Nach einem Upgrade unseres UCS Master und Backup von Version 2.3 auf die Version 2.4, können Windows7-Benutzer das eigene Homeverzeichnis auf dem Memberserver zwar sehen, aber nicht mehr draufzugreifen. Windows XP Rechner können zwar zugreifen, lesen und Dateien neu Anlegen, diese aber dann nicht mehr löschen oder umbenennen. Das ist genauso bei Linux-Rechnern.
Es gibt keine Probleme bei dem Homeverzeichnis auf dem Master. Der Memberserver wurde nach dem Upgrade neu gejoined. Der Zugriff auf NFS Freigaben auf dem Memberserver funktioniert auch problemlos.
Ich weiß leider nicht mehr wo ich nach dem Fehler suchen soll. Vergabe einer neuen SID hat schon mal nichts gebracht, außer, dass das Passwort nicht mehr angenommen wurde.
könnten Sie Ihre Umgebung etwas genauer beschreiben? Werden die Heimatverzeichnisse per NFS auf dem/den Memberservern eingebunden und von dort per Samba an die Clients freigegeben? Läuft auf allen Systemen UCS 2.4? Welche Kernel sind im Einsatz?
Gibt es Fehlermeldungen wenn Sie z.B. Versuchen eine Datei per smbclient zu löschen? Welche Fehlermeldung erhalten Windows 7 Benutzer? Gibt es Meldungen in den Samba-Logdateien der Memberserver?
Univention DC Master 2.4-1-0
Kernel 2.6.32-ucs11-686
Fehlermeldung bei Windows7 das Verzeichnis anzeigen zu lassen:
Auf \x.x.x.x\name konnte nicht zugegriffen werden.
Sie haben keine Berechtigung für den Zugriff auf \x.x.x.x\name. Wenden Sie sich an den Netzwerkadministrator, um den Zugriff anzufordern.
Bei Linux (Kubuntu) beim Umbennnen oder Löschen einer Datei:
Zugriff verweigert auf smb://x.x.x.x/name/Test2.txt
Sowie ich das gesehen habe, werden die Heimatverzeichnisse nicht explizit per nfs gemountet. Im UDM stehen 3 Heimatverzeichnisfreigaben. Alle Freigaben heißen homes. Eine Feigabe vom Backup, eine vom Matrix und eine vom Master selber. Bei den Benutzern ist das Unix Heimatverzeichnis /home/name
Die Heimatverzeichnisfreigabe ist leer sowie auch der Pfad zur Heimatverezichnisfreigabe. Trägt man hier den Benutzernamen ein und in der Heimatverzeichnisfreigabe die Memberserver homes Freigabe, gibt es bezüglich des Zugriffs keine Veränderungen. Beim erstmaligen Eintragen jedoch wurde der Inhalt der Memberserver homes Freigabe nochmals in dem Verzeichnis des Benutzers abgebildet und der Ordner /home/name hatte die Berechtigungen root:root bekommen. Nach mehrmaligen anmelden und abmelden des Benutzers in und aus der Domaine war das aber wieder in Ordnung (warum auch immer). Es kann aber trotzdem nicht zugegriffen werden.
Generell sind die Benutzer nicht in der Domaine, sondern melden sich lokal auf den PCs an.
Aber auch der Test mit einem Benutzer in der Domaine hat nichts geändert.
Ich hoffe diese Informationen helfen weiter.
Vielen Dank schonmal
Gruß froeschchen
Der UCS-Backup hat die version 2.4-1-1
Kernel:2.6.32-ucs11-686
Auf allen dreien läuft der Samba Dienst. Auf allen Dreien ist eine Heimatverzeichnisfreigabe angelegt. Auf die Heimatverezichnisfreigabe des Masters komme ich per Samba drauf und kann alles machen, ebenso mit der Heimatverzeichnisfreigabe des Backups, nur nicht vom Memberserver. Auf dem Memberserver sind die Heimatverzeichnisse abgelegt.
Wir wollen uns prinzipiell nicht in der Domaine anmelden. Die meisten Rechner sind nicht in der Domaine gejoint, es gibt aber ein paar Ausnahmen.
Wir haben festgestellt, dass wir einen WinXP-Client haben der schon vor dem Update auf 2.4 in die Domaine gejoint war und bei dem gibt es für das Homeverzeichnis auf dem Memberserver keine Probleme.
Die Anweisungen werde ich gleich mal befolgen und schauen, ob’s danach funktioniert.
ich habe die Server angepasst wie Sie es vorgeschlagen haben und einen Windows7 PC (mit Regestry-update) in die Domaine gejoint. Leider hat es keine Veränderung gebracht.
Ich habe mir das Sambalog nochmal angeschaut. Es ist voll mit diesen Einträgen, für jeden Benutzer:
[2011/02/09 09:22:39.802503, 0] passdb/passdb.c:627(lookup_global_sam_name)
User administrator with invalid SID S-1-5-21-2029396578-283276782-2881582584-5010 in passdb
Wie gesagt eine neue SID wurde schon mal erzeugt, mit dem Erfolg, dass das Passwort nicht mehr gültig war.
Mit der Version 2.3-2 war noch alles in Ordnung erst nach dem Update auf Version 2.4 kam das Problem. Was ist da schiefgelaufen, wir haben die Konfigurationen nicht geändert?
wurden in Ihrem LDAP evtl. mehrere Samba-Domänenobjkte angelegt (“ldapsearch -xLLL sambaDomainName=*”)? Betreiben Sie unterschiedliche Domänen auf den drei Servern und was gibt der Befehl “net rpc testjoin” auf dem Memberserver aus?
Danke für die Antwort.
Ich habe beide Skripte ausprobiert. Beim ersten bekomme ich die Domain SID ausgegeben, beim zweiten bekomme ich keine Ausgabe, also passen die Objekte zur Domain-SID und wir haben auch keine doppelt vergebenen SIDs.
ich benötige eigentlich immer noch Hilfe, aber irgendwie geht es hier nur sehr schleppend voran.
Gibt es denn keine Lösung für mein Problem. Können wir unsere Homeverzeichnisse gar nicht mehr nutzen? Ich bin es allmählich müde, von Benutzern angesprochen zu werden, ob ich bitte deren Dateien konsolenseitig umbennen könnte.
Die Problembeschreibung erinnert stark an eine Verhaltensänderung, die bei der Paketierung von Samba 3.5.4 für UCS 2.4 beobachtet wurde (Bug 18425):
Ab Samba 3.4.0 hat sich das Verhalten von Samba bei der Authentifikation von Benutzern mit unbekannter Domänen-Herkunft verändert. Die Änderung wird unter anderem in diesem Posting auf der Samba-Technical Mailingliste erklärt. Um zu prüfen, ob diese Änderung tatsächlich die Ursache der Share-Zugriffsprobleme ist, kann auf den Memberservern die Datei /etc/samba/local.conf um folgende zwei Zeilen erweitert werden:
[global]
map untrusted to domain = yes
Danach sollte der Samba-Dienst auf dem jeweiligen Server neu gestartet werden. Weitere Hinweise zu dieser Einstellung liefert die Manualseite zu smb.conf.
Wenn die oben beschriebene ‘invalid SID […] in passdb’ Meldung in der log.smbd auf dem Memberserver aufgetreten ist, dann würde ich vermuten, dass S-1-5-21-2029396578-283276782-2881582584 nicht die Domain SID ist, die von dem Skript in dem obigen Posting ausgegeben wurde, sondern die lokale SID des Memberservers (“net getlocalsid”).
vielen Dank für die Antwort. Ich habe den Code hinzugefügt und Samba neu gestartet, aber leider kann ich immer noch nichts umbenennen oder löschen.
Die im Logfile angegebene SID ist die der Domäne. Der Befehl “net getlocalsid” gibt auf dem Memberserver folgende Ausgabe:
[2011/02/28 12:04:25.885818, 0] lib/smbldap_util.c:310(smbldap_search_domain_info)
smbldap_search_domain_info: Adding domain info for MEMBER failed with NT_STATUS_UNSUCCESSFUL
SID for domain MEMBER is: S-1-5-21-729550471-2535372647-2628705805
–> Ich habe auf diese Ausgabe hin sicherheitshalber den MEMBER nochmal gejoint, aber die Ausgabe war anschließend immer noch die selbe.
Das Skript von oben gibt diese Ausgabe:
Domain SIDs:
S-1-5-21-2029396578-283276782-2881582584
Auf dem UCS-Master bekomme ich für “net getlocalsid” folgende Ausgabe:
SID for domain UCS is: S-1-5-21-2524237111-2242665017-2008113054
Das Skript von oben liefert auf dem Master dies:
Domain SIDs:
S-1-5-21-2029396578-283276782-2881582584
Leider ist somit die Vermutung nicht eingetroffen :’(
Aber vielleicht geben die neuen Infos mehr Aufschluss?
ich dachte ja, dass jetzt nach so langer Zeit nach der Cebit vielleicht mal wieder eine Antwort gepostet wurde, aber irgendwie scheint mein Problem etwas in Vergessenheit geraten zu sein?
Gibt es vielleicht idealerweise einen anderen Supportweg, wo einem schneller geholfen wird?
hierfür ist unser Support vorgesehen.
Für weitere Informationen zu Konditionen etc. würde ich Sie an unseren Vertrieb (vertrieb@univention.de oder 0421 222 32 20) verweisen.