Hallo,
wir haben auf die aktuelle Version 3.1 mit samba4 aktualisiert. jetzt gibt es zwei benutzer die sich am Windows Client nicht anmelden können.
bei kinit kommt das:
kinit username
username@DOMAIN.LOCAL’s Password:
kinit: krb5_get_init_creds: No ENC-TS found
mit dem smbclient kommt das:
smbclient -L //server -U username
Enter username’s password:
session setup failed: NT_STATUS_ACCOUNT_LOCKED_OUT
Das Account ist aber weder im UMC oder Samba4 gesperrt.
Hallo,
kann es sein, dass die Accounts direkt über das Active Directory administriert werden? Entsprechende LOCK-Policies bei mehrfacher Fehleingabe des Passworts sollten z.B. als Security-Setting per GPO verteilt werden können.
Mit freundlichen Grüßen,
Tim Petersen
Hallo,
nein, GPOs werden derzeit nicht verwendet.
Es wurde letzte Woche auf Samba4 migriert, und das ist der einzige Account, der anscheiend nicht funktioniert.
samba.log:
authsam_account_ok: Account for user username@DOMAIN.LOCAL was locked out.
Hallo,
ich habe hierzu den folgenden Eintrag der Samba 4 Mailingliste gefunden: lists.samba.org/archive/samba/2 … 71546.html
Demnach ist es derzeit nicht möglich das locking per samba-tool zu deaktivieren, vorgeschlagen wird hier die Verwendung der RSAT Tools für AD.
Um hier das Verhalten zu vergleichen, schauen Sie bitte einmal in der LDB nach dem Attribut userAccountControl des Benutzers:
univention-s4search cn=<username>Mit freundlichen Grüßen,
Tim Petersen
dn: CN=username,CN=Users,DC=DOMAIN,DC=LOCAL
objectClass: top
objectClass: posixAccount
objectClass: person
objectClass: organizationalPerson
objectClass: user
cn: username
postalCoLOCAL: 83629
telephoneNumber: 691
givenName: Brigitte
instanceType: 4
whenCreated: 20130208181843.0Z
uSNCreated: 3353
streetAddress:: WmllZ2Vsc3RyYcOfZSAx
name: username
objectGUID: 871a8d0d-cd15-498a-ae81-d547be303917
coLOCALPage: 0
countryCoLOCAL: 0
homeDrive: H:
scriptPath: logon.bat
logonHours:: ////////////////////////////
primaryGroupID: 513
objectSid: S-1-5-21-2070111880-1463812749-1768392224-3280
sAMAccountName: username
sAMAccountType: 805306368
userPrincipalName: username@DOMAIN
objectCategory: CN=Person,CN=Schema,CN=Configuration,DC=DOMAIN,DC=LOCAL
mail: username@DOMAIN.LOCAL
msSFU30NisDomain: DOMAIN
uidNumber: 2044
gidNumber: 5001
unixHomeDirectory: /home/users/username
loginShell: /bin/bash
memberOf: CN=grp-vertrieb,CN=Groups,DC=DOMAIN,DC=LOCAL
memberOf: CN=DOMAIN,CN=Groups,DC=DOMAIN,DC=LOCAL
memberOf: CN=RDP,CN=Groups,DC=DOMAIN,DC=LOCAL
memberOf: CN=vertrieb-group,CN=Groups,DC=DOMAIN,DC=LOCAL
memberOf: CN=grp-alle,CN=Groups,DC=DOMAIN,DC=LOCAL
memberOf: CN=ssh-login,CN=Groups,DC=DOMAIN,DC=LOCAL
lockoutTime: 0
accountExpires: 9223372036854775807
msDS-SupporteLOCALncryptionTypes: 0
userAccountControl: 528
whenChanged: 20130218084554.0Z
uSNChanged: 5276
pwdLastSet: 130056507520000000
distinguishedName: CN=username,CN=Users,DC=DOMAIN,DC=LOCAL
Laut RSAT ist der Account nicht deaktiviert…
Hallo,
Es geht hier scheinbar darum, dass aus bisher unbekannter Ursache der Wert für userAccountControl “528” wird.
In diesem Szenario kann der Wert wie oben beschrieben von Hand auf “512” (“initial value”) gesetzt werden.
Ich werde diesbezüglich selbstverständlich noch einen entsprechenden Bugeintrag zur Prüfung vornehmen.
Wurde das System beim Update auf UCS 3.1 auf die aktuelle S4 Version aktualisiert, oder von S3 migriert?
Mit freundlichen Grüßen,
Tim Petersen
Hallo,
2.4 war installiert.
Es wurde aber 3.1 geupdatet, und danach Samba3 durch Samab4 ersetzt.