Hallo,
ich bin glaube ich zumindest einen Schritt weiter…
Nachdem ich in /var/log/messages folgendes gefunden habe
2013-11-21T15:23:19.396977+01:00 MYHOST winbindd[5599]: [2013/11/21 15:23:19.396924, 0] ../source3/libads/kerberos_util.c:74(ads_kinit_password)
2013-11-21T15:23:19.397132+01:00 MYHOST kernel: [ 1774.185443] type=1400 audit(1385043799.396:56): apparmor="DENIED" operation="open" parent=5585 profile="/usr/sbin/winbindd" name="/var/lib/samba/smb_krb5/krb5.conf.MY-DOMAIN" pid=5599 comm="winbindd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
2013-11-21T15:23:19.397138+01:00 MYHOST kernel: [ 1774.185459] type=1400 audit(1385043799.396:57): apparmor="DENIED" operation="open" parent=5585 profile="/usr/sbin/winbindd" name="/var/lib/samba/smb_krb5/krb5.conf.MY-DOMAIN" pid=5599 comm="winbindd" requested_mask="r" denied_mask="r" fsuid=0 ouid=0
2013-11-21T15:23:19.397234+01:00 MYHOST winbindd[5599]: kerberos_kinit_password MYHOST$@MYDOMAIN.DE failed: Permission denied
2013-11-21T15:23:25.909737+01:00 MYHOST kdm: :0[5782]: gkr-pam: error looking up user information
Habe ich einmal den AppArmor komplett abgeschaltet und einen Reboot gemacht.
Danach ist zwar immer noch der doppelte Eintrag der Domäne (siehe 1) in meiner Eingangsfrage) vorhanden, die Anmeldung geht aber einen Schritt weiter (also der Fehler 2) in meiner Eingangsfrage kommt nicht mehr, sondern der Client macht etwas) und auch ein SSH login-Versuch (das war 3) in meiner Eingangsfrage) geht weiter.
Jedoch kommt dann ein neues Problem:
Beide Logins beschweren sich über “Permission denied”, wenn versucht wird, in das home-Verzeichnis zu wechseln.
Das HOME-Verzeichnis vom server hatte ich über NFS vom UCS-PDC lokal nach /home gemountet.
Auf dem UCS-PDC:
/home <= über NFS freigegeben als /home
/MY-DOMAIN
/illenseer
Und diese Struktur wird nun durch den NFS mount auch lokal auf den Client “gespiegelt”.
Irgendwie scheint es mir, als ob die User-IDs und Gruppen von der Domäne nicht verwendet werden, denn auf dem gemounteten /home ist alles vorhanden und von Windows aus haben die Benutzer auch Zugriff. Nur das Linux kommt nicht drauf…
Auf dem grafischen Login bricht es dann ab und per SSH bekommt man de Fehler, dass das HOME-Verzeichnis nicht benutzt werden kann. Aber über SSH wird man dann angemeldet (man landet dann in “/”). Wenn ich dann aber “id” ausführe, dann wird für meine uid=10000 angezeigt, aber auf dem UCS-PDC hat mein Account die 2008.
In den Optionen zur SAMBA Domäne in YaST gibt es auch in den Experten-Einstellungen etwas mit min und max uid, wobei der min Wert auf 10000 steht und daher habe ich das in Verdacht…
Ich dachte wirklich, dass auch das Einbinden vonn Linux-Maschinen unter UCS einfach sein würde, v.A. da openSuSE ja diesen Windows Domain Join nun hat. Und eigentlich “hängt” es ja nun “nur” noch an den Rechten für das HOME Verzeichnis… - Evtl. nicht über NFS mouunten sondern über die Experten-Settings beim Windows-Domain Dialog? - Aber was dort angeben?
=> Allgemein ist da die Doku sehr spärlich…! (Herr Ahrnke hat zwar auf eine Seite verwiesen, aber das sind ja doch einige “mühseelige” Schritte tief im System - Das sollte doch auch “leichter” gehen…)