samba Einstellungen ist Samba Schreibzugriff gesetzt.
In den Erweiterten Einstellungen sind bei Samba-Rechte keine expliziten User oder Gruppen beschränkt (Felder sind leer), NT ACLs und Ererbte ACLs sind aktiviert, laut getfacl aber weder auf das Verzeichnis selbst, noch auf das darüber liegende Verzeichnis gesetzt.

[code]root@member:/files# id solemn
uid=1001(solemn) gid=5073(data) Gruppen=5073(data),5000(Domain Admins),5001(Domain Users),5051(Denied RODC Password Replication Group),5055(Users),5056(Administrators)

root@member:/files# getent group data
data:*:5073:olli,join-slave,Administrator,dc$,dl,Guest,client$,join-backup[/code]

Sieht soweit alles passend aus, würde ich sagen, auf der cli des Servers funktioniert das schreiben soweit auch

solemn@member:/files/test$ touch test solemn@member:/files/test$ l insgesamt 8,0K drwxrwsr-x 2 root data 4,0K Mai 6 16:26 . drwxr-xr-x 9 root root 4,0K Apr 29 20:19 .. -rw-r--r-- 1 solemn data 0 Mai 6 16:26 test

Allein über Samba kann ich keine neuen Dateien oder Verzeichnisse anlegen. Stelle aber gerade fest, dass ich per Samba die oben mit touch angelegte Datei “test” löschen kann… ???
Und wie gesagt, nur durch ändern des Servers auf dem die Freigabe liegt auf den DC Master, habe ich auf dem die passenden Berechtigungen.

Solemn

Hallo,

Mir fällt nur auf, daß im Listing der Gruppenmitglieder der Nutzername “solemn” fehlt, obwohl die id-Ausgabe die Gruppe mit benennt. Wie sehen denn die gleichen Ausgaben auf dem Master aus?

Und zur Kontrolle mal noch die beiden Ausgaben kontrollieren, ob dort die Gruppenmitgliedschaft richtig ist:

udm users/user list --filter '(uid=solemn)'

und

udm groups/group list --filter '(cn=data)'

viele Grüße
Frank Greif.

Hi,

C&P Fehler, solemn ist bei der Ausgabe von ´getent group data´ mit dabei, hatte ich abgeschnitten.
Ausgaben sehen sowohl auf Master als auch auf Member absolut gleich aus (id & getent)

Der einzige Unterschied bei

udm users/user list --filter '(uid=solemn)'

liegt in der Zeile password:

Auf dem Master

password: {crypt}xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx

auf dem Member

password: ********
root@master:/files# udm users/user list --filter '(uid=solemn)'
(uid=olli)
DN: uid=solemn,cn=users,dc=murphy,dc=ath,dc=cx
ARG: None
  homedrive: None
  CtxKeyboardLayout: None
  disabled: none
  postcode: None
  CtxWFProfilePath: None
  CtxRASDialin: E
  title: None
  organisation: None
  CtxMaxIdleTime: None
  lastname: Funk
  employeeNumber: None
  password: {crypt}xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
  passwordexpiry: None
  sambaRID: 1133
  profilepath: None
  objectFlag: None
  sambahome: None
  CtxWFHomeDirDrive: None
  CtxCallback: None
  street: None
  CtxShadow: 00000000
  CtxWorkDirectory: None
  CtxNWLogonServer: None
  CtxMaxConnectionTime: None
  groups: cn=Domain Admins,cn=groups,dc=murphy,dc=ath,dc=cx
  groups: cn=Domain Users,cn=groups,dc=murphy,dc=ath,dc=cx
  groups: cn=Administrators,cn=Builtin,dc=murphy,dc=ath,dc=cx
  groups: cn=data,cn=groups,dc=murphy,dc=ath,dc=cx
  overridePWHistory: None
  pwdChangeNextLogin: None
  primaryGroup: cn=data,cn=groups,dc=murphy,dc=ath,dc=cx
  CtxInitialProgram: None
  scriptpath: None
  city: None
  CtxStartprogramClient: 0
  userexpiry: None
  username: solemn
  departmentNumber: None
  shell: /bin/bash
  CtxMinEncryptionLevel: None
  CtxCallbackNumber: None
  mailHomeServer: None
  CtxCfgFlags1: 00000100
  gidNumber: 5073
  sambaLogonHours: None
  CtxBrokenSession: 0000
  locked: none
  CtxReconnectSession: 0000
  roomNumber: None
  homeShare: None
  gecos: Solemn
  CtxCfgClientPrinters: 0
  jpegPhoto: None
  uidNumber: 1001
  employeeType: None
  homeSharePath: None
  CtxCfgPresent: 551e0bb0
  CtxWFHomeDir: None
  unixhome: /home/solemn
  description: None
  firstname: solemn
  birthday: None
  overridePWLength: None
  CtxMaxDisconnectionTime: None
  CtxCfgDefaultClientPrinters: 0
  displayName: Solemn
  mailPrimaryAddress: None
  CtxCfgClientDrivers: 0
  CtxCfgTSLogon: 0[/code]







Kein Unterschied bei 

[code]root@master:/files# udm groups/group list --filter '(cn=data)'
(cn=data)
DN: cn=data,cn=groups,dc=murphy,dc=ath,dc=cx
ARG: None
  users: uid=solemn,cn=users,dc=murphy,dc=ath,dc=cx
  users: uid=Guest,cn=users,dc=murphy,dc=ath,dc=cx
  UVMMGroup: None
  gidNumber: 5073
  objectFlag: None
  mailAddress: None
  nestedGroup: cn=Guests,cn=Builtin,dc=murphy,dc=ath,dc=cx
  nestedGroup: cn=Authenticated Users,cn=Builtin,dc=murphy,dc=ath,dc=cx
  nestedGroup: cn=vdr,cn=groups,dc=murphy,dc=ath,dc=cx
  description: Read access to data 
  sambaGroupType: 2
  name: data
  adGroupType: -2147483646
  memberOf: cn=software,cn=groups,dc=murphy,dc=ath,dc=cx
  sambaRID: 1123

[quote=“Solemn”]Hallo,
Jemand eine Idee, woran das scheitern könnte?
[/quote]

Ich habe, neben einigen anderen Schwierigkeiten/Ungereimtheiten, das selbe Problem gehabt.
Zudem habe ich bis dato mit AD, ACL’s etc. nicht wirklich was am Hut gehabt und es gekonnt umgangen ;).

Bis ich die UCC’s einsetze muss ich mich noch bissl mit Windows 7 und 8 Home rumschlagen, anmelden am DC Master geht mit Benutzername und Kennwort, am Memberserver nur mit Domäne\Benutzername und Passwort, etc…

Für mich habe ich es jedenfalls jetzt (erst einmal) wie folgt lösen können (Bei mir am Beispiel Buchhaltung):

Entsprechende Freigabe >> Allgemein
Besitzer des Wurzelverzeichnis der Freigabe: Administrator
Besitzergruppe für das Wurzelverzeichnis der Freigabe: Buchhaltung
Dateiberechtigungen für das Wurzelverzeichnis der Freigabe 770 (jeweils bei Besitzer und Gruppe Lesen, Schreiben, Zugriff; Andere alles aus)

Unterhalb von

Erweiterte Einstellungen >> Samba Rechte >> Erzwungene Gruppe: +Buchhaltung
Um sicherzustellen, dass alle Dateien und Ordner der Gruppe gehören. (Wenn ich, mit Primärgruppe Domain Admins Dateien und Verzeichnisse hin und herschiebe bleibt es bei der Gruppe Buchhaltung und nicht Domain Admins)

Unterhalb von

Erweiterte Samba Rechte

Dateimodus, Verzeichnis-Modus jeweils 770
Erzwinge Dateimodus, Erzwinge Verzeichnis-Modus jeweils 000
Sicherheitsmodus, Verzeichnis-Sicherheitsmodus jewiels 770
Erzwinge Sicherheitsmodus, Erzwinge Verzeichnis-Sicherheitsmodus jeweils 000

Vielleicht gibt es noch eine andere Variante, eine richtige Variante oder Lösung, jedoch hatte ich bisher noch nicht wirklich Zeit, mich mit UCS eingehender zu beschäftigen ( Mich verwirrt so manche deutsche Übersetzung :wink: ).

Hallo Solemn,

jetzt behalte ich nur zwei weitere Fragezeichen übrig:

ist das ein Cut+Paste Fehler, daß nach ‘uid=solemn’ gefragt wird und der Udm sagt, es wurde nach ‘uid=olli’ gefragt? Oder existiert da eventuell eine doppelte Identität?

Und das zweite versteh ich ganz und gar nicht, wie ein UDM auf einem Member eine Ausgabe liefern kann, die sich von der auf dem Master unterscheidet (ein Member hat keine eigene LDAP Kopie, er fragt also für gewöhnlich das LDAP des Masters). Da kann ich mir nur vorstellen, daß der Memberserver verkehrte Angaben betreffs LDAP in der UCR stehen hat, also daß

ucr search --brief ldap/server

nicht auf den Master verweist. Was bekommt man denn, wenn man die Abfrage nicht mit Hilfe des UDM macht, sondern direkt das jeweils konfigurierte LDAP fragt, also mit

univention-ldapsearch '(uid=solemn)'

Ist da der gleiche Unterschied mit dem Paßwort zu sehen?

Ob eine unterschiedliche Identität in Samba zustandekommt, könnte man eventuell vergleichen, indem man vom Windows aus einen Zugriff auf die Freigabe macht (es sollte das Öffnen des Ordners im Windows Explorer genügen) und dann mit

smbstatus

die Session findet, da steht der Anmeldename dabei, und mit

ps uw <pid>

bekommt man heraus, unter welcher Nutzeridentität der Prozeß wirklich läuft.

viele Grüße
Frank Greif

Hallo,

ja, C&P again :wink:

root@master:/ # ucr search --brief ldap/server connector/ldap/server: <empty> ldap/server/addition: <empty> ldap/server/ip: 127.0.0.1 ldap/server/name: master.murphy.ath.cx ldap/server/port: 7389 ldap/server/type: master

sieht ziemlich gleich aus, wie auf dem member Server

root@member:/# ucr search --brief ldap/server ldap/server/addition: <empty> ldap/server/ip: 127.0.0.1 ldap/server/name: master.murphy.ath.cx ldap/server/port: 7389

Ausgabe von ldapsearch ist dann wieder unterschiedlich (die Hashes hab ich “geschwärzt”)

Master:

[code]root@master:/# univention-ldapsearch ‘(uid=solemn)’

extended LDIF

LDAPv3

base <dc=murphy,dc=ath,dc=cx> (default) with scope subtree

filter: (uid=solemn)

requesting: ALL

solemn, users, murphy.ath.cx

dn: uid=solemn,cn=users,dc=murphy,dc=ath,dc=cx
uid: solemn
krb5PrincipalName: solemn@MURPHY.ATH.CX
objectClass: top
objectClass: person
objectClass: univentionPWHistory
objectClass: posixAccount
objectClass: shadowAccount
objectClass: univentionMail
objectClass: sambaSamAccount
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: krb5Principal
objectClass: krb5KDCEntry
objectClass: univentionObject
uidNumber: 1001
sambaAcctFlags: [U ]
sambaPasswordHistory: C12199F7B03E99B56A2BAB64BD064607D21F2EBE3F99D812BF45AD56
6F702E9E
krb5MaxLife: 86400
shadowLastChange: 16553
cn: Solemn Solemn
userPassword:: ******************************************************
krb5Key:: MEuhKzApoAMCARKhIgQgiqLA7ploj0c8OyPoqtD/2hAGZAl8jc32ObIjQvNqW6WiHDAa
oAMCAQOhEwQRTVVSUEhZLkFUSC5DWG9sbGk=
krb5Key:: MDuhGzAZoAMCARGhKIcMBqgAwIBA6ETBBFNVVJQSFku
QVRILkNYb2xsaQ==
krb5Key:: MEOhIzAhoAMCARC
kHddqR5lLEg1fWohwwGqADAgEDoRME
EU1VUlBIWS5BVEguQ1hvbGxp
krb5Key:: ********************wIBA6ETBBFNVVJQSFku
QVRILkNYb2xsaQ==
krb5Key:: ************
bGk=
krb5Key:: MDOhEzA
QOhEwQRTVVSUEhZLkFUSC5DWG9s
bGk=
krb5Key:: MDOhEzAR
uaM6iHDAaoAMCAQOhEwQRTVVSUEhZLkFUSC5DWG9s
bGk=
sambaMungedDial: bQAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIABkA
AEAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIA
************AIAAgACAAIAAgACAAUAAFABoACA
ABAEMAdAB4AEMAZgBnAFAAcgBlAHMAZQBuAHQANTUxZTBiYjAYAAgAAQBDAHQAeABDAGYAZwBGAGw
AYQBnAHMAMQAwMDAwMDEwMA==
krb5MaxRenew: 604800
krb5KeyVersionNumber: 1
loginShell: /bin/bash
univentionObjectType: users/user
krb5KDCFlags: 126
sambaPwdLastSet: 1430203228
sambaNTPassword: 06854B68320E2551CBB25E23B271AB01
displayName: Solemn Solemn
gecos: Solemn Solemn
sn: Solemn
pwhistory: $6$oW8v1P22SYAsxvTr$spzFd3waQc7bjSiitJxx8a1r6HYGRHjLH5wLnoP3FYmka5U
duf6rNte7xNLiln9LnqxwTUP6zN/FbEKyaVeZT1
homeDirectory: /home/solemn
givenName: Solemn
sambaSID: S-1-5-21-2066997046-992583067-1952614592-1133
gidNumber: 5073
sambaPrimaryGroupSID: S-1-5-21-2066997046-992583067-1952614592-1123

search result

search: 3
result: 0 Success

numResponses: 2

numEntries: 1

[/code]

Member:

[code]root@member:/# univention-ldapsearch ‘(uid=solemn)’

extended LDIF

LDAPv3

base <dc=murphy,dc=ath,dc=cx> (default) with scope subtree

filter: (uid=solemn)

requesting: ALL

solemn, users, murphy.ath.cx

dn: uid=solemn,cn=users,dc=murphy,dc=ath,dc=cx
uid: solemn
krb5PrincipalName: solemn@MURPHY.ATH.CX
objectClass: top
objectClass: person
objectClass: univentionPWHistory
objectClass: posixAccount
objectClass: shadowAccount
objectClass: univentionMail
objectClass: sambaSamAccount
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: krb5Principal
objectClass: krb5KDCEntry
objectClass: univentionObject
uidNumber: 1001
sambaAcctFlags: [U ]
krb5MaxLife: 86400
shadowLastChange: 16553
cn: Solemn Solemn
sambaMungedDial: bQAgACAAIAAg*********************************ACAAIABkA
AEAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAIAAgACAAUAAFABoACA
ABAEMAdAB4AEMAZgBnAFAAcgBlAHMAZQBuAHQANTUxZTBiYjAYAAgAAQBDAHQAeABDAGYAZwBGAGw
AYQBnAHMAMQAwMDAwMDEwMA==
krb5MaxRenew: 604800
loginShell: /bin/bash
univentionObjectType: users/user
displayName: Solemn Solemn
gecos: Solemn Solemn
sn: Solemn
homeDirectory: /home/solemn
givenName: Solemn
sambaSID: S-1-5-21-2066997046-992583067-1952614592-1133
gidNumber: 5073
sambaPrimaryGroupSID: S-1-5-21-2066997046-992583067-1952614592-1123

search result

search: 3
result: 0 Success

numResponses: 2

numEntries: 1

[/code]

smbstatus Test bringt folgendes:

Master

[code]root@master:/# smbstatus
lp_load_ex: refreshing parameters
Initialising global parameters
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section “[global]”

Samba version 4.2.0rc2-Debian
PID Username Group Machine Protocol Version

24901 member$ Domain Computers 192.168.10.246 (ipv4:192.168.10.246:48084) NT1

Service pid machine Connected at

IPC$ 28972 192.168.10.220 Wed Apr 29 20:57:29 2015
IPC$ 24901 192.168.10.246 Wed May 6 16:08:42 2015

Registered MSG_REQ_POOL_USAGE
Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED
No locked files

root@master:/# smbstatus
lp_load_ex: refreshing parameters
Initialising global parameters
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section “[global]”

Samba version 4.2.0rc2-Debian
PID Username Group Machine Protocol Version

24901 member$ Domain Computers 192.168.10.246 (ipv4:192.168.10.246:48084) NT1
25056 solemn data 192.168.10.10 (ipv4:192.168.10.10:4909) SMB2_10

Service pid machine Connected at

IPC$ 25056 192.168.10.10 Mon May 18 14:37:06 2015
IPC$ 24901 192.168.10.246 Wed May 6 16:08:42 2015

Registered MSG_REQ_POOL_USAGE
Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED
No locked files

root@master:/# ps uw 25056
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
solemn 25056 0.6 4.7 492408 49060 ? S 14:37 0:00 /usr/sbin/smbd -D --option=server role check:inhibit=yes --foreground
[/code]

Member

[code]root@member:/# smbstatus
lp_load_ex: refreshing parameters
Initialising global parameters
rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)
Processing section “[global]”

Samba version 4.2.0rc2-Debian
PID Username Group Machine Protocol Version

27743 solemn data 192.168.10.10 (ipv4:192.168.10.10:4857) SMB2_10

Service pid machine Connected at

IPC$ 27743 192.168.10.10 Mon May 18 14:36:44 2015

Registered MSG_REQ_POOL_USAGE
Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED
No locked files

root@member:/# ps uw 27743
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
solemn 27743 1.6 1.7 299568 18200 ? S 14:36 0:00 /usr/sbin/smbd -D
[/code]

Danke für die Geduld!

Hallo Solemn,

Wenn sich die Ausgabe von ldapsearch zwischen Master und Member unterscheidet, kann es eigentlich nur sein, daß die beiden ein unterschiedliches LDAP Verzeichnis befragen. Welches Verzeichnis wirklich befragt wird, steht in /etc/ldap/ldap.conf in der Variable URI. Diese Datei sollte ihren Inhalt aus den genannten UCR Variablen bekommen. Bitte dies mal auf beiden Servern überprüfen.

viele Grüße
Frank Greif.

Auch hier, gleiche Einträge:

URI ldap://master.murphy.ath.cx:7389

und

URI ldap://master.murphy.ath.cx:7389

Scheint ein bisschen aussichtslos zu sein. Habe das ganze nochmal auf einem dritten Server probiert, gleiches Verhalten.
Kann es sein, dass beim Domain-join irgendwas nicht sauber läuft? Wo schau ich da am besten nach?

Solemn

Hallo,
An dem Fall wird meines Wissens noch gearbeitet, vorweg jedoch schon einmal der Hinweis auf die Überprüfung des Joinstatus - Hier hilft wahrscheinlich: sdb.univention.de/solution_id_1271.html

Mit freundlichem Gruß,
Jens Thorp-Hansen

Hallo,

der Join Status scheint ebenfalls in Ordnung zu sein, allerdings mag der Samba auf dem Member nicht so richig:

[code]root@member:~# univention-check-join-status
Joined successfully
root@member:~# univention-ldapsearch -s base -LLL dn
dn: dc=murphy,dc=ath,dc=cx

root@member:~# smbclient -UAdministrator //$(ucr get hostname)/sysvol -c quit
Enter Administrator’s password:
session setup failed: NT_STATUS_UNSUCCESSFUL
[/code]

auf dem Master dagegen:

[code]root@master:~# univention-check-join-status
Joined successfully
root@master:~# univention-ldapsearch -s base -LLL dn
dn: dc=murphy,dc=ath,dc=cx

root@master:~# smbclient -UAdministrator //$(ucr get hostname)/sysvol -c quit
Enter Administrator’s password:
Domain=[MURPHY] OS=[Windows 6.1] Server=[Samba 4.2.0rc2-Debian]
[/code]

Grüße,

Solemn

sysvol sollte es meines Wissens nur auf Domain Controllern geben. Dementsprechend ist das Fehlschlagen des Befehls auf dem Memberserver nicht verwunderlich. Probier es mal mit einer Freigabe, die es auf dem Memberserver auch gibt.

Stimmt, auf die fragliche Freigabe funktioniert’s:

root@member:~# smbclient -UAdministrator //$(ucr get hostname)/test -c quit Enter Administrator's password: Domain=[MURPHY] OS=[Windows 6.1] Server=[Samba 4.2.0rc2-Debian]

Solemn

So,

ich habe etwas “rumprobiert”.

Wenn ich in der UCR des betroffenen Memberserver (in diesem Fall ‘FARGO’)die Variable “samba/memberserver/passdb/ldap” auf yes setze, und den Server (komplett, nicht nur Samba) neustarte, kommt Samba nicht mehr hoch. Fehlermeldung im smbd.log sagt:

smbd version 4.2.0rc2-Debian started. Copyright Andrew Tridgell and the Samba Team 1992-2014 [2015/06/22 16:22:44, 2] ../source3/lib/tallocmsg.c:124(register_msg_pool_usage) Registered MSG_REQ_POOL_USAGE [2015/06/22 16:22:44, 2] ../source3/lib/dmallocmsg.c:78(register_dmalloc_msgs) Registered MSG_REQ_DMALLOC_MARK and LOG_CHANGED [2015/06/22 16:22:44.314427, 3] ../source3/param/loadparm.c:3646(lp_load_ex) lp_load_ex: refreshing parameters [2015/06/22 16:22:44.315279, 3] ../source3/param/loadparm.c:564(init_globals) Initialising global parameters [2015/06/22 16:22:44.315829, 2] ../source3/param/loadparm.c:353(max_open_files) rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384) [2015/06/22 16:22:44.316458, 3] ../source3/param/loadparm.c:2596(lp_do_section) Processing section "[global]" [2015/06/22 16:22:44.317591, 2] ../source3/param/loadparm.c:2613(lp_do_section) Processing section "[homes]" [2015/06/22 16:22:44.318343, 2] ../source3/param/loadparm.c:2613(lp_do_section) Processing section "[printers]" [2015/06/22 16:22:44.319211, 2] ../source3/param/loadparm.c:2613(lp_do_section) Processing section "[print$]" [2015/06/22 16:22:44.320156, 2] ../source3/param/loadparm.c:2613(lp_do_section) Processing section "[emule]" [2015/06/22 16:22:44.321049, 2] ../source3/param/loadparm.c:2613(lp_do_section) Processing section "[xdrive]" [2015/06/22 16:22:44.321993, 3] ../source3/param/loadparm.c:1494(lp_add_ipc) adding IPC service [2015/06/22 16:22:44.322923, 2] ../source3/lib/interface.c:341(add_interface) added interface eth0 ip=192.168.10.246 bcast=192.168.10.255 netmask=255.255.255.0 [2015/06/22 16:22:44.323382, 3] ../source3/smbd/server.c:1303(main) loaded services [2015/06/22 16:22:44.323648, 3] ../source3/smbd/server.c:1337(main) Becoming a daemon. [2015/06/22 16:22:44.327554, 2] ../source3/passdb/pdb_ldap_util.c:280(smbldap_search_domain_info) smbldap_search_domain_info: Searching for:[(&(objectClass=sambaDomain)(sambaDomainName=FARGO))] [2015/06/22 16:22:44.343223, 3] ../source3/lib/smbldap.c:579(smbldap_start_tls) StartTLS issued: using a TLS connection [2015/06/22 16:22:44.343876, 2] ../source3/lib/smbldap.c:794(smbldap_open_connection) smbldap_open_connection: connection opened [2015/06/22 16:22:44.353217, 3] ../source3/lib/smbldap.c:1013(smbldap_connect_system) ldap_connect_system: successful connection to the LDAP server [2015/06/22 16:22:44.354405, 3] ../source3/passdb/pdb_ldap_util.c:305(smbldap_search_domain_info) smbldap_search_domain_info: Got no domain info entries for domain [2015/06/22 16:22:44.355358, 3] ../source3/passdb/pdb_ldap_util.c:166(add_new_domain_info) add_new_domain_info: Adding new domain [2015/06/22 16:22:44.356526, 1] ../source3/passdb/pdb_ldap_util.c:236(add_new_domain_info) add_new_domain_info: failed to add domain dn= sambaDomainName=FARGO,dc=murphy,dc=ath,dc=cx with: Insufficient access no write access to parent [2015/06/22 16:22:44.357163, 0] ../source3/passdb/pdb_ldap_util.c:313(smbldap_search_domain_info) smbldap_search_domain_info: Adding domain info for FARGO failed with NT_STATUS_UNSUCCESSFUL [2015/06/22 16:22:44.357573, 0] ../source3/passdb/pdb_ldap.c:6517(pdb_ldapsam_init_common) pdb_init_ldapsam: WARNING: Could not get domain info, nor add one to the domain. We cannot work reliably without it. [2015/06/22 16:22:44.358003, 0] ../source3/passdb/pdb_interface.c:179(make_pdb_method_name) pdb backend ldapsam:"ldap://durban.murphy.ath.cx:7389" did not correctly init (error was NT_STATUS_CANT_ACCESS_DOMAIN_INFO) [2015/06/22 16:23:47, 0] ../source3/smbd/server.c:1240(main)

Variable wieder zurück auf “leer”, Samba über den Systemdienste Tab neustarten, und es funktioniert wie gewünscht, inklusive der Berechtigungen. kompletten Server nochmals neugestartet, kommt Samba zwar wieder hoc, Freigabe funktioniert aber wieder nicht mehr.

Also hatte ich winbindd im Verdacht, und auch der schmeißt ein paar Fehlermeldungen:

[2015/06/22 16:27:33.367493, 3] ../source3/lib/smbldap.c:579(smbldap_start_tls) StartTLS issued: using a TLS connection [2015/06/22 16:27:33.367528, 2] ../source3/lib/smbldap.c:794(smbldap_open_connection) smbldap_open_connection: connection opened [2015/06/22 16:27:33.377407, 3] ../source3/lib/smbldap.c:1013(smbldap_connect_system) ldap_connect_system: successful connection to the LDAP server [2015/06/22 16:27:33.377948, 1] ../source3/winbindd/idmap_ldap.c:164(verify_idpool) Unable to verify the idpool, cannot continue initialization! [2015/06/22 16:27:33.377968, 1] ../source3/winbindd/idmap_ldap.c:500(idmap_ldap_db_init) idmap_ldap_db_init: failed to verify ID pool (NT_STATUS_UNSUCCESSFUL) [2015/06/22 16:27:33.378439, 1] ../source3/winbindd/idmap.c:253(idmap_init_domain) idmap initialization returned NT_STATUS_UNSUCCESSFUL

Was ich damit allerdings anfangen soll, weiß ich auch nicht so recht… Jemand einen Tipp?

Solemn

Haben Sie den Member-Server schon einmal neu in die Domäne gejoint? Dabei gehen keine Daten verloren, aber es werden alle möglichen Strukturen neu initialisiert, gerade bei Samba.

Hallo,

Der MemberServer wurde neu gejoint, neu installiert, keine Besserung. Ebenso der entsprechende Windows Client. Neuer Domain-join, neue Installation, kein Unterschied.
Was funktioniert ist in den Erweiterten Samba Berechtigungen eine Gruppe zu erzwingen, dann hat aber jeder authentifizierte User Zugriff, das soll auch nicht sein.
Letzter Versuch wäre jetzt, den DC noch mal aufzusetzen, da hier allerdings schon zentrale Dienste wie DNS und DHCP laufen wollte ich das eigentlich vermeiden.

Grüße,

Solemn

Es kann Probleme mit ACLs geben, wenn Benutzer-IDs und Gruppen-IDs sich überschneiden. Vielleicht einfach die Ausgabe von diesem Befehl posten:

univention-ldapsearch '(|(uidNumber=*)(gidNumber=*))' uidNumber gidNumber

Bitte zusätzlich die Ausgabe der folgenden Befehle posten (auf dem Master ausführen):

univention-s4search cn=data
univention-ldapsearch cn=data

Und auch von dem Gruppenmitglied, welches sich auf das Share verbindet:

univention-s4search cn=solemn
univention-ldapsearch uid=solemn

Hallo,

bevor ich hier seitenweise Ausgaben poste, den ersten Befehl

univention-ldapsearch '(|(uidNumber=*)(gidNumber=*))' uidNumber gidNumber

auf dem Master oder dem Member ausführen?

Grüße,

Solemn

Mastodon