Samba Migration Computerkonto

german

#1

Ich muss einen Samba Server (3.0.36-0.11.1) auf Univention migrieren. Ich habe bis jetzt die SIDs der Samba Domäne bzw. der Benutzer und Computerkonten übernommen. Ich habe also die Benutzer und Computer vorher angelegt und danach die SIDs ( /usr/share/univention-samba/change_sid “” “”) vom alten System übernommen.
Die Anmeldung an der Univention Domäne schlägt trotzdem fehl. In der log.smb scheint dieser Eintrag auf:

[2010/12/15 16:30:44.782600, 0] passdb/passdb.c:627(lookup_global_sam_name)
User administrator with invalid SID S-1-5-21-3308368272-3598102209-3008607014-500 in passdb
[2010/12/15 16:30:44.792369, 0] passdb/passdb.c:627(lookup_global_sam_name)
User join-backup with invalid SID S-1-5-21-3308368272-3598102209-3008607014-5004 in passdb
[2010/12/15 16:30:50.108650, 0] passdb/passdb.c:627(lookup_global_sam_name)
User administrator with invalid SID S-1-5-21-3308368272-3598102209-3008607014-500 in passdb
[2010/12/15 16:30:50.116220, 0] passdb/passdb.c:627(lookup_global_sam_name)
User join-backup with invalid SID S-1-5-21-3308368272-3598102209-3008607014-5004 in passdb
[2010/12/15 16:30:50.140336, 0] …/libcli/auth/schannel_state_tdb.c:107(schannel_fetch_session_key_tdb)
schannel_fetch_session_key_tdb: Failed to find entry with key SECRETS/SCHANNEL/UVNB1
[2010/12/15 16:30:50.140753, 0] rpc_server/srv_pipe.c:1426(pipe_schannel_auth_bind)
pipe_schannel_auth_bind: Attempt to bind using schannel without successful serverauth2
[2010/12/15 16:30:50.258349, 0] rpc_server/srv_netlog_nt.c:526(get_md4pw)
get_md4pw: Workstation UVNB1$: account does not have a password
[2010/12/15 16:30:50.258759, 0] rpc_server/srv_netlog_nt.c:692(_netr_ServerAuthenticate3)
_netr_ServerAuthenticate3: failed to get machine password for account UVNB1$: NT_STATUS_LOGON_FAILURE

Was muss ich hier noch anpassen?


Migration von einem OpenLDAP + Samba Server
#2

Hallo,

grundsätzlich sollte die Migration einer Samba-Domäne zu UCS wie folgt möglich sein:

[ul]
[li]Windows Domainennamen und Hostname beim UCS wie beim alten PDC setzen
[/li]
[li] Setzen der “produktiv”-SID auf dem UCS System:
/usr/share/univention-samba/set_domain_sid “” “”
[/li]
[li] Anpassen der SID bei bereits existierenden Objekten (Benutzerkonto des Administrators, bestehende Gruppen etc.):
/usr/share/univention-samba/change_sid “” “”
[/li]
[li] Anlegen aller Benutzer-, Gruppen-, Computer-Objekte per Univention Directory Manager. Hier sollten die RIDs aus dem Produktivsystem direkt mit angegeben werden. Außerdem sollte die Kerberos-Option bei den Objekten nicht aktiviert werden.
[/li]
[li] Übertragen der NT und LM Hashes per ldapmodify in die LDAP-Attribute sambaNTPassword und sambaLMPassword. Außerdem sollte der LM Hash auch in das Attribut userPassword geschrieben werden (z.B.: “{LANMAN}XXXXXXXXXXXXXXXXXXXXXX”).
[/li]
[li] Aktivieren der Kerberos-Option für die neu angelegten Objekte:
/usr/share/univention-heimdal/kerberos_now
[/li]
[li] Mit univention-directory-manager Kennwortänderung bei der nächsten Anmeldung erzwingen. Dies ist nicht zwingend notwendig, kann aber verwendet um die Passwortrichtlinien wirksam zu machen und den LM Hash im userPassword Attribut wieder zu ersetzen.[/li][/ul]

Mit freundlichen Grüßen
Janis Meybohm