Samba + ADS: Dateibesitzer immer root

    Moin,


    vielleicht kann mir hier einer helfen. Ich habe einen Debian lenny in einer 2000 ADS Domäne laufen. Er ist bereits Mitglied und das Auflisten von Domänen Benutzern und Gruppen mit wbinfo und getent funktioniert. Ich kann auch mit der write list Direktive den Zugriff auf Freigaben regeln. Wenn ich also als Domänen Benutzer in der Domänen Gruppe webserver-admins bin, darf ich schreiben, sonst nicht. Das Problem ist jetzt, das die erzeugten Dateien nicht dem Domänen Benutzer gehören, sondern immer root. Im log steht auch fast nur


    Code
    smbd/service.c:make_connection_snum(928)
  Can't become connected user!


    smb.conf:

    vielleicht liegts an dem force-group.


    Bei mir gehts übrigens mit folgender Config (samba 3.0.24):

    Software: VDR 1.4.3, mp3, osdpip, streamdev-server, femon, wapd, X11, Wireless Keyboard Kernel: 2.6.18
    Hardware: 1x DVB-S v 1.3, 1x Skystar 2, Celeron@2GHz, 256 MB RAM, 4 HDs Raid1/5, Total: 600 GB, Asus P4S533 cmi8738 & LAN on board 6 PCI
    40" Sammelbestellungs-LCD an ATI Radeon 9550 DVI-Out + tvtime, 70 cm TV an J2-RGB-Out
    Organisator der ersten und zweiten VDR-Sanitizer Sammelbestellung.
    In progress: POV-ION 330 - MediaPointer MP-S2 - vdr 1.7.9 - vdr-xine(vdpau)

    Einmal editiert, zuletzt von pram ()

    genau, da war noch was:


    Wei bereits erwähnt, Uhrzeit ist noch wichtig, kinit und klist zeigen dir, ob Tickets da sind.


    "wbinfo -g" und "wbinfo -u" müssen dir die AD-Benutzer liefern. (klappt ja schon)
    Weiterhin muss dir "getent passwd" bzw "getent group" eine passwd Datei mit allen Usern liefern.



    Hierzu musst in der /etc/nsswitch.conf noch folgende Zeilen anpassen:
    passwd: compat winbind
    group: compat winbind


    (ich hab auch fast nen ganzen Tag und zahlreiche Howtos gebraucht bis es geklappt hat)

    Software: VDR 1.4.3, mp3, osdpip, streamdev-server, femon, wapd, X11, Wireless Keyboard Kernel: 2.6.18
    Hardware: 1x DVB-S v 1.3, 1x Skystar 2, Celeron@2GHz, 256 MB RAM, 4 HDs Raid1/5, Total: 600 GB, Asus P4S533 cmi8738 & LAN on board 6 PCI
    40" Sammelbestellungs-LCD an ATI Radeon 9550 DVI-Out + tvtime, 70 cm TV an J2-RGB-Out
    Organisator der ersten und zweiten VDR-Sanitizer Sammelbestellung.
    In progress: POV-ION 330 - MediaPointer MP-S2 - vdr 1.7.9 - vdr-xine(vdpau)

    nsswitch und so läuft ja schon... gentent zeigt alle lokalen Nutzer, alle Nutzer der Domäne in dem der Samba Server Mitglied ist und auch alle Nutzer der alten NT Domäne (Vertrauensstellung) an.


    Da ich ja mit der @webserver-admin Gruppe die Schreibberechtigung vergeben kann, fragt samba offensichtlich den DC korrekt ab. Nur beim anlegen des Files schreibt er eben nicht DOM+user als Eigentümer, sondern root. Er meckert ja auch "Can't become connected user".


    Zeiten sind gleich, alle Rechner holen sich die Uhrzeit von nem ntp...


    kinit liefert auch keine Fehlermeldung.


    Ich habe noch in /etc/pam.d/common-* die pam_unix.so gegen die pam_unix2.so getauscht. Allerdings hab ich noch keinen Neustart gemacht. Hab vorhin irgendwo in den google.groups gelesen das nsswitch das nur beim booten übernimmt.


    Ich werde nach einem Reboot berichten.


    Danke schonmal :]


    EDIT:


    diese hier hab ich auch noch gefunden:


    Code
    Oct 17 13:20:01 xxx winbindd[2220]:    1 (256 - 255) in safe_strcpy [ERROR: string overflow by 1 (256 - 255) in safe_strcpy [ERROR: string overflow by 1 (256 - 255) in safe_strcpy [ERROR: string overflow by 1 (256 - 255) in safe_strcpy [ERROR: string overflow by 1 (256 - 255) in safe_strcpy
Oct 17 13:20:01 xxx winbindd[2220]:  +>

    Einmal editiert, zuletzt von Zimbo ()

    Zitat

    Original von slime
    hi,
    kannst du dich denn als domäne-benutzer an linux anmelden?


    Nein, aber dafür hab ich auch nichts getan. (Automatisches Homeverzeichnis etc.) Die Authentifizierung soll auch nur die Schreibrechte des Samba per ADS Gruppen regeln.


    Müsste das denn so gehen ?

    Neustart durchgeführt, selbes Ergebnis.


    Dat mokt mi wat mit "f" --- Ferrückt !


    EDIT: Ich kann auch mit chown den Eigentümer einer Datei manuell auf ein Domänen-Nutzerkonto festlegen, warum kann Samba das nicht ?

    Einmal editiert, zuletzt von Zimbo ()

    Hmmm, in meiner /etc/pam.d/samba steht folgendes:

    Code
    @include common-auth
@include common-account
@include common-session


    Fehlt da nicht @include common-password ?


    EDIT: Wars auch nicht. Ich glaube die erste Antwort oben könnte zutreffen. Da Samba ja die Gruppe "forced" auf eine Unix Gruppe in der die Dömänen Nutzer nicht enthalten sind / sein können. Das werde ich morgen nochmal probieren!

    Einmal editiert, zuletzt von Zimbo ()

    Zitat

    Original von Zimbo
    EDIT: Ich kann auch mit chown den Eigentümer einer Datei manuell auf ein Domänen-Nutzerkonto festlegen, warum kann Samba das nicht ?


    ich komme auf die idee, weil die fehlermeldung heisst 'Can't become connected user!'. das hört sich so an, als beschwert er sich darüber, das er icht in den passenden userkontext switchen kann.
    ich habe leider kein vergleichbares system. auf 'meiner' linux kiste können (und sollen) sich auch AD benuter amelden. probleme mit den benutzerrechten hatte ih da noch nie(wobei ich explzit daauf hinweise, das dies nur rein hypothetisch ist... ich rate gerade ins blaue und ziehe keine logischen schlüsse.)

    Jetzt wirds drollig !


    Ich habe "force group" rausgenommen. Jetzt sehen die Besitzverhältnisse so aus:


    Code
    drwxrwxrwx 2 root     www-data         4,0K 2007-10-18 06:59 Neuer Ordner (5)
drwxrwxrwx 2 root     domänen-benutzer 4,0K 2007-10-18 07:00 Neuer Ordner (6)


    Nummer 5 war mit "force group", Nummer 6 ohne. Ich hatte mal auf der linux Kiste einen Nutzer der den gleichen Namen hatte wie mein Domänen-Nutzername, aber den habe ich mittlerweile gelöscht. Sind davon noch reste über evtl ? in der /var/lib/samba/winbindd_idmap.tdb vielleicht ? Kann aber auch nicht sein, da mein Kollege nie ein Linux Konto hatte und bei ihm das gleiche passiert: root und Domänen-Benutzer.


    EDIT:
    Ich habe mal winbind mit in die common-auth und so eingetragen. Ich konnte mich danach mit meinem Domänennamen anmelden und eine Datei anlegen, die mir auch gehört hat. (DOM User & Gruppe). Demnach funktioniert winbind ja wohl perfekt, oder ? Mir ist nochwas aufgefallen: Wenn ich mit dem Windowsexplorer auf eine Freigabe zugreife schreibt samba eine Zeile ins Logfile:

    Code
    connect to service htdocs initially as user XXX+xxx (uid=0, gid=10099) (pid 21664)


    uid 0 ist doch root !? gid 10099 ist "Domänen-Benutzer" . Welcher Prozess verhaut sich da ?

    2 Mal editiert, zuletzt von Zimbo ()

    So, ich habs lösen können. Durch die Vetrauensstellung zur alten Domäne sind zwei Domänennamen vorhanden. Durch die Funktion

    Code
    winbind use default domain = yes

    lässt samba den Domänennamen-Teil des Namens weg. Nachdem ich die Funktion deaktiviert hatte konnte ich eine Datei anlegen die mir dann auch gehörte. "Force Group" funktioniert dabei dann übrigens auch.


    Mit freundlichen Grüßen

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden