Linuxclient lässt sich nicht an Server anmelden

Liebe Community,

wir haben die Ferien genutzt um von 6.2 auf die Version 7 zu migrieren.
LDAP, DHCP, Radius, Firewall, nextcloud, moodle, usw. funktionieren.
Leider hakt es bei der Einbindung der Linuxclients.
Egal ob wir die vorgefertigten cloops nehmen oder from scratch, beim Aufruf von
linuxmuster-cloop-turnkey erscheint folgende Meldung:

#### Joining domain BEISENKAMP.
#### Note that you have to input the password of the global-admin.

kinit: für Realm »BEISENKAMP.LOCAL« kann nicht KDC kontaktiert werden bei Anfängliche Anmeldedaten werden geholt.
Failed to join domain: failed to lookup DC info for domain ‚BEISENKAMP‘ over rpc: An internal error occurred.

Installing server certificate … mount error(2): No such file or directory
Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)
cp: Aufruf von stat für ‚/var/lib/samba/sysvol/beisenkamp.local/tls/cacert.pem‘ nicht möglich: Datei oder Verzeichnis nicht gefunden
umount: /var/lib/samba/sysvol: nicht eingehängt.

Nachdem wir in der krb5.conf die IP des kdc eingetragen haben, läuft das Skript zwar weiter und das Passwort vom global-admin wird angefordert, allerdings erfolgt kein Domänenbeitritt!

Failed to join domain: failed to lookup DC info for domain ‚BEISENKAMP‘ over rpc: {Operation Failed} The requested operation was unsuccessful.

Es sieht so aus, dass es Probleme mit der Namensauflösung gibt. Bisher haben wir den Fehler auf der Clientseite gesucht. Wahrscheinlich hat der Server aber ein Problem und liefert bestimmte Informationen per DNS nicht. Bei der Altdatemigration gab es Probleme mit dem ISC-Server. Er konnte nicht alle Workstations übernehmen und brach den Importvorgang ab. Das Problem mit den Workstations konnten wir lösen, sodass der ISC-Server jetzt arbeitet.
Wie DNS bei Linuxmuster 7 funktioniert, habe ich noch nicht durchschaut.

Wir sind für jeden Hinweis dankbar.

VG Heiko

Hallo Heiko,

kann das

https://ask.linuxmuster.net/t/linuxclient-from-scratch-anmelden-geht-aber-serververzeichnisse-werden-wieder-ausgehaengt/5701/39

die Ursache sein.

Gruß

Alois

Hallo Alois,

ich glaube es nicht. Der Domänenname beisenkamp.local ist exklusiv für LMNv7
und hat nichts mit unserer Schuldomäne zu tun.

VG

Heiko

Abend,

Gleiches Problem bei uns, ich hab jetzt 20 Jahre gebraucht um den BIND wirklich zu verstehen und jetzt muss ich mich mit dem Nameserver von Samba 4 rumaergern, gehe zurueck auf LOS.

Gruss Harry

Hallo Harry,

also ist der Samba-Server bei Version 7 gleichzeitig DNS-Server?

VG

Heiko

Hi Heiko,
sieht irgendwie so aus, paar Zeilen der Ausgabe hab ich gekuerzt:

root@lml7:~# lsof -i -P |grep 53
...
samba       760   root   36u  IPv6   20652      0t0  TCP *:53 (LISTEN)
samba       760   root   38u  IPv6   20653      0t0  UDP *:53 
samba       760   root   39u  IPv4   20654      0t0  TCP *:53 (LISTEN)
samba       760   root   40u  IPv4   20655      0t0  UDP *:53

Muss jetzt mal googeln, wie man da die „Zonendateien“ pflegt.
Edith, intuitiv ist anders : https://wiki.samba.org/index.php/DNS_Administration
Gruss Harry

Ich nochmal

Ein Windows Domain Controller hegt und pflegt seine Clients ja auch in einem eigenen Nameserver und Windows hat sich ja irgendwann mal entschlossen DNS als Protokoll für die Namensaufloesung zu nutzen (auch wenn WIN/NBNS auch auf aktuellen Servern immer noch im Hintergrund als failover laeuft).

Samba 4 bringt das alles selbst mit, LDAP braucht man nicht mehr durch OpenLDAP nachzuruesten und DNS nicht durch BIND.

Ich fuerchte das landet alles in /var/lib/samba, der Ordner hat mit Unterordnern > 130MByte,

In /var/lib/samba/private und Unterordner liegen wohl die Datenbanken, vermute da sollte man nicht drinrumeditieren.

root@lml7:/var/lib/samba/private# ls -la
total 32832
drwxr-xr-x 7 root root    4096 Aug  3 21:30 .
drwxr-xr-x 8 root root    4096 Jul 28 13:24 ..
-rw------- 1 root root    2040 Jul  8 11:27 dns_update_cache
-rw-rw-rw- 1 root root    3663 Jul  8 11:27 dns_update_list
-rw------- 1 root root 1286144 Jul  8 11:26 hklm.ldb
-rw------- 1 root root 1286144 Jul  8 11:27 hklm.ldb-without-sophomorix-schema
-rw------- 1 root root 1286144 Jul  8 11:27 hklm.ldb-without-users
-rw------- 1 root root 1609728 Jul 28 14:28 idmap.ldb
-rw------- 1 root root 1286144 Jul  8 11:27 idmap.ldb-without-sophomorix-schema
-rw------- 1 root root 1609728 Jul  8 11:27 idmap.ldb-without-users
-rw-rw-rw- 1 root root      94 Jul  8 11:27 krb5.conf
srwxrwxrwx 1 root root       0 Jul 28 13:24 ldapi
drwxr-x--- 2 root root    4096 Jul 28 13:24 ldap_priv
drwx------ 2 root root    4096 Aug  3 21:24 msg.sock
-r--r--r-- 1 root root     235 Jul 11 08:11 named.conf.update
-rw------- 1 root root    8888 Jul 28 13:24 netlogon_creds_cli.tdb
-rw------- 1 root root  421888 Mai 29 10:06 passdb.tdb
-rw------- 1 root root 1286144 Jul  8 11:26 privilege.ldb
-rw------- 1 root root 1286144 Jul  8 11:27 privilege.ldb-without-sophomorix-schema
-rw------- 1 root root 1286144 Jul  8 11:27 privilege.ldb-without-users
-rw------- 1 root root 4247552 Jul  8 11:27 sam.ldb
drwx------ 2 root root    4096 Jul  8 11:27 sam.ldb.d
-rw------- 1 root root 4247552 Jul  8 11:27 sam.ldb-without-sophomorix-schema
-rw------- 1 root root 4247552 Jul  8 11:27 sam.ldb-without-users
-rw------- 1 root root   12288 Jul 28 14:28 schannel_store.tdb
-rw------- 1 root root    1157 Jul  8 11:27 secrets.keytab
-rw------- 1 root root 1286144 Jul  8 11:27 secrets.ldb
-rw------- 1 root root 1286144 Jul  8 11:27 secrets.ldb-without-sophomorix-schema
-rw------- 1 root root 1286144 Jul  8 11:27 secrets.ldb-without-users
-rw------- 1 root root  430080 Jul 21 13:05 secrets.tdb
-rw------- 1 root root 1286144 Jul  8 11:26 share.ldb
-rw------- 1 root root 1286144 Jul  8 11:27 share.ldb-without-sophomorix-schema
-rw------- 1 root root 1286144 Jul  8 11:27 share.ldb-without-users
drwxr-xr-x 2 root root    4096 Jul  8 11:27 smbd.tmp
-rw-rw-rw- 1 root root     955 Jul  8 11:27 spn_update_list
drwx------ 2 root root    4096 Jul  8 11:26 tls

Danke Dir!

Das Programm heißt samba-tool.
Allerdings habe ich jetzt wahrscheinlich die A*karte.

Best practices:

• Use a domain name you own.*
• Use a subdomain of your domain, such as ad.example.com.*
• Do not use .local domains. They can cause problems with Mac OS X and Zeroconf.*

Die Migration umfasste bei uns 17 Punkte. 16 sind abgeschlossen. Zurück auf LOS

wegen .local wuerde ich mir mal keinen Kopf machen, denke nicht, dass das stoert.

Hallo Harry,

könntest Du mir den Inhalt Deiner smb.conf posten?
Ich habe da eine Spur. Vielleicht fehlt in meiner smb.conf ein Eintrag.

server services = rpc, nbt, wrepl, ldap, cldap, kdc, drepl, winbind, ntp_signd, kcc, dnsupdate, dns, s3fs

Ich möchte auch nicht mehr als nötig aktivieren.

Unser 7er-Server laeuft noch parallel zum produktiven 6er und ist noch nicht fertig, funktioniert nicht, hab einen Thread dazu offen.
server services-Eintrag habe ich keinen in der smb.conf

Das geschilderte Problem lag tatsächlich an der .local TLD. Diese ist bei Samba nicht zulässig.

https://wiki.samba.org/index.php/Setting_up_Samba_as_an_Active_Directory_Domain_Controller

Ich habe den Server jetzt mit der Domäne beisenkamp.lan neu aufgesetzt.
linuxmuster-cloop-turnkey läuft jetzt durch. Bei der Imageerstellung wird auch die macct-Datei angelegt, aber jetzt scheitere ich mit der Benutzeranmeldung am Client.

Der smbd.service startet zwar, aber folgender Fehler wird angezeigt: kerberos_kinit_password BASIS-PC01$@BEISENKAMP.LAN failed: Preauthentication failed

Langsam verzweifel ich

nächstes Update der Odyssee:

Der Kerberos-Fehler lag an einer zu optimistischen Eintragung meinerseits in der Schulkonsole.
Im Laufe der Fehlersuche hatte ich einen neuen Rechner zur Installation genommen und unter demselben
Rechnernamen, ohne den alten vorher zu löschen, hinterlegt. Damit blieb wohl trotz des Domänenbeitritts des neuen Rechners in der Kerberosdatenbank der bisherige Rechner. Somit gab es natürlich Probleme mit Kerberos.
Weiterhin sollten alle, die ein System selber aufsetzen darauf achten, dass der lokale Rechnername des Master-PCs identisch mit dem Namen in der Schulkonsole ist. Sonst wird der Rechner zwar in der Domäne aufgenommen, allerdings wird bei der Linbo-Synchronisation keine macct-Datein angelegt.

Wer jetzt glaubt, dass es funktioniert, hat sich geirrt. Meine nächsten Probleme poste ich, wenn ich Zeit
habe. Beim Hochfahren erscheinen Fehler mit CIFS.MOUNT. Die Anmeldung klappt noch nicht.

Aug 8 17:08:52 muster-pc02 gdm-launch-environment]: (mount.c:558): 100 28 7:5 / /snap/gtk-common-themes/1440 ro,nodev,relatime shared:39 - squashfs /dev/loop5 ro
Aug 8 17:08:52 muster-pc02 gdm-launch-environment]: (pam_mount.c:522): mount of default-school failed
Aug 8 17:08:52 muster-pc02 gdm-launch-environment]: (mount.c:267): Mount info: globalconf, user=gdm <volume fstype=„cifs“ server=„server.beisenkamp.lan“ path=„sysvol“ mountpoin$
Aug 8 17:08:52 muster-pc02 gdm-launch-environment]: (mount.c:664): Password will be sent to helper as-is.
Aug 8 17:08:52 muster-pc02 gdm-launch-environment]: command: ‚mount‘ ‚-t‘ ‚cifs‘ ‚//server.beisenkamp.lan/sysvol‘ ‚/var/lib/samba/sysvol‘ ‚-o‘ 'username=gdm,uid=121,gid=125,sec$
Aug 8 17:08:52 muster-pc02 gdm-launch-environment]: (mount.c:72): Messages from underlying mount program:
Aug 8 17:08:52 muster-pc02 gdm-launch-environment]: (mount.c:76): mount error(13): Permission denied
Aug 8 17:08:52 muster-pc02 gdm-launch-environment]: (mount.c:76): Refer to the mount.cifs(8) manual page (e.g. man mount.cifs)
Aug 8 17:08:52 muster-pc02 gdm-launch-environment]: (mount.c:558): 23 28 0:21 / /sys rw,nosuid,nodev,noexec,relatime shared:7 - sysfs sysfs rw

Brauche ich eine anderen Displaymanager oder wieso will sich gdm beim Server anmelden?

Hallo Heiko,

Muss man lieber lightdm verwenden.

Gruß

Arnaud

Hallo,

definitiv !

Probleme mit abweichenden DMs werden immer wieder berichtet und waren auch bei mir schon da!

Gruß Christoph