Benutzeranmeldung der user(migriert von 6.2) am w10 client scheitert - shares können allerdings verbunden werden

Hallo,
ich habe ein seltsames Problem mit einem neu aufgesetztem lmn7-System mit der Benutzeranmeldung am w10 Client.
Die User wurden mit sophomorix-vampire migriert.
Am Server klappt ein smbclient -U <username> -L //lmn7
Am w10-Client kommt die Fehlermeldung „Benutzername oder Kennwort falsch“ (oder so ähnlich).
Als global-admin kann ich mich am w10-Client anmelden. Als lokaler Administrator kann ich die Heimatlaufwerke der Benutzer verbinden…
Wenn ich dem Benutzer ein neues Kennwort mit sophomorix-passwd --pass <kennwort> -u <username> gebe klappt die Anmeldung am w10-Client!!
Das ist zwar schön… - ich wollte mir aber ersparen den Usern neue Kennwörter geben zu müssen…

Das System ist auf dem aktuellsten Stand.
Btw: …Anmeldung an WebUI/SchulUI/Selma klappt NUR als global-admin…
Hat jemand eine Idee?

Gruß
Bertold

Hallo Bertold,

ich habe ein seltsames Problem mit einem neu aufgesetztem lmn7-System
mit der Benutzeranmeldung am w10 Client.
Die User wurden mit sophomorix-vampire migriert.
Am Server klappt ein |smbclient -U -L //lmn7|
Am w10-Client kommt die Fehlermeldung „Benutzername oder Kennwort
falsch“ (oder so ähnlich).
Als global-admin kann ich mich am w10-Client anmelden. Als lokaler
Administrator kann ich die Heimatlaufwerke der Benutzer verbinden…
Wenn ich dem Benutzer ein neues Kennwort mit |sophomorix-passwd --pass
-u | gebe klappt die Anmeldung am w10-Client!!
Das ist zwar schön… - ich wollte mir aber ersparen den Usern neue
Kennwörter geben zu müssen…

ich hatte letztes Jahr im November die Migration getestet (mit Win7 in
meiner Schule) und konnte solche Probleme nicht beobachten: nach
Neuaufnahme des alten Clients in die neue Domäne konnten sich die
migrierten Nutzer anmelden.

Ich kann jetzt nur folgendes Sagen: such logdateien von samba auf dem
Server mit Hinweisen und poste sie hier.
Das muß sich Rüdiger ansehen.

Ich werde gegen Ende der Woche auch meine Migration durchführen von der
lmn6.2 auf die lmn7.
Dabei sollen auch alle Nutzer und Passwörter mitgenommen werden.
Ich werde dann berichten, ob es bei mir klapt.

Allerdings werden bei mir auch die Cleintbetriebsysteme ausgewechselt:
win7 -> Win10
und
ubuntu 14.04 zu ubuntu 18.04

LG

Holger

wir haben nach der migration ein ähnliches problem: manche user können sich am linuxclient nicht anmelden, aber mit nextcloud via ldap AD abfrage. Gilt aber nicht für ale accounts
Da wir nur von wenigen accounts (4) die passwörter kennen, stehen wir auf dem schlauch.
Vermutlich sind es alte accounts.

geht bei die die anmeldung via schulkonsole, wie bei uns?

bitte mal auf dem server mit wbinfo … die verschiedenen login-Arten testen (kerberos, pam, …). Ich vermute dass manche tun, andere nicht

LG, Rüdiger

Hallo Rüdiger,
bei den „alten“ (von lmn6.2 migrierten) Accounts funktioniert

wbinfo --authenticate=<user> (mit --ntlmv1, --lanman und Plaintext bei --ntlmv2)
aber nicht die Kerberos-Auth mit

wbinfo --krb5auth=<user>

Hier die Fehlermeldung:

root@lmn7:/home/badmin# wbinfo --krb5auth=<username>
Enter <username> password: plaintext kerberos password authentication for [<username>] failed (requesting cctype: FILE)
wbcLogonUser(<username>): error code was NT_STATUS_LOGON_FAILURE (0xc000006d)
error message was: The attempted logon is invalid. This is either due to a bad username or authentication information.
Could not authenticate user [<username>] with Kerberos (ccache: FILE)

Bei den mit sophomorix neu angelegten usern oder usern nach Kennwortänderung funktioniert die Anmeldung mit

wbinfo --krb5auth=<user>

und auch das Anmelden am Windows10-Client…

Was mir überhaupt nicht klar ist, mit welchem Protokoll der Windows10-Client sich am Samba-AD anmeldet - da ich den Win10-Client aus der alten lmn6.2 benutze (nach abmelden an der alten Domäne und Neuaufnahme in die neue lmn7-Domäne) steht da bestimmt noch ntlmv1 als Protokoll drin (was auf dem Server ja mit wbinfo - a geht…
In der smb.conf steht ja eigentlich auch nicht, dass Kerberos für die Win10-Client Auth benutzt wird - oder?
Leider habe ich von samba4 noch keine Ahnung…

Es liegt also wahrscheinlich irgendwie an der Kerberos-Authentifizierung - hast du eine Idee wie man das Problem löst?

LG
Bertold